Поделиться через

API управление привилегированными пользователями

  • Статья

управление привилегированными пользователями (PIM), часть Microsoft Entra, включает в себя три поставщика:

  • PIM для ролей Microsoft Entra
  • PIM для ресурсов Azure
  • PIM для групп

Вы можете управлять назначениями в PIM для ролей Microsoft Entra и PIM для групп с помощью Microsoft Graph. Вы можете управлять назначениями в PIM для ресурсов Azure с помощью API Azure Resource Manager. В этой статье описаны принципы, которые важно учесть при использовании интерфейсов API для управления привилегированными пользователями.

Дополнительные сведения об API, которые позволяют управлять назначениями в документации:

История версий API PIM

За последние несколько лет было несколько итераций API PIM. Существуют некоторые перекрытия функций, но они не представляют линейную прогрессию версий.

Итерация 1 — нерекомендуемая

В конечной точке /beta/privilegedRoles корпорация Майкрософт имела классическую версию API PIM, которая поддерживала только роли Microsoft Entra и больше не поддерживается. Доступ к этому API был нерекомендуем в июне 2021 г.

Итерация 2. Поддерживает роли Microsoft Entra и роли ресурсов Azure

В конечной точке /beta/privilegedAccess корпорация Майкрософт поддерживала и /aadRoles, и /azureResources. Эта конечная точка по-прежнему доступна в вашем арендаторе, но корпорация Майкрософт не рекомендует что-либо разрабатывать с использованием этого API. Этот API никогда не будет выпущен в общую доступность и в конечном итоге не рекомендуется.

Итерация 3 (текущая версия) — PIM для ролей Microsoft Entra, групп в API Microsoft Graph и ресурсов Azure в API ARM

Это окончательная итерация API PIM. Сюда входят:

  • PIM для ролей Microsoft Entra в API Microsoft Graph — общедоступен.
  • PIM для ресурсов Azure в API ARM — общедоступен.
  • PIM для групп в API Microsoft Graph — общедоступен.
  • Оповещения PIM для ролей Microsoft Entra в API Microsoft Graph — предварительная версия.
  • Оповещения PIM для ресурсов Azure в API ARM — предварительная версия.

Наличие PIM для ролей Microsoft Entra в API Microsoft Graph и PIM для ресурсов Azure в API ARM обеспечивает несколько преимуществ, в том числе:

  • Выравнивание API PIM для регулярного назначения ролей для ролей Microsoft Entra и ролей ресурсов Azure.
  • Сокращение необходимости вызова других API PIM для подключения ресурса, получения ресурса или получения определения роли.
  • Поддержка разрешений только для приложений.
  • Новые функции, такие как утверждение и настройка уведомлений по электронной почте.

Обзор итерации API PIM 3

API PIM в разных поставщиках (api Microsoft Graph и API ARM) соответствуют тем же принципам.

Управление назначениями

Чтобы создать назначение (активное или допустимое), продлить, продлить назначение обновления (активно или допустимо), активировать соответствующее назначение, деактивировать соответствующее назначение, использовать ресурсы *AssignmentScheduleRequest и *EligibleyScheduleRequest:

Создание объектов *AssignmentScheduleRequest или *EligibilityScheduleRequest может привести к созданию объектов "Только для чтения" *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance и *EligibilityScheduleInstance.

  • *AssignmentSchedule и *Предметы ПараметровSchedule отображают текущие назначения и запросы на создание назначений в будущем.
  • *AssignmentScheduleInstance и *EligibilityScheduleInstance объекты отображают только текущие назначения.

При активации соответствующего назначения (создается *AssignmentScheduleRequest), объект *EligibleyScheduleInstance продолжает существовать, новые объекты *AssignmentSchedule и *AssignmentScheduleInstance создаются для этой активированной длительности.

Дополнительные сведения об API назначения и активации см. в разделе API PIM для управления назначениями ролей и разрешениями.

Политики PIM (параметры роли)

Чтобы управлять политиками PIM, используйте сущности *roleManagementPolicy и *roleManagementPolicyAssignment:

Ресурс *roleManagementPolicy содержит правила, составляющие политику PIM: требования к утверждению, максимальная длительность активации, параметры уведомлений и т. д.

Объект *roleManagementPolicyAssignment присоединяет политику к определенной роли.

Дополнительные сведения об API параметров политики см. в разделе Параметры ролей и PIM.

Разрешения

PIM для ролей Microsoft Entra

Разрешения Microsoft Graph, необходимые для ролей PIM для ролей Microsoft Entra, см. на соответствующих справочных страницах REST API.

PIM для ресурсов Azure

API PIM для ролей ресурсов Azure разрабатываются на основе платформы Azure Resource Manager. Вам нужно предоставить согласие на управление ресурсами Azure, но не требуется никаких разрешений Microsoft Graph. Кроме того, необходимо убедиться, что пользователь или субъект-служба, вызывающий API, имеет по крайней мере роль владельца или администратора доступа пользователей в ресурсе, который вы пытаетесь администрировать.

PIM для групп

Разрешения Microsoft Graph, необходимые для PIM для групп, см. на соответствующих справочных страницах REST API.

Отношения между сущностями PIM и сущностями назначения ролей

Единственная связь между сущностью PIM и сущностью назначения ролей для постоянного (активного) назначения для ролей Microsoft Entra или ролей Azure — *AssignmentScheduleInstance. Существует сопоставление "один к одному" между двумя сущностями. Это сопоставление означает, что roleAssignment и *AssignmentScheduleInstance будут включать:

  • постоянные (активные) назначения, выполненные за пределами PIM;
  • постоянные (активные) назначения с расписанием, выполненные в PIM;
  • активированные допустимые назначения.

Свойства PIM (например, время окончания) будут доступны только через объект *AssignmentScheduleInstance .

Следующие шаги