Régir l’appartenance et la propriété des groupes à l’aide de PIM pour les groupes
Avec Privileged Identity Management pour les groupes (PIM pour les groupes), vous pouvez régir la façon dont l’appartenance ou la propriété des groupes sont attribuées aux principaux. La sécurité et les groupes Microsoft 365 sont des ressources critiques que vous pouvez utiliser pour fournir l’accès aux ressources cloud Microsoft telles que les rôles Microsoft Entra, les rôles Azure, les Azure SQL, les Key Vault Azure, les Intune et les applications tierces. PIM pour les groupes vous permet de mieux contrôler comment et quand les principaux sont membres ou propriétaires de groupes, et disposent donc de privilèges accordés par le biais de leur appartenance ou propriété au groupe.
Les API PIM pour les groupes dans Microsoft Graph vous offrent une gouvernance accrue de la sécurité et des groupes Microsoft 365, comme les fonctionnalités suivantes :
- Fourniture d’une appartenance juste-à-temps à des principaux ou d’une propriété de groupes
- Attribution d’une appartenance ou d’une propriété temporaire de groupes à des principaux
Cet article présente les fonctionnalités de gouvernance des API pour PIM pour les groupes dans Microsoft Graph.
API PIM pour les groupes pour la gestion des affectations actives des propriétaires et des membres de groupe
Les API PIM pour les groupes dans Microsoft Graph vous permettent d’attribuer à des groupes des principaux une appartenance ou une propriété permanente ou temporaire et limitée dans le temps.
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les API de groupes afin de gérer les affectations actives pour les principaux et les API correspondantes à appeler.
| Scenarios | API |
|---|---|
| Un administrateur : Un principal : |
Créer assignmentScheduleRequest |
| Un administrateur répertorie toutes les demandes d’attributions d’appartenance et de propriété actives pour un groupe | Répertorier assignmentScheduleRequests |
| Un administrateur répertorie toutes les affectations actives et les demandes d’affectations à créer à l’avenir, pour l’appartenance et la propriété d’un groupe | Répertorier assignmentSchedules |
| Un administrateur répertorie toutes les attributions d’appartenance et de propriété actives pour un groupe | Répertorier assignmentScheduleInstances |
| Un administrateur interroge un membre et une attribution de propriété pour un groupe et ses détails | Obtenir privilegedAccessGroupAssignmentScheduleRequest |
| Un principal interroge ses demandes d’appartenance ou d’attribution de propriété et les détails Un approbateur interroge les demandes d’appartenance ou de propriété en attente de leur approbation et des détails de ces demandes |
privilegedAccessGroupAssignmentScheduleRequest : filterByCurrentUser |
| Un principal annule une demande d’appartenance ou d’attribution de propriété qu’il a créée | privilegedAccessGroupAssignmentScheduleRequest : cancel |
| Un approbateur obtient les détails de la demande d’approbation, notamment des informations sur les étapes d’approbation | Obtenir l’approbation |
| Un approbateur approuve ou refuse la demande d’approbation en approuvant ou en refusant l’étape d’approbation | Mettre à jour l’approbationStep |
API PIM pour les groupes pour la gestion des affectations éligibles des propriétaires et des membres du groupe
Vos principaux peuvent ne pas exiger l’appartenance permanente ou la propriété de groupes, car ils peuvent ne pas nécessiter les privilèges accordés par le biais de l’appartenance ou de la propriété en permanence. Dans ce cas, PIM pour les groupes vous permet de rendre les principaux éligibles pour l’appartenance ou la propriété des groupes.
Lorsqu’un principal a une affectation éligible, il active son affectation lorsqu’il a besoin des privilèges accordés par le biais des groupes pour effectuer des tâches privilégiées. Une affectation éligible peut être permanente ou temporaire. L’activation est toujours limitée pour un maximum de huit heures.
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les API de groupes afin de gérer les affectations éligibles pour les principaux et les API correspondantes à appeler.
| Scenarios | API |
|---|---|
| Un administrateur : |
Create eligibilityScheduleRequest |
| Un administrateur interroge toutes les demandes d’appartenance ou de propriété éligibles et leurs détails | List eligibilityScheduleRequests |
| Un administrateur interroge une demande d’appartenance ou de propriété éligible et ses détails | Get eligibilityScheduleRequest |
| Un administrateur annule une demande d’appartenance ou de propriété éligible qu’il a créée | privilegedAccessGroupEligibilityScheduleRequest :cancel |
| Un principal interroge ses informations d’appartenance ou de propriété éligibles | privilegedAccessGroupEligibilityScheduleRequest : filterByCurrentUser |
Paramètres de stratégie dans PIM pour les groupes
PIM pour les groupes définit des paramètres ou des règles qui régissent la façon dont les principaux peuvent être affectés à l’appartenance ou à la propriété de la sécurité et des groupes Microsoft 365. Ces règles incluent si l’authentification multifacteur (MFA), la justification ou l’approbation est nécessaire pour activer une appartenance ou une propriété éligible pour un groupe, ou si vous pouvez créer des affectations permanentes ou des éligibilités pour les principaux des groupes. Les règles sont définies dans les stratégies et une stratégie peut être appliquée à un groupe.
Dans Microsoft Graph, ces règles sont gérées via les types de ressources unifiedRoleManagementPolicy et unifiedRoleManagementPolicyAssignment et leurs méthodes associées.
Par exemple, supposons que par défaut, PIM pour les groupes n’autorise pas les attributions d’appartenance et de propriété actives permanentes et définit un maximum de six mois pour les affectations actives. Toute tentative de création d’un objet privilegedAccessGroupAssignmentScheduleRequest sans date d’expiration retourne un 400 Bad Request code de réponse en cas de violation de la règle d’expiration.
PIM pour les groupes vous permet de configurer différentes règles, notamment :
- Si des principaux peuvent être affectés à des affectations éligibles permanentes
- Durée maximale autorisée pour l’activation d’une appartenance ou d’une propriété de groupe et si une justification ou une approbation est requise pour activer l’appartenance ou la propriété éligible
- Utilisateurs autorisés à approuver les demandes d’activation d’une appartenance ou d’une propriété de groupe
- Si l’authentification multifacteur est requise pour activer et appliquer une appartenance à un groupe ou une attribution de propriété
- Les principaux qui sont informés de l’appartenance à un groupe ou des activations de propriété
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les groupes afin de gérer les règles et les API à appeler.
| Scénarios | API |
|---|---|
| Récupérer pim pour les stratégies de groupes et les règles ou paramètres associés | List unifiedRoleManagementPolicies |
| Récupérer une stratégie PIM pour les groupes et ses règles ou paramètres associés | Obtenir unifiedRoleManagementPolicy |
| Mettre à jour une stratégie PIM pour les groupes sur ses règles ou paramètres associés | Mettre à jour unifiedRoleManagementPolicy |
| Récupérer les règles définies pour une stratégie PIM pour les groupes | List rules |
| Récupérer une règle définie pour une stratégie PIM pour les groupes | Obtenir unifiedRoleManagementPolicyRule |
| Mettre à jour une règle définie pour une stratégie PIM pour les groupes | Mettre à jour unifiedRoleManagementPolicyRule |
| Obtenir les détails de toutes les affectations de stratégie PIM pour les groupes, y compris les stratégies et les règles associées à l’appartenance et à la propriété des groupes | Répertorier unifiedRoleManagementPolicyAssignments |
| Obtenir les détails d’une affectation de stratégie PIM pour les groupes, y compris la stratégie et les règles associées à l’appartenance ou à la propriété des groupes | Obtenir unifiedRoleManagementPolicyAssignment |
Pour plus d’informations sur l’utilisation de Microsoft Graph pour configurer des règles, consultez Vue d’ensemble des règles dans les API PIM dans Microsoft Graph. Pour obtenir des exemples de règles de mise à jour, consultez Utiliser les API PIM dans Microsoft Graph pour mettre à jour les règles.
Intégration de groupes à PIM pour les groupes
Vous ne pouvez pas intégrer explicitement un groupe à PIM pour les groupes. Lorsque vous demandez à ajouter une affectation à un groupe à l’aide de Create assignmentScheduleRequest ou Create eligibilityScheduleRequest, ou que vous mettez à jour la stratégie PIM (paramètres de rôle) pour un groupe à l’aide de Update unifiedRoleManagementPolicy ou update unifiedRoleManagementPolicyRule, le groupe est intégré automatiquement à PIM s’il n’a pas été intégré auparavant.
Vous pouvez appeler les API List assignmentScheduleRequests, List assignmentSchedules, List assignmentScheduleInstances, List eligibilityScheduleRequests, List eligibilitySchedules et List eligibilityScheduleInstances pour les groupes qui sont intégrés à PIM et les groupes qui ne sont pas encore intégrés à PIM, mais nous vous recommandons de le faire uniquement pour les groupes qui sont intégrés à PIM afin de réduire les risques de limitation
Une fois que PIM a intégré un groupe, les ID des stratégies PIM et des affectations de stratégie du groupe spécifique changent. Appelez l’API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment pour obtenir les ID mis à jour.
Une fois que PIM intègre un groupe, vous ne pouvez pas le désactiver, mais vous pouvez supprimer toutes les affectations éligibles et limitées dans le temps si nécessaire.
PIM pour les groupes et l’objet de groupe
L’appartenance et la propriété de toute sécurité et groupe Microsoft 365 (à l’exception des groupes dynamiques et synchronisés à partir d’un emplacement local) peuvent être régies par le biais de PIM pour les groupes. Le groupe n’a pas besoin d’être assignable à un rôle pour être activé dans PIM pour les groupes.
Lorsque vous attribuez une appartenance ou une propriété permanente ou temporaire active à un principal d’un groupe, ou lorsqu’il effectue une activation juste-à-temps :
- Les détails du principal sont retournés lorsque vous interrogez les relations des membres et des propriétaires via les API Lister les membres du groupe ou Propriétaires de groupe de listes.
- Vous pouvez supprimer le principal du groupe à l’aide des API Supprimer le propriétaire du groupe ou Supprimer un membre du groupe .
- Si les modifications apportées au groupe sont suivies à l’aide des fonctions Obtenir le delta et Obtenir le delta pour les objets d’annuaire , un
@odata.nextLinkcontient le nouveau membre ou propriétaire. - Les modifications apportées aux membres et aux propriétaires de groupe via PIM pour les groupes sont enregistrées Microsoft Entra journaux d’audit et peuvent être lues via l’API Répertorier les audits d’annuaire.
Lorsqu’un principal se voit attribuer une appartenance ou une propriété permanente ou temporaire éligible à un groupe, les relations entre les membres et les propriétaires du groupe ne sont pas mises à jour.
Lorsque l’appartenance ou la propriété active temporaire d’un principal d’un groupe expire :
- Les détails du principal sont automatiquement supprimés des relations entre les membres et les propriétaires .
- Si les modifications apportées au groupe sont suivies à l’aide des fonctions Obtenir le delta et Obtenir le delta pour les objets d’annuaire , un
@odata.nextLinkindique le membre ou le propriétaire du groupe supprimé.
Confiance Zéro
Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :
- Vérifiez explicitement.
- Utiliser le privilège minimum
- Supposez une violation.
Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.
Autorisations et privilèges
Les autorisations Microsoft Graph suivantes sont requises pour appeler les API PIM pour les groupes.
| Points de terminaison | Opérations prises en charge | Autorisations |
|---|---|---|
| assignmentSchedule assignmentScheduleInstance |
LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| assignmentScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| eligibilitySchedule eligibilityScheduleInstance |
LIST, GET | PrivilegedEligibilitySchedule.Read.AzureADGroup PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
| eligibilityScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
| Approbation | GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| approvalStep | LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| approvalStep | METTRE À JOUR | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| roleManagementPolicy roleManagementPolicyAssignment |
LIST, GET | RoleManagementPolicy.Read.AzureADGroup RoleManagementPolicy.ReadWrite.AzureADGroup |
| roleManagementPolicy | METTRE À JOUR | RoleManagementPolicy.ReadWrite.AzureADGroup |
En outre, pour les scénarios délégués, le principal appelant a besoin de l’un des rôles suivants (non applicable aux points de terminaison approbation et approbationStep).
| Groupe | Role | Opérations prises en charge |
|---|---|---|
| Assignable à un rôle | Administrateur de rôle privilégié Propriétaire du groupe* Membre du groupe* |
CREATE, UPDATE, DELELE |
| Assignable à un rôle | Lecteur général Administrateur de rôle privilégié Propriétaire du groupe* Membre du groupe* |
LIST, GET |
| Non assignable à un rôle | Rédacteur d’annuaire Administrateur de groupes Administrateur de gouvernance des identités Administrateur d’utilisateurs Propriétaire du groupe* Membre du groupe* |
CREATE, UPDATE, DELELE |
| Non assignable à un rôle | Lecteur général Rédacteur d’annuaire Administrateur de groupes Administrateur de gouvernance des identités Administrateur d’utilisateurs Propriétaire du groupe* Membre du groupe* |
LIST, GET |
* Les autorisations pour les membres du groupe et les propriétaires de groupe sont limitées aux opérations de lecture ou d’écriture qu’ils doivent effectuer. Par exemple, un membre du groupe peut annuler sa requête assignmentScheduleRequest , mais pas celle d’un autre principal.
Seul l’approbateur de la demande peut appeler les /approval points de terminaison et /approvalStep . Il n’est pas obligé de leur attribuer des rôles Microsoft Entra.
Contenu connexe
Qu’est-ce que Microsoft Entra Privileged Identity Management ?
Privileged Identity Management (PIM) pour les groupes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour