Gérer Microsoft Entra attributions de rôles à l’aide d’API PIM
Privileged Identity Management (PIM) est une fonctionnalité de Gouvernance Microsoft Entra ID qui vous permet de gérer, de contrôler et de surveiller l’accès aux ressources importantes de votre organization. L’attribution de rôles Microsoft Entra est une méthode permettant aux principaux tels que les utilisateurs, les groupes et les principaux de service (applications) d’accéder à des ressources importantes.
Les API PIM pour les rôles Microsoft Entra vous permettent de régir l’accès privilégié et de limiter l’accès excessif aux rôles Microsoft Entra. Cet article présente les fonctionnalités de gouvernance de PIM pour les API de rôles Microsoft Entra dans Microsoft Graph.
Remarque
Pour gérer les rôles de ressources Azure, utilisez les API Azure Resource Manager (ARM) pour PIM.
Les API PIM pour la gestion des alertes de sécurité pour les rôles Microsoft Entra sont disponibles uniquement sur le point de beta terminaison. Pour plus d’informations, consultez Alertes de sécurité pour les rôles Microsoft Entra.
API PIM pour la gestion des attributions de rôles actives
PIM vous permet de gérer les attributions de rôles actives en créant des affectations permanentes ou temporaires. Utilisez le type de ressource unifiedRoleAssignmentScheduleRequest et ses méthodes associées pour gérer les attributions de rôles.
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour gérer les attributions de rôles et les API à appeler.
| Scénarios | API |
|---|---|
| Un administrateur crée et attribue à un principal une attribution de rôle permanente Un administrateur attribue à un principal un rôle temporaire |
Create roleAssignmentScheduleRequests |
| Un administrateur renouvelle, met à jour, étend ou supprime des attributions de rôles | Create roleAssignmentScheduleRequests |
| Un administrateur interroge toutes les attributions de rôles et leurs détails | List roleAssignmentScheduleRequests |
| Un administrateur interroge une attribution de rôle et ses détails | Get unifiedRoleAssignmentScheduleRequest |
| Un principal interroge ses attributions de rôles et les détails | unifiedRoleAssignmentScheduleRequest : filterByCurrentUser |
| Un principal effectue une activation juste-à-temps et limitée dans le temps de son attribution de rôle éligible | Create roleAssignmentScheduleRequests |
| Un principal annule une demande d’attribution de rôle qu’il a créée | unifiedRoleAssignmentScheduleRequest : cancel |
| Un principal qui a activé son attribution de rôle éligible la désactive lorsqu’il n’a plus besoin d’accès | Create roleAssignmentScheduleRequests |
| Un principal désactive, étend ou renouvelle son propre attribution de rôle. | Create roleAssignmentScheduleRequests |
API PIM pour la gestion des éligibilités aux rôles
Vos principaux peuvent ne pas nécessiter d’attributions de rôles permanentes, car ils peuvent ne pas nécessiter les privilèges accordés via le rôle privilégié en permanence. Dans ce cas, PIM vous permet également de créer des éligibilités aux rôles et de les attribuer aux principaux. Avec les éligibilités aux rôles, le principal active le rôle lorsqu’il a besoin d’effectuer des tâches privilégiées. L’activation est toujours limitée pendant un maximum de 8 heures. L’éligibilité au rôle peut également être une éligibilité permanente ou temporaire.
Utilisez le type de ressource unifiedRoleEligibilityScheduleRequest et ses méthodes associées pour gérer l’éligibilité des rôles.
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour gérer les éligibilités aux rôles et les API à appeler.
| Scénarios | API |
|---|---|
| Un administrateur crée et attribue à un principal un rôle éligible Un administrateur attribue une éligibilité à un rôle temporaire à un principal |
Créer roleEligibilityScheduleRequests |
| Un administrateur renouvelle, met à jour, étend ou supprime les éligibilités aux rôles | Créer roleEligibilityScheduleRequests |
| Un administrateur interroge toutes les éligibilités aux rôles et leurs détails | List roleEligibilityScheduleRequests |
| Un administrateur interroge l’éligibilité d’un rôle et ses détails | Obtenir unifiedRoleEligibilityScheduleRequest |
| Un administrateur annule une demande d’éligibilité de rôle qu’il a créée | unifiedRoleEligibilityScheduleRequest : cancel |
| Un principal interroge son éligibilité au rôle et les détails | unifiedRoleEligibilityScheduleRequest : filterByCurrentUser |
| Un principal désactive, étend ou renouvelle son propre éligibilité à un rôle. | Créer roleEligibilityScheduleRequests |
Paramètres de rôle et PIM
Chaque rôle Microsoft Entra définit des paramètres ou des règles. Ces règles incluent si l’authentification multifacteur (MFA), la justification ou l’approbation est nécessaire pour activer un rôle éligible, ou si vous pouvez créer des affectations permanentes ou des éligibilités pour les principaux du rôle. Ces règles spécifiques aux rôles déterminent les paramètres que vous pouvez appliquer lors de la création ou de la gestion des attributions de rôles et de l’éligibilité via PIM.
Dans Microsoft Graph, ces règles sont gérées via les types de ressources unifiedRoleManagementPolicy et unifiedRoleManagementPolicyAssignment et leurs méthodes associées.
Par exemple, supposons que par défaut, un rôle n’autorise pas les affectations actives permanentes et définit un maximum de 15 jours pour les affectations actives. Toute tentative de création d’un objet unifiedRoleAssignmentScheduleRequest sans date d’expiration retourne un 400 Bad Request code de réponse en cas de violation de la règle d’expiration.
PIM vous permet de configurer différentes règles, notamment :
- Si des principaux peuvent être affectés à des affectations éligibles permanentes
- Durée maximale autorisée pour une activation de rôle et si une justification ou une approbation est requise pour activer les rôles éligibles
- Les utilisateurs autorisés à approuver les demandes d’activation pour un rôle Microsoft Entra
- Si l’authentification multifacteur est requise pour activer et appliquer une attribution de rôle
- Les principaux qui sont avertis des activations de rôle
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour gérer les règles pour les rôles Microsoft Entra et les API à appeler.
| Scénarios | API |
|---|---|
| Récupérer les stratégies de gestion des rôles et les règles ou paramètres associés | List unifiedRoleManagementPolicies |
| Récupérer une stratégie de gestion des rôles et ses règles ou paramètres associés | Obtenir unifiedRoleManagementPolicy |
| Mettre à jour une stratégie de gestion des rôles sur ses règles ou paramètres associés | Mettre à jour unifiedRoleManagementPolicy |
| Récupérer les règles définies pour la stratégie de gestion des rôles | List rules |
| Récupérer une règle définie pour une stratégie de gestion des rôles | Obtenir unifiedRoleManagementPolicyRule |
| Mettre à jour une règle définie pour une stratégie de gestion des rôles | Mettre à jour unifiedRoleManagementPolicyRule |
| Obtenir les détails de toutes les attributions de stratégie de gestion des rôles, y compris les stratégies et les règles ou les paramètres associés aux rôles Microsoft Entra | Répertorier unifiedRoleManagementPolicyAssignments |
| Obtenir les détails d’une attribution de stratégie de gestion des rôles, y compris la stratégie et les règles ou paramètres associés au rôle Microsoft Entra | Obtenir unifiedRoleManagementPolicyAssignment |
Pour plus d’informations sur l’utilisation de Microsoft Graph pour configurer des règles, consultez Vue d’ensemble des règles pour les rôles Microsoft Entra dans les API PIM. Pour obtenir des exemples de mise à jour des règles, consultez Utiliser les API PIM pour mettre à jour des règles pour les rôles Microsoft Entra ID.
Confiance Zéro
Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :
- Vérifiez explicitement.
- Utiliser le privilège minimum
- Supposez une violation.
Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.
Licences
Le locataire dans lequel Privileged Identity Management est utilisé doit disposer de suffisamment de licences achetées ou d’évaluation. Pour plus d’informations, consultez Gouvernance Microsoft Entra ID principes de base des licences.
Contenu connexe
- Qu’est-ce que Microsoft Entra Privileged Identity Management ?
- Pour en savoir plus sur les paramètres de rôle dans PIM, consultez les articles suivants :
- Suivez ces tutoriels pour en savoir plus sur l’utilisation des API PIM
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour