API Privileged Identity Management
Privileged Identity Management (PIM), parte di Microsoft Entra, include tre provider:
- PIM per i ruoli di Microsoft Entra
- PIM per risorse di Azure
- PIM per i gruppi
È possibile gestire le assegnazioni in PIM per i ruoli di Microsoft Entra e PIM per i gruppi usando l'API Microsoft Graph. È possibile gestire le assegnazioni in PIM per le risorse di Azure usando l'API di Azure Resource Manager (ARM). Questo articolo descrive concetti importanti per l'uso delle API per Privileged Identity Management.
Per altre informazioni sulle API che consentono di gestire le assegnazioni, vedere la documentazione:
- Informazioni di riferimento sulle API per i ruoli di PIM per Microsoft Entra
- Informazioni di riferimento sulle API per i ruoli delle risorse di PIM per Azure
- Informazioni di riferimento sulle API PIM per i gruppi
- Informazioni di riferimento sulle API per i ruoli di PIM Per i ruoli di Microsoft Entra
- Informazioni di riferimento sulle API per gli avvisi PIM per le risorse di Azure
Cronologia API PIM
Negli ultimi anni sono state eseguite diverse iterazioni dell'API PIM. Alcune sovrapposizioni sono disponibili nelle funzionalità, ma non rappresentano una progressione lineare delle versioni.
Iterazione 1 - Deprecato
Nell'endpoint /beta/privilegedRoles, Microsoft aveva una versione classica dell'API PIM, che supportava solo i ruoli Microsoft Entra e non è più supportata. L'accesso a questa API è stato deprecato nel giugno 2021.
Iterazione 2: supporta i ruoli di Microsoft Entra e i ruoli delle risorse di Azure
Nell'endpoint /beta/privilegedAccess
Microsoft supporta sia /aadRoles
che /azureResources
. Questo endpoint è ancora disponibile nel tenant, ma Microsoft consiglia di iniziare qualsiasi nuovo sviluppo con questa API. Questa API beta non verrà mai rilasciata a disponibilità generale e verrà infine deprecata.
Iterazione 3 (corrente): PIM per ruoli di Microsoft Entra, gruppi nell'API Microsoft Graph e per le risorse di Azure nell'API ARM
Questa è l'iterazione finale dell'API PIM. Comprende:
- PIM per i ruoli di Microsoft Entra nell'API Microsoft Graph : disponibile a livello generale.
- PIM per le risorse di Azure nell'API ARM : disponibile a livello generale.
- PIM per i gruppi nell'API Microsoft Graph - Anteprima.
- Avvisi PIM per i ruoli Di Microsoft Entra nell'API Microsoft Graph - Anteprima.
- Avvisi PIM per le risorse di Azure nell'API ARM - Anteprima.
La presenza di PIM per i ruoli Microsoft Entra nell'API Microsoft Graph e PIM per le risorse di Azure nell'API ARM offre alcuni vantaggi, tra cui:
- Allineamento dell'API PIM per l'API di assegnazione di ruolo regolare sia per i ruoli di Microsoft Entra che per i ruoli delle risorse di Azure.
- Riduzione della necessità di chiamare un'API PIM aggiuntiva per eseguire l'onboarding di una risorsa, ottenere una risorsa o ottenere la definizione del ruolo.
- Supporto delle autorizzazioni solo app.
- Nuove funzionalità, ad esempio l'approvazione e la configurazione delle notifiche tramite posta elettronica.
Panoramica dell'iterazione dell'API PIM 3
Le API PIM tra provider (API Microsoft Graph e API ARM) seguono gli stessi principi.
Gestione delle assegnazioni
Per creare un'assegnazione (attiva o idonea), rinnovare, estendere, aggiornare l'assegnazione (attiva o idonea), attivare l'assegnazione idonea, disattivare l'assegnazione idonea, usare le risorse *AssignmentScheduleRequest e *EligibilityScheduleRequest:
- Per i ruoli di Microsoft Entra: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- Per le risorse di Azure: Richiesta pianificazione assegnazione ruolo, Richiesta pianificazione idoneità ruolo;
- Per i gruppi: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
La creazione di oggetti *AssignmentScheduleRequest o *EligibilityScheduleRequest può causare la creazione di oggetti *AssignmentSchedule di sola lettura, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance.
- *AssignmentSchedule e *EligibilitySchedule objects show current assignments and requests for assignments to be created in future.
- *AssignmentScheduleInstance e *EligibilityScheduleInstance oggetti mostrano solo le assegnazioni correnti.
Quando viene attivata un'assegnazione idonea (è stato chiamato Create*AssignmentScheduleRequest), *EligibilityScheduleInstance continua ad esistere, new *AssignmentSchedule and a *AssignmentScheduleInstance objects will be created for that activated duration.
Per altre informazioni sulle API di assegnazione e attivazione, vedere API PIM per la gestione delle assegnazioni di ruolo e delle idoneità.
Criteri PIM (impostazioni del ruolo)
Per gestire i criteri PIM, usare *roleManagementPolicy e *roleManagementPolicyAssignment entities:
- Per i ruoli PIM per Microsoft Entra, PIM per i gruppi: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Per PIM per le risorse di Azure: Criteri di gestione dei ruoli, Assegnazioni dei criteri di gestione dei ruoli
La risorsa *roleManagementPolicy include regole che costituiscono criteri PIM: requisiti di approvazione, durata massima dell'attivazione, impostazioni di notifica e così via.
L'oggetto *roleManagementPolicyAssignment associa i criteri a un ruolo specifico.
Per altre informazioni sulle API delle impostazioni dei criteri, vedere Impostazioni del ruolo e PIM.
Autorizzazioni
PIM per i ruoli di Microsoft Entra
Per le autorizzazioni dell'API Graph necessarie per i ruoli PIM per Microsoft Entra, vedere Autorizzazioni di gestione dei ruoli.
PIM per risorse di Azure
L'API PIM per i ruoli delle risorse di Azure viene sviluppata in base al framework di Azure Resource Manager. Sarà necessario fornire il consenso a Gestione risorse di Azure, ma non sarà necessaria alcuna autorizzazione per l'API Microsoft Graph. È anche necessario assicurarsi che l'utente o l'entità servizio che chiama l'API abbia almeno il ruolo Proprietario o Accesso utente Amministrazione istrator nella risorsa che si sta tentando di amministrare.
PIM per i gruppi
Per le autorizzazioni dell'API Graph necessarie per PIM per i gruppi, vedere PIM per gruppi - Autorizzazioni e privilegi.
Relazione tra entità PIM ed entità di assegnazione di ruolo
L'unico collegamento tra l'entità PIM e l'entità di assegnazione di ruolo per l'assegnazione permanente (attiva) per i ruoli di Microsoft Entra o di Azure è * AssignmentScheduleInstance. Esiste un mapping uno-a-uno tra le due entità. Questo mapping indica che roleAssignment e *AssignmentScheduleInstance includerebbero entrambi:
- Assegnazioni persistenti (attive) eseguite all'esterno di PIM
- Assegnazioni persistenti (attive) con una pianificazione eseguita all'interno di PIM
- Assegnazioni idonee attivate
Le proprietà specifiche di PIM (ad esempio l'ora di fine) saranno disponibili solo tramite l'oggetto *AssignmentScheduleInstance .