Gerenciar atribuições de função Microsoft Entra usando APIs de PIM
Privileged Identity Management (PIM) é um recurso de Microsoft Entra ID Governance que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. Um método por meio do qual entidades como usuários, grupos e entidades de serviço (aplicativos) recebem acesso a recursos importantes é por meio da atribuição de funções Microsoft Entra.
As APIs do PIM para funções Microsoft Entra permitem que você governe o acesso privilegiado e limite o acesso excessivo a funções de Microsoft Entra. Este artigo apresenta os recursos de governança do PIM para APIs de funções Microsoft Entra no Microsoft Graph.
Observação
Para gerenciar funções de recurso do Azure, use as APIs do ARM (Resource Manager do Azure) para PIM.
APIs de PIM para gerenciar alertas de segurança para funções de Microsoft Entra estão disponíveis apenas no beta ponto de extremidade. Para obter mais informações, confira Alertas de segurança para funções de Microsoft Entra.
APIs de PIM para gerenciar atribuições de função ativa
O PIM permite gerenciar atribuições de função ativa criando atribuições permanentes ou atribuições temporárias. Use o tipo de recurso unifiedRoleAssignmentScheduleRequest e seus métodos relacionados para gerenciar atribuições de função.
A tabela a seguir lista cenários para usar o PIM para gerenciar atribuições de função e as APIs a serem chamadas.
| Cenários | API |
|---|---|
| Um administrador cria e atribui a uma entidade de segurança uma atribuição de função permanente Um administrador atribui a uma entidade de segurança uma função temporária |
Criar roleAssignmentScheduleRequests |
| Um administrador renova, atualiza, estende ou remove atribuições de função | Criar roleAssignmentScheduleRequests |
| Um administrador consulta todas as atribuições de função e seus detalhes | Listar roleAssignmentScheduleRequests |
| Um administrador consulta uma atribuição de função e seus detalhes | Obter unifiedRoleAssignmentScheduleRequest |
| Uma entidade de segurança consulta suas atribuições de função e os detalhes | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| Uma entidade de segurança executa ativação just-in-time e tempo limite de sua atribuição de função qualificada | Criar roleAssignmentScheduleRequests |
| Uma entidade de segurança cancela uma solicitação de atribuição de função que eles criaram | unifiedRoleAssignmentScheduleRequest: cancel |
| Uma entidade de segurança que ativou sua atribuição de função qualificada a desativa quando não precisa mais de acesso | Criar roleAssignmentScheduleRequests |
| Uma entidade de segurança desativa, estende ou renova sua própria atribuição de função. | Criar roleAssignmentScheduleRequests |
APIs de PIM para gerenciar elegibilidades de função
Seus diretores podem não exigir atribuições de função permanentes porque podem não exigir os privilégios concedidos por meio da função privilegiada o tempo todo. Nesse caso, o PIM também permite criar elegibilidades de função e atribuí-las às entidades de segurança. Com as elegibilidades de função, a entidade ativa a função quando precisa executar tarefas privilegiadas. A ativação é sempre limitada por um máximo de 8 horas. A elegibilidade da função também pode ser uma elegibilidade permanente ou uma elegibilidade temporária.
Use o tipo de recurso unifiedRoleEligibilityScheduleRequest e seus métodos relacionados para gerenciar as elegibilidades de função.
A tabela a seguir lista cenários para usar o PIM para gerenciar as elegibilidades de função e as APIs a serem chamadas.
| Cenários | API |
|---|---|
| Um administrador cria e atribui a uma entidade de segurança uma função qualificada Um administrador atribui uma elegibilidade de função temporária a uma entidade |
Criar roleEligibilityScheduleRequests |
| Um administrador renova, atualiza, estende ou remove as elegibilidades de função | Criar roleEligibilityScheduleRequests |
| Um administrador consulta todas as elegibilidades de função e seus detalhes | List roleEligibilityScheduleRequests |
| Um administrador consulta uma elegibilidade de função e seus detalhes | Obter unifiedRoleEligibilityScheduleRequest |
| Um administrador cancela uma solicitação de elegibilidade de função que eles criaram | unifiedRoleEligibilityScheduleRequest: cancel |
| Uma entidade de segurança consulta suas elegibilidades de função e os detalhes | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| Uma entidade de segurança desativa, estende ou renova sua própria elegibilidade de função. | Criar roleEligibilityScheduleRequests |
Configurações de função e PIM
Cada função Microsoft Entra define configurações ou regras. Essas regras incluem se a MFA (autenticação multifator), a justificativa ou a aprovação são necessárias para ativar uma função qualificada ou se você pode criar atribuições permanentes ou elegibilidades para entidades de segurança para a função. Essas regras específicas de função determinam as configurações que você pode aplicar ao criar ou gerenciar atribuições de função e elegibilidade por meio do PIM.
No Microsoft Graph, essas regras são gerenciadas por meio do unifiedRoleManagementPolicy e dos tipos de recursos unifiedRoleManagementPolicyAssignment e seus métodos relacionados.
Por exemplo, suponha que, por padrão, uma função não permite atribuições ativas permanentes e define um máximo de 15 dias para atribuições ativas. Tentar criar um objeto unifiedRoleAssignmentScheduleRequest sem data de validade retorna um 400 Bad Request código de resposta por violação da regra de expiração.
O PIM permite configurar várias regras, incluindo:
- Se as entidades de segurança podem receber atribuições qualificadas permanentes
- A duração máxima permitida para uma ativação de função e se a justificativa ou aprovação são necessárias para ativar funções qualificadas
- Os usuários que têm permissão para aprovar solicitações de ativação para uma função Microsoft Entra
- Se o MFA é necessário para ativar e impor uma atribuição de função
- As entidades de segurança que são notificadas de ativações de função
A tabela a seguir lista cenários para usar o PIM para gerenciar regras para Microsoft Entra funções e as APIs a serem chamadas.
| Cenários | API |
|---|---|
| Recuperar políticas de gerenciamento de função e regras ou configurações associadas | Lista unifiedRoleManagementPolicies |
| Recuperar uma política de gerenciamento de função e suas regras ou configurações associadas | Obter unifiedRoleManagementPolicy |
| Atualizar uma política de gerenciamento de função em suas regras ou configurações associadas | Atualizar unifiedRoleManagementPolicy |
| Recuperar as regras definidas para a política de gerenciamento de função | Listar regras |
| Recuperar uma regra definida para uma política de gerenciamento de função | Obter unifiedRoleManagementPolicyRule |
| Atualizar uma regra definida para uma política de gerenciamento de função | Atualizar unifiedRoleManagementPolicyRule |
| Obtenha os detalhes de todas as atribuições de política de gerenciamento de função, incluindo as políticas e regras ou configurações associadas às funções Microsoft Entra | Lista unifiedRoleManagementPolicyAssignments |
| Obtenha os detalhes de uma atribuição de política de gerenciamento de função, incluindo a política e as regras ou configurações associadas à função Microsoft Entra | Obter unifiedRoleManagementPolicyAssignment |
Para obter mais informações sobre como usar o Microsoft Graph para configurar regras, consulte Visão geral das regras para Microsoft Entra funções em APIs de PIM. Para obter exemplos de regras de atualização, consulte Usar APIs de PIM para atualizar regras para funções de Microsoft Entra ID.
Confiança Zero
Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Usar privilégio mínimo
- Assumir violação
Para saber mais sobre Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Centro de Diretrizes Confiança Zero.
Licenciamento
O locatário em que Privileged Identity Management está sendo usado deve ter licenças de compra ou avaliação suficientes. Para obter mais informações, consulte Microsoft Entra ID Governance conceitos básicos de licenciamento.
Conteúdo relacionado
- O que é Microsoft Entra Privileged Identity Management?
- Saiba mais sobre as configurações de função no PIM por meio dos seguintes artigos:
- Siga estes tutoriais para saber mais sobre como usar APIs de PIM
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de