Administración de asignaciones de roles Microsoft Entra mediante las API de PIM
Privileged Identity Management (PIM) es una característica de Gobierno de Microsoft Entra ID que le permite administrar, controlar y supervisar el acceso a recursos importantes de su organización. Un método a través del cual se concede acceso a entidades de seguridad como usuarios, grupos y entidades de servicio (aplicaciones) a recursos importantes es mediante la asignación de roles de Microsoft Entra.
Pim for Microsoft Entra roles API permite controlar el acceso con privilegios y limitar el acceso excesivo a los roles de Microsoft Entra. En este artículo se presentan las funcionalidades de gobernanza de PIM para las API de roles de Microsoft Entra en Microsoft Graph.
Nota:
Para administrar roles de recursos de Azure, use las API de PIM para Azure Resource Manager (ARM).
API de PIM para administrar asignaciones de roles activas
PIM permite administrar las asignaciones de roles activas mediante la creación de asignaciones permanentes o asignaciones temporales. Use el tipo de recurso unifiedRoleAssignmentScheduleRequest y sus métodos relacionados para administrar las asignaciones de roles.
En la tabla siguiente se enumeran los escenarios para usar PIM para administrar las asignaciones de roles y las API a las que llamar.
| Escenarios | API |
|---|---|
| Un administrador crea y asigna a una entidad de seguridad una asignación de roles permanente Un administrador asigna a una entidad de seguridad un rol temporal |
Crear roleAssignmentScheduleRequests |
| Un administrador renueva, actualiza, amplía o quita asignaciones de roles. | Crear roleAssignmentScheduleRequests |
| Un administrador consulta todas las asignaciones de roles y sus detalles | Enumerar roleAssignmentScheduleRequests |
| Un administrador consulta una asignación de roles y sus detalles | Obtener unifiedRoleAssignmentScheduleRequest |
| Una entidad de seguridad consulta sus asignaciones de roles y los detalles | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| Una entidad de seguridad realiza la activación just-in-time y con límite de tiempo de su asignación de roles apta | Crear roleAssignmentScheduleRequests |
| Una entidad de seguridad cancela una solicitud de asignación de roles que creó | unifiedRoleAssignmentScheduleRequest: cancel |
| Una entidad de seguridad que ha activado su asignación de roles apta la desactiva cuando ya no necesita acceso. | Crear roleAssignmentScheduleRequests |
| Una entidad de seguridad desactiva, amplía o renueva su propia asignación de roles. | Crear roleAssignmentScheduleRequests |
API de PIM para administrar las elegibilidades de roles
Es posible que las entidades de seguridad no requieran asignaciones de roles permanentes porque es posible que no requieran los privilegios concedidos a través del rol con privilegios todo el tiempo. En este caso, PIM también permite crear elegibilidades de roles y asignarlas a las entidades de seguridad. Con las elegibilidades de roles, la entidad de seguridad activa el rol cuando necesita realizar tareas con privilegios. La activación siempre tiene límite de tiempo durante un máximo de 8 horas. La elegibilidad del rol también puede ser una elegibilidad permanente o una elegibilidad temporal.
Use el tipo de recurso unifiedRoleEligibilityScheduleRequest y sus métodos relacionados para administrar las elegibilidades de roles.
En la tabla siguiente se enumeran los escenarios para usar PIM para administrar las idoneidades de roles y las API a las que llamar.
| Escenarios | API |
|---|---|
| Un administrador crea y asigna a una entidad de seguridad un rol apto Un administrador asigna una elegibilidad de rol temporal a una entidad de seguridad |
Crear roleEligibilityScheduleRequests |
| Un administrador renueva, actualiza, amplía o quita las elegibilidades de roles. | Crear roleEligibilityScheduleRequests |
| Un administrador consulta todas las elegibilidades de roles y sus detalles | Enumerar roleEligibilityScheduleRequests |
| Un administrador consulta la elegibilidad de un rol y sus detalles | Obtener unifiedRoleEligibilityScheduleRequest |
| Un administrador cancela una solicitud de elegibilidad de roles que creó. | unifiedRoleEligibilityScheduleRequest: cancel |
| Una entidad de seguridad consulta sus elegibilidades de roles y los detalles | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| Una entidad de seguridad desactiva, amplía o renueva su propia elegibilidad para el rol. | Crear roleEligibilityScheduleRequests |
Configuración de roles y PIM
Cada rol Microsoft Entra define la configuración o las reglas. Estas reglas incluyen si se requiere autenticación multifactor (MFA), justificación o aprobación para activar un rol apto, o si se pueden crear asignaciones permanentes o elegibilidad para las entidades de seguridad del rol. Estas reglas específicas del rol determinan la configuración que puede aplicar al crear o administrar asignaciones de roles y elegibilidad a través de PIM.
En Microsoft Graph, estas reglas se administran a través de los tipos de recursos unifiedRoleManagementPolicy y unifiedRoleManagementPolicyAssignment y sus métodos relacionados.
Por ejemplo, suponga que, de forma predeterminada, un rol no permite asignaciones activas permanentes y define un máximo de 15 días para las asignaciones activas. Al intentar crear un objeto unifiedRoleAssignmentScheduleRequest sin fecha de expiración, se devuelve un 400 Bad Request código de respuesta para infringir la regla de expiración.
PIM le permite configurar varias reglas, entre las que se incluyen:
- Si a las entidades de seguridad se les pueden asignar asignaciones aptas permanentes
- Duración máxima permitida para una activación de roles y si se requiere justificación o aprobación para activar roles aptos
- Los usuarios a los que se les permite aprobar solicitudes de activación para un rol de Microsoft Entra
- Si MFA es necesario para activar y aplicar una asignación de roles
- Las entidades de seguridad a las que se notifican las activaciones de roles
En la tabla siguiente se enumeran los escenarios para usar PIM con el fin de administrar reglas para Microsoft Entra roles y las API a las que llamar.
| Escenarios | API |
|---|---|
| Recuperar directivas de administración de roles y reglas o configuraciones asociadas | Enumerar unifiedRoleManagementPolicies |
| Recuperar una directiva de administración de roles y sus reglas o configuraciones asociadas | Obtener unifiedRoleManagementPolicy |
| Actualización de una directiva de administración de roles en sus reglas o configuraciones asociadas | Actualizar unifiedRoleManagementPolicy |
| Recuperar las reglas definidas para la directiva de administración de roles | Enumerar reglas |
| Recuperación de una regla definida para una directiva de administración de roles | Obtener unifiedRoleManagementPolicyRule |
| Actualización de una regla definida para una directiva de administración de roles | Actualizar unifiedRoleManagementPolicyRule |
| Obtenga los detalles de todas las asignaciones de directivas de administración de roles, incluidas las directivas y reglas o la configuración asociadas a los roles de Microsoft Entra. | Enumeración de unifiedRoleManagementPolicyAssignments |
| Obtenga los detalles de una asignación de directiva de administración de roles, incluidas la directiva y las reglas o la configuración asociadas al rol de Microsoft Entra. | Obtener unifiedRoleManagementPolicyAssignment |
Para obtener más información sobre el uso de Microsoft Graph para configurar reglas, consulte Información general sobre las reglas para roles de Microsoft Entra en las API de PIM en Microsoft Graph. Para obtener ejemplos de actualización de reglas, consulte Uso de LAS API de PIM en Microsoft Graph para actualizar las reglas de Microsoft Entra ID.
Alertas de seguridad para roles de Microsoft Entra
PIM para roles de Microsoft Entra genera alertas cuando detecta configuraciones sospechosas o no seguras para los roles de Microsoft Entra en el inquilino. Están disponibles los siete tipos de alerta siguientes:
Para obtener más información sobre estas alertas, incluida la clasificación de gravedad y los desencadenadores, consulte Configuración de alertas de seguridad para roles de Microsoft Entra en PIM.
Bloques de creación de las API de alertas de PIM
Use los siguientes recursos de Microsoft Graph para administrar alertas de PIM.
| Recurso | Descripción | Operaciones de API |
|---|---|---|
| unifiedRoleManagementAlert | Proporciona un resumen de las alertas en PIM para los roles de Microsoft Entra, tanto si están habilitados como deshabilitados, cuando el servicio PIM examinó por última vez el inquilino en busca de incidencias o esta alerta, y el número de incidencias que se asignan a este tipo de alerta en el inquilino. El servicio PIM examina el inquilino diariamente en busca de incidencias relacionadas con la alerta, pero también puede ejecutar un examen manual. | List Get Actualizar Actualizar (examen manual) |
| unifiedRoleManagementAlertDefinition | Proporciona una descripción detallada de cada tipo de alerta, el nivel de gravedad, los pasos recomendados para mitigar las incidencias relacionadas con la alerta en el inquilino y las acciones recomendadas para evitar futuras incidencias. | List Get |
| unifiedRoleManagementAlertConfiguration | La configuración específica del inquilino para la alerta, incluido si el servicio PIM debe examinar el inquilino en busca de incidencias relacionadas con la alerta, los umbrales que desencadenan la alerta y la definición de alerta relacionada. Se trata de un tipo abstracto del que se derivan los recursos que representan los tipos de alerta individuales. | List Get Actualizar |
| unifiedRoleManagementAlertIncident | Incidencias en el inquilino que coinciden con el tipo de alerta. | List Obtener Corregir |
Para obtener más información sobre cómo trabajar con alertas de seguridad para roles de Microsoft Entra, consulte Configuración de alertas de seguridad para roles de Microsoft Entra en Privileged Identity Management.
Para obtener más información sobre cómo trabajar con alertas de seguridad para roles de Microsoft Entra mediante LAS API de PIM, consulte Administración de alertas de seguridad para roles de Microsoft Entra mediante LAS API de PIM en Microsoft Graph.
Registros de auditoría
Todas las actividades realizadas a través de PIM para roles de Microsoft Entra se registran Microsoft Entra registros de auditoría y puede leer a través de la API de auditorías de directorios de lista.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.
Licencias
El inquilino donde se usa Privileged Identity Management debe tener suficientes licencias compradas o de prueba. Para obtener más información, consulte Requisitos de licencia para usar Privileged Identity Management.
Contenido relacionado
- Consulte los artículos siguientes para obtener más información sobre cómo trabajar con las API de PIM:
- Trabajar con reglas para roles de Microsoft Entra en las API de PIM.
- Use las API de PIM para actualizar las reglas (configuración) de los roles de Microsoft Entra.
- Administrar alertas de seguridad para roles de Microsoft Entra mediante las API de PIM en Microsoft Graph.
- Tutorial: Uso de las API de PIM para asignar roles de Microsoft Entra.
- Para obtener más información sobre las operaciones de seguridad, consulte Microsoft Entra operaciones de seguridad para Privileged Identity Management en el centro de arquitectura de Microsoft Entra.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de