可以使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM) 来获得组中的即时成员身份或组的即时所有权。
本文适用于想要在 PIM 中激活其组成员身份或所有权的合格成员或所有者。
重要
激活组成员身份或所有权后,Microsoft Entra PIM 会临时添加活动分配。 Microsoft Entra PIM 可在数秒内创建活动分配(将用户添加为组的成员或所有者)。 当停用(手动停用或通过激活时间过期来停用)发生时,Microsoft Entra PIM 也会在几秒钟内移除用户的组成员身份或所有权。
应用程序可以根据用户的组成员身份向用户提供访问权限。 在某些情况下,应用程序访问权限可能不会立即反映已将用户添加到组或从组中移除的事实。 如果应用程序以前缓存了用户并非组成员这一事实 - 则当用户再次尝试访问应用程序时,可能不会提供访问权限。 同样,如果应用程序以前缓存了用户是组成员这一事实 - 则在停用组成员身份时,用户仍可能获得访问权限。 具体情况取决于应用程序的体系结构。 对于某些应用程序,退出登录并重新登录可能有助于添加或移除访问权限。
激活角色
当你需要获得组成员身份或所有权时,可以使用 PIM 中的“我的角色”导航选项请求激活。
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“Privileged Identity Management”>“我的角色”>“群组”。
注意
还可以使用此短链接直接打开“我的角色”页。
使用“合格分配”边栏选项卡,查看你已拥有其合格成员身份或所有权的组列表。
选择你要激活的合格分配所对应的“激活”。
根据组的设置,系统可能会要求你提供多重身份验证或其他形式的凭证。
根据需要指定自定义的激活开始时间。 成员身份或所有权只会在选定的时间之后激活。
根据组的设置,系统可能会要求你提供激活理由。 如果需要,请在“原因”框中提供理由。
选择“激活” 。
如果角色需要审批才能激活,在浏览器右上角会显示 Azure 通知,告知请求正在等待审批。
查看请求的状态
可以查看等待激活的请求的状态。 当你的请求需要经过其他人的审批时,此信息就很重要。
浏览到“标识治理”>“Privileged Identity Management”>“我的请求”>“组”。
查看请求列表。
取消挂起的请求
浏览到“标识治理”>“Privileged Identity Management”>“我的请求”>“组”。
对于要取消的请求,选择“取消”。
选择“取消”会取消该请求。 要再次激活该角色,必须提交新的激活请求。