Compartir a través de


Reglas en PIM: guía de asignación

Privileged Identity Management (PIM) expone la configuración de roles para los recursos que se pueden administrar. En Microsoft Graph, estos recursos son Microsoft Entra roles y grupos y se administran a través de PIM para roles de Microsoft Entra y PIM para grupos, respectivamente.

La configuración de roles se divide en una de las tres categorías:

  • Configuración de activación
  • Configuración de asignación
  • Configuración de notificaciones

Esta configuración incluye si se requiere la autenticación multifactor (MFA) para activar un rol apto o la pertenencia a grupos; o si puede crear asignaciones de roles permanentes, propiedad de grupo o pertenencias a grupos.

Al usar PIM para las API de roles de Microsoft Entra o PIM para las API de grupos en Microsoft Graph, esta configuración de roles se administra a través de directivas y reglas.

Directivas

En Microsoft Graph, la configuración del rol se denomina reglas. Estas reglas se agrupan, asignan y administran para Microsoft Entra roles y grupos mediante contenedores denominados directivas.

Las directivas se definen mediante el tipo de recurso unifiedRoleManagementPolicy.

Reglas de directiva

Cada objeto unifiedRoleManagementPolicy contiene 17 reglas predefinidas que se pueden actualizar. Estas reglas se administran a través de la relación de reglas .

Microsoft Graph define el tipo abstracto de tipo de recurso unifiedRoleManagementPolicyRule , que se hereda por cinco recursos. Los cinco tipos derivados se usan para agrupar las reglas en reglas de activación, asignación y notificación. Definen configuraciones de reglas que pueden ser una o varias de las 17 reglas que se identifican mediante identificadores de reglas únicos e inmutables.

En este artículo se proporciona una asignación de la configuración de PIM en el Centro de administración Microsoft Entra a las reglas correspondientes de Microsoft Graph.

Asignación de identificadores de regla a la configuración de roles de PIM en el Centro de administración Microsoft Entra

Reglas de activación

En la imagen siguiente se muestra la configuración del rol de activación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en las API de PIM en Microsoft Graph.

Configuración de activación de roles de PIM en el Centro de administración Microsoft Entra.

Número Centro de administración Microsoft Entra descripción de la experiencia de usuario Identificador de regla de Microsoft Graph o tipo de recurso derivado Aplicado para el autor de la llamada
1 Duración máxima de activación (horas) Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuario final
2 En la activación, requerir: Ninguno, Azure MFA

Requerir información de vales sobre la activación

Requerir justificación sobre la activación
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Admin
3 En la activación, requerir: Microsoft Entra contexto de autenticación de acceso condicional (versión preliminar) AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuario final
4 Requerir aprobación para activar Approval_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuario final

Reglas de asignación

En la imagen siguiente se muestra la configuración del rol de asignación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.

Configuración de asignación de roles de PIM en el Centro de administración Microsoft Entra.

Número Centro de administración Microsoft Entra descripción de la experiencia de usuario Identificador de regla de Microsoft Graph o tipo de recurso derivado Aplicado para el autor de la llamada
5 Permitir asignación apta permanente

Expirar las asignaciones aptas después de
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Admin
6 Permitir asignación activa permanente

Expirar las asignaciones activas después de
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Admin
7 Requerir Azure Multi-Factor Authentication en la asignación activa

Requerir justificación en la asignación activa

Requerir información de vales sobre la activación
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Admin
8 Requerir Azure Multi-Factor Authentication en la asignación activa

Requerir justificación en la asignación activa

Requerir información de vales sobre la activación
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuario final

Reglas de notificación

En la imagen siguiente se muestra la configuración del rol de notificación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.

Configuración de notificación de roles de PIM en el Centro de administración Microsoft Entra.

Número Centro de administración Microsoft Entra descripción de la experiencia de usuario Identificador de regla de Microsoft Graph o tipo de recurso derivado Aplicado para el autor de la llamada
9 Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Alerta de asignación de roles Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Admin
10 Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Notificación al usuario asignado (cesionario) Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Asignador/Solicitante
11 Enviar notificaciones cuando los miembros se asignan como aptos para este rol: solicitud para aprobar una renovación o extensión de asignación de roles Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Aprobador
12 Enviar notificaciones cuando los miembros se asignan como activos a este rol: Alerta de asignación de roles Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Admin
13 Enviar notificaciones cuando los miembros se asignan como activos a este rol: Notificación al usuario asignado (asignado) Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Asignador/Solicitante
14 Enviar notificaciones cuando los miembros se asignan como activos a este rol: solicitud para aprobar una renovación o extensión de asignación de roles Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Aprobador
15 Enviar notificaciones cuando los miembros aptos activen este rol: Alerta de activación de roles Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Admin
16 Enviar notificaciones cuando los miembros aptos activen este rol: Notificación al usuario activado (solicitante) Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Solicitante
17 Enviar notificaciones cuando los miembros aptos activen este rol: Solicitud para aprobar una activación Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Aprobador