规划和配置特权访问组

在 Privileged Identity Management （PIM）中，现在可以分配特权访问组的成员资格或所有权。 可以将Microsoft Entra ID 内置角色分配给云组，并使用 PIM 管理组成员和所有者资格和激活。 使用特权访问组预览功能，可以通过一次及时请求为特定工作负载的管理员提供快速访问多个角色的权限。

示例： 第 0 层 Office 管理员 可能需要对 Exchange 管理员、 Office 应用管理员、 Teams 管理员和 搜索管理员 角色进行实时访问，以便每天彻底调查事件。

可以创建一个名为“第 0 层 Office 管理员”的角色分配组，并使它有资格分配给前面提到的四个角色（或任何Microsoft Entra 内置角色）。 然后在组的“活动”部分为“特权访问”启用它。 启用特权访问后，可以将管理员和所有者分配到组。 当管理员将群组的权限提升到角色级别时，您的员工将拥有所有四个 Microsoft Entra 角色的权限。

为每个可分配角色组制定不同的策略

某些组织使用Microsoft Entra 企业到企业（B2B）协作等工具邀请合作伙伴作为来宾加入其Microsoft Entra 组织。 可以使用创建两个不同的特权访问组及其自己的策略，而不是为针对某个特权角色的所有分配使用单一的实时策略。 可以对受信任员工实施不太严格的要求，并在合作伙伴请求激活到其分配的角色对他们实施更严格的要求。