可以使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM) 来获得组中的即时成员身份或组的即时所有权。
本文适用于想要在 PIM 中激活其组成员身份或所有权的合格成员或所有者。
重要
激活组成员身份或所有权后,Microsoft Entra PIM 会临时添加活动分配。 Microsoft Entra PIM 可在数秒内创建活动分配(将用户添加为组的成员或所有者)。 当停用(手动停用或通过激活时间过期来停用)发生时,Microsoft Entra PIM 也会在几秒钟内移除用户的组成员身份或所有权。
应用程序可以根据用户的组成员身份向用户提供访问权限。 在某些情况下,应用程序访问权限可能不会立即反映已将用户添加到组或从组中移除的事实。 如果应用程序以前缓存了用户不是组成员的事实 - 当用户再次尝试访问应用程序时,可能无法提供访问权限。 同样,如果应用程序以前缓存了用户是组成员这一事实,则在停用组成员身份时,用户仍可能获得访问权限。 具体情况取决于应用程序的体系结构。 对于某些应用程序,退出登录并重新登录可能有助于添加或移除访问权限。
适用于组的 PIM 和所有权停用
Microsoft Entra ID 不允许删除该组的最后一位(活跃)所有者。 例如,请考虑具有活动所有者 A 和符合条件的所有者 B 的组。如果用户 B 使用 PIM 激活其所有权,然后以后的用户 A 将从组或租户中删除,则用户 B 的所有权停用不会成功。
PIM 将尝试停用用户 B 的所有权长达 30 天。 如果将另一个活跃的所有者 C 添加到组中,停用将会成功。 如果在 30 天后停用失败,PIM 将停止尝试停用用户 B 的所有权,并且用户 B 将继续为活动所有者。
激活角色
当你需要获得组成员身份或所有权时,可以使用 PIM 中的“我的角色”导航选项请求激活。
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>我的角色>组。
注意
还可以使用此 简短链接 直接打开 “我的角色 ”页。
使用“合格分配”边栏选项卡,查看你已拥有其合格成员身份或所有权的组列表。
选择你要激活的合格分配所对应的“激活”。
根据组的设置,可能会要求你提供多重身份验证或其他形式的凭据。
根据需要指定自定义的激活开始时间。 成员身份或所有权只会在选定的时间之后激活。
根据组的设置,系统可能会要求你提供激活理由。 如果需要,请在 “原因 ”框中提供理由。
选择“激活” 。
如果 角色需要批准 才能激活,浏览器右上角会显示一条 Azure 通知,告知请求正在等待审批。
查看请求的状态
可以查看等待激活的请求的状态。 n 当请求接受他人批准时,这一点很重要。
登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>我的请求组。
查看请求列表。
取消挂起的请求
登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>我的请求组。
对于要取消的请求,选择“取消”。
选择 “取消”时,请求将被取消。 要再次激活该角色,必须提交新的激活请求。