Reglas en PIM: guía de asignación
Privileged Identity Management (PIM) expone la configuración de roles o las reglas de los recursos que se pueden administrar. En Microsoft Graph, estos recursos son Microsoft Entra roles y grupos y se administran a través de PIM para roles de Microsoft Entra y PIM para grupos, respectivamente.
La configuración de roles se divide en una de tres categorías: configuración de activación, configuración de asignación y configuración de notificación. Esta configuración incluye si se requiere la autenticación multifactor (MFA) para activar un rol apto, la pertenencia a grupos o la propiedad del grupo, o si puede crear asignaciones de roles permanentes o pertenencia a grupos o propiedad permanentes.
Cuando se usan las API de PIM en Microsoft Graph, esta configuración de roles se administra a través de directivas y reglas.
Directivas
En Microsoft Graph, la configuración del rol se denomina reglas. Estas reglas se agrupan, asignan y administran para Microsoft Entra roles y grupos mediante contenedores denominados directivas.
Las directivas se definen mediante el tipo de recurso unifiedRoleManagementPolicy.
Reglas de directiva
Cada directiva contiene 17 reglas predefinidas que se pueden actualizar. Estas reglas se administran mediante la relación de reglas del tipo de recurso unifiedRoleManagementPolicy.
Para agrupar las reglas en reglas de activación, asignación y notificación, Microsoft Graph define el tipo abstracto de tipo de recurso unifiedRoleManagementPolicyRule . Este tipo abstracto lo heredan cinco recursos. A continuación, cada uno de estos cinco tipos derivados define configuraciones de reglas que pueden ser una o más de 17 reglas. Las 17 reglas se identifican mediante identificadores de regla únicos e inmutables.
En este artículo se proporciona una asignación de la configuración de PIM en el Centro de administración Microsoft Entra a las reglas correspondientes de Microsoft Graph.
Asignación de identificadores de regla a la configuración de roles de PIM en el Centro de administración Microsoft Entra
Reglas de activación
En la imagen siguiente se muestra la configuración del rol de activación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en las API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 1 | Duración máxima de activación (horas) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Usuario final |
| 2 | En la activación, requerir: Ninguno, Azure MFA Requerir información de vales sobre la activación Requerir justificación sobre la activación |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
Admin |
| 3 | En la activación, requerir: Microsoft Entra contexto de autenticación de acceso condicional (versión preliminar) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
Usuario final |
| 4 | Requerir aprobación para activar | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
Usuario final |
Reglas de asignación
En la imagen siguiente se muestra la configuración del rol de asignación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 5 | Permitir asignación apta permanente Expirar las asignaciones aptas después de |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
Admin |
| 6 | Permitir asignación activa permanente Expirar las asignaciones activas después de |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Admin |
| 7 | Requerir Azure Multi-Factor Authentication en la asignación activa Requerir justificación en la asignación activa Requerir información de vales sobre la activación |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Admin |
| 8 | Requerir Azure Multi-Factor Authentication en la asignación activa Requerir justificación en la asignación activa Requerir información de vales sobre la activación |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Usuario final |
Reglas de notificación
En la imagen siguiente se muestra la configuración del rol de notificación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 9 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Alerta de asignación de roles | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Admin |
| 10 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Notificación al usuario asignado (cesionario) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Asignador/Solicitante |
| 11 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: solicitud para aprobar una renovación o extensión de asignación de roles | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Aprobador |
| 12 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Alerta de asignación de roles | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Admin |
| 13 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Notificación al usuario asignado (asignado) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Asignador/Solicitante |
| 14 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: solicitud para aprobar una renovación o extensión de asignación de roles | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Aprobador |
| 15 | Enviar notificaciones cuando los miembros aptos activen este rol: Alerta de activación de roles | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Admin |
| 16 | Enviar notificaciones cuando los miembros aptos activen este rol: Notificación al usuario activado (solicitante) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Solicitante |
| 17 | Enviar notificaciones cuando los miembros aptos activen este rol: Solicitud para aprobar una activación | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Aprobador |
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de