Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В качестве диспетчера пакетов доступа можно назначить роль, которую вы хотите предоставить пользователю для группы в пакете доступа. Управляя группами с помощью привилегированного управления удостоверениями (PIM), вы можете повысить безопасность, обеспечив доступ к группе в режиме just-in-time. В этой статье описывается, как включить PIM для группы, добавить группу в пакет доступа и проверить наличие подходящих назначений.
Предпосылки
Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования Microsoft Entra ID.
Создание группы
В этом разделе шаг за шагом объясняется, как создать группу, которую вы можете настроить для управления PIM. Если вы уже создали группу, управляемую PIM, перейдите к разделу "Включить управление группой с помощью PIM".
Чтобы создать группу, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra как минимум с ролью Администратор пользователей.
Перейдите к Entra ID>Группы>Все группы.
Выберите Создать группу.
Присвойте группе имя и описание, а затем выполните другие необходимые параметры:
- Тип группы: Безопасность
-
Тип членства: Выберите "Назначено".
Нажмите кнопку "Создать".
Включение управления группой с помощью PIM
Чтобы включить управление PIM для группы, выполните следующие действия.
Войдите в административный центр Microsoft Entra в роли как минимум администратора привилегированных ролей.
Перейдите к управлению идентификаторами>управлению привилегированными удостоверениями>группам.
Выберите "Обнаружение групп " и выберите группу, которую вы хотите перенести под управление с помощью PIM.
Выберите " Управление группами " и "ОК".
Выберите группы , чтобы вернуться к списку групп, включенных в PIM для групп, и обратите внимание, что добавленная группа теперь находится в списке.
Это важно
После управления группой ее невозможно извлечь из управления. Благодаря этому другой администратор не сможет удалить заданные вами параметры PIM. Если группа удаляется из идентификатора Microsoft Entra, может потребоваться до 24 часов, чтобы группа была удалена из параметра PIM для групп .
Добавление ресурса в пакет доступа
После управления ресурсом PIM можно добавить соответствующие роли в качестве назначения ролей в пакете доступа. Чтобы проверить это, сделайте следующее:
Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.
Подсказка
Другие наименее привилегированные роли, которые могут выполнить эту задачу, включают владельца каталога и диспетчер пакетов Access.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
На странице Пакеты доступа откройте пакет, к которому вы хотите добавить роли ресурсов.
В меню слева выберите роли ресурсов.
Выберите Добавить роли ресурсов, чтобы открыть страницу добавления ролей ресурсов для пакета доступа.
На странице ролей ресурсов выберите группы и команды.
Выберите группу, которую вы хотите добавить, и в разделе ролей убедитесь, что можно назначить как активные, так и соответствующие роли. После выбора роли нажмите кнопку "Далее".
Завершив заполнение необходимых сведений о запросах , перейдите в жизненный цикл.
Убедитесь, что срок действия пакета доступа не превышает срок действия допустимых назначений после настройки в управляемой группе PIM.
Замечание
Если срок действия пакета доступа превышает параметр политики "Срок действия подходящих назначений после" в управляемой группе PIM, это может привести к несоответствию между Управлением правами и Привилегированным управлением удостоверениями, ведя к потере доступа идентификаторами в то время как EM показывает, что они по-прежнему назначены. Для получения дополнительной информации см. статью о группах, управляемых системой Привилегированного Управления Удостоверениями, и справочник по пакетам доступа.