Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Вы можете использовать Привилегированное управление удостоверениями (PIM) в Microsoft Entra ID, чтобы иметь членство в группе по требованию или владение группой по требованию.
Эта статья предназначена для соответствующих участников или владельцев, которые хотят активировать членство в группе или владение в PIM.
Внимание
При активации членства в группе или права собственности Microsoft Entra PIM временно добавляет активное назначение. Microsoft Entra PIM создает активное назначение (добавляет пользователя в качестве участника или владельца группы) в течение секунд. При деактивации (вручную или по истечении срока активации) Microsoft Entra PIM в течение нескольких секунд удаляет пользователя из членов группы или владельцев.
Приложение может предоставить доступ пользователям на основе их членства в группе. В некоторых ситуациях доступ к приложению может не сразу отразить тот факт, что пользователь был добавлен в группу или удален из него. Если приложение ранее кэшировало тот факт, что пользователь не является членом группы, то при попытке пользователя снова получить доступ к приложению может не быть предоставлен. Аналогичным образом, если приложение ранее кэшировало тот факт, что пользователь является членом группы, то при отключении членства в группе пользователь может получить доступ. Конкретная ситуация зависит от архитектуры приложения. Для некоторых приложений выход из системы и повторный вход могут помочь добавить или удалить доступ.
PIM для групп и отключения прав собственности
Идентификатор Microsoft Entra не позволяет удалить последнего (активного) владельца группы. Например, рассмотрим группу с активным владельцем A и соответствующим владельцем B. Если пользователь B активирует свою собственность с помощью PIM, а затем пользователь A удаляется из группы или из клиента, деактивация владения пользователем B не будет выполнена.
PIM попытается деактивировать права собственности пользователя B на срок до 30 дней. Если в группу добавляется другой активный владелец C, деактивация будет выполнена успешно. Если деактивация окажется безуспешной в течение 30 дней, PIM перестанет пытаться деактивировать владение пользователем B, и пользователь B продолжит быть активным владельцем.
Активировать роль
Если вам нужно взять на себя членство в группе или владение, вы можете запросить активацию с помощью параметра навигации "Мои роли " в PIM.
Войдите в центр администрирования Microsoft Entra.
Перейдите к Управление идентификаторами>Управление привилегированными идентификациями>Мои роли>Группы.
Примечание.
Вы также можете использовать эту короткую ссылку , чтобы открыть страницу "Мои роли " напрямую.
В колонке "Допустимые назначения" просмотрите список групп, для которых у вас есть право на членство или владение.
Выберите «Активировать» для подходящего задания, которое вы хотите активировать.
В зависимости от параметра группы может потребоваться предоставить многофакторную проверку подлинности или другую форму учетных данных.
При необходимости укажите время начала настраиваемой активации. Членство или владение активируется только после выбранного времени.
В зависимости от параметра группы может потребоваться обоснование активации. При необходимости укажите обоснование в поле "Причина ".
Выберите Активировать.
Если для активации роли требуется утверждение, в правом верхнем углу браузера появится уведомление Azure о том, что запрос ожидает утверждения.
Просмотр состояния запросов
Вы можете просмотреть состояние запросов, ожидающих активации. Важно, чтобы ваши запросы были утверждены другим человеком.
Войдите в центр администрирования Microsoft Entra.
Перейдите к Управлению идентификацией>Управлению привилегированными идентификациями>Моим запросам>Группам.
Просмотрите список запросов.
Отменить ожидающий запрос
Войдите в центр администрирования Microsoft Entra.
Перейдите к Управлению идентификацией>Управлению привилегированными идентификациями>Моим запросам>Группам.
Для запроса, который требуется отменить, нажмите кнопку "Отмена".
При нажатии кнопки "Отмена" запрос отменяется. Чтобы снова активировать роль, необходимо отправить новый запрос на активацию.