Trabajar con reglas en PIM mediante Microsoft Graph
Privileged Identity Management (PIM) expone la configuración de roles o las reglas de los recursos que se pueden administrar. En Microsoft Graph, estos recursos son roles y grupos de Azure AD y se administran a través de PIM para roles de Azure AD y PIM para grupos , respectivamente.
La configuración de roles se divide en una de tres categorías: configuración de activación, configuración de asignación y configuración de notificación. Esta configuración incluye si se requiere la autenticación multifactor (MFA) para activar un rol apto, la pertenencia a grupos o la propiedad del grupo, o si puede crear asignaciones de roles permanentes o pertenencia a grupos o propiedad permanentes.
Cuando se usan las API de PIM en Microsoft Graph, esta configuración de roles se administra a través de directivas y reglas.
Directivas
En Microsoft Graph, la configuración del rol se denomina reglas. Estas reglas se agrupan, asignan y administran para roles y grupos de Azure AD mediante contenedores denominados directivas.
Las directivas se definen mediante el tipo de recurso unifiedRoleManagementPolicy.
Reglas de directiva
Cada directiva contiene 17 reglas predefinidas que se pueden actualizar. Estas reglas se administran mediante la relación de reglas del tipo de recurso unifiedRoleManagementPolicy.
Para agrupar las reglas en reglas de activación, asignación y notificación, Microsoft Graph define el tipo abstracto de tipo de recurso unifiedRoleManagementPolicyRule . Este tipo abstracto lo heredan cinco recursos. A continuación, cada uno de estos cinco tipos derivados define configuraciones de reglas que pueden ser una o más de 17 reglas. Las 17 reglas se identifican mediante identificadores de regla únicos e inmutables.
En este artículo se proporciona una asignación de la configuración de PIM en el Azure Portal a las reglas correspondientes de Microsoft Graph.
Asignación de identificadores de regla a Azure Portal configuración de roles
Reglas de activación
En la imagen siguiente se muestra la configuración del rol de activación en la Azure Portal, asignada a reglas y tipos de recursos en las API de PIM de Microsoft Graph.
| Número | Azure Portal descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 1 | Duración máxima de activación (horas) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Usuario final |
| 2 | Al activar, requerir: Ninguno, Azure AD Multi-Factor Authentication Requerir información de vales sobre la activación Requerir justificación sobre la activación |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
Admin |
| 3 | En la activación, requerir: contexto de autenticación de acceso condicional de Azure AD (versión preliminar) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
Usuario final |
| 4 | Requerir aprobación para activar | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
Usuario final |
Reglas de asignación
En la imagen siguiente se muestra la configuración del rol de asignación en la Azure Portal, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Azure Portal descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 5 | Permitir asignación apta permanente Expirar las asignaciones aptas después de |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
Admin |
| 6 | Permitir asignación activa permanente Expirar las asignaciones activas después de |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Admin |
| 7 | Requerir Azure Multi-Factor Authentication en la asignación activa Requerir justificación en la asignación activa Requerir información de vales sobre la activación |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Admin |
| 8 | Requerir Azure Multi-Factor Authentication en la asignación activa Requerir justificación en la asignación activa Requerir información de vales sobre la activación |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Usuario final |
Reglas de notificación
En la imagen siguiente se muestra la configuración del rol de notificación en la Azure Portal, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Azure Portal descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 9 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Alerta de asignación de roles | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Admin |
| 10 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Notificación al usuario asignado (cesionario) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Asignador/Solicitante |
| 11 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: solicitud para aprobar una renovación o extensión de asignación de roles | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Aprobador |
| 12 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Alerta de asignación de roles | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Admin |
| 13 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Notificación al usuario asignado (asignado) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Asignador/Solicitante |
| 14 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: solicitud para aprobar una renovación o extensión de asignación de roles | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Aprobador |
| 15 | Enviar notificaciones cuando los miembros aptos activen este rol: Alerta de activación de roles | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Admin |
| 16 | Enviar notificaciones cuando los miembros aptos activen este rol: Notificación al usuario activado (solicitante) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Solicitante |
| 17 | Enviar notificaciones cuando los miembros aptos activen este rol: Solicitud para aprobar una activación | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Aprobador |