Reglas en PIM: guía de asignación
Privileged Identity Management (PIM) expone la configuración de roles para los recursos que se pueden administrar. En Microsoft Graph, estos recursos son Microsoft Entra roles y grupos y se administran a través de PIM para roles de Microsoft Entra y PIM para grupos, respectivamente.
La configuración de roles se divide en una de las tres categorías:
- Configuración de activación
- Configuración de asignación
- Configuración de notificaciones
Esta configuración incluye si se requiere la autenticación multifactor (MFA) para activar un rol apto o la pertenencia a grupos; o si puede crear asignaciones de roles permanentes, propiedad de grupo o pertenencias a grupos.
Al usar PIM para las API de roles de Microsoft Entra o PIM para las API de grupos en Microsoft Graph, esta configuración de roles se administra a través de directivas y reglas.
Directivas
En Microsoft Graph, la configuración del rol se denomina reglas. Estas reglas se agrupan, asignan y administran para Microsoft Entra roles y grupos mediante contenedores denominados directivas.
Las directivas se definen mediante el tipo de recurso unifiedRoleManagementPolicy.
Reglas de directiva
Cada objeto unifiedRoleManagementPolicy contiene 17 reglas predefinidas que se pueden actualizar. Estas reglas se administran a través de la relación de reglas .
Microsoft Graph define el tipo abstracto de tipo de recurso unifiedRoleManagementPolicyRule , que se hereda por cinco recursos. Los cinco tipos derivados se usan para agrupar las reglas en reglas de activación, asignación y notificación. Definen configuraciones de reglas que pueden ser una o varias de las 17 reglas que se identifican mediante identificadores de reglas únicos e inmutables.
En este artículo se proporciona una asignación de la configuración de PIM en el Centro de administración Microsoft Entra a las reglas correspondientes de Microsoft Graph.
Asignación de identificadores de regla a la configuración de roles de PIM en el Centro de administración Microsoft Entra
Reglas de activación
En la imagen siguiente se muestra la configuración del rol de activación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en las API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 1 | Duración máxima de activación (horas) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuario final |
| 2 | En la activación, requerir: Ninguno, Azure MFA Requerir información de vales sobre la activación Requerir justificación sobre la activación |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuario final |
| 3 | En la activación, requerir: Microsoft Entra contexto de autenticación de acceso condicional (versión preliminar) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuario final |
| 4 | Requerir aprobación para activar |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuario final |
Reglas de asignación
En la imagen siguiente se muestra la configuración del rol de asignación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 5 | Permitir asignación apta permanente Expirar las asignaciones aptas después de |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 6 | Permitir asignación activa permanente Expirar las asignaciones activas después de |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 7 | Requerir Azure Multi-Factor Authentication en la asignación activa Requerir justificación en la asignación activa |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 8 | No existe en Centro de administración Microsoft Entra experiencia de usuario |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
Reglas de notificación
En la imagen siguiente se muestra la configuración del rol de notificación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 9 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Alerta de asignación de roles |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 10 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Notificación al usuario asignado (cesionario) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Asignador/Solicitante |
| 11 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: solicitud para aprobar una renovación o extensión de asignación de roles |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Aprobador |
| 12 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Alerta de asignación de roles |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 13 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Notificación al usuario asignado (asignado) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Asignador/Solicitante |
| 14 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: solicitud para aprobar una renovación o extensión de asignación de roles |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Aprobador |
| 15 | Enviar notificaciones cuando los miembros aptos activen este rol: Alerta de activación de roles |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 16 | Enviar notificaciones cuando los miembros aptos activen este rol: Notificación al usuario activado (solicitante) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Solicitante |
| 17 | Enviar notificaciones cuando los miembros aptos activen este rol: Solicitud para aprobar una activación |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Aprobador |