共用方式為


設定適用於群組的 PIM 設定

在 Microsoft Entra ID 的適用於群組的 Privileged Identity Management (PIM) 中,角色設定會定義成員資格或擁有權指派屬性。 這些屬性包括啟用、指派持續時間上限和通知設定的多重要素驗證和核准需求。 本文說明如何設定角色設定,並設定核准工作流程,以指定可以核准或拒絕提高權限要求的人員。

您需要群組管理權限才能管理設定。 對於可指派角色的群組,您至少必須具有特殊權限角色管理員角色,或是擔任群組的擁有者。 對於不可指派角色的群組,您至少必須有目錄寫入者、群組管理員、身分識別治理管理員、或使用者管理員角色,或是擔任群組的擁有者。 系統管理員的角色指派應限於目錄層級 (而非管理單位層級)。

注意

具有管理群組權限的其他角色 (例如,非可指派角色 Microsoft 365 群組的 Exchange 管理員) 和指派限於管理單位層級的系統管理員,可以透過群組 API/UX 來管理群組,以及覆寫在 Microsoft Entra Privileged Identity Management 中所做的變更。

角色設定會根據每個角色每個群組進行定義。 相同群組的相同角色 (成員或擁有者) 的所有指派都遵循相同的角色設定。 一個群組的角色設定與另一個群組的角色設定無關。 一個角色 (成員) 的角色設定與另一個角色 (擁有者) 的角色設定無關。

更新角色設定

若要開啟群組角色的設定:

  1. 登入 Microsoft Entra 系統管理中心。

  2. 瀏覽至 [身分識別治理] > [Privileged Identity Management] > [群組]

  3. 選取您要為其設定角色設定的群組。

  4. 選取設定

  5. 選取您要為其設定角色設定的角色。 選項為 [成員] 或 [擁有者]

    螢幕擷取畫面,其中可選取您要為其設定角色設定的角色。

  6. 檢閱目前的角色設定。

  7. 選取 [編輯] 以更新角色設定。

    螢幕擷取畫面,其中可選取 [編輯] 以更新角色設定。

  8. 選取更新

角色設定

本節討論角色設定選項。

啟用持續時間上限

使用 [啟用持續時間上限] 滑杆來設定角色指派的啟用要求在過期之前保持作用中狀態的最長時間 (以小時為單位)。 此值可以是 1 到 24 小時。

啟用時需要多重要素驗證

您可以要求符合角色資格的使用者,要先在 Microsoft Entra ID 中使用多重要素驗證功能來證明他們的身分之後才能啟用。 多重要素驗證有助於保護資料和應用程式的存取權。 這種驗證方式使用第二種形式的驗證,以增添另一層安全防護。

如果使用者已使用強認證進行驗證,或稍早在此工作階段中提供多重要素驗證,則可能不會提示使用者進行多重要素驗證。 若目標是確保使用者在啟用期間必須提供驗證,您可以搭配使用啟用時,需要 Microsoft Entra 條件式存取驗證內容驗證強度

使用者必須在啟用期間使用不同於登入機器的方法來進行驗證。 例如,若使用者使用 Windows Hello 企業版登入機器,您可以使用啟用時,需要 Microsoft Entra 條件式存取驗證內容驗證強度,要求使用者在啟用角色時,使用 Microsoft Authenticator 執行無密碼登入。

在此範例中,使用者提供無密碼登入 Microsoft Authenticator 之後,便能夠在此工作階段中執行下一次啟用,而不需要再進一次驗證。 使用 Microsoft Authenticator 的無密碼登入已經是其權杖的一部分。

建議您為所有使用者啟用 Microsoft Entra ID 中的多重要素驗證功能。 如需詳細資訊,請參閱規劃 Microsoft Entra 多重要素驗證部署

啟用時,需要 Microsoft Entra 條件式存取驗證內容

您可以要求符合角色資格的使用者,滿足條件式存取原則需求。 例如,您可以要求使用者使用透過「驗證強度」強制執行的特定驗證方法,從符合 Intune 規範的裝置提升角色,並遵守使用規定。

若要強制執行這項需求,您可以建立條件式存取驗證內容。

  1. 設定條件式存取原則,以強制執行此驗證內容的需求。

    條件式存取原則的範圍應包含所有使用者或符合群組成員資格/擁有權資格的使用者。 請勿將條件式存取原則的範圍同時設定為驗證內容和群組。 在啟用期間,使用者還沒有群組成員資格,因此不會套用條件式存取原則。

  2. 在角色的 PIM 設定中設定驗證內容。

    顯示 [編輯角色] 設定 - [成員] 頁面的螢幕擷取畫面。

如果 PIM 設定已設定啟用時,需要設定 Microsoft Entra 條件式存取驗證內容,則條件式存取原則會定義使用者必須符合哪些條件才能滿足存取需求。

這表示具有條件式存取原則管理權限的安全性主體,例如,條件式存取系統管理員或安全性系統管理員,可以變更需求、移除需求,或封鎖合格使用者啟用其群組成員資格/擁有權。 可以管理條件式存取原則的安全性主體應視為具有高度特殊權限的權限,並據以保護。

建議您在 PIM 設定中設定驗證內容之前,先建立並啟用驗證內容的條件式存取原則。 做為備份保護機制,如果租用戶中沒有任何條件式存取原則適用於 PIM 設定中所設定的驗證內容,則在群組成員資格/擁有權啟用期間需要 Microsoft Entra ID 中的多重要素驗證功能,因為會設定啟用時,需要多重要素驗證設定。

此備份保護機制的設計目的是僅防止發生因為設定錯誤而在建立條件式存取原則之前更新 PIM 設定的案例。 如果條件式存取原則已關閉、處於報告專用模式,或已從原則排除符合資格的使用者,則不會觸發此備份保護機制。

啟用時,需要 Microsoft Entra 條件式存取驗證內容設定會定義使用者在啟用群組成員資格/擁有權時必須滿足的驗證內容需求。 啟用群組成員資格/擁有權之後,不會阻止使用者使用其他瀏覽工作階段、裝置或位置來使用群組成員資格/擁有權。

例如,使用者可能會使用符合 Intune 規範的裝置來啟用群組成員資格/擁有權。 然後,啟用角色之後,可能會從不符合 Intune 規範的另一部裝置登入相同的使用者帳戶,並從該處使用先前啟用的群組擁有權/成員資格。

若要避免這種情況,您可以設定條件式存取原則的範圍,以直接對符合資格的使用者強制執行某些需求。 例如,您可以要求符合特定群組成員資格/擁有權的使用者一律使用符合 Intune 規範的裝置。

若要深入了解條件式存取驗證內容,請參閱條件式存取:雲端應用程式、動作和驗證內容

啟用時需要理由

您可以要求使用者在啟用符合資格的指派時輸入業務理由。

啟用時需要票證資訊

您可以要求使用者在啟用符合資格的指派時輸入支援票證。 此選項是僅供參考欄位。 不會強制執行與任何票證系統中的資訊相互關聯。

需要核准才能啟用

您可以要求核准啟用符合資格的指派。 核准者不一定是群組成員或擁有者。 您使用此選項時,必須選取至少一個核准者。 建議您選取至少兩個核准者。 沒有任何預設核准者。

若要深入了解核准,請參閱核准 PIM for Groups 成員和擁有者的啟用要求

指派持續時間

設定角色時,每個指派類型都有兩個指派持續時間選項可選擇:[合格] 和 [有效]。 將使用者指派給 Privileged Identity Management 中的角色後,這些選項就會變成預設的最長持續時間。

您可以從下列合格指派持續時間選項中選擇一個。

設定 描述
允許永久符合資格指派 資源管理員可以指派永久合格指派。
合格指派的有效期限 資源管理員可以要求所有合格指派有指定的開始和結束日期。

此外,您也可以從下列有效指派持續時間選項中選擇一個。

設定 描述
允許永久使用中指派 資源管理員可以指派永久有效指派。
有效指派的有效期限 資源管理員可以要求所有有效指派有指定的開始和結束日期。

資源管理員可以更新所有具有指定結束日期的指派。 此外,使用者員可以將自助服務要求初始化,以延長或更新角色指派

要求為有效指派進行多重要素驗證

您可以要求系統管理員或群組擁有者在建立有效 (而非合格) 指派時,提供多重要素驗證。 Privileged Identity Management 無法在使用者使用其角色指派時強制執行多重要素驗證,因為從指派角色時起,他們就已經在該角色中處於作用中狀態。

如果系統管理員或群組擁有者使用強認證進行驗證,或稍早在此工作階段中提供多重要素驗證,則可能不會提示他們進行多重要素驗證。

使用中指派需要理由

您可以要求使用者在建立有效 (而非合格) 指派時,輸入業務理由。

在 [角色設定] 頁面的 [通知] 索引標籤中,Privileged Identity Management 可讓您更精確地控制接收通知的人員,以及他們所收到的通知。 下列選項可供您選擇:

  • 關閉電子郵件:您可以藉由清除 [預設收件者] 核取方塊並刪除任何其他收件者,來關閉特定的電子郵件。
  • 將電子郵件限制為指定的電子郵件地址:您可以清除預設收件者核取方塊來關閉傳送電子郵件給預設收件者。 然後,您可以新增其他電子郵件地址作為收件者。 若要新增一個以上的電子郵件地址,請使用分號 (;) 加以區隔。
  • 將電子郵件傳送給預設收件者及其他收件者:您可以將電子郵件同時傳送給預設收件者和另一個收件者。 選取預設收件者核取方塊,並新增其他收件者的電子郵件地址。
  • 僅限重要電子郵件:您可以為各類電子郵件選取核取方塊,用於僅接收重要電子郵件。 只有在電子郵件需要立即採取行動時,Privileged Identity Management 才會繼續傳送電子郵件給指定的收件者。 例如,不會觸發要求使用者延長其角色指派的電子郵件。 而是會觸發要求管理員核准延長要求的電子郵件。

注意

Privileged Identity Management 中的一個事件可以向多個收件者 (受託人、核准者或系統管理員) 產生電子郵件通知。 每個事件傳送的最大通知數為 1000。 如果收件者數超過 1000,則只有前 1000 位收件者會收到電子郵件通知。 這不會防止其他受託人、系統管理員或核准者在 Microsoft Entra ID 和 Privileged Identity Management 中使用他們的權限。

使用 Microsoft Graph 管理角色設定

若要在 Microsoft Graph 中使用 PIM API 來管理群組的角色設定,請使用 unifiedRoleManagementPolicy 資源類型和其相關方法

在 Microsoft Graph 中,角色設定稱為規則。 他們會透過容器原則指派給群組。 您可以擷取範圍為群組和每個原則的所有原則。 使用 $expand 查詢參數擷取規則的相關集合。 要求的語法如下:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

如需如何在 Microsoft Graph 中透過 PIM API 來管理角色設定的詳細資訊,請參閱角色設定和 PIM。 如需如何更新規則的範例,請參閱使用 Microsoft Graph 更新 PIM 中的規則

下一步

在 Privileged Identity Management 中指派群組的資格