API управление привилегированными пользователями

  • Статья

управление привилегированными пользователями (PIM), часть Microsoft Entra, включает в себя три поставщика:

  • PIM для ролей Microsoft Entra
  • PIM для ресурсов Azure
  • PIM для групп

Вы можете управлять назначениями в PIM для ролей Microsoft Entra и PIM для групп с помощью API Microsoft Graph. Вы можете управлять назначениями в PIM для ресурсов Azure с помощью API Azure Resource Manager (ARM). В этой статье описаны принципы, которые важно учесть при использовании интерфейсов API для управления привилегированными пользователями.

Дополнительные сведения об API, которые позволяют управлять назначениями в документации:

История версий API PIM

За последние несколько лет было выпущено несколько версий API PIM. Вы обнаружите некоторые совпадения в функциях, но эти версии не являются логическим развитием друг друга.

Итерация 1 — нерекомендуемая

В конечной точке /beta/privilegedRoles корпорация Майкрософт имела классическую версию API PIM, которая поддерживала только роли Microsoft Entra и больше не поддерживается. Доступ к этому API был нерекомендуем в июне 2021 г.

Итерация 2. Поддерживает роли Microsoft Entra и роли ресурсов Azure

В конечной точке /beta/privilegedAccess корпорация Майкрософт поддерживала и /aadRoles, и /azureResources. Эта конечная точка по-прежнему доступна в вашем арендаторе, но корпорация Майкрософт не рекомендует что-либо разрабатывать с использованием этого API. У этой бета-версии API никогда не будет общедоступной версии. В конечном итоге ее поддержка будет прекращена.

Итерация 3 (текущая версия) — PIM для ролей Microsoft Entra, групп в API Microsoft Graph и ресурсов Azure в API ARM

Это окончательная итерация API PIM. Сюда входят:

  • PIM для ролей Microsoft Entra в API Microsoft Graph — общедоступен.
  • PIM для ресурсов Azure в API ARM — общедоступен.
  • PIM для групп в API Microsoft Graph — предварительная версия.
  • Оповещения PIM для ролей Microsoft Entra в API Microsoft Graph — предварительная версия.
  • Оповещения PIM для ресурсов Azure в API ARM — предварительная версия.

Наличие PIM для ролей Microsoft Entra в API Microsoft Graph и PIM для ресурсов Azure в API ARM обеспечивает несколько преимуществ, в том числе:

  • Выравнивание API PIM для API регулярного назначения ролей для ролей Microsoft Entra и ролей ресурсов Azure.
  • Уменьшение необходимости вызывать дополнительный API PIM для подключения ресурса, получения ресурса или определения роли.
  • Поддержка разрешений только для приложений.
  • Новые функции, такие как утверждение и настройка уведомлений по электронной почте.

Обзор итерации API PIM 3

API PIM в разных поставщиках (api Microsoft Graph и API ARM) соответствуют тем же принципам.

Управление назначениями

Чтобы создать назначение (активное или допустимое), продлить, продлить назначение обновления (активно или допустимо), активировать соответствующее назначение, деактивировать соответствующее назначение, использовать ресурсы *AssignmentScheduleRequest и *EligibleyScheduleRequest:

Создание объектов *AssignmentScheduleRequest или *EligibilityScheduleRequest может привести к созданию объектов "Только для чтения" *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance и *EligibilityScheduleInstance.

  • *AssignmentSchedule и *Предметы ПараметровSchedule отображают текущие назначения и запросы на создание назначений в будущем.
  • *AssignmentScheduleInstance и *EligibilityScheduleInstance объекты отображают только текущие назначения.

При активации соответствующего назначения (вызывается Create*AssignmentScheduleRequest), объект *EligibleyScheduleInstance продолжает существовать, новые *AssignmentSchedule и объекты *AssignmentScheduleInstance будут созданы в течение этой активированной длительности.

Дополнительные сведения об API назначения и активации см. в разделе API PIM для управления назначениями ролей и разрешениями.

Политики PIM (параметры роли)

Чтобы управлять политиками PIM, используйте сущности *roleManagementPolicy и *roleManagementPolicyAssignment:

Ресурс *roleManagementPolicy содержит правила, составляющие политику PIM: требования к утверждению, максимальная длительность активации, параметры уведомлений и т. д.

Объект *roleManagementPolicyAssignment присоединяет политику к определенной роли.

Дополнительные сведения об API параметров политики см. в разделе Параметры ролей и PIM.

Разрешения

PIM для ролей Microsoft Entra

Разрешения API Graph, необходимые для PIM для ролей Microsoft Entra, см. в разделе "Разрешения на управление ролями".

PIM для ресурсов Azure

API PIM для ролей ресурсов Azure разработан на основе платформы Azure Resource Manager. Вам нужно будет предоставить согласие на управление ресурсами Azure, но не потребуется никаких разрешений для API Microsoft Graph. Кроме того, убедитесь, что пользователь или субъект-служба, вызывающий API, имеет по меньшей мере роль владельца или администратора доступа пользователей для ресурса, который вы пытаетесь администрировать.

PIM для групп

Разрешения API Graph, необходимые для PIM для групп, см. в разделе PIM для групп — разрешения и привилегии.

Отношения между сущностями PIM и сущностями назначения ролей

Единственная связь между сущностью PIM и сущностью назначения ролей для постоянного (активного) назначения для ролей Microsoft Entra или ролей Azure — *AssignmentScheduleInstance. Между двумя сущностями существует сопоставление "один к одному". Это сопоставление означает, что roleAssignment и *AssignmentScheduleInstance будут включать:

  • постоянные (активные) назначения, выполненные за пределами PIM;
  • постоянные (активные) назначения с расписанием, выполненные в PIM;
  • активированные допустимые назначения.

Свойства PIM (например, время окончания) будут доступны только через объект *AssignmentScheduleInstance .

Следующие шаги