Создание проверки доступа PIM для групп в идентификаторе Microsoft Entra ID (предварительная версия)
В этой статье описывается создание одного или нескольких проверок доступа для PIM для групп, которые будут включать активных участников группы и соответствующих участников. Проверки можно выполнять как для активных участников группы, так и для активных участников группы, которые активны во время создания проверки, и соответствующие члены группы.
Необходимые компоненты
- лицензия Управление идентификацией Microsoft Entra.
- Только пользователи в роли глобального администратора, администратора управления удостоверениями или администратора привилегированных ролей могут создавать проверки на PIM для групп. Дополнительные сведения см. в разделе "Использование групп Microsoft Entra" для управления назначениями ролей.
Дополнительные сведения см. в статье Лицензионные требования.
Создание проверки доступа к PIM для групп
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Область
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Перейдите к журналу проверки>доступа к системам управления удостоверениями.>
Щелкните Создать проверку доступа, чтобы создать проверку доступа.
В поле "Выбор того, что нужно просмотреть", выберите Teams + Группы.
Выберите Teams + Группы , а затем выберите "Команды + группы " в разделе "Область проверки". Список групп, которые нужно выбрать на экране.
Примечание.
При выборе PIM для групп пользователи, просматриваемые для группы, будут включать всех соответствующих пользователей и активных пользователей в этой группе.
Теперь можно выбрать область для проверки. Можно выполнить следующие действия:
- Только гостевые пользователи: этот параметр ограничивает проверку доступа только гостевым пользователям Microsoft Entra B2B в вашем каталоге.
- Все. Выбор этого параметра ограничивает проверку доступа всеми объектами пользователей, связанными с ресурсом.
Если вы проводите проверку членства в группе, вы можете создать проверки доступа только для неактивных пользователей в группе. В разделе Область пользователей установите флажок Только неактивные пользователи (на уровне арендатора). Если флажок установлен, область проверки сосредоточена только на неактивных пользователей, пользователей, которые не вошли в систему в интерактивном или неинтерактивном режиме для клиента. Затем укажите неактивные дни с многодневным неактивным до 730 дней (два года). Пользователи в группе неактивны в течение указанного числа дней являются единственными пользователями в проверке.
Примечание.
Недавно созданные пользователи не затрагиваются при настройке времени бездействия. Проверка доступа проверяет, был ли пользователь создан в настроенном временном интервале и игнорирует пользователей, которые не существовали по крайней мере в течение этого периода времени. Например, если задать время бездействия равным 90 дней, а гостевой пользователь был создан или приглашен менее 90 дней назад, на гостевого пользователя не будет распространяться проверка доступа. Это гарантирует, что пользователь сможет выполнить вход по крайней мере один раз перед удалением.
- Выберите Далее: проверка.
После достижения этого шага можно выполнить инструкции, описанные в разделе "Далее: проверки " в статье "Создание проверки доступа групп или приложений ", чтобы завершить проверку доступа.
Примечание.
Для проверки доступа PIM для групп (предварительная версия) при выборе владельца группы в качестве рецензента обязательно назначить по крайней мере один резервный рецензент. Проверка будет назначать только активных владельцев в качестве рецензентов. Допустимые владельцы не включены. Если при начале проверки нет активных владельцев, резервные рецензенты будут назначены проверке.