概觀
在 Microsoft Entra ID 的適用於群組的 Privileged Identity Management (PIM) 中,角色設定會定義成員資格或擁有權指派屬性。 這些屬性包括啟用、指派持續時間上限和通知設定的多重要素驗證和核准需求。 本文說明如何設定角色設定,並設定核准工作流程,以指定可以核准或拒絕提高權限要求的人員。
您需要群組管理權限才能管理設定。 對於可指派角色的群組,您至少必須具有特殊權限角色管理員角色,或是擔任群組的擁有者。 對於不可指派角色的群組,您至少必須有目錄寫入者、群組管理員、身分識別治理管理員、或使用者管理員角色,或是擔任群組的擁有者。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。
注意
具有管理群組權限的其他角色(例如,針對不可指派角色的 Microsoft 365 群組的 Exchange 管理員)和指派限於管理單位層級的系統管理員,可以透過群組 API/UX 界面來管理群組,並覆寫在 Microsoft Entra Privileged Identity Management 中所做的變更。
角色設定是按照每個角色和群組來定義的。 相同群組的相同角色 (成員或擁有者) 的所有指派都遵循相同的角色設定。 一個群組的角色設定與另一個群組的角色設定無關。 一個角色 (成員) 的角色設定與另一個角色 (擁有者) 的角色設定無關。
更新角色設定
若要開啟群組角色的設定:
流覽至 身分識別治理>特殊許可權身分識別管理>群組。
選取您要為其設定角色設定的群組。
選取設定。
選取您要為其設定角色設定的角色。 選項為 [成員] 或 [擁有者]。
檢閱目前的角色設定。
選取 [編輯] 以更新角色設定。
![螢幕擷取畫面,其中可選取 [編輯] 以更新角色設定。](media/pim-for-groups/pim-group-18.png)
選取更新。
![螢幕擷取畫面,其中可選取 [編輯] 以更新角色設定。](media/pim-for-groups/pim-group-18.png#lightbox)
角色設定
本節討論角色設定選項。
啟用持續時間上限
使用 [啟用持續時間上限] 滑杆來設定角色指派的啟用要求在過期之前保持作用中狀態的最長時間 (以小時為單位)。 此值可以是 1 到 24 小時。
啟用時需要多重要素驗證
您可以要求符合角色資格的使用者,要先在 Microsoft Entra ID 中使用多重要素驗證功能來證明他們的身分之後才能啟用。 多重要素驗證有助於保護資料和應用程式的存取權。 這種驗證方式使用第二種形式的驗證,以增添另一層安全防護。
如果使用者已使用強認證進行驗證,或稍早在此工作階段中提供多重要素驗證,則可能不會提示使用者進行多重要素驗證。 若目標是確保使用者在啟用期間必須提供驗證,您可以搭配使用啟用時,需要 Microsoft Entra 條件式存取驗證內容與驗證強度。
使用者必須在啟用期間使用不同於登入機器的方法來進行驗證。 例如,若使用者使用 Windows Hello 企業版登入機器,您可以使用啟用時,需要 Microsoft Entra 條件式存取驗證內容和驗證強度,要求使用者在啟用角色時,使用 Microsoft Authenticator 執行無密碼登入。
在此範例中,使用者在使用 Microsoft Authenticator 提供無密碼登入之後,便能夠在這個階段中執行下一個啟動,而不需要再次進行驗證。 使用 Microsoft Authenticator 的無密碼登入已經是其權杖的一部分。
啟用 Microsoft Entra ID 中的多重驗證功能,讓所有使用者皆可使用。 如需詳細資訊,請參閱規劃 Microsoft Entra 多重要素驗證部署。
啟用時,需要 Microsoft Entra 條件式存取驗證內容
您可以要求符合角色資格的使用者,滿足條件式存取原則需求。 例如,您可以要求使用者使用透過「驗證強度」強制執行的特定驗證方法,提升角色權限,該提升需從符合 Intune 規範的裝置進行,並需要遵循使用條款。
若要強制執行這項需求,您可以建立條件式存取驗證內容。
設定條件式存取政策,以便在此驗證情境中應用需求。
條件式存取原則的範圍應包含所有使用者或符合群組成員資格/擁有權資格的使用者。 請勿將條件式存取原則的範圍同時設定為驗證內容和群組。 在啟用期間,使用者還沒有群組成員資格,因此不會套用條件式存取原則。
在角色的 PIM 設定中配置身份驗證上下文。
![顯示 [編輯角色] 設定 - [成員] 頁面的螢幕擷取畫面。](media/pim-for-groups/pim-group-21.png)
![顯示 [編輯角色] 設定 - [成員] 頁面的螢幕擷取畫面。](media/pim-for-groups/pim-group-21.png#lightbox)
如果 PIM 設定已設定啟用時,需要設定 Microsoft Entra 條件式存取驗證內容,則條件式存取原則會定義使用者必須符合哪些條件才能滿足存取需求。
這表示具有條件式存取原則管理權限的安全性主體,例如,條件式存取系統管理員或安全性系統管理員,可以變更需求、移除需求,或封鎖合格使用者啟用其群組成員資格/擁有權。 可以管理條件式存取原則的安全性主體應視為具有高度特權,並應予以保護。
在 PIM 設定中設定驗證情境前,先建立並啟用條件存取政策。 做為備份保護機制,如果租用戶中沒有任何條件式存取原則適用於 PIM 設定中所設定的驗證內容,則在啟用群組成員資格或擁有權期間需要 Microsoft Entra ID 中的多重身份驗證,因為這麼一來會設定啟用時,需要多重身份驗證。
此備份保護機制的設計目的是僅防止發生因為設定錯誤而在建立條件式存取原則之前更新 PIM 設定的案例。 如果條件式存取原則已關閉、處於報告專用模式,或已從原則排除符合資格的使用者,則不會觸發此備份保護機制。
要強制每次群組成員資格或所有權啟用重新驗證,請設定條件存取政策,針對你的認證情境,將登入頻率設為 每次,於 會話控制 下。 這確保使用者每次啟動群組成員資格或所有權時,即使他們有活躍的登入會話,也必須重新驗證。
當使用者重新驗證一次啟用時,會有一個 10 分鐘的有效時間窗口。 如果使用者在此期間啟用其他符合資格的會員或所有權,則不會被要求重新驗證。 這 10 分鐘的時限適用於 Microsoft Entra 角色、Azure 資源角色以及群組的 PIM。
當使用者啟用符合資格的群組成員或所有權,並設定有認證情境時,會看到訊息:「條件存取政策已啟用,可能需要額外驗證。 點擊繼續。」使用者接著會被重新導向,依條件存取政策完成重新認證。
啟用時,「需要 Microsoft Entra 條件式存取驗證內容」設定定義了使用者在啟用群組成員資格或擁有權時必須滿足的驗證要求。 啟用群組成員資格/擁有權之後,不會阻止使用者使用其他瀏覽工作階段、裝置或位置來使用群組成員資格/擁有權。
例如,使用者可能會使用符合 Intune 規範的裝置來啟用群組成員資格/擁有權。 然後,啟用角色之後,可能會從不符合 Intune 規範的另一部裝置登入相同的使用者帳戶,並從該處使用先前啟用的群組擁有權/成員資格。
若要避免這種情況,您可以設定條件式存取原則的範圍,以直接對符合資格的使用者強制執行某些需求。 例如,您可以要求符合特定群組成員資格/擁有權的使用者一律使用符合 Intune 規範的裝置。
若要深入了解條件式存取驗證內容,請參閱條件式存取:雲端應用程式、動作和驗證內容。
啟用時需要理由
您可以要求使用者在啟用符合資格的指派時輸入業務理由。
啟用時需要票證資訊
您可以要求使用者在啟用符合資格的指派時輸入支援票證。 此選項是僅供參考欄位。 不會強制要求與任何票券系統中的資訊產生關聯。
需要核准才能啟用
您可以要求批准啟用符合資格的指派任務。 核准者不一定是群組成員或擁有者。 您使用此選項時,必須選取至少一個核准者。 建議您選取至少兩個核准者。 沒有任何預設核准者。
若要深入了解核准,請參閱核准 PIM for Groups 成員和擁有者的啟用請求。
指派持續時間
設定角色時,每個指派類型都有兩個指派持續時間選項可選擇:[合格] 和 [有效]。 將使用者指派給 Privileged Identity Management 中的角色後,這些選項就會變成預設的最長持續時間。
您可以從下列合格指派持續時間選項中選擇一個。
| 設定 | 描述 |
|---|---|
| 允許永久符合資格指派 | 資源管理員可以指派具永久資格的任務。 |
| 終止符合資格的指派後 | 資源管理員可以要求所有合格指派有指定的開始和結束日期。 |
此外,您也可以從下列有效指派持續時間選項中選擇一個。
| 設定 | 描述 |
|---|---|
| 允許永久持續活動狀態 | 資源管理員可以指派永久有效指派。 |
| 在這之後,終止有效指派 | 資源管理員可以要求所有有效指派有指定的開始和結束日期。 |
資源管理員可以更新所有具有指定結束日期的指派。 此外,使用者可以發起自助服務要求,以延長或更新角色指派。
要求為有效指派進行多重要素驗證
您可以要求系統管理員或群組擁有者在建立有效 (而非合格) 指派時,提供多重要素驗證。 Privileged Identity Management 無法在使用者使用其角色指派時強制執行多重要素驗證,因為從指派角色時起,他們就已經在該角色中處於作用中狀態。
如果系統管理員或群組擁有者使用強認證進行驗證,或稍早在此工作階段中提供多重要素驗證,則可能不會提示他們進行多重要素驗證。
現行任務指派需要理由
您可以要求使用者在建立有效 (而非合格) 指派時,輸入業務理由。
在 [角色設定] 頁面的 [通知] 索引標籤中,Privileged Identity Management 可讓您更精確地控制接收通知的人員,以及他們所收到的通知。 下列選項可供您選擇:
- 關閉電子郵件:您可以藉由清除 [預設收件者] 核取方塊並刪除任何其他收件者,來關閉特定的電子郵件。
- 將電子郵件限制為指定的電子郵件地址:您可以清除預設收件者核取方塊來關閉傳送電子郵件給預設收件者。 然後,您可以新增其他電子郵件地址作為收件者。 若要新增一個以上的電子郵件地址,請使用分號 (;) 加以區隔。
- 將電子郵件傳送給預設收件者及其他收件者:您可以將電子郵件同時傳送給預設收件者和另一個收件者。 選取預設收件者核取方塊,並新增其他收件者的電子郵件地址。
- 僅限重要電子郵件:您可以為各類電子郵件選取核取方塊,用於僅接收重要電子郵件。 只有在電子郵件需要立即採取行動時,Privileged Identity Management 才會繼續傳送電子郵件給指定的收件者。 例如,不會觸發要求使用者延長其角色指派的電子郵件。 會觸發需要管理員核准擴展請求的電子郵件。
注意
Privileged Identity Management 中的一個事件可以向多個收件者 (受託人、核准者或系統管理員) 產生電子郵件通知。 每個事件傳送的最大通知數為 1000。 如果收件者數超過 1000,則只有前 1000 位收件者會收到電子郵件通知。 這不會防止其他被指派者、系統管理員或核准者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其許可權。
使用 Microsoft Graph 管理角色設定
若要在 Microsoft Graph 中使用 PIM API 來管理群組的角色設定,請使用 unifiedRoleManagementPolicy 資源類型和其相關方法。
在 Microsoft Graph 中,角色設定稱為規則。 他們會透過容器政策指派給群組。 您可以擷取範圍為群組的所有原則,並為每個原則擷取其範圍的群組。 使用 $expand 查詢參數擷取規則的相關集合。 要求的語法如下:
GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules
如需如何在 Microsoft Graph 中透過 PIM API 來管理角色設定的詳細資訊,請參閱角色設定和 PIM。 如需如何更新規則的範例,請參閱使用 Microsoft Graph 更新 PIM 中的規則。