Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете использовать Privileged Identity Management (PIM) в Microsoft Entra ID для того, чтобы получить членство в группе или владение группой по запросу.
Эта статья предназначена для соответствующих участников или владельцев, которые хотят активировать членство в группе или владение в PIM.
Внимание
При активации членства в группе или права собственности Microsoft Entra PIM временно добавляет активное назначение. Microsoft Entra PIM создает активное назначение (добавляет пользователя в качестве участника или владельца группы) в течение секунд. При деактивации (вручную или через истечение срока действия активации) Microsoft Entra PIM также удаляет членство пользователя в группе или владение в течение нескольких секунд.
Приложение может предоставлять доступ пользователям на основе их членства в группе. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь был добавлен в группу или удален из него. Если приложение ранее кэшировало тот факт, что пользователь не является членом группы, то при попытке пользователя снова получить доступ к приложению может не быть предоставлен. Аналогичным образом, если приложение ранее кэшировало тот факт, что пользователь является членом группы, то при отключении членства в группе пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход из системы и повторный вход могут помочь в добавлении или удалении доступа.
PIM для групп и отключения прав собственности
Идентификатор Microsoft Entra не позволяет удалить последнего (активного) владельца группы. Например, рассмотрим группу с активным владельцем A и соответствующим владельцем B. Если пользователь B активирует свою собственность с помощью PIM, а затем пользователь A удаляется из группы или из клиента, деактивация владения пользователем B не будет выполнена.
PIM попытается деактивировать права собственности пользователя B на срок до 30 дней. Если в группу добавляется другой активный владелец C, деактивация будет выполнена успешно. Если деактивация окажется безуспешной в течение 30 дней, PIM перестанет пытаться деактивировать владение пользователем B, и пользователь B продолжит быть активным владельцем.
Активировать роль
Если вам нужно взять на себя членство в группе или владение, вы можете запросить активацию с помощью параметра навигации "Мои роли " в PIM.
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к Управление идентификаторами>Управление привилегированными идентификациями>Мои роли>Группы.
Примечание.
Вы также можете использовать эту короткую ссылку , чтобы открыть страницу "Мои роли " напрямую.
В колонке "Допустимые назначения" просмотрите список групп, для которых у вас есть право на членство или владение.
Выберите «Активировать» для подходящего задания, которое вы хотите активировать.
В зависимости от параметра группы может потребоваться предоставить многофакторную проверку подлинности или другую форму учетных данных.
При необходимости укажите время начала настраиваемой активации. Членство или владение должно быть активировано только после выбранного времени.
В зависимости от параметра группы может потребоваться обоснование активации. При необходимости укажите обоснование в поле "Причина ".
Выберите Активировать.
Если для активации роли требуется утверждение, в правом верхнем углу браузера появится уведомление Azure о том, что запрос ожидает утверждения.
Просмотр состояния запросов
Вы можете просмотреть состояние запросов, ожидающих активации. n Важно, когда ваши запросы проходят утверждение другого человека.
Войдите в центр администрирования Microsoft Entra.
Перейдите к управление идентификаторами>управление привилегированными идентификаторами>Мои запросыГруппы.
Просмотрите список запросов.
Отменить ожидающий запрос
Войдите в центр администрирования Microsoft Entra.
Перейдите к управление идентификаторами>управление привилегированными идентификаторами>Мои запросыГруппы.
Для запроса, который требуется отменить, нажмите кнопку "Отмена".
При нажатии кнопки "Отмена" запрос отменяется. Чтобы снова активировать роль, необходимо отправить новый запрос на активацию.