Compartir a través de


Administración de asignaciones de roles Microsoft Entra mediante las API de PIM

Privileged Identity Management (PIM) es una característica de Gobierno de Microsoft Entra ID que le permite administrar, controlar y supervisar el acceso a recursos importantes de su organización. Un método a través del cual se concede acceso a entidades de seguridad como usuarios, grupos y entidades de servicio (aplicaciones) a recursos importantes es mediante la asignación de roles de Microsoft Entra.

Pim for Microsoft Entra roles API permite controlar el acceso con privilegios y limitar el acceso excesivo a los roles de Microsoft Entra. En este artículo se presentan las funcionalidades de gobernanza de PIM para las API de roles de Microsoft Entra en Microsoft Graph.

Nota:

Para administrar roles de recursos de Azure, use las API de Azure Resource Manager para PIM.

Las API de PIM para administrar alertas de seguridad para roles de Microsoft Entra solo están disponibles en el punto de /beta conexión. Para obtener más información, consulte Alertas de seguridad para roles de Microsoft Entra.

Métodos de asignación de roles

PIM para roles de Microsoft Entra proporciona dos métodos para asignar roles a entidades de seguridad:

  • Asignaciones de roles activas: una entidad de seguridad puede tener una asignación de roles permanente o temporal permanentemente activa.
  • Asignaciones de roles aptas: una entidad de seguridad puede ser eligibile para un rol de forma permanente o temporal. Con las assigments aptas, la entidad de seguridad activa su rol (creando así una asignación de roles activa temporalmente) cuando necesita realizar tareas con privilegios. La activación siempre tiene límite de tiempo durante un máximo de 8 horas, pero la duración máxima se puede reducir en la configuración del rol. La activación también se puede renovar o ampliar.

API de PIM para administrar asignaciones de roles activas

PIM permite administrar las asignaciones de roles activas mediante la creación de asignaciones permanentes o asignaciones temporales. Use el tipo de recurso unifiedRoleAssignmentScheduleRequest y sus métodos relacionados para administrar las asignaciones de roles.

Nota:

Se recomienda usar PIM para administrar las asignaciones de roles activas mediante los tipos de recursos unifiedRoleAssignment o directoryRole para administrarlas directamente.

En la tabla siguiente se enumeran los escenarios para usar PIM para administrar las asignaciones de roles y las API a las que llamar.

Escenarios API
Un administrador crea y asigna a una entidad de seguridad una asignación de roles permanente
Un administrador asigna a una entidad de seguridad un rol temporal
Crear roleAssignmentScheduleRequests
Un administrador renueva, actualiza, amplía o quita asignaciones de roles. Crear roleAssignmentScheduleRequests
Un administrador consulta todas las asignaciones de roles y sus detalles Enumerar roleAssignmentScheduleRequests
Un administrador consulta una asignación de roles y sus detalles Obtener unifiedRoleAssignmentScheduleRequest
Una entidad de seguridad consulta sus asignaciones de roles y los detalles unifiedRoleAssignmentScheduleRequest: filterByCurrentUser
Una entidad de seguridad realiza la activación just-in-time y con límite de tiempo de su asignación de roles apta Crear roleAssignmentScheduleRequests
Una entidad de seguridad cancela una solicitud de asignación de roles que creó unifiedRoleAssignmentScheduleRequest: cancel
Una entidad de seguridad que ha activado su asignación de roles apta la desactiva cuando ya no necesita acceso. Crear roleAssignmentScheduleRequests
Una entidad de seguridad desactiva, amplía o renueva su propia asignación de roles. Crear roleAssignmentScheduleRequests

API de PIM para administrar las elegibilidades de roles

Es posible que las entidades de seguridad no requieran asignaciones de roles permanentes porque no requieren los privilegios concedidos a través del rol con privilegios todo el tiempo. En este caso, PIM también permite crear elegibilidades de roles y asignarlas a las entidades de seguridad. Con las elegibilidades de roles, la entidad de seguridad activa el rol cuando necesita realizar tareas con privilegios. La activación siempre tiene límite de tiempo durante un máximo de 8 horas. La entidad de seguridad también puede ser permanente o temporalmente apta para el rol.

Use el tipo de recurso unifiedRoleEligibilityScheduleRequest y sus métodos relacionados para administrar las elegibilidades de roles.

En la tabla siguiente se enumeran los escenarios para usar PIM para administrar las idoneidades de roles y las API a las que llamar.

Escenarios API
Un administrador crea y asigna a una entidad de seguridad un rol apto
Un administrador asigna una elegibilidad de rol temporal a una entidad de seguridad
Crear roleEligibilityScheduleRequests
Un administrador renueva, actualiza, amplía o quita las elegibilidades de roles. Crear roleEligibilityScheduleRequests
Un administrador consulta todas las elegibilidades de roles y sus detalles Enumerar roleEligibilityScheduleRequests
Un administrador consulta la elegibilidad de un rol y sus detalles Obtener unifiedRoleEligibilityScheduleRequest
Un administrador cancela una solicitud de elegibilidad de roles que creó. unifiedRoleEligibilityScheduleRequest: cancel
Una entidad de seguridad consulta sus elegibilidades de roles y los detalles unifiedRoleEligibilityScheduleRequest: filterByCurrentUser
Una entidad de seguridad desactiva, amplía o renueva su propia elegibilidad para el rol. Crear roleEligibilityScheduleRequests

Configuración de roles y PIM

Cada rol Microsoft Entra define la configuración o las reglas. Estas reglas incluyen si se requiere autenticación multifactor (MFA), justificación o aprobación para activar un rol apto, o si se pueden crear asignaciones permanentes o elegibilidad para las entidades de seguridad del rol. Estas reglas específicas del rol determinan la configuración que puede aplicar al crear o administrar asignaciones de roles y elegibilidad a través de PIM.

En Microsoft Graph, estas reglas se administran a través de los tipos de recursos unifiedRoleManagementPolicy y unifiedRoleManagementPolicyAssignment y sus métodos relacionados.

Por ejemplo, suponga que, de forma predeterminada, un rol no permite asignaciones activas permanentes y define un máximo de 15 días para las asignaciones activas. Al intentar crear un objeto unifiedRoleAssignmentScheduleRequest sin fecha de expiración, se devuelve un 400 Bad Request código de respuesta para infringir la regla de expiración.

PIM le permite configurar varias reglas, entre las que se incluyen:

  • Si a las entidades de seguridad se les pueden asignar asignaciones aptas permanentes
  • Duración máxima permitida para una activación de roles y si se requiere justificación o aprobación para activar roles aptos
  • Los usuarios a los que se les permite aprobar solicitudes de activación para un rol de Microsoft Entra
  • Si MFA es necesario para activar y aplicar una asignación de roles
  • Las entidades de seguridad a las que se notifican las activaciones de roles

En la tabla siguiente se enumeran los escenarios para usar PIM con el fin de administrar reglas para Microsoft Entra roles y las API a las que llamar.

Escenarios API
Recuperar directivas de administración de roles y reglas o configuraciones asociadas Enumerar unifiedRoleManagementPolicies
Recuperar una directiva de administración de roles y sus reglas o configuraciones asociadas Obtener unifiedRoleManagementPolicy
Actualización de una directiva de administración de roles en sus reglas o configuraciones asociadas Actualizar unifiedRoleManagementPolicy
Recuperar las reglas definidas para la directiva de administración de roles Enumerar reglas
Recuperación de una regla definida para una directiva de administración de roles Obtener unifiedRoleManagementPolicyRule
Actualización de una regla definida para una directiva de administración de roles Actualizar unifiedRoleManagementPolicyRule
Obtenga los detalles de todas las asignaciones de directivas de administración de roles, incluidas las directivas y reglas o la configuración asociadas a los roles de Microsoft Entra. Enumeración de unifiedRoleManagementPolicyAssignments
Obtenga los detalles de una asignación de directiva de administración de roles, incluidas la directiva y las reglas o la configuración asociadas al rol de Microsoft Entra. Obtener unifiedRoleManagementPolicyAssignment

Para obtener más información sobre el uso de Microsoft Graph para configurar reglas, consulte Información general sobre las reglas para roles de Microsoft Entra en las API de PIM. Para obtener ejemplos de reglas de actualización, consulte Uso de las API de PIM para actualizar reglas para roles de Microsoft Entra ID.

Registros de auditoría

Todas las actividades realizadas a través de PIM para roles de Microsoft Entra se registran Microsoft Entra registros de auditoría y puede leer a través de la API de auditorías de directorios de lista.

Confianza cero

Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:

  • Comprobar de forma explícita.
  • Uso de privilegios mínimos
  • Asumir la vulneración.

Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.

Licencias

El inquilino donde se usa Privileged Identity Management debe tener suficientes licencias compradas o de prueba. Para obtener más información, consulte Gobierno de Microsoft Entra ID aspectos básicos de las licencias.