Přiřazení způsobilosti pro skupinu ve službě Privileged Identity Management

V Azure Active Directory, dříve označované jako Microsoft Entra ID, můžete použít Privileged Identity Management (PIM) ke správě členství za běhu ve skupině nebo vlastnictví skupiny za běhu.

Když je přiřazeno členství nebo vlastnictví, přiřazení:

  • Nedá se přiřadit po dobu kratší než pět minut.
  • Nejde odebrat během pěti minut od přiřazení.

Poznámka:

Každý uživatel, který má nárok na členství nebo vlastnictví PIM pro skupiny, musí mít licenci Microsoft Entra Premuim P2 nebo Microsoft Entra ID Governance. Další informace najdete v tématu Licenční požadavky pro použití Privileged Identity Management.

Přiřazení vlastníka nebo člena skupiny

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete, aby uživatel byl oprávněným členem nebo vlastníkem skupiny, postupujte podle těchto kroků. Ke správě skupin budete potřebovat oprávnění. U skupin s možností přiřazení rolí musíte mít roli Globální Správa istrator, privilegovaná role Správa istrator nebo být vlastníkem skupiny. U nepřiřazovatelných skupin musíte mít globální Správa istrator, zapisovač adresáře, skupiny Správa istrator, zásady správného řízení identit Správa istrator, roli uživatele Správa istrator nebo roli vlastníka skupiny. Přiřazení rolí pro správce by měla být vymezena na úrovni adresáře (ne na úrovni jednotky pro správu).

Poznámka:

Jiné role s oprávněními ke správě skupin (například Exchange Správa istrátory pro skupiny M365, které nelze přiřadit role) a správci s přiřazeními vymezenými na úrovni jednotek pro správu můžou spravovat skupiny prostřednictvím rozhraní API/uživatelského rozhraní Skupiny a přepsat změny provedené v nástroji Microsoft Entra PIM.

  1. Přihlášení k Centru pro správu Microsoft Entra

  2. Přejděte ke skupinám Privileged Identity Management>v zásadách správného řízení>identit.

  3. Tady můžete zobrazit skupiny, které už jsou pro PIM pro skupiny povolené.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Vyberte skupinu, kterou potřebujete spravovat.

  5. Vyberte zadání.

  6. Pomocí oken Opravňující přiřazení a Aktivní přiřazení můžete zkontrolovat stávající přiřazení členství nebo vlastnictví pro vybranou skupinu.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Vyberte Přidat přiřazení.

  8. V části Vybrat roli vyberte mezi členy a vlastníkem , které chcete přiřadit členství nebo vlastnictví.

  9. Vyberte členy nebo vlastníky, které chcete pro skupinu použít.

    Screenshot of where to select the members or owners you want to make eligible for the group.

  10. Vyberte Další.

  11. V seznamu typů zadání vyberte Možnost Nárok nebo Aktivní. Privileged Identity Management poskytuje dva různé typy přiřazení:

    • Oprávněné přiřazení vyžaduje, aby člen nebo vlastník provedl aktivaci, aby roli používal. Aktivace můžou také vyžadovat poskytnutí vícefaktorového ověřování (MFA), poskytnutí obchodního odůvodnění nebo vyžádání schválení určených schvalovatelů.

    Důležité

    U skupin používaných pro zvýšení oprávnění k rolím Microsoft Entra společnost Microsoft doporučuje, abyste pro oprávněná přiřazení členů vyžadovali schvalovací proces. Přiřazení, která se dají aktivovat bez schválení, vás můžou ohrozit bezpečnostní riziko od jiného správce s oprávněním k resetování hesel oprávněných uživatelů.

    • Aktivní přiřazení nevyžadují, aby člen provedl aktivaci, aby roli používal. Členové nebo vlastníci přiřazení jako aktivní mají oprávnění přiřazená k roli vždy.
  12. Pokud má být přiřazení trvalé (trvale způsobilé nebo trvale přiřazené), zaškrtněte políčko Trvale . V závislosti na nastavení skupiny se nemusí zaškrtávací políčko zobrazovat nebo nemusí být upravitelné. Další informace najdete v článku Konfigurace PIM pro nastavení skupin v privilegované službě Identity Management .

    Screenshot of where to configure the setting for add assignments.

  13. Vyberte Přiřadit.

Aktualizace nebo odebrání existujícího přiřazení role

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete aktualizovat nebo odebrat existující přiřazení role, postupujte podle těchto kroků. Ke správě skupin budete potřebovat oprávnění. U skupin s možností přiřazení rolí musíte mít roli Globální Správa istrator, privilegovaná role Správa istrator nebo být vlastníkem skupiny. U nepřiřazovatelných skupin musíte mít globální Správa istrator, zapisovač adresáře, skupiny Správa istrator, zásady správného řízení identit Správa istrator, roli uživatele Správa istrator nebo roli vlastníka skupiny. Přiřazení rolí pro správce by měla být vymezena na úrovni adresáře (ne na úrovni jednotky pro správu).

Poznámka:

Jiné role s oprávněními ke správě skupin (například Exchange Správa istrátory pro skupiny M365, které nelze přiřadit role) a správci s přiřazeními vymezenými na úrovni jednotek pro správu můžou spravovat skupiny prostřednictvím rozhraní API/uživatelského rozhraní Skupiny a přepsat změny provedené v nástroji Microsoft Entra PIM.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte ke skupinám Privileged Identity Management>v zásadách správného řízení>identit.

  3. Tady můžete zobrazit skupiny, které už jsou pro PIM pro skupiny povolené.

    Screenshot of where to view groups that are already enabled for PIM for Groups.

  4. Vyberte skupinu, kterou potřebujete spravovat.

  5. Vyberte zadání.

  6. Pomocí oken Opravňující přiřazení a Aktivní přiřazení můžete zkontrolovat stávající přiřazení členství nebo vlastnictví pro vybranou skupinu.

    Screenshot of where to review existing membership or ownership assignments for selected group.

  7. Výběrem možnosti Aktualizovat nebo Odebrat můžete aktualizovat nebo odebrat přiřazení členství nebo vlastnictví.

Další kroky