Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile utilizzare Privileged Identity Management (PIM) in Microsoft Entra ID per avere l'appartenenza just-in-time (JIT) al gruppo o la proprietà just-in-time (JIT) del gruppo.
Questo articolo è destinato a membri o proprietari idonei che vogliono attivare l'appartenenza o la proprietà del gruppo in PIM.
Importante
Quando viene attivata un'appartenenza o una proprietà di un gruppo, Microsoft Entra PIM aggiunge temporaneamente un'assegnazione attiva. Microsoft Entra PIM crea un'assegnazione attiva (aggiunge un utente come membro o proprietario del gruppo) entro pochi secondi. Quando si verifica la disattivazione (manuale o con scadenza dell'attivazione), Microsoft Entra PIM rimuove l'appartenenza o la proprietà dell'utente nel gruppo entro pochi secondi.
L'applicazione può fornire l'accesso agli utenti in base all'appartenenza al gruppo. In alcune situazioni, l'accesso alle applicazioni potrebbe non riflettere immediatamente il fatto che l'utente sia stato aggiunto al gruppo o rimosso da esso. Se in precedenza l'applicazione memorizzava nella cache il fatto che l'utente non è membro del gruppo, quando l'utente tenta di accedere di nuovo all'applicazione, l'accesso potrebbe non essere fornito. Analogamente, se l'applicazione in precedenza memorizzava nella cache il fatto che l'utente fosse membro del gruppo, quando l'appartenenza al gruppo viene disattivata, l'utente potrebbe comunque ottenere l'accesso. La situazione specifica dipende dall'architettura dell'applicazione. Per alcune applicazioni, uscire e accedere di nuovo può essere utile per aggiungere o rimuovere l'accesso.
PIM per gruppi e disattivazione della proprietà
Microsoft Entra ID non consente di rimuovere l'ultimo proprietario (attivo) di un gruppo. Si consideri, ad esempio, un gruppo con proprietario attivo A e proprietario idoneo B. Se l'utente B attiva la proprietà con PIM e successivamente l'utente A viene rimosso dal gruppo o dal tenant, la disattivazione della proprietà dell'utente B non avrà esito positivo.
PIM tenterà di disattivare la proprietà dell'utente B per un massimo di 30 giorni. Se un altro proprietario attivo C viene aggiunto al gruppo, la disattivazione avrà esito positivo. Se la disattivazione non riesce dopo 30 giorni, PIM smetterà di disattivare la proprietà dell'utente B e l'utente B continuerà a essere un proprietario attivo.
Attivare un ruolo
Quando è necessario assumere membri o proprietà di un gruppo, è possibile richiedere l'attivazione usando l'opzione di navigazione I miei ruoli in PIM.
Effettua l'accesso al centro di amministrazione di Microsoft Entra come almeno un Amministratore dei ruoli privilegiati.
Passare a ID Governance>Privileged Identity Management>I miei ruoli>Gruppi.
Nota
È anche possibile usare questo breve collegamento per aprire direttamente la pagina Ruoli personali .
Usando il pannello Assegnazioni idonee, esaminare un elenco dei gruppi per cui si è idonei come membri o proprietari.
Selezionare Attiva per l'assegnazione idonea da attivare.
A seconda dell'impostazione del gruppo, potrebbe essere richiesto di fornire l'autenticazione a più fattori o un'altra forma di credenziale.
Se necessario, specificare un'ora di inizio di attivazione personalizzata. L'appartenenza o la proprietà deve essere attivata solo dopo l'orario selezionato.
A seconda dell'impostazione del gruppo, potrebbe essere necessaria una giustificazione per l'attivazione. Se necessario, fornire la giustificazione nella casella Motivo .
Selezionare Attiva.
Se il ruolo richiede l'approvazione per l'attivazione , viene visualizzata una notifica di Azure nell'angolo superiore destro del browser che informa che la richiesta è in attesa di approvazione.
Visualizza lo stato delle tue richieste
È possibile visualizzare lo stato delle richieste in attesa da attivare. n È importante quando le richieste vengono sottoposte all'approvazione di un'altra persona.
Accedere all'interfaccia di amministrazione di Microsoft Entra.
Passare a ID Governance>Privileged Identity Management>Le mie richiesteGruppi.
Rivedere l'elenco delle richieste.
Annullare una richiesta in sospeso
Accedere all'interfaccia di amministrazione di Microsoft Entra.
Passare a ID Governance>Privileged Identity Management>Le mie richiesteGruppi.
Per la richiesta che si desidera annullare, selezionare Annulla.
Quando si seleziona Annulla, la richiesta viene annullata. Per attivare nuovamente il ruolo, è necessario inviare una nuova richiesta per l'attivazione.