Privileged Identity Management-API's

  • Artikel

Privileged Identity Management (PIM), onderdeel van Microsoft Entra, omvat drie providers:

  • PIM voor Microsoft Entra-rollen
  • PIM voor Azure-resources
  • PIM voor groepen

U kunt toewijzingen beheren in PIM voor Microsoft Entra-rollen en PIM voor groepen met behulp van Microsoft Graph API. U kunt toewijzingen beheren in PIM voor Azure-resources met behulp van de ARM-API (Azure Resource Manager). In dit artikel worden belangrijke concepten beschreven voor het gebruik van de API's voor Privileged Identity Management.

Meer informatie over API's waarmee toewijzingen kunnen worden beheerd in de documentatie:

PIM API-geschiedenis

De afgelopen jaren zijn er verschillende iteraties van de PIM-API geweest. U vindt enkele overlappingen in functionaliteit, maar ze vertegenwoordigen geen lineaire voortgang van versies.

Iteratie 1 – afgeschaft

Onder het eindpunt /beta/privilegedRoles had Microsoft een klassieke versie van de PIM-API, die alleen Microsoft Entra-rollen ondersteunde en niet meer wordt ondersteund. De toegang tot deze API is in juni 2021 afgeschaft.

Iteratie 2: ondersteunt Microsoft Entra-rollen en Azure-resourcerollen

Onder het /beta/privilegedAccess eindpunt ondersteunde Microsoft zowel als /aadRoles/azureResources. Dit eindpunt is nog steeds beschikbaar in uw tenant, maar Microsoft raadt aan om nieuwe ontwikkeling met deze API te starten. Deze bèta-API wordt nooit uitgebracht voor algemene beschikbaarheid en wordt uiteindelijk afgeschaft.

Iteratie 3 (Current) – PIM voor Microsoft Entra-rollen, groepen in Microsoft Graph API en voor Azure-resources in ARM API

Dit is de laatste iteratie van de PIM-API. Deze bevat:

  • PIM voor Microsoft Entra-rollen in Microsoft Graph API - algemeen beschikbaar.
  • PIM voor Azure-resources in ARM API : algemeen beschikbaar.
  • PIM voor groepen in Microsoft Graph API - Preview.
  • PIM-waarschuwingen voor Microsoft Entra-rollen in Microsoft Graph API - Preview.
  • PIM-waarschuwingen voor Azure-resources in ARM API - Preview.

Pim voor Microsoft Entra-rollen in Microsoft Graph API en PIM voor Azure-resources in ARM API bieden enkele voordelen, waaronder:

  • Uitlijning van de PIM-API voor reguliere roltoewijzings-API voor zowel Microsoft Entra-rollen als Azure-resourcerollen.
  • Het verminderen van de noodzaak om extra PIM-API aan te roepen om een resource te onboarden, een resource op te halen of roldefinitie op te halen.
  • Ondersteunende machtigingen voor alleen apps.
  • Nieuwe functies, zoals goedkeuring en configuratie van e-mailmeldingen.

Overzicht van PIM API-iteratie 3

PIM-API's tussen providers (zowel Microsoft Graph API's als ARM-API's) volgen dezelfde principes.

Toewijzingsbeheer

Als u een toewijzing wilt maken (actief of in aanmerking komend), verlengt, verlengt, verlengt, verlengt u de updatetoewijzing (actief of in aanmerking komt), activeert u de in aanmerking komende toewijzing, gebruikt u resources *AssignmentScheduleRequest en *EligibilityScheduleRequest:

Het maken van objecten *AssignmentScheduleRequest of *EligibilityScheduleRequest kan leiden tot het maken van alleen-lezen *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance en *EligibilityScheduleInstance-objecten.

  • *AssignmentSchedule- en *EligibilitySchedule-objecten tonen huidige toewijzingen en aanvragen voor toewijzingen die in de toekomst moeten worden gemaakt.
  • *AssignmentScheduleInstance en *EligibilityScheduleInstance-objecten geven alleen huidige toewijzingen weer.

Wanneer een in aanmerking komende toewijzing is geactiveerd (Create*AssignmentScheduleRequest is aangeroepen), blijft de *EligibilityScheduleInstance bestaan, worden nieuwe *AssignmentSchedule- en *AssignmentScheduleInstance-objecten gemaakt voor die geactiveerde duur.

Zie PIM API voor het beheren van roltoewijzingen en eligibiliteiten voor meer informatie over toewijzings- en activerings-API's.

PIM-beleid (rolinstellingen)

Als u het PIM-beleid wilt beheren, gebruikt u de entiteiten *roleManagementPolicy en *roleManagementPolicyAssignment :

De resource *roleManagementPolicy bevat regels die PIM-beleid vormen: goedkeuringsvereisten, maximale activeringsduur, meldingsinstellingen, enzovoort.

Het object *roleManagementPolicyAssignment koppelt het beleid aan een specifieke rol.

Zie rolinstellingen en PIM voor meer informatie over de API's voor beleidsinstellingen.

Bevoegdheden

PIM voor Microsoft Entra-rollen

Zie Rolbeheermachtigingen voor Graph API-machtigingen die vereist zijn voor PIM voor Microsoft Entra-rollen.

PIM voor Azure-resources

De PIM-API voor Azure-resourcerollen wordt ontwikkeld boven op het Azure Resource Manager-framework. U moet toestemming geven voor Azure Resource Management, maar u hebt geen Microsoft Graph API-machtiging nodig. U moet er ook voor zorgen dat de gebruiker of de service-principal die de API aanroept, ten minste de rol Eigenaar of Gebruikerstoegang heeft Beheer istrator voor de resource die u probeert te beheren.

PIM voor groepen

Zie PIM for Groups ( Machtigingen en bevoegdheden) voor Graph API-machtigingen die vereist zijn voor PIM voor groepen.

Relatie tussen PIM-entiteiten en roltoewijzingsentiteiten

De enige koppeling tussen de PIM-entiteit en de roltoewijzingsentiteit voor permanente (actieve) toewijzing voor Microsoft Entra-rollen of Azure-rollen is de *AssignmentScheduleInstance. Er is een een-op-een-toewijzing tussen de twee entiteiten. Deze toewijzing betekent dat roleAssignment en *AssignmentScheduleInstance beide zijn:

  • Permanente (actieve) toewijzingen buiten PIM
  • Permanente (actieve) toewijzingen met een schema gemaakt in PIM
  • Geactiveerde in aanmerking komende toewijzingen

PIM-specifieke eigenschappen (zoals eindtijd) zijn alleen beschikbaar via het object *AssignmentScheduleInstance .

Volgende stappen