Управление членством и владением группами с помощью PIM для групп
С помощью управление привилегированными пользователями для групп (PIM для групп) можно управлять назначением участникам членства или владения группами. Безопасность и группы Microsoft 365 — это критически важные ресурсы, которые можно использовать для предоставления доступа к облачным ресурсам Майкрософт, таким как Microsoft Entra ролям, ролям Azure, Azure SQL, Azure Key Vault, Intune и сторонним приложениям. PIM для групп обеспечивает более полный контроль над тем, как и когда субъекты являются участниками или владельцами групп, и, следовательно, имеют привилегии, предоставляемые в рамках их членства в группах или владения.
API PIM для групп в Microsoft Graph обеспечивают более эффективное управление безопасностью и группами Microsoft 365, например следующими возможностями:
- Предоставление участникам JIT-членства или владения группами
- Назначение субъектам временного членства или владения группами
В этой статье рассматриваются возможности управления API для PIM для групп в Microsoft Graph.
PIM для API групп для управления активными назначениями владельцев и участников групп
API PIM для групп в Microsoft Graph позволяют назначать субъектам постоянное или временное членство или владение группами.
В следующей таблице перечислены сценарии использования PIM для API групп для управления активными назначениями для субъектов и соответствующих API для вызова.
Scenarios | API |
---|---|
Администратор: Субъект: |
Создание assignmentScheduleRequest |
Администратор перечисляет все запросы на активное членство и назначение прав владения для группы | Перечисление назначенийScheduleRequests |
Администратор перечисляет все активные назначения и запросы на назначения, которые будут созданы в будущем, для членства и владения группой | Перечисление назначенийПланеты |
Администратор выводит список всех активных назначений членства и владения для группы. | Перечисление назначенийScheduleInstances |
Администратор запрашивает назначение участника и владельца для группы и сведения о ней | Получение privilegedAccessGroupAssignmentScheduleRequest |
Субъект запрашивает свои запросы на назначение членства или владения и сведения Утверждающий запрашивает запросы на членство или владение в ожидании их утверждения и сведения об этих запросах. |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
Субъект отменяет созданный запрос на назначение членства или владения. | privilegedAccessGroupAssignmentScheduleRequest: cancel |
Утверждающий получает сведения для запроса на утверждение, включая сведения о шагах утверждения. | Получение утверждения |
Утверждающий утверждает или отклоняет запрос на утверждение путем утверждения или отклонения шага утверждения | Обновление approvalStep |
PIM для API групп для управления соответствующими назначениями владельцев и участников групп
Вашим субъектам может не требоваться постоянное членство или владение группами, так как они могут не требовать привилегий, предоставляемых членством или владением постоянно. В этом случае PIM для групп позволяет предоставить участникам право на членство в группах или владение ими.
Если у участника есть соответствующее назначение, он активирует свое назначение, когда ему требуются привилегии, предоставленные группами для выполнения привилегированных задач. Допустимое назначение может быть постоянным или временным. Активация всегда ограничена по времени в течение не более восьми часов.
В следующей таблице перечислены сценарии использования PIM для API групп для управления соответствующими назначениями для субъектов и соответствующих API для вызова.
Scenarios | API |
---|---|
Администратор: |
Создание условия использованияScheduleRequest |
Администратор запрашивает все соответствующие запросы на членство или владение и их сведения. | Список разрешенийScheduleRequests |
Администратор запрашивает соответствующий запрос на членство или владение и сведения о нем | Получение права на участиеScheduleRequest |
Администратор отменяет созданный им соответствующий запрос на членство или владение. | privilegedAccessGroupEligibilityScheduleRequest:cancel |
Субъект запрашивает соответствующее членство или право владения запросит свои сведения | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Параметры политики в PIM для групп
PIM для групп определяет параметры или правила, которые определяют способ назначения участникам членства или владения в группах безопасности и Microsoft 365. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующего членства или владения группой, а также возможность создания постоянных назначений или разрешений для участников групп. Правила определяются в политиках, и политика может применяться к группе.
В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.
Например, предположим, что по умолчанию PIM для групп не разрешает постоянное активное членство и назначение прав владения и определяет не более шести месяцев для активных назначений. Попытка создать объект privilegedAccessGroupAssignmentScheduleRequest без даты окончания срока действия возвращает 400 Bad Request
код ответа на нарушение правила истечения срока действия.
PIM для групп позволяет настраивать различные правила, в том числе:
- Можно ли назначать субъектам постоянные соответствующие назначения
- Максимальная продолжительность, допустимая для членства в группе или активации прав владения, а также требуется ли обоснование или утверждение для активации соответствующего членства или владения
- Пользователи, которым разрешено утверждать запросы на активацию для членства в группе или владения
- Требуется ли многофакторная проверка подлинности для активации и принудительного применения членства в группе или назначения прав владения
- Субъекты, которые получают уведомления об активации членства в группе или владения
В следующей таблице перечислены сценарии использования PIM для групп для управления правилами и API для вызова.
Сценарии | API |
---|---|
Получение PIM для политик групп и связанных правил или параметров | Список unifiedRoleManagementPolicies |
Получение PIM для политики групп и связанных с ней правил или параметров | Получение unifiedRoleManagementPolicy |
Обновление политики PIM для групп с помощью связанных с ней правил или параметров | Обновление unifiedRoleManagementPolicy |
Получение правил, определенных для политики PIM для групп | Список правил |
Получение правила, определенного для политики PIM для групп | Получение unifiedRoleManagementPolicyRule |
Обновление правила, определенного для политики PIM для групп | Обновление unifiedRoleManagementPolicyRule |
Получение сведений обо всех PIM для назначений политик групп, включая политики и правила, связанные с членством и владением группами. | Список unifiedRoleManagementPolicyAssignments |
Получение сведений о PIM для назначения политики групп, включая политику и правила, связанные с членством в группах или владением. | Получение unifiedRoleManagementPolicyAssignment |
Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил в API PIM в Microsoft Graph. Примеры обновления правил см. в статье Использование API PIM в Microsoft Graph для обновления правил.
Подключение групп к PIM для групп
Вы не можете явно подключить группу к PIM для групп. Если вы запрашиваете добавление назначения в группу с помощью команды Create assignmentScheduleRequest или Create eligibilityScheduleRequest или обновляете политику PIM (параметры роли) для группы с помощью команды Update unifiedRoleManagementPolicy или Update unifiedRoleManagementPolicyRule, группа автоматически добавляется к PIM, если она не была подключена ранее.
Можно вызвать list assignmentScheduleRequests, List assignmentSchedules, List assignmentScheduleInstances, List eligibilityScheduleRequests, List eligibilitySchedules and List eligibilityScheduleInstances API для обеих групп, которые подключены к PIM, и групп, которые еще не подключены к PIM, но мы рекомендуем делать это только для групп, которые подключены к PIM, чтобы снизить вероятность регулирования
После подключения PIM к группе идентификаторы политик PIM и назначения политик конкретной группы изменяются. Вызовите API Get unifiedRoleManagementPolicy или Get unifiedRoleManagementPolicyAssignment , чтобы получить обновленные идентификаторы.
Когда PIM подключит группу, вы не сможете отключить ее, но при необходимости можно удалить все допустимые и ограниченные по времени назначения.
PIM для групп и объекта group
Членство и владение любой группой безопасности и Microsoft 365 (кроме динамических групп и групп, синхронизированных из локальной среды) можно управлять с помощью PIM для групп. Группа не обязательно должна быть назначаемой ролью, чтобы ее можно было включить в PIM для групп.
При назначении субъекту активного постоянного или временного членства или владения группой или при выполнении JIT-активации:
- Сведения о субъекте возвращаются при запросе связей участников и владельцев через API списка участников группы или списков владельцев групп .
- Вы можете удалить участника из группы с помощью API Удалить владельца группы или Удалить участника группы .
- Если изменения в группе отслеживаются с помощью функций Get delta и Get delta для объектов каталога , объект
@odata.nextLink
содержит нового члена или владельца. - Изменения членов и владельцев групп, внесенные через PIM для групп, регистрируются Microsoft Entra журналах аудита и могут быть прочитаны через API аудита каталога списка.
Если субъекту назначено право постоянного или временного членства или владения группой, отношения участников и владельцев группы не обновляются.
По истечении срока временного активного членства участника или владения группой:
- Сведения о субъекте автоматически удаляются из отношений участников и владельцев .
- Если изменения в группе отслеживаются с помощью функций получить delta и Get delta для объектов каталогов , объект указывает
@odata.nextLink
на удаленного члена или владельца группы.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Разрешения и привилегии
Для вызова PIM для API групп требуются следующие разрешения Microsoft Graph.
Конечные точки | Поддерживаемые операции | Разрешения |
---|---|---|
assignmentSchedule assignmentScheduleInstance |
LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
assignmentScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
eligibilitySchedule eligibilityScheduleInstance |
LIST, GET | PrivilegedEligibilitySchedule.Read.AzureADGroup PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
eligibilityScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
утверждение | GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
approvalStep | LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
approvalStep | UPDATE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
roleManagementPolicy roleManagementPolicyAssignment |
LIST, GET | RoleManagementPolicy.Read.AzureADGroup RoleManagementPolicy.ReadWrite.AzureADGroup |
roleManagementPolicy | UPDATE | RoleManagementPolicy.ReadWrite.AzureADGroup |
Кроме того, для делегированных сценариев вызывающему субъекту требуется одна из следующих ролей (неприменимо к конечным точкам утверждения и утвержденияТеп).
Группа | Role | Поддерживаемые операции |
---|---|---|
Назначение ролей | Администратор привилегированных ролей Владелец группы* Участник группы* |
CREATE, UPDATE, DELELE |
Назначение ролей | Глобальный читатель Администратор привилегированных ролей Владелец группы* Участник группы* |
LIST, GET |
Не назначаемые роли | Редактор каталогов Администратор групп Администратор управления удостоверениями Администратор пользователей Владелец группы* Участник группы* |
CREATE, UPDATE, DELELE |
Не назначаемые роли | Глобальный читатель Редактор каталогов Администратор групп Администратор управления удостоверениями Администратор пользователей Владелец группы* Участник группы* |
LIST, GET |
*
Разрешения для членов группы и владельцев групп ограничены операциями чтения или записи, которые они должны выполнять. Например, участник группы может отменить свое назначениеScheduleRequest , но не запрос любого другого участника.
Только утверждающий запрос может вызывать конечные /approval
точки и /approvalStep
. Им не нужно назначать какие-либо Microsoft Entra роли.
Связанные материалы
Что такое Microsoft Entra управление привилегированными пользователями?
управление привилегированными пользователями (PIM) для групп
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по