Partilhar via


Gerir Microsoft Entra atribuições de funções com APIs PIM

Privileged Identity Management (PIM) é uma funcionalidade de Microsoft Entra ID Governance que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Um método através do qual os principais, como utilizadores, grupos e principais de serviço (aplicações) têm acesso a recursos importantes é através da atribuição de Microsoft Entra funções.

As APIs do PIM para Microsoft Entra funções permitem-lhe governar o acesso privilegiado e limitar o acesso excessivo às funções de Microsoft Entra. Este artigo apresenta as capacidades de governação do PIM para Microsoft Entra funções apIs no Microsoft Graph.

Observação

Para gerir funções de recursos do Azure, utilize as APIs de Resource Manager do Azure para PIM.

As APIs PIM para gerir alertas de segurança para Microsoft Entra funções só estão disponíveis no /beta ponto final. Para obter mais informações, veja Alertas de segurança para funções de Microsoft Entra.

Métodos de atribuição de funções

O PIM para funções de Microsoft Entra fornece dois métodos para atribuir funções a principais:

  • Atribuições de funções ativas: um principal pode ter uma atribuição de função permanente ou temporária permanentemente ativa.
  • Atribuições de funções elegíveis: um principal pode ser eligibil para uma função de forma permanente ou temporária. Com assigments elegíveis, o principal ativa a respetiva função - criando assim uma atribuição de função temporariamente ativa - quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas, mas a duração máxima pode ser reduzida nas definições de função. A ativação também pode ser renovada ou expandida.

APIs PIM para gerir atribuições de funções ativas

O PIM permite-lhe gerir atribuições de funções ativas ao criar atribuições permanentes ou atribuições temporárias. Utilize o tipo de recurso unifiedRoleAssignmentScheduleRequest e os respetivos métodos relacionados para gerir atribuições de funções.

Observação

Recomendamos que utilize o PIM para gerir atribuições de funções ativas através da unifiedRoleAssignment ou dos tipos de recursos directoryRole para geri-las diretamente.

A tabela seguinte lista cenários para utilizar o PIM para gerir atribuições de funções e as APIs a chamar.

Cenários API
Um administrador cria e atribui a um principal uma atribuição de função permanente
Um administrador atribui a um principal uma função temporária
Criar roleAssignmentScheduleRequests
Um administrador renova, atualiza, expande ou remove atribuições de funções Criar roleAssignmentScheduleRequests
Um administrador consulta todas as atribuições de funções e os respetivos detalhes Função de listaAssignmentScheduleRequests
Um administrador consulta uma atribuição de função e os respetivos detalhes Obter unifiedRoleAssignmentScheduleRequest
Um principal consulta as atribuições de funções e os detalhes unifiedRoleAssignmentScheduleRequest: filterByCurrentUser
Um principal executa a ativação just-in-time e com limite de tempo da atribuição de função elegível Criar roleAssignmentScheduleRequests
Um principal cancela um pedido de atribuição de função que criou unifiedRoleAssignmentScheduleRequest: cancelar
Um principal que ativou a atribuição de função elegível desativa-a quando já não precisa de acesso Criar roleAssignmentScheduleRequests
Um principal desativa, expande ou renova a sua própria atribuição de função. Criar roleAssignmentScheduleRequests

APIs PIM para gerir elegibilidades de funções

Os principais podem não necessitar de atribuições de funções permanentes, uma vez que não necessitam sempre dos privilégios concedidos através da função com privilégios. Neste caso, o PIM também lhe permite criar elegibilidades de função e atribuí-las aos principais. Com a elegibilidade da função, o principal ativa a função quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas. O principal também pode ser elegível permanente ou temporariamente para a função.

Utilize o tipo de recurso unifiedRoleEligibilityScheduleRequest e os respetivos métodos relacionados para gerir as elegibilidades de funções.

A tabela seguinte lista cenários para utilizar o PIM para gerir as elegibilidades de funções e as APIs a chamar.

Cenários API
Um administrador cria e atribui a um principal uma função elegível
Um administrador atribui uma elegibilidade de função temporária a um principal
Criar roleEligibilityScheduleRequests
Um administrador renova, atualiza, expande ou remove elegibilidades de funções Criar roleEligibilityScheduleRequests
Um administrador consulta todas as elegibilidades de funções e os respetivos detalhes Função de listaEligibilityScheduleRequests
Um administrador consulta a elegibilidade de uma função e os respetivos detalhes Obter unifiedRoleEligibilityScheduleRequest
Um administrador cancela um pedido de elegibilidade de função que criou unifiedRoleEligibilityScheduleRequest: cancelar
Um principal consulta as elegibilidades das funções e os detalhes unifiedRoleEligibilityScheduleRequest: filterByCurrentUser
Um principal desativa, expande ou renova a sua própria elegibilidade de função. Criar roleEligibilityScheduleRequests

Definições de função e PIM

Cada função de Microsoft Entra define definições ou regras. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma função elegível ou se pode criar atribuições permanentes ou elegibilidade para principais para a função. Estas regras específicas de funções determinam as definições que pode aplicar ao criar ou gerir atribuições de funções e elegibilidades através do PIM.

No Microsoft Graph, estas regras são geridas através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.

Por exemplo, suponha que, por predefinição, uma função não permite atribuições ativas permanentes e define um máximo de 15 dias para atribuições ativas. Tentar criar um objeto unifiedRoleAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request código de resposta por violação da regra de expiração.

O PIM permite-lhe configurar várias regras, incluindo:

  • Se os principais podem ser atribuídos a atribuições elegíveis permanentes
  • A duração máxima permitida para uma ativação de função e se é necessária justificação ou aprovação para ativar funções elegíveis
  • Os utilizadores com permissão para aprovar pedidos de ativação para uma função de Microsoft Entra
  • Se a MFA é necessária para ativar e impor uma atribuição de função
  • Os principais que são notificados das ativações de funções

A tabela seguinte lista cenários para utilizar o PIM para gerir regras para Microsoft Entra funções e as APIs a chamar.

Cenários API
Obter políticas de gestão de funções e regras ou definições associadas Listar unifiedRoleManagementPolicies
Obter uma política de gestão de funções e as respetivas regras ou definições associadas Obter unifiedRoleManagementPolicy
Atualizar uma política de gestão de funções nas respetivas regras ou definições associadas Atualizar unifiedRoleManagementPolicy
Obter as regras definidas para a política de gestão de funções Listar regras
Obter uma regra definida para uma política de gestão de funções Obter unifiedRoleManagementPolicyRule
Atualizar uma regra definida para uma política de gestão de funções Atualizar unifiedRoleManagementPolicyRule
Obtenha os detalhes de todas as atribuições de políticas de gestão de funções, incluindo as políticas e regras ou definições associadas às funções de Microsoft Entra Listar unifiedRoleManagementPolicyAssignments
Obtenha os detalhes de uma atribuição de política de gestão de funções, incluindo a política e regras ou definições associadas à função Microsoft Entra Obter unifiedRoleManagementPolicyAssignment

Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras para Microsoft Entra funções nas APIs PIM. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM para atualizar regras para funções de Microsoft Entra ID.

Logs de auditoria

Todas as atividades efetuadas através do PIM para Microsoft Entra funções são registadas Microsoft Entra registos de auditoria e pode ler a API de auditorias de diretórios de Lista.

Confiança Zero

Esta funcionalidade ajuda as organizações a alinhar as suas identidades com os três princípios de orientação de uma arquitetura Confiança Zero:

  • Verificar explicitamente
  • Utilizar menos privilégios
  • Assumir violação

Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

Licenciamento

O inquilino onde Privileged Identity Management está a ser utilizado tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.