Privileged Identity Management (Azure)
O Privileged Identity Management (PIM), parte do Microsoft Entra, inclui três provedores:
- PIM para funções do Microsoft Entra
- PIM para Recursos do Azure
- PIM para grupos
Você pode gerenciar atribuições no PIM para funções do Microsoft Entra e PIM para Grupos usando o Microsoft Graph. Você pode gerenciar atribuições no PIM para Recursos do Azure usando APIs do Azure Resource Manager. Este artigo descreve conceitos importantes para uso das APIs para Privileged Identity Management.
Encontre mais detalhes sobre APIs que permitem gerenciar atribuições na documentação:
- Referência da API de funções do PIM para o Microsoft Entra
- PIM para referência de API de funções de recurso do Azure
- Referência da API do PIM para Grupos
- Referência da API de funções de Alertas do PIM para o Microsoft Entra
- Referência da API de Alertas do PIM para Recursos do Azure
Histórico de API do PIM
Tivemos várias iterações das APIs do PIM ao longo dos últimos anos. Tivemos algumas sobreposições em termos de funcionalidade, mas estas não representam uma progressão linear das versões.
Iteração 1 – Preterida
No âmbito do ponto de extremidade de /beta/privilegedRoles
, a Microsoft teve uma versão clássica da API do PIM que dava suporte apenas às funções do Microsoft Entra e não tem mais suporte. O acesso a essa API foi preterido em junho de 2021.
Iteração 2 – dá suporte a funções do Microsoft Entra e funções de recurso do Azure
Antes do ponto de extremidade /beta/privilegedAccess
, a Microsoft dava suporte para /aadRoles
e /azureResources
. Esse ponto de extremidade ainda está disponível em seu locatário, mas a Microsoft recomenda não iniciar qualquer novo desenvolvimento com essa API. Essa API nunca será lançada em disponibilidade geral e, eventualmente, será preterida.
Iteração 3 (atual) - PIM para funções do Microsoft Entra, grupos na API do Microsoft Graph e para recursos do Azure na API do ARM
Essa é a iteração final da API do PIM. Ele inclui:
- PIM para funções do Microsoft Entra na API do Microsoft Graph – em disponibilidade geral.
- PIM para recursos do Azure na API do ARM - disponível para o público geral.
- PIM para grupos na API do Microsoft Graph — em disponibilidade geral.
- Alertas do PIM para funções do Microsoft Entra na API do Microsoft Graph — Versão Prévia.
- Alertas do PIM para recursos do Azure na API do ARM — Versão Prévia.
Ter o PIM para funções do Microsoft Entra na API do Microsoft Graph e o PIM para recursos do Azure na API do ARM oferece alguns benefícios, incluindo:
- Alinhamento das APIs do PIM para atribuição regular de funções, tanto para funções do Microsoft Entra quanto do Azure Resource.
- Redução da necessidade de chamar outras APIs de PIM para carregar um recurso, obter um recurso ou obter uma definição de função.
- Suporte a permissões somente de aplicativo.
- Novos recursos, como aprovação e configuração de notificação por email.
Visão geral da iteração 3 da API do PIM
AS APIs do PIM entre provedores (APIs do Microsoft Graph e APIs do ARM) seguem os mesmos princípios.
Gerenciamento de atribuições
Para criar atribuição (ativa ou qualificada), renovar, estender, de atribuição de atualização (ativa ou qualificada), ativar atribuição qualificada, desativar atribuição qualificada, use os recursos *AssignmentScheduleRequest e *EligibilityScheduleRequest:
- Para funções do Microsoft Entra: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- Para recursos do Azure: Solicitação de Agendamento de Atribuição de Função, Solicitação de Agendamento de Qualificação de Função;
- Para Grupos: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
A criação de objetos *AssignmentScheduleRequest ou *EligibilityScheduleRequest pode levar à criação de objetos *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance somente leitura.
- Os objetos *AssignmentSchedule e *EligibilitySchedule mostram as atribuições atuais e as solicitações para que as atribuições sejam criadas no futuro.
- Os objetos *AssignmentScheduleInstance e *EligibilityScheduleInstance mostram apenas as atribuições atuais.
Quando uma atribuição qualificada é ativada (Criar *AssignmentScheduleRequest foi chamado), a *EligibilityScheduleInstance continua a existir e um novo *AssignmentSchedule e objetos de *AssignmentScheduleInstance são criados para essa duração ativada.
Para obter mais informações sobre APIs de atribuição e ativação, confira API do PIM para gerenciar atribuições de função e qualificações.
Políticas do PIM (configurações de função)
Para gerenciar as políticas do PIM, use as entidades *roleManagementPolicy e *roleManagementPolicyAssignment:
- Para o PIM para funções do Microsoft Entra, PIM para Grupos: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Para recursos do PIM para Azure: Políticas de Gerenciamento de Funções, Atribuições de Política de Gerenciamento de Funções
O recurso *roleManagementPolicy inclui regras que constituem a política do PIM: requisitos de aprovação, duração máxima da ativação, configurações de notificação etc.
O objeto *roleManagementPolicyAssignment anexa a política a uma função específica.
Para obter mais informações sobre as APIs de configurações de política, confira as configurações de função e o PIM.
Permissões
PIM para funções do Microsoft Entra
Para obter as permissões do Microsoft Graph necessárias para as funções do PIM para o Microsoft Entra, confira as páginas de referência da API REST correspondente.
PIM para Recursos do Azure
As APIs do PIM para funções de recursos do Azure são desenvolvidas tendo como base a estrutura do Azure Resource Manager. Você precisa dar seu consentimento ao Gerenciamento de Recursos do Azure, mas não precisa de nenhuma permissão do Microsoft Graph. Você também precisará se certificar de que o usuário ou a entidade de serviço que estão chamando a API tenham pelo menos a função de Proprietário ou de Administrador de Acesso do Usuário no recurso que você está tentando administrar.
PIM para grupos
Para obter as permissões do Microsoft Graph necessárias para o PIM para Grupos, confira as páginas de referência da API REST correspondente.
Relação entre entidades PIM e entidades de atribuição de função
O único link entre a entidade do PIM e a entidade de atribuição de função para a atribuição persistente (ativa) para funções do Microsoft Entra ou funções do Azure é o *AssignmentScheduleInstance. Um mapeamento um-para-um ocorre entre as duas entidades. Esse mapeamento significa que o roleAssignment e o*AssignmentScheduleInstance incluem:
- Atribuições persistentes (ativas) feitas fora do PIM
- Atribuições persistentes (ativas) com uma agenda feita dentro do PIM
- Atribuições qualificadas ativadas
As propriedades específicas do PIM (como a hora de término) estarão disponíveis somente por meio do objeto *AssignmentScheduleInstance.