Privileged Identity Management-APIs

Privileged Identity Management (PIM) ist Teil von Microsoft Entra und umfasst drei Anbieter:

• PIM für Microsoft Entra Rollen
• PIM für Azure-Ressourcen
• PIM für Gruppen

Sie können Zuweisungen in PIM für Microsoft Entra-Rollen und PIM für Gruppen mithilfe der Microsoft Graph-API verwalten. Sie können Zuweisungen in PIM für Azure-Ressourcen mithilfe der Azure Resource Manager-API (ARM) verwalten. Dieser Artikel beschreibt wichtige Konzepte für die Verwendung der APIs für Privileged Identity Management.

Weitere Informationen zu APIs, mit denen Zuweisungen verwaltet werden können, finden Sie in der Dokumentation:

• PIM für Microsoft Entra Rollen
• Referenz zu PIM für Azure-Ressourcen Rollen-API
• Steuern der Mitgliedschaft und des Besitzes von Gruppen mithilfe von PIM für Gruppen
• API-Referenz zu PIM-Warnungen für Microsoft Entra Rollen
• Verwenden von Azure PIM zum Verwalten von Warnungen mit der REST-API

PIM-API-Verlauf

Im Laufe der Jahre gab es diverse Iterationen der PIM-API. Sie werden einige Überlappungen in der Funktionalität feststellen, aber sie stellen keinen linearen Fortschritt der Versionen dar.

Iteration 1: Veraltet

Unter dem Endpunkt „/beta/privilegedRoles“ hatte Microsoft eine klassische Version der PIM-API, die nur Microsoft Entra-Rollen unterstützte und nicht mehr unterstützt wird. Der Zugriff auf diese API wurde im Juni 2021 eingestellt.

Iteration 2: Unterstützung von Microsoft Entra-Rollen und Azure-Ressourcenrollen

Unter dem Endpunkt /beta/privilegedAccess hat Microsoft sowohl /aadRoles als auch /azureResources unterstützt. Dieser Endpunkt ist weiterhin in Ihrem Mandanten verfügbar, Microsoft empfiehlt jedoch, keine neue Entwicklung mit dieser API zu starten. Diese Beta-API wird nie als allgemein verfügbar veröffentlicht und letztendlich veraltet werden.

Iteration 3 (aktuell): PIM für Microsoft Entra-Rollen, Gruppen in der Microsoft Graph-API und für Azure-Ressourcen in der ARM-API

Dies ist die finale Iteration der PIM-API. Sie hat folgenden Inhalt:

• PIM für Microsoft Entra-Rollen in der Microsoft Graph-API: allgemein verfügbar
• PIM für Azure-Ressourcen in der ARM-API: allgemein verfügbar
• PIM für Gruppen in der Microsoft Graph-API: Vorschau
• PIM-Benachrichtigungen für Microsoft Entra-Rollen in der Microsoft Graph-API: Vorschau
• PIM-Benachrichtigungen für Azure-Ressourcen in der ARM-API: Vorschau

PIM für Microsoft Entra-Rollen in der Microsoft Graph-API und PIM für Azure-Ressourcen in der ARM-API bieten einige Vorteile:

• Ausrichtung der PIM-API für die reguläre Rollenzuweisungs-API sowohl für Microsoft Entra-Rollen als auch für Azure-Ressourcenrollen.
• Reduzieren der Notwendigkeit des Aufrufens einer zusätzlichen PIM-API für das Onboarding einer Ressource, zum Abrufen einer Ressource oder zum Abrufen einer Rollendefinition.
• Unterstützung ausschließlicher App-Berechtigungen.
• Neue Features wie Genehmigungs- und E-Mail-Benachrichtigungskonfiguration.

Übersicht über die dritte Iteration der PIM-API

PIM-APIs für alle Anbieter (sowohl Microsoft Graph-APIs als auch ARM-APIs) basieren auf den gleichen Prinzipien.

Zuweisungsverwaltung

Verwenden Sie die Ressourcen *AssignmentScheduleRequest und *EligibilityScheduleRequest, um eine Zuweisung zu erstellen (aktiv oder berechtigt), zu verlängern, zu erweitern oder zu aktualisieren (aktiv oder berechtigt) oder eine berechtigte Zuweisung zu aktivieren oder zu deaktivieren:

• Für Microsoft Entra-Rollen: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest
• Für Azure AD-Ressourcen: Role Assignment Schedule Request, Role Eligibility Schedule Request
• Für Gruppen: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest

Die Erstellung von Objekten vom Typ *AssignmentScheduleRequest oder *EligibilityScheduleRequest kann zur Erstellung schreibgeschützter Objekte vom Typ *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance und *EligibilityScheduleInstance führen.

• Objekte vom Typ *AssignmentSchedule and *EligibilitySchedule zeigen aktuelle Zuweisungen und Anforderungen für Zuweisungen an, die in der Zukunft erstellt werden sollen.
• Objekte vom Typ *AssignmentScheduleInstance und *EligibilityScheduleInstance zeigen nur aktuelle Zuweisungen an.

Wenn eine berechtigte Zuweisung aktiviert wird (also Create*AssignmentScheduleRequest aufgerufen wurde), ist *EligibilityScheduleInstance weiterhin vorhanden, und für die aktivierte Dauer werden ein neues Objekt vom Typ *AssignmentSchedule sowie ein Objekt vom Typ *AssignmentScheduleInstance erstellt.

Weitere Informationen zu Zuweisungs- und Aktivierungs-APIs finden Sie unter PIM-API zum Verwalten von Rollenzuweisungen und -berechtigungen.

PIM-Richtlinien (Rolleneinstellungen)

Verwenden Sie zum Verwalten der PIM-Richtlinien die Entitäten *roleManagementPolicy und *roleManagementPolicyAssignment:

• Für PIM für Microsoft Entra-Rollen und PIM für Gruppen: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
• Für PIM für Azure-Ressourcen: Role Management Policies, Role Management Policy Assignments

Die Ressource *roleManagementPolicy enthält Regeln, die eine PIM-Richtlinie darstellen: Genehmigungsanforderungen, maximale Aktivierungsdauer, Benachrichtigungseinstellungen usw.

Das Objekt *roleManagementPolicyAssignment fügt die Richtlinie an eine bestimmte Rolle an.

Weitere Informationen zu den APIs für Richtlinieneinstellungen finden Sie unter Rolleneinstellungen und PIM.

Berechtigungen

PIM für Microsoft Entra Rollen

Informationen zu Graph-API-Berechtigungen, die für PIM für Microsoft Entra-Rollen erforderlich sind, finden Sie unter Berechtigungen für die Rollenverwaltung.

PIM für Azure-Ressourcen

Die PIM-API für Azure-Ressourcenrollen wird auf Grundlage des Azure Resource Manager-Frameworks entwickelt. Sie müssen der Azure-Ressourcenverwaltung zustimmen, benötigen aber keine Microsoft Graph-API-Berechtigung. Außerdem müssen Sie sicherstellen, dass der Benutzer oder der Dienstprinzipal, der die API aufruft, mindestens über die Rolle „Besitzer“ oder „Benutzerzugriffsadministrator“ für die Ressource verfügt, die Sie verwalten möchten.

PIM für Gruppen

Informationen zu Graph-API-Berechtigungen, die für PIM für Gruppen erforderlich sind, finden Sie im Artikel „Steuern der Mitgliedschaft und des Besitzes von Gruppen mithilfe von PIM für Gruppen“ unter Berechtigungen und Berechtigungen.

Beziehung zwischen PIM-Entitäten und Rollenzuweisungsentitäten

Die einzige Verknüpfung zwischen der PIM-Entität und der Rollenzuweisungsentität für die persistente (aktive) Zuweisung für Microsoft Entra- oder Azure-Rollen ist *AssignmentScheduleInstance. Es gibt eine 1:1-Zuordnung zwischen den beiden Entitäten. Diese Zuordnung bedeutet, dass sowohl „roleAssignment“ als auch *AssignmentScheduleInstance Folgendes beinhaltet:

• Persistente (aktive) Zuweisungen außerhalb von PIM
• Persistente (aktive) Zuweisungen mit einem Zeitplan innerhalb von PIM
• Aktivierte berechtigte Zuweisungen

PIM-spezifische Eigenschaften (z. B. Endzeit) sind nur über das Objekt *AssignmentScheduleInstance verfügbar.

Nächste Schritte

• Microsoft Entra Privileged Identity Management (PIM) Referenz