Regras no PIM – guia de mapeamento
Privileged Identity Management (PIM) expõe as configurações de função ou as regras para os recursos que podem ser gerenciados. No Microsoft Graph, esses recursos são Microsoft Entra funções e grupos e são gerenciados por meio do PIM para funções Microsoft Entra e PIM para grupos, respectivamente.
As configurações de função se enquadram em uma das três categorias: configurações de ativação, configurações de atribuição e configurações de notificação. Essas configurações incluem se a MFA (autenticação multifator) é necessária para ativar uma função qualificada, associação de grupo ou propriedade de grupo ou se você pode criar atribuições de função permanente ou associação de grupo permanente ou propriedade.
Ao usar as APIs do PIM no Microsoft Graph, essas configurações de função são gerenciadas por meio de políticas e regras.
Políticas
No Microsoft Graph, as configurações de função são chamadas de regras. Essas regras são agrupadas, atribuídas e gerenciadas para Microsoft Entra funções e grupos por meio de contêineres chamados políticas.
As políticas são definidas por meio do tipo de recurso unifiedRoleManagementPolicy.
Regras de política
Cada política contém 17 regras pré-definidas que podem ser atualizadas. Essas regras são gerenciadas por meio da relação de regras do tipo de recurso unifiedRoleManagementPolicy.
Para agrupar as regras em regras de ativação, atribuição e notificação, o Microsoft Graph define o tipo de abstrato de tipo de recurso unifiedRoleManagementPolicyRule . Esse tipo abstrato é herdado por cinco recursos. Cada um desses cinco tipos derivados define configurações de regra que podem ser uma ou mais de 17 regras. As 17 regras são identificadas por IDs de regra exclusivas e imutáveis.
Este artigo fornece um mapeamento das configurações no PIM no centro de administração do Microsoft Entra às regras correspondentes no Microsoft Graph.
Mapeamento de IDs de regra para configurações de função PIM no centro de administração do Microsoft Entra
Regras de ativação
A imagem a seguir mostra as configurações de função de ativação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos nas APIs pim no Microsoft Graph.
| Número | descrição do UX centro de administração do Microsoft Entra | ID de regra do Microsoft Graph/ tipo de recurso derivado | Imposto para o chamador |
|---|---|---|---|
| 1 | Duração máxima de ativação (horas) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Usuário final |
| 2 | Na ativação, exija: Nenhum, MFA do Azure Exigir informações de tíquete sobre ativação Exigir justificativa na ativação |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
Administrador |
| 3 | Na ativação, exija: Microsoft Entra contexto de autenticação de acesso condicional (versão prévia) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
Usuário final |
| 4 | Exigir aprovação para ativar | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
Usuário final |
Regras de atribuição
A imagem a seguir mostra as configurações de função de atribuição no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.
| Número | descrição do UX centro de administração do Microsoft Entra | ID de regra do Microsoft Graph / tipo de recurso derivado | Imposto para o chamador |
|---|---|---|---|
| 5 | Permitir atribuição qualificada permanente Expirar atribuições qualificadas após |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
Administrador |
| 6 | Permitir atribuição ativa permanente Expirar atribuições ativas após |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Administrador |
| 7 | Exigir autenticação multifator do Azure na atribuição ativa Exigir justificativa na atribuição ativa Exigir informações de tíquete sobre ativação |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Administrador |
| 8 | Exigir autenticação multifator do Azure na atribuição ativa Exigir justificativa na atribuição ativa Exigir informações de tíquete sobre ativação |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Usuário final |
Regras de notificação
A imagem a seguir mostra as configurações de função de notificação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.
| Número | descrição do UX centro de administração do Microsoft Entra | ID de regra do Microsoft Graph / tipo de recurso derivado | Imposto para o chamador |
|---|---|---|---|
| 9 | Enviar notificações quando os membros são atribuídos como qualificados para essa função: alerta de atribuição de função | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Administrador |
| 10 | Enviar notificações quando os membros são atribuídos como qualificados para essa função: Notificação ao usuário atribuído (atribuído) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Assignee /Requestor |
| 11 | Enviar notificações quando os membros são atribuídos como qualificados para essa função: solicitar a aprovação de uma renovação/extensão de atribuição de função | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Aprovador |
| 12 | Enviar notificações quando os membros são atribuídos como ativos a essa função: alerta de atribuição de função | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Administrador |
| 13 | Enviar notificações quando os membros são atribuídos como ativos a essa função: Notificação ao usuário atribuído (atribuído) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Assignee /Requestor |
| 14 | Enviar notificações quando os membros são atribuídos como ativos a essa função: solicitar para aprovar uma renovação/extensão de atribuição de função | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Aprovador |
| 15 | Enviar notificações quando membros qualificados ativarem essa função: alerta de ativação de função | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Administrador |
| 16 | Enviar notificações quando membros qualificados ativarem essa função: Notificação para usuário ativado (solicitante) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Solicitante |
| 17 | Enviar notificações quando os membros qualificados ativarem essa função: solicitar a aprovação de uma ativação | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Aprovador |
Conteúdo relacionado
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de