Régir l’appartenance et la propriété des groupes à l’aide de PIM pour les groupes

Avec Privileged Identity Management pour les groupes (PIM pour les groupes), vous pouvez régir la façon dont les principaux sont affectés à l’appartenance ou à la propriété des groupes. La sécurité et les Groupes Microsoft 365 sont des ressources critiques que vous pouvez utiliser pour fournir l’accès aux ressources cloud Microsoft telles que les rôles Microsoft Entra, les rôles Azure, les Azure SQL, les Key Vault Azure, les Intune et les applications tierces. PIM pour les groupes vous permet de mieux contrôler comment et quand les principaux sont membres ou propriétaires de groupes, et disposent donc de privilèges accordés par le biais de leur appartenance ou propriété au groupe.

Les API PIM pour les groupes dans Microsoft Graph vous offrent une gouvernance accrue de la sécurité et des Groupes Microsoft 365 telles que les fonctionnalités suivantes :

• Fourniture d’une appartenance juste-à-temps à des principaux ou d’une propriété de groupes
• Attribution d’une appartenance ou d’une propriété temporaire de groupes à des principaux

Cet article présente les fonctionnalités de gouvernance des API pour PIM pour les groupes dans Microsoft Graph.

API PIM pour les groupes pour la gestion des affectations actives des propriétaires et des membres de groupe

Les API PIM pour les groupes dans Microsoft Graph vous permettent d’attribuer à des groupes des principaux une appartenance ou une propriété permanente ou temporaire et limitée dans le temps.

Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les API de groupes afin de gérer les affectations actives pour les principaux et les API correspondantes à appeler.

Scenarios	API
Un administrateur : Attribue une appartenance ou une propriété active à un principal à un groupe Renouvelle, met à jour, étend ou supprime un principal de son appartenance ou propriété active à un groupe Un principal : Effectue l’activation juste-à-temps et limitée dans le temps de leur appartenance éligible ou de leur attribution de propriété pour un groupe Désactive leur appartenance éligible et leur attribution de propriété lorsqu’ils n’ont plus besoin d’un accès Désactive, étend ou renouvelle leur propre appartenance et attribution de propriété	Créer assignmentScheduleRequest
Un administrateur répertorie toutes les demandes d’attributions d’appartenance et de propriété actives pour un groupe	Répertorier assignmentScheduleRequests
Un administrateur répertorie toutes les affectations actives et les demandes d’affectations à créer à l’avenir, pour l’appartenance et la propriété d’un groupe	Répertorier assignmentSchedules
Un administrateur répertorie toutes les attributions d’appartenance et de propriété actives pour un groupe	Répertorier assignmentScheduleInstances
Un administrateur interroge un membre et une attribution de propriété pour un groupe et ses détails	Obtenir privilegedAccessGroupAssignmentScheduleRequest
Un principal interroge ses demandes d’appartenance ou d’attribution de propriété et les détails Un approbateur interroge les demandes d’appartenance ou de propriété en attente de leur approbation et des détails de ces demandes	privilegedAccessGroupAssignmentScheduleRequest : filterByCurrentUser
Un principal annule une demande d’appartenance ou d’attribution de propriété qu’il a créée	privilegedAccessGroupAssignmentScheduleRequest : cancel
Un approbateur obtient les détails de la demande d’approbation, notamment des informations sur les étapes d’approbation	Obtenir l’approbation
Un approbateur approuve ou refuse la demande d’approbation en approuvant ou en refusant l’étape d’approbation	Mettre à jour l’approbationStep

API PIM pour les groupes pour la gestion des affectations éligibles des propriétaires et des membres du groupe

Vos principaux peuvent ne pas nécessiter l’appartenance permanente ou la propriété des groupes, car ils ne nécessitent pas les privilèges accordés par le biais de l’appartenance ou de la propriété en permanence. Dans ce cas, PIM pour les groupes vous permet de rendre les principaux éligibles pour l’appartenance ou la propriété des groupes.

Lorsqu’un principal a une affectation éligible, il active son affectation lorsqu’il a besoin des privilèges accordés par le biais des groupes pour effectuer des tâches privilégiées. Une affectation éligible peut être permanente ou temporaire. L’activation est toujours limitée pendant un maximum de 8 heures. Le principal peut également étendre ou renouveler son appartenance ou sa propriété au groupe.

Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les API de groupes afin de gérer les affectations éligibles pour les principaux et les API correspondantes à appeler.

Scenarios	API
Un administrateur : Crée une appartenance ou une attribution de propriété éligible pour le groupe Renouvelle, met à jour, étend ou supprime une attribution d’appartenance/propriété éligible pour le groupe Désactive, étend ou renouvelle leur propre éligibilité d’appartenance ou de propriété	Create eligibilityScheduleRequest
Un administrateur interroge toutes les demandes d’appartenance ou de propriété éligibles et leurs détails	List eligibilityScheduleRequests
Un administrateur interroge une demande d’appartenance ou de propriété éligible et ses détails	Get eligibilityScheduleRequest
Un administrateur annule une demande d’appartenance ou de propriété éligible qu’il a créée	privilegedAccessGroupEligibilityScheduleRequest :cancel
Un principal interroge ses informations d’appartenance ou de propriété éligibles	privilegedAccessGroupEligibilityScheduleRequest : filterByCurrentUser

Paramètres de stratégie dans PIM pour les groupes

PIM pour les groupes définit des paramètres ou des règles qui régissent la façon dont les principaux peuvent être attribués à l’appartenance ou à la propriété de la sécurité et de la Groupes Microsoft 365. Ces règles incluent si l’authentification multifacteur (MFA), la justification ou l’approbation est nécessaire pour activer une appartenance ou une propriété éligible pour un groupe, ou si vous pouvez créer des affectations permanentes ou des éligibilités pour les principaux des groupes. Les règles sont définies dans les stratégies et une stratégie peut être appliquée à un groupe.

Dans Microsoft Graph, ces règles sont gérées via les types de ressources unifiedRoleManagementPolicy et unifiedRoleManagementPolicyAssignment et leurs méthodes associées.

Par exemple, supposons que par défaut, PIM pour les groupes n’autorise pas les attributions d’appartenance et de propriété actives permanentes et définit un maximum de six mois pour les affectations actives. Toute tentative de création d’un objet privilegedAccessGroupAssignmentScheduleRequest sans date d’expiration retourne un 400 Bad Request code de réponse en cas de violation de la règle d’expiration.

PIM pour les groupes vous permet de configurer différentes règles, notamment :

• Si des principaux peuvent être affectés à des affectations éligibles permanentes
• Durée maximale autorisée pour l’activation d’une appartenance ou d’une propriété de groupe et si une justification ou une approbation est requise pour activer l’appartenance ou la propriété éligible
• Utilisateurs autorisés à approuver les demandes d’activation d’une appartenance ou d’une propriété de groupe
• Si l’authentification multifacteur est requise pour activer et appliquer une appartenance à un groupe ou une attribution de propriété
• Les principaux qui sont informés de l’appartenance à un groupe ou des activations de propriété

Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les groupes afin de gérer les règles et les API à appeler.

Scénarios	API
Récupérer pim pour les stratégies de groupes et les règles ou paramètres associés	List unifiedRoleManagementPolicies
Récupérer une stratégie PIM pour les groupes et ses règles ou paramètres associés	Obtenir unifiedRoleManagementPolicy
Mettre à jour une stratégie PIM pour les groupes sur ses règles ou paramètres associés	Mettre à jour unifiedRoleManagementPolicy
Récupérer les règles définies pour une stratégie PIM pour les groupes	List rules
Récupérer une règle définie pour une stratégie PIM pour les groupes	Obtenir unifiedRoleManagementPolicyRule
Mettre à jour une règle définie pour une stratégie PIM pour les groupes	Mettre à jour unifiedRoleManagementPolicyRule
Obtenir les détails de toutes les affectations de stratégie PIM pour les groupes, y compris les stratégies et les règles associées à l’appartenance et à la propriété des groupes	Répertorier unifiedRoleManagementPolicyAssignments
Obtenir les détails d’une affectation de stratégie PIM pour les groupes, y compris la stratégie et les règles associées à l’appartenance ou à la propriété des groupes	Obtenir unifiedRoleManagementPolicyAssignment

Pour plus d’informations sur l’utilisation de Microsoft Graph pour configurer des règles, consultez Vue d’ensemble des règles dans les API PIM dans Microsoft Graph. Pour obtenir des exemples de règles de mise à jour, consultez Utiliser les API PIM dans Microsoft Graph pour mettre à jour les règles.

Intégration de groupes à PIM pour les groupes

Vous ne pouvez pas intégrer explicitement un groupe à PIM pour les groupes. Lorsque vous demandez à ajouter une affectation à un groupe à l’aide de Create assignmentScheduleRequest ou Create eligibilityScheduleRequest, ou que vous mettez à jour la stratégie PIM (paramètres de rôle) pour un groupe à l’aide de Update unifiedRoleManagementPolicy ou update unifiedRoleManagementPolicyRule, le groupe est intégré automatiquement à PIM s’il n’a pas été intégré auparavant.

Vous pouvez appeler l’une des API suivantes pour les groupes qui sont intégrés à PIM et les groupes qui ne sont pas encore intégrés à PIM, mais nous vous recommandons de le faire uniquement pour les groupes qui sont intégrés à PIM afin de réduire les risques de limitation.

• Répertorier assignmentScheduleRequests
• Répertorier assignmentSchedules
• List assignmentScheduleInstances,
• List eligibilityScheduleRequests
• Lister les éligibilitéSchedules
• List eligibilityScheduleInstances

Une fois que PIM a intégré un groupe, les ID des stratégies PIM et des affectations de stratégie du groupe spécifique changent. Appelez l’API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment pour obtenir les ID mis à jour.

Une fois que PIM intègre un groupe, vous ne pouvez pas le désactiver, mais vous pouvez supprimer toutes les affectations éligibles et limitées dans le temps si nécessaire.

PIM pour les groupes et l’objet de groupe

L’appartenance et la propriété de toute sécurité et groupe Microsoft 365 (à l’exception des groupes dynamiques et synchronisés à partir d’un emplacement local) peuvent être régies par le biais de PIM pour les groupes. Le groupe n’a pas besoin d’être assignable à un rôle pour être activé dans PIM pour les groupes.

Lorsque vous attribuez une appartenance ou une propriété permanente ou temporaire active à un principal d’un groupe, ou lorsqu’il effectue une activation juste-à-temps :

• Les détails du principal sont retournés lorsque vous interrogez les relations des membres et des propriétaires via les API Lister les membres du groupe ou Propriétaires de groupe de listes.
• Vous pouvez supprimer le principal du groupe à l’aide des API Supprimer le propriétaire du groupe ou Supprimer un membre du groupe .
• Si les modifications apportées au groupe sont suivies à l’aide des fonctions Obtenir le delta et Obtenir le delta pour les objets d’annuaire , un @odata.nextLink contient le nouveau membre ou propriétaire.
• Les modifications apportées aux membres et aux propriétaires de groupe via PIM pour les groupes sont enregistrées Microsoft Entra journaux d’audit et peuvent être lues via l’API Répertorier les audits d’annuaire.

Lorsqu’un principal se voit attribuer une appartenance ou une propriété permanente ou temporaire éligible à un groupe, les relations entre les membres et les propriétaires du groupe ne sont pas mises à jour.

Lorsque l’appartenance ou la propriété active temporaire d’un principal d’un groupe expire :

• Les détails du principal sont automatiquement supprimés des relations entre les membres et les propriétaires .
• Si les modifications apportées au groupe sont suivies à l’aide des fonctions Obtenir le delta et Obtenir le delta pour les objets d’annuaire , un @odata.nextLink indique le membre ou le propriétaire du groupe supprimé.

Confiance Zéro

Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :

• Vérifiez explicitement.
• Utiliser le privilège minimum
• Supposez une violation.

Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.

Licences

Le locataire dans lequel Privileged Identity Management est utilisé doit disposer de suffisamment de licences achetées ou d’évaluation. Pour plus d’informations, consultez Gouvernance Microsoft Entra ID principes de base des licences.

Contenu connexe

• Microsoft Entra les opérations de sécurité pour Privileged Identity Management dans le centre d’architecture Microsoft Entra