Gobernanza de la pertenencia y la propiedad de grupos mediante PIM para grupos
Con Privileged Identity Management para grupos (PIM para grupos), puede controlar cómo se asigna a las entidades de seguridad la pertenencia o la propiedad de los grupos. La seguridad y los grupos de Microsoft 365 son recursos críticos que puede usar para proporcionar acceso a recursos en la nube de Microsoft, como roles de Microsoft Entra, roles de Azure, Azure SQL, azure Key Vault, Intune y aplicaciones de terceros. PIM para grupos proporciona más control sobre cómo y cuándo las entidades de seguridad son miembros o propietarios de grupos y, por lo tanto, tienen privilegios concedidos a través de su pertenencia a grupos o su propiedad.
Pim para las API de grupos de Microsoft Graph proporciona más gobernanza sobre la seguridad y los grupos de Microsoft 365, como las siguientes funcionalidades:
- Proporcionar a las entidades de seguridad pertenencia just-in-time o propiedad de grupos
- Asignación de pertenencia temporal de entidades de seguridad o propiedad de grupos
En este artículo se presentan las funcionalidades de gobernanza de las API para PIM para grupos en Microsoft Graph.
PIM para las API de grupos para administrar las asignaciones activas de propietarios y miembros del grupo
Pim para las API de grupos de Microsoft Graph le permite asignar entidades de seguridad permanentes o temporales y con límite de tiempo o propiedad a grupos.
En la tabla siguiente se enumeran los escenarios para usar PIM para las API de grupos con el fin de administrar las asignaciones activas de las entidades de seguridad y las API correspondientes a las que llamar.
| Scenarios | API |
|---|---|
| Un administrador: Una entidad de seguridad: |
Creación de assignmentScheduleRequest |
| Un administrador enumera todas las solicitudes de pertenencia activa y asignaciones de propiedad para un grupo. | Enumeración de assignmentScheduleRequests |
| Un administrador enumera todas las asignaciones activas y las solicitudes para las asignaciones que se crearán en el futuro, para la pertenencia y la propiedad de un grupo. | Asignación de listaProgramas |
| Un administrador enumera todas las asignaciones de pertenencia y propiedad activas para un grupo. | Asignación de listaScheduleInstances |
| Un administrador consulta un miembro y una asignación de propiedad para un grupo y sus detalles | Obtener privilegedAccessGroupAssignmentScheduleRequest |
| Una entidad de seguridad consulta sus solicitudes de pertenencia o asignación de propiedad y los detalles Un aprobador consulta las solicitudes de pertenencia o propiedad a la espera de su aprobación y los detalles de estas solicitudes. |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
| Una entidad de seguridad cancela una solicitud de asignación de pertenencia o propiedad que creó | privilegedAccessGroupAssignmentScheduleRequest: cancel |
| Un aprobador obtiene detalles para la solicitud de aprobación, incluida la información sobre los pasos de aprobación. | Obtener aprobación |
| Un aprobador aprueba o deniega la solicitud de aprobación al aprobar o denegar el paso de aprobación. | Actualizar approvalStep |
PIM para las API de grupos para administrar las asignaciones aptas de propietarios y miembros del grupo
Es posible que las entidades de seguridad no requieran la pertenencia permanente o la propiedad de los grupos porque es posible que no requieran los privilegios concedidos a través de la pertenencia o la propiedad todo el tiempo. En este caso, PIM para grupos permite que las entidades de seguridad sean aptas para la pertenencia o propiedad de los grupos.
Cuando una entidad de seguridad tiene una asignación apta, activa su asignación cuando necesita los privilegios concedidos a través de los grupos para realizar tareas con privilegios. Una asignación apta puede ser permanente o temporal. La activación siempre tiene un límite de tiempo de hasta un máximo de ocho horas.
En la tabla siguiente se enumeran los escenarios para usar PIM para las API de grupos con el fin de administrar las asignaciones aptas para las entidades de seguridad y las API correspondientes a las que llamar.
| Scenarios | API |
|---|---|
| Un administrador: |
Creación de eligibilityScheduleRequest |
| Un administrador consulta todas las solicitudes de pertenencia o propiedad aptas y sus detalles | Enumeración de elegibilidadScheduleRequests |
| Un administrador consulta una solicitud de pertenencia o propiedad apta y sus detalles | Obtener eligibilityScheduleRequest |
| Un administrador cancela una solicitud de pertenencia o propiedad válida que creó | privilegedAccessGroupEligibilityScheduleRequest:cancel |
| Una entidad de seguridad consulta sus pertenencias o propiedad aptas para solicitar sus detalles | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Configuración de directivas en PIM para grupos
PIM para grupos define la configuración o las reglas que rigen cómo se puede asignar a las entidades de seguridad la pertenencia o la propiedad de los grupos de seguridad y Microsoft 365. Estas reglas incluyen si se requiere autenticación multifactor (MFA), justificación o aprobación para activar una pertenencia o propiedad apta para un grupo, o si puede crear asignaciones permanentes o elegibilidad para las entidades de seguridad para los grupos. Las reglas se definen en las directivas y se puede aplicar una directiva a un grupo.
En Microsoft Graph, estas reglas se administran a través de los tipos de recursos unifiedRoleManagementPolicy y unifiedRoleManagementPolicyAssignment y sus métodos relacionados.
Por ejemplo, suponga que, de forma predeterminada, PIM para grupos no permite asignaciones de pertenencia y propiedad activas permanentes y define un máximo de seis meses para las asignaciones activas. Al intentar crear un objeto privilegedAccessGroupAssignmentScheduleRequest sin fecha de expiración, se devuelve un 400 Bad Request código de respuesta para infringir la regla de expiración.
PIM para grupos le permite configurar varias reglas, entre las que se incluyen:
- Si a las entidades de seguridad se les pueden asignar asignaciones aptas permanentes
- Duración máxima permitida para una activación de pertenencia a grupos o propiedad y si se requiere justificación o aprobación para activar la pertenencia o propiedad aptas
- Los usuarios a los que se les permite aprobar solicitudes de activación para una pertenencia o propiedad de grupo
- Si MFA es necesario para activar y aplicar una pertenencia a grupos o una asignación de propiedad
- Las entidades de seguridad a las que se notifica la pertenencia a grupos o las activaciones de propiedad
En la tabla siguiente se enumeran los escenarios para usar PIM para que los grupos administren reglas y las API a las que llamar.
| Escenarios | API |
|---|---|
| Recuperación de PIM para directivas de grupos y reglas o configuraciones asociadas | Enumerar unifiedRoleManagementPolicies |
| Recuperación de una directiva de PIM para grupos y sus reglas o configuraciones asociadas | Obtener unifiedRoleManagementPolicy |
| Actualización de una directiva de PIM para grupos en sus reglas o configuraciones asociadas | Actualizar unifiedRoleManagementPolicy |
| Recuperar las reglas definidas para una directiva pim para grupos | Enumerar reglas |
| Recuperación de una regla definida para una directiva pim para grupos | Obtener unifiedRoleManagementPolicyRule |
| Actualización de una regla definida para una directiva pim para grupos | Actualizar unifiedRoleManagementPolicyRule |
| Obtenga los detalles de todos los PIM para las asignaciones de directivas de grupos, incluidas las directivas y reglas asociadas a la pertenencia y propiedad de grupos. | Enumeración de unifiedRoleManagementPolicyAssignments |
| Obtenga los detalles de una PIM para la asignación de directivas de grupos, incluida la directiva y las reglas asociadas a la pertenencia o propiedad de grupos. | Obtener unifiedRoleManagementPolicyAssignment |
Para obtener más información sobre el uso de Microsoft Graph para configurar reglas, consulte Información general sobre las reglas en las API de PIM en Microsoft Graph. Para obtener ejemplos de actualización de reglas, consulte Uso de LAS API de PIM en Microsoft Graph para actualizar reglas.
Incorporación de grupos a PIM para grupos
No se puede incorporar un grupo a PIM para grupos explícitamente. Cuando realiza una solicitud para agregar una asignación a un grupo mediante Create assignmentScheduleRequest o Create eligibilityScheduleRequest, o actualiza la directiva pim (configuración de roles) para un grupo mediante Update unifiedRoleManagementPolicy o Update unifiedRoleManagementPolicyRule, el grupo se incorpora automáticamente a PIM si no se ha incorporado antes.
Puede llamar a List assignmentScheduleRequests, List assignmentSchedules, List assignmentScheduleInstances, List eligibilityScheduleRequests, List eligibilitySchedules y List eligibilityScheduleInstances API para ambos grupos que están incorporados a PIM y grupos que aún no están incorporados a PIM, pero se recomienda hacerlo solo para los grupos que se incorporan a PIM para reducir las posibilidades de que se limiten.
Una vez que PIM incorpora un grupo, cambian los identificadores de las directivas de PIM y las asignaciones de directivas del grupo específico. Llame a la API Get unifiedRoleManagementPolicy o Get unifiedRoleManagementPolicyAssignment para obtener los identificadores actualizados.
Después de que PIM incorpore un grupo, no puede quitarlo, pero puede quitar todas las asignaciones aptas y con límite de tiempo según sea necesario.
PIM para grupos y el objeto de grupo
La pertenencia y la propiedad de cualquier seguridad y grupo de Microsoft 365 (excepto grupos dinámicos y grupos sincronizados desde el entorno local) se pueden regular mediante PIM para grupos. El grupo no tiene que ser asignable a roles para habilitarse en PIM para grupos.
Al asignar una pertenencia o propiedad temporal o permanente activa de entidad de seguridad de un grupo, o cuando realizan una activación Just-In-Time:
- Los detalles de la entidad de seguridad se devuelven al consultar las relaciones de miembros y propietarios a través de las API Enumerar miembros del grupo o Enumerar propietarios de grupos .
- Puede quitar la entidad de seguridad del grupo mediante las API Quitar propietario del grupo o Quitar miembro del grupo .
- Si se realiza un seguimiento de los cambios en el grupo mediante las funciones Obtener delta y Obtener delta para objetos de directorio , contiene
@odata.nextLinkel nuevo miembro o propietario. - Los cambios realizados en los miembros y propietarios del grupo a través de PIM para grupos se registran Microsoft Entra registros de auditoría y se pueden leer a través de la API de auditorías de directorios de lista.
Cuando a una entidad de seguridad se le asigna la pertenencia permanente o temporal apta o la propiedad de un grupo, las relaciones de miembros y propietarios del grupo no se actualizan.
Cuando expire la pertenencia activa temporal de una entidad de seguridad o la propiedad de un grupo:
- Los detalles de la entidad de seguridad se quitan automáticamente de las relaciones de miembros y propietarios .
- Si se realiza un seguimiento de los cambios en el grupo mediante las funciones Obtener delta y Obtener delta para objetos de directorio ,
@odata.nextLinkindica el propietario o miembro del grupo eliminado.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.
Permisos y privilegios
Los siguientes permisos de Microsoft Graph son necesarios para llamar a PIM para las API de grupos.
| Puntos de conexión | Operaciones admitidas | Permissions |
|---|---|---|
| assignmentSchedule assignmentScheduleInstance |
LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| assignmentScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| eligibilitySchedule eligibilityScheduleInstance |
LIST, GET | PrivilegedEligibilitySchedule.Read.AzureADGroup PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
| eligibilityScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
| aprobación | GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| approvalStep | LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| approvalStep | UPDATE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| roleManagementPolicy roleManagementPolicyAssignment |
LIST, GET | RoleManagementPolicy.Read.AzureADGroup RoleManagementPolicy.ReadWrite.AzureADGroup |
| roleManagementPolicy | UPDATE | RoleManagementPolicy.ReadWrite.AzureADGroup |
Además, para escenarios delegados, la entidad de seguridad que realiza la llamada necesita uno de los siguientes roles (no aplicable a los puntos de conexión approval y approvalStep).
| Group | Role | Operaciones admitidas |
|---|---|---|
| Asignable a roles | Administrador de roles con privilegios Propietario del grupo* Miembro del grupo* |
CREATE, UPDATE, DELELE |
| Asignable a roles | Lector global Administrador de roles con privilegios Propietario del grupo* Miembro del grupo* |
LIST, GET |
| No asignable a roles | Escritor de directorios Administrador de grupos Administrador de gobernanza de identidades Administrador de usuarios Propietario del grupo* Miembro del grupo* |
CREATE, UPDATE, DELELE |
| No asignable a roles | Lector global Escritor de directorios Administrador de grupos Administrador de gobernanza de identidades Administrador de usuarios Propietario del grupo* Miembro del grupo* |
LIST, GET |
* Los permisos para los miembros del grupo y los propietarios del grupo se limitan a las operaciones de lectura o escritura que necesitan realizar. Por ejemplo, un miembro del grupo puede cancelar su assignmentScheduleRequest , pero no la solicitud de ninguna otra entidad de seguridad.
Solo el aprobador de la solicitud puede llamar a los /approval puntos de conexión y /approvalStep . No es necesario que se les asigne ningún rol de Microsoft Entra.
Contenido relacionado
- Microsoft Entra operaciones de seguridad para Privileged Identity Management en el centro de arquitectura de Microsoft Entra
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de