Governar a associação e a propriedade de grupos com o PIM para grupos

Com Privileged Identity Management para grupos (PIM para grupos), pode governar a forma como os principais são atribuídos à associação ou propriedade dos grupos. A segurança e Grupos do Microsoft 365 são recursos críticos que pode utilizar para fornecer acesso a recursos da cloud da Microsoft, como funções de Microsoft Entra, funções do Azure, SQL do Azure, Key Vault do Azure, Intune e aplicações de terceiros. O PIM para grupos dá-lhe mais controlo sobre como e quando os principais são membros ou proprietários de grupos e, por conseguinte, têm privilégios concedidos através da associação ou propriedade do grupo.

O PIM para APIs de grupos no Microsoft Graph fornece-lhe mais governação sobre segurança e Grupos do Microsoft 365, tais como as seguintes capacidades:

• Fornecer aos principais a associação just-in-time ou a propriedade dos grupos
• Atribuir associação temporária a principais ou propriedade de grupos

Este artigo apresenta as capacidades de governação das APIs para PIM para grupos no Microsoft Graph.

PIM para APIs de grupos para gerir atribuições ativas de proprietários e membros de grupos

O PIM para APIs de grupos no Microsoft Graph permite-lhe atribuir associações ou propriedades permanentes ou temporárias e com limite de tempo aos grupos.

A tabela seguinte lista cenários para utilizar o PIM para apIs de grupos para gerir atribuições ativas para principais e as APIs correspondentes a chamar.

Cenários	API
Um administrador: Atribui uma associação ou propriedade ativa principal a um grupo Renova, atualiza, expande ou remove um principal da respetiva associação ou propriedade ativa a um grupo Um principal: Efetua a ativação just-in-time e com limite de tempo da respetiva associação elegível ou atribuição de propriedade para um grupo Desativa a associação elegível e a atribuição de propriedade quando já não precisam de acesso Desativa, expande ou renova a sua própria atribuição de associação e propriedade	Criar atribuiçãoScheduleRequest
Um administrador lista todos os pedidos de associação ativa e atribuições de propriedade para um grupo	Listar atribuiçõesScheduleRequests
Um administrador lista todas as atribuições ativas e pedidos de criação de atribuições no futuro, para associação e propriedade de um grupo	List assignmentSchedules
Um administrador lista todas as atribuições de propriedade e associação ativas de um grupo	Listar atribuiçõesScheduleInstances
Um administrador consulta um membro e a atribuição de propriedade de um grupo e os respetivos detalhes	Obter privilegedAccessGroupAssignmentScheduleRequest
Um principal consulta os pedidos de associação ou atribuição de propriedade e os detalhes Um aprovador consulta os pedidos de associação ou propriedade a aguardar a aprovação e os detalhes destes pedidos	privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser
Um principal cancela um pedido de atribuição de propriedade ou associação que criou	privilegedAccessGroupAssignmentScheduleRequest: cancelar
Um aprovador obtém detalhes para o pedido de aprovação, incluindo informações sobre os passos de aprovação	Obter aprovação
Um aprovador aprova ou nega o pedido de aprovação ao aprovar ou negar o passo de aprovação	Atualizar aprovaçãoPasso

PIM para APIs de grupos para gerir atribuições elegíveis de proprietários e membros do grupo

Os seus principais podem não exigir a associação permanente ou a propriedade dos grupos, uma vez que não necessitam sempre dos privilégios concedidos através da associação ou propriedade. Neste caso, o PIM para grupos permite-lhe tornar os principais elegíveis para a associação ou propriedade dos grupos.

Quando um principal tem uma atribuição elegível, ativa a respetiva atribuição quando precisa dos privilégios concedidos através dos grupos para realizar tarefas privilegiadas. Uma atribuição elegível pode ser permanente ou temporária. A ativação tem sempre um limite de tempo máximo de 8 horas. O principal também pode expandir ou renovar a respetiva associação ou propriedade do grupo.

A tabela seguinte lista cenários para utilizar o PIM para apIs de grupos para gerir atribuições elegíveis para principais e as APIs correspondentes a chamar.

Cenários	API
Um administrador: Cria uma atribuição de propriedade ou associação elegível para o grupo Renova, atualiza, expande ou remove uma atribuição de associação/propriedade elegível para o grupo Desativa, expande ou renova a sua própria elegibilidade de associação/propriedade	Criar elegibilidadeScheduleRequest
Um administrador consulta todos os pedidos de propriedade ou associação elegíveis e os respetivos detalhes	Elegibilidade da listaScheduleRequests
Um administrador consulta um pedido de associação ou propriedade elegível e os respetivos detalhes	Obter elegibilidadeScheduleRequest
Um administrador cancela um pedido de associação ou propriedade elegível que criou	privilegedAccessGroupEligibilityScheduleRequest:cancel
Um principal consulta os respetivos dados de associação ou propriedade elegíveis	privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser

Definições de política no PIM para grupos

O PIM para grupos define definições ou regras que regem a forma como os principais podem ser atribuídos à associação ou propriedade de segurança e Grupos do Microsoft 365. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma associação ou propriedade elegível para um grupo ou se pode criar atribuições permanentes ou elegibilidades para principais para os grupos. As regras são definidas em políticas e uma política pode ser aplicada a um grupo.

No Microsoft Graph, estas regras são geridas através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.

Por exemplo, suponha que, por predefinição, o PIM para grupos não permite atribuições de associação ativa e propriedade permanentes e define um máximo de seis meses para atribuições ativas. Tentar criar um objeto privilegedAccessGroupAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request código de resposta para violação da regra de expiração.

O PIM para grupos permite-lhe configurar várias regras, incluindo:

• Se os principais podem ser atribuídos a atribuições elegíveis permanentes
• A duração máxima permitida para uma associação a um grupo ou ativação de propriedade e se a justificação ou aprovação é necessária para ativar a associação ou propriedade elegível
• Os utilizadores com permissão para aprovar pedidos de ativação para uma propriedade ou associação a um grupo
• Se a MFA é necessária para ativar e impor uma associação a um grupo ou atribuição de propriedade
• Os principais que são notificados das ativações de associação ou propriedade do grupo

A tabela seguinte lista os cenários para utilizar o PIM para grupos gerirem regras e as APIs a chamar.

Cenários	API
Obter o PIM para políticas de grupos e regras ou definições associadas	Listar unifiedRoleManagementPolicies
Obter um PIM para a política de grupos e as respetivas regras ou definições associadas	Obter unifiedRoleManagementPolicy
Atualizar um PIM para a política de grupos nas respetivas regras ou definições associadas	Atualizar unifiedRoleManagementPolicy
Obter as regras definidas para uma política PIM para grupos	Listar regras
Obter uma regra definida para um PIM para a política de grupos	Obter unifiedRoleManagementPolicyRule
Atualizar uma regra definida para um PIM para a política de grupos	Atualizar unifiedRoleManagementPolicyRule
Obtenha os detalhes de todos os PIMs para atribuições de políticas de grupos, incluindo as políticas e regras associadas à associação e propriedade dos grupos	Listar unifiedRoleManagementPolicyAssignments
Obtenha os detalhes de um PIM para atribuição de políticas de grupos, incluindo a política e as regras associadas à associação ou propriedade dos grupos	Obter unifiedRoleManagementPolicyAssignment

Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras nas APIs PIM no Microsoft Graph. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM no Microsoft Graph para atualizar regras.

Integração de grupos no PIM para grupos

Não pode integrar um grupo no PIM para grupos explicitamente. Quando pedir para adicionar a atribuição ao grupo através de Criar atribuiçãoScheduleRequest ou Criar elegibilidadeScheduleRequest ou atualizar a política PIM (definições de função) para um grupo através de Update unifiedRoleManagementPolicy ou Update unifiedRoleManagementPolicyRule, o grupo é integrado automaticamente no PIM se não tiver sido integrado anteriormente.

Pode chamar uma das seguintes APIs para ambos os grupos integrados no PIM e grupos que ainda não estão integrados no PIM, mas recomendamos que o faça apenas para grupos integrados no PIM para reduzir as possibilidades de limitação.

• Listar atribuiçõesScheduleRequests
• List assignmentSchedules
• List assignmentScheduleInstances,
• Elegibilidade da listaScheduleRequests
• Elegibilidade da listaSchedules
• Elegibilidade da listaScheduleInstances

Depois de o PIM integrar um grupo, os IDs das políticas pim e as atribuições de políticas da alteração específica do grupo. Chame a API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment para obter os IDs atualizados.

Assim que o PIM integrar um grupo, não o pode remover, mas pode remover todas as atribuições elegíveis e com limite de tempo, conforme necessário.

PIM para grupos e o objeto de grupo

A associação e a propriedade de qualquer segurança e grupo do Microsoft 365 (exceto grupos dinâmicos sincronizados a partir do local) podem ser regidos através do PIM para grupos. O grupo não tem de ser atribuível a funções para ser ativado no PIM para grupos.

Quando atribui uma associação permanente ou temporária principal ou a propriedade de um grupo ou quando este faz uma ativação just-in-time:

• Os detalhes do principal são devolvidos quando consulta as relações de membros e proprietários através das APIs De proprietários do grupo Lista ou De lista .
• Pode remover o principal do grupo com as APIs Remover proprietário do grupo ou Remover membro do grupo .
• Se as alterações ao grupo forem registadas com as funções Obter delta e Obter delta para objetos de diretório , um @odata.nextLink contém o novo membro ou proprietário.
• As alterações aos membros e proprietários do grupo efetuadas através do PIM para grupos são registadas Microsoft Entra registos de auditoria e podem ser lidas através da API de auditorias de diretórios de lista.

Quando um principal é atribuído a uma associação permanente ou temporária elegível ou propriedade de um grupo, as relações de membros e proprietários do grupo não são atualizadas.

Quando a associação ativa temporária de um principal ou a propriedade de um grupo expirar:

• Os detalhes do principal são removidos automaticamente das relações entre membros e proprietários .
• Se as alterações ao grupo forem registadas com as funções Obter delta e Obter delta para objetos de diretório , um @odata.nextLink indica o membro ou proprietário do grupo removido.

Confiança Zero

Esta funcionalidade ajuda as organizações a alinhar as suas identidades com os três princípios de orientação de uma arquitetura Confiança Zero:

• Verificar explicitamente
• Utilizar menos privilégios
• Assumir violação

Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

Licenciamento

O inquilino onde Privileged Identity Management está a ser utilizado tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.

Conteúdo relacionado

• Microsoft Entra operações de segurança para Privileged Identity Management no centro de arquitetura do Microsoft Entra