APIs de gerenciamento de identidade privilegiadas
O Privileged Identity Management (PIM), parte do Microsoft Entra, inclui três provedores:
- Funções do PIM para Microsoft Entra
- PIM para os recursos do Azure
- PIM para Grupos
Você pode gerenciar atribuições no PIM para funções do Microsoft Entra e no PIM para grupos usando a API do Microsoft Graph. Você pode gerenciar atribuições no PIM for Azure Resources usando a API do Azure Resource Manager (ARM). Este artigo descreve conceitos importantes para usar as APIs para o Privileged Identity Management.
Encontre mais detalhes sobre APIs que permitem gerenciar atribuições na documentação:
- Referência da API de funções do PIM para Microsoft Entra
- Referência da API de funções de recursos do PIM para Azure
- Referência da API do PIM for Groups
- Referência da API de Alertas PIM para funções do Microsoft Entra
- Referência da API de Alertas PIM para Recursos do Azure
Histórico da API do PIM
Houve várias iterações da API PIM nos últimos anos. Você encontrará algumas sobreposições na funcionalidade, mas elas não representam uma progressão linear de versões.
Iteração 1 – Preterida
No ponto de extremidade /beta/privilegedRoles, a Microsoft tinha uma versão clássica da API do PIM, que suportava apenas funções do Microsoft Entra e não é mais suportada. O acesso a esta API foi preterido em junho de 2021.
Iteração 2 – Suporta funções do Microsoft Entra e funções de recursos do Azure
No ponto de extremidade, a Microsoft suportava ambos e /beta/privilegedAccess
/aadRoles
/azureResources
. Este ponto de extremidade ainda está disponível em seu locatário, mas a Microsoft recomenda não iniciar qualquer novo desenvolvimento com essa API. Esta API beta nunca será liberada para disponibilidade geral e será eventualmente preterida.
Iteração 3 (Atual) – PIM para funções do Microsoft Entra, grupos na API do Microsoft Graph e recursos do Azure na API ARM
Esta é a iteração final da API do PIM. Inclui:
- PIM para funções do Microsoft Entra na API do Microsoft Graph - Disponível ao público em geral.
- Recursos do PIM para Azure na API ARM - Disponível ao público em geral.
- PIM para grupos na API do Microsoft Graph - Visualização.
- Alertas do PIM para funções do Microsoft Entra na API do Microsoft Graph - Visualização.
- Alertas PIM para recursos do Azure na API ARM - Visualização.
Ter funções do PIM para Microsoft Entra na API do Microsoft Graph e PIM para Recursos do Azure na API ARM oferece alguns benefícios, incluindo:
- Alinhamento da API PIM para API de atribuição de função regular para funções do Microsoft Entra e funções de Recursos do Azure.
- Reduzir a necessidade de chamar API PIM adicional para integrar um recurso, obter um recurso ou obter definição de função.
- Suporte a permissões somente para aplicativos.
- Novos recursos, como aprovação e configuração de notificação por e-mail.
Visão geral da iteração da API PIM 3
As APIs PIM entre provedores (APIs do Microsoft Graph e APIs ARM) seguem os mesmos princípios.
Gestão de tarefas
Para criar atribuição (ativa ou elegível), renovar, estender a atribuição de atualização (ativa ou elegível), ativar atribuição elegível, desativar atribuição elegível, usar recursos *AssignmentScheduleRequest e *EligibilityScheduleRequest:
- Para funções do Microsoft Entra: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- Para recursos do Azure: Solicitação de Agenda de Atribuição de Função, Solicitação de Agenda de Elegibilidade de Função;
- Para grupos: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
A criação de objetos *AssignmentScheduleRequest ou *EligibilityScheduleRequest pode levar à criação de objetos *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance.
- *Os objetos AssignmentSchedule e *EligibilitySchedule mostram atribuições atuais e solicitações de atribuições a serem criadas no futuro.
- *Os objetos AssignmentScheduleInstance e *EligibilityScheduleInstance mostram apenas as atribuições atuais.
Quando uma atribuição elegível é ativada (Create*AssignmentScheduleRequest foi chamado), o *EligibilityScheduleInstance continua a existir, novos objetos *AssignmentSchedule e *AssignmentScheduleInstance serão criados para essa duração ativada.
Para obter mais informações sobre APIs de atribuição e ativação, consulte API PIM para gerenciar atribuições de função e elegibilidades.
Políticas PIM (configurações de função)
Para gerenciar as políticas do PIM, use as entidades *roleManagementPolicy e *roleManagementPolicyAssignment:
- Para funções do PIM for Microsoft Entra, PIM for Groups: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Para recursos do PIM para Azure: Políticas de Gerenciamento de Função, Atribuições de Política de Gerenciamento de Função
O recurso *roleManagementPolicy inclui regras que constituem a política PIM: requisitos de aprovação, duração máxima de ativação, configurações de notificação, etc.
O objeto *roleManagementPolicyAssignment anexa a política a uma função específica.
Para obter mais informações sobre as APIs de configurações de política, consulte configurações de função e PIM.
Permissões
Funções do PIM para Microsoft Entra
Para obter as permissões da API do Graph necessárias para o PIM para funções do Microsoft Entra, consulte Permissões de gerenciamento de função.
PIM para os recursos do Azure
A API PIM para funções de recursos do Azure é desenvolvida sobre a estrutura do Azure Resource Manager. Você precisará dar consentimento ao Gerenciamento de Recursos do Azure, mas não precisará de nenhuma permissão da API do Microsoft Graph. Você também precisará certificar-se de que o usuário ou a entidade de serviço que chama a API tenha pelo menos a função de Proprietário ou Administrador de Acesso de Usuário no recurso que você está tentando administrar.
PIM para Grupos
Para obter as permissões da API do Graph necessárias para o PIM for Groups, consulte PIM for Groups – Permissions and privileges.
Relação entre entidades PIM e entidades de atribuição de função
O único link entre a entidade PIM e a entidade de atribuição de função para atribuição persistente (ativa) para funções do Microsoft Entra ou funções do Azure é o *AssignmentScheduleInstance. Há um mapeamento um-para-um entre as duas entidades. Esse mapeamento significa que roleAssignment e *AssignmentScheduleInstance incluiriam:
- Atribuições persistentes (ativas) feitas fora do PIM
- Atribuições persistentes (ativas) com um cronograma feito dentro do PIM
- Atribuições elegíveis ativadas
As propriedades específicas do PIM, como a hora de término, estarão disponíveis somente por meio do objeto *AssignmentScheduleInstance .