Управление членством и владением группами с помощью PIM для групп

С помощью управление привилегированными пользователями для групп (PIM для групп) можно управлять назначением участниками членства или владения группами. Безопасность и Группы Microsoft 365 — это критически важные ресурсы, которые можно использовать для предоставления доступа к облачным ресурсам Майкрософт, таким как Microsoft Entra ролям, ролям Azure, Azure SQL, Azure Key Vault, Intune и сторонним приложениям. PIM для групп обеспечивает более полный контроль над тем, как и когда субъекты являются участниками или владельцами групп, и, следовательно, имеют привилегии, предоставляемые в рамках их членства в группах или владения.

API PIM для групп в Microsoft Graph обеспечивают более эффективное управление безопасностью и Группы Microsoft 365, например следующие возможности:

• Предоставление участникам JIT-членства или владения группами
• Назначение субъектам временного членства или владения группами

В этой статье рассматриваются возможности управления API для PIM для групп в Microsoft Graph.

PIM для API групп для управления активными назначениями владельцев и участников групп

API PIM для групп в Microsoft Graph позволяют назначать субъектам постоянное или временное членство или владение группами.

В следующей таблице перечислены сценарии использования PIM для API групп для управления активными назначениями для субъектов и соответствующих API для вызова.

Scenarios	API
Администратор: Назначение активного членства или владения участником группы Продлевает, обновляет, расширяет или удаляет участника из активного членства или владения группой. Субъект: Выполняет JIT-активацию и ограниченную по времени активацию соответствующего членства или назначения прав владения для группы Отключает соответствующее членство и назначение прав владения, когда им больше не нужен доступ Деактивирует, расширяет или продлевает свое членство и назначение прав владения	Создание assignmentScheduleRequest
Администратор перечисляет все запросы на активное членство и назначение прав владения для группы	Перечисление назначенийScheduleRequests
Администратор перечисляет все активные назначения и запросы на назначения, которые будут созданы в будущем, для членства и владения группой	Перечисление назначенийПланеты
Администратор выводит список всех активных назначений членства и владения для группы.	Перечисление назначенийScheduleInstances
Администратор запрашивает назначение участника и владельца для группы и сведения о ней	Получение privilegedAccessGroupAssignmentScheduleRequest
Субъект запрашивает свои запросы на назначение членства или владения и сведения Утверждающий запрашивает запросы на членство или владение в ожидании их утверждения и сведения об этих запросах.	privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser
Субъект отменяет созданный запрос на назначение членства или владения.	privilegedAccessGroupAssignmentScheduleRequest: cancel
Утверждающий получает сведения для запроса на утверждение, включая сведения о шагах утверждения.	Получение утверждения
Утверждающий утверждает или отклоняет запрос на утверждение путем утверждения или отклонения шага утверждения	Обновление approvalStep

PIM для API групп для управления соответствующими назначениями владельцев и участников групп

Для участников может не потребоваться постоянное членство или право владения группами, так как им не требуются привилегии, предоставляемые членством или владением постоянно. В этом случае PIM для групп позволяет предоставить участникам право на членство в группах или владение ими.

Если у участника есть соответствующее назначение, он активирует свое назначение, когда ему требуются привилегии, предоставленные группами для выполнения привилегированных задач. Допустимое назначение может быть постоянным или временным. Активация всегда ограничена по времени в течение не более 8 часов. Участник также может продлить или продлить свое членство или владение группой.

В следующей таблице перечислены сценарии использования PIM для API групп для управления соответствующими назначениями для субъектов и соответствующих API для вызова.

Scenarios	API
Администратор: Создает допустимое членство или назначение прав владения для группы Продлевает, обновляет, расширяет или удаляет допустимое назначение членства или владения для группы. Деактивирует, продлевает или продлевает свое членство или право владения	Создание условия использованияScheduleRequest
Администратор запрашивает все соответствующие запросы на членство или владение и их сведения.	Список разрешенийScheduleRequests
Администратор запрашивает соответствующий запрос на членство или владение и сведения о нем	Получение права на участиеScheduleRequest
Администратор отменяет созданный им соответствующий запрос на членство или владение.	privilegedAccessGroupEligibilityScheduleRequest:cancel
Субъект запрашивает соответствующее членство или право владения запросит свои сведения	privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser

Параметры политики в PIM для групп

PIM для групп определяет параметры или правила, которые определяют способ назначения участникам членства или владения безопасностью и Группы Microsoft 365. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующего членства или владения группой, а также возможность создания постоянных назначений или разрешений для участников групп. Правила определяются в политиках, и политика может применяться к группе.

В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.

Например, предположим, что по умолчанию PIM для групп не разрешает постоянное активное членство и назначение прав владения и определяет не более шести месяцев для активных назначений. Попытка создать объект privilegedAccessGroupAssignmentScheduleRequest без даты окончания срока действия возвращает 400 Bad Request код ответа на нарушение правила истечения срока действия.

PIM для групп позволяет настраивать различные правила, в том числе:

• Можно ли назначать субъектам постоянные соответствующие назначения
• Максимальная продолжительность, допустимая для членства в группе или активации прав владения, а также требуется ли обоснование или утверждение для активации соответствующего членства или владения
• Пользователи, которым разрешено утверждать запросы на активацию для членства в группе или владения
• Требуется ли многофакторная проверка подлинности для активации и принудительного применения членства в группе или назначения прав владения
• Субъекты, которые получают уведомления об активации членства в группе или владения

В следующей таблице перечислены сценарии использования PIM для групп для управления правилами и API для вызова.

Сценарии	API
Получение PIM для политик групп и связанных правил или параметров	Список unifiedRoleManagementPolicies
Получение PIM для политики групп и связанных с ней правил или параметров	Получение unifiedRoleManagementPolicy
Обновление политики PIM для групп с помощью связанных с ней правил или параметров	Обновление unifiedRoleManagementPolicy
Получение правил, определенных для политики PIM для групп	Список правил
Получение правила, определенного для политики PIM для групп	Получение unifiedRoleManagementPolicyRule
Обновление правила, определенного для политики PIM для групп	Обновление unifiedRoleManagementPolicyRule
Получение сведений обо всех PIM для назначений политик групп, включая политики и правила, связанные с членством и владением группами.	Список unifiedRoleManagementPolicyAssignments
Получение сведений о PIM для назначения политики групп, включая политику и правила, связанные с членством в группах или владением.	Получение unifiedRoleManagementPolicyAssignment

Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил в API PIM в Microsoft Graph. Примеры обновления правил см. в статье Использование API PIM в Microsoft Graph для обновления правил.

Подключение групп к PIM для групп

Вы не можете явно подключить группу к PIM для групп. Если вы запрашиваете добавление назначения в группу с помощью команды Create assignmentScheduleRequest или Create eligibilityScheduleRequest или обновляете политику PIM (параметры роли) для группы с помощью команды Update unifiedRoleManagementPolicy или Update unifiedRoleManagementPolicyRule, группа автоматически добавляется к PIM, если она не была подключена ранее.

Вы можете вызвать один из следующих API для обеих групп, подключенных к PIM, и групп, которые еще не подключены к PIM, но мы рекомендуем делать это только для групп, подключенных к PIM, чтобы снизить вероятность регулирования.

• Перечисление назначенийScheduleRequests
• Перечисление назначенийПланеты
• Перечисление назначенийScheduleInstances,
• Список разрешенийScheduleRequests
• Перечисление допустимостиПланеты
• Список разрешенийScheduleInstances

После подключения PIM к группе идентификаторы политик PIM и назначения политик конкретной группы изменяются. Вызовите API Get unifiedRoleManagementPolicy или Get unifiedRoleManagementPolicyAssignment , чтобы получить обновленные идентификаторы.

Когда PIM подключит группу, вы не сможете отключить ее, но при необходимости можно удалить все допустимые и ограниченные по времени назначения.

PIM для групп и объекта group

Членство и владение любой группой безопасности и Microsoft 365 (кроме динамических групп и групп, синхронизированных из локальной среды) можно управлять с помощью PIM для групп. Группа не обязательно должна быть назначаемой ролью, чтобы ее можно было включить в PIM для групп.

При назначении субъекту активного постоянного или временного членства или владения группой или при выполнении JIT-активации:

• Сведения о субъекте возвращаются при запросе связей участников и владельцев через API списка участников группы или списков владельцев групп .
• Вы можете удалить участника из группы с помощью API Удалить владельца группы или Удалить участника группы .
• Если изменения в группе отслеживаются с помощью функций Get delta и Get delta для объектов каталога , объект @odata.nextLink содержит нового члена или владельца.
• Изменения членов и владельцев групп, внесенные через PIM для групп, регистрируются Microsoft Entra журналах аудита и могут быть прочитаны через API аудита каталога списка.

Если субъекту назначено право постоянного или временного членства или владения группой, отношения участников и владельцев группы не обновляются.

По истечении срока временного активного членства участника или владения группой:

• Сведения о субъекте автоматически удаляются из отношений участников и владельцев .
• Если изменения в группе отслеживаются с помощью функций получить delta и Get delta для объектов каталогов , объект указывает @odata.nextLink на удаленного члена или владельца группы.

"Никому не доверяй"

Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":

• Выполняйте проверку явным образом.
• Использование минимальных привилегий
• Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

Лицензирование

Клиент, в котором используется управление привилегированными пользователями, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения см. в статье основы лицензирования Управление Microsoft Entra ID.

Связанные материалы

• Microsoft Entra операций безопасности для управление привилегированными пользователями в центре архитектуры Microsoft Entra