Управление членством и владением группами с помощью PIM для групп

  • Статья

С помощью управление привилегированными пользователями для групп (PIM для групп) можно управлять назначением участниками членства или владения группами. Безопасность и группы Microsoft 365 — это критически важные ресурсы, которые можно использовать для предоставления доступа к облачным ресурсам Майкрософт, таким как Microsoft Entra ролям, ролям Azure, Azure SQL, Azure Key Vault, Intune и сторонним приложениям. PIM для групп обеспечивает более полный контроль над тем, как и когда субъекты являются участниками или владельцами групп, и, следовательно, имеют привилегии, предоставляемые в рамках их членства в группах или владения.

API PIM для групп в Microsoft Graph обеспечивают более эффективное управление безопасностью и группами Microsoft 365, например следующими возможностями:

  • Предоставление участникам JIT-членства или владения группами
  • Назначение субъектам временного членства или владения группами

В этой статье рассматриваются возможности управления API для PIM для групп в Microsoft Graph.

PIM для API групп для управления активными назначениями владельцев и участников групп

API PIM для групп в Microsoft Graph позволяют назначать субъектам постоянное или временное членство или владение группами.

В следующей таблице перечислены сценарии использования PIM для API групп для управления активными назначениями для субъектов и соответствующих API для вызова.

Scenarios API
Администратор:
  • Назначение активного членства или владения участником группы
  • Продлевает, обновляет, расширяет или удаляет участника из активного членства или владения группой.

    Субъект:
  • Выполняет JIT-активацию и ограниченную по времени активацию соответствующего членства или назначения прав владения для группы
  • Отключает соответствующее членство и назначение прав владения, когда им больше не нужен доступ
  • Деактивирует, расширяет или продлевает свое членство и назначение прав владения
    		•  Создание assignmentScheduleRequest
    Администратор перечисляет все запросы на активное членство и назначение прав владения для группы Перечисление назначенийScheduleRequests
    Администратор перечисляет все активные назначения и запросы на назначения, которые будут созданы в будущем, для членства и владения группой Перечисление назначенийПланеты
    Администратор выводит список всех активных назначений членства и владения для группы. Перечисление назначенийScheduleInstances
    Администратор запрашивает назначение участника и владельца для группы и сведения о ней Получение privilegedAccessGroupAssignmentScheduleRequest
    Субъект запрашивает свои запросы на назначение членства или владения и сведения

    Утверждающий запрашивает запросы на членство или владение в ожидании их утверждения и сведения об этих запросах.    		 privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser
    Субъект отменяет созданный запрос на назначение членства или владения. privilegedAccessGroupAssignmentScheduleRequest: cancel
    Утверждающий получает сведения для запроса на утверждение, включая сведения о шагах утверждения. Получение утверждения
    Утверждающий утверждает или отклоняет запрос на утверждение путем утверждения или отклонения шага утверждения Обновление approvalStep

    PIM для API групп для управления соответствующими назначениями владельцев и участников групп

    Вашим субъектам может не требоваться постоянное членство или владение группами, так как они могут не требовать привилегий, предоставляемых членством или владением постоянно. В этом случае PIM для групп позволяет предоставить участникам право на членство в группах или владение ими.

    Если у участника есть соответствующее назначение, он активирует свое назначение, когда ему требуются привилегии, предоставленные группами для выполнения привилегированных задач. Допустимое назначение может быть постоянным или временным. Активация всегда ограничена по времени в течение не более восьми часов.

    В следующей таблице перечислены сценарии использования PIM для API групп для управления соответствующими назначениями для субъектов и соответствующих API для вызова.

    Scenarios API
    Администратор:
  • Создает допустимое членство или назначение прав владения для группы
  • Продлевает, обновляет, расширяет или удаляет допустимое назначение членства или владения для группы.
  • Деактивирует, продлевает или продлевает свое членство или право владения
    		•  Создание условия использованияScheduleRequest
    Администратор запрашивает все соответствующие запросы на членство или владение и их сведения. Список разрешенийScheduleRequests
    Администратор запрашивает соответствующий запрос на членство или владение и сведения о нем Получение права на участиеScheduleRequest
    Администратор отменяет созданный им соответствующий запрос на членство или владение. privilegedAccessGroupEligibilityScheduleRequest:cancel
    Субъект запрашивает соответствующее членство или право владения запросит свои сведения privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser

    Параметры политики в PIM для групп

    PIM для групп определяет параметры или правила, которые определяют способ назначения участникам членства или владения в группах безопасности и Microsoft 365. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующего членства или владения группой, а также возможность создания постоянных назначений или разрешений для участников групп. Правила определяются в политиках, и политика может применяться к группе.

    В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.

    Например, предположим, что по умолчанию PIM для групп не разрешает постоянное активное членство и назначение прав владения и определяет не более шести месяцев для активных назначений. Попытка создать объект privilegedAccessGroupAssignmentScheduleRequest без даты окончания срока действия возвращает 400 Bad Request код ответа на нарушение правила истечения срока действия.

    PIM для групп позволяет настраивать различные правила, в том числе:

    • Можно ли назначать субъектам постоянные соответствующие назначения
    • Максимальная продолжительность, допустимая для членства в группе или активации прав владения, а также требуется ли обоснование или утверждение для активации соответствующего членства или владения
    • Пользователи, которым разрешено утверждать запросы на активацию для членства в группе или владения
    • Требуется ли многофакторная проверка подлинности для активации и принудительного применения членства в группе или назначения прав владения
    • Субъекты, которые получают уведомления об активации членства в группе или владения

    В следующей таблице перечислены сценарии использования PIM для групп для управления правилами и API для вызова.

    Сценарии API
    Получение PIM для политик групп и связанных правил или параметров Список unifiedRoleManagementPolicies
    Получение PIM для политики групп и связанных с ней правил или параметров Получение unifiedRoleManagementPolicy
    Обновление политики PIM для групп с помощью связанных с ней правил или параметров Обновление unifiedRoleManagementPolicy
    Получение правил, определенных для политики PIM для групп Список правил
    Получение правила, определенного для политики PIM для групп Получение unifiedRoleManagementPolicyRule
    Обновление правила, определенного для политики PIM для групп Обновление unifiedRoleManagementPolicyRule
    Получение сведений обо всех PIM для назначений политик групп, включая политики и правила, связанные с членством и владением группами. Список unifiedRoleManagementPolicyAssignments
    Получение сведений о PIM для назначения политики групп, включая политику и правила, связанные с членством в группах или владением. Получение unifiedRoleManagementPolicyAssignment

    Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил в API PIM в Microsoft Graph. Примеры обновления правил см. в статье Использование API PIM в Microsoft Graph для обновления правил.

    Подключение групп к PIM для групп

    Вы не можете явно подключить группу к PIM для групп. Когда вы отправляете запрос на добавление назначения в группу с помощью командлета Create assignmentScheduleRequest или Create eligibilityScheduleRequest или обновляете политику PIM (параметры роли) для группы с помощью команды Update unifiedRoleManagementPolicy или Update unifiedRoleManagementPolicyRule, группа автоматически добавляется к PIM, если она не была подключена ранее.

    Можно вызвать list assignmentScheduleRequests, List assignmentSchedules, List assignmentScheduleInstances, List eligibilityScheduleRequests, List eligibilitySchedules and List eligibilityScheduleInstances API для обеих групп, которые подключены к PIM, и групп, которые еще не подключены к PIM, но мы рекомендуем делать это только для групп, которые подключены к PIM, чтобы снизить вероятность регулирования

    После подключения PIM к группе идентификаторы политик PIM и назначения политик конкретной группы изменяются. Вызовите API Get unifiedRoleManagementPolicy или Get unifiedRoleManagementPolicyAssignment , чтобы получить обновленные идентификаторы.

    После подключения группы PIM ее нельзя отключить, но при необходимости можно удалить все допустимые и ограниченные по времени назначения.

    PIM для групп и объекта group

    Членство и владение любой группой безопасности и Microsoft 365 (кроме динамических групп и групп, синхронизированных из локальной среды) можно управлять с помощью PIM для групп. Группа не обязательно должна быть назначаемой ролью, чтобы ее можно было включить в PIM для групп.

    При назначении субъекту активного постоянного или временного членства или владения группой или при выполнении JIT-активации:

    Если субъекту назначено право постоянного или временного членства или владения группой, отношения участников и владельцев группы не обновляются.

    По истечении срока временного активного членства участника или владения группой:

    • Сведения о субъекте автоматически удаляются из отношений участников и владельцев .
    • Если изменения в группе отслеживаются с помощью функций получить delta и Get delta для объектов каталогов , объект указывает @odata.nextLink на удаленного члена или владельца группы.

    "Никому не доверяй"

    Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":

    • Выполняйте проверку явным образом.
    • Использование минимальных привилегий
    • Предполагайте наличие бреши в системе безопасности

    Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

    Разрешения и привилегии

    Для вызова PIM для API групп требуются следующие разрешения Microsoft Graph.

    Конечные точки Поддерживаемые операции Разрешения
    assignmentSchedule
    assignmentScheduleInstance    		 LIST, GET PrivilegedAssignmentSchedule.Read.AzureADGroup
    PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    assignmentScheduleRequest CREATE, LIST, GET, UPDATE, DELELE PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    eligibilitySchedule
    eligibilityScheduleInstance    		 LIST, GET PrivilegedEligibilitySchedule.Read.AzureADGroup
    PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup
    eligibilityScheduleRequest CREATE, LIST, GET, UPDATE, DELELE PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup
    утверждение GET PrivilegedAssignmentSchedule.Read.AzureADGroup
    PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    approvalStep LIST, GET PrivilegedAssignmentSchedule.Read.AzureADGroup
    PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    approvalStep UPDATE PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup
    roleManagementPolicy
    roleManagementPolicyAssignment    		 LIST, GET RoleManagementPolicy.Read.AzureADGroup
    RoleManagementPolicy.ReadWrite.AzureADGroup
    roleManagementPolicy UPDATE RoleManagementPolicy.ReadWrite.AzureADGroup

    Кроме того, для делегированных сценариев вызывающему субъекту требуется одна из следующих ролей (неприменимо к конечным точкам утверждения и утвержденияТеп).

    Группа Role Поддерживаемые операции
    Назначение ролей Администратор привилегированных ролей
    Владелец группы*
    Участник группы*    		 CREATE, UPDATE, DELELE
    Назначение ролей Глобальный читатель
    Администратор привилегированных ролей
    Владелец группы*
    Участник группы*    		 LIST, GET
    Не назначаемые роли Редактор каталогов
    Администратор групп
    Администратор управления удостоверениями
    Администратор пользователей
    Владелец группы*
    Участник группы*    		 CREATE, UPDATE, DELELE
    Не назначаемые роли Глобальный читатель
    Редактор каталогов
    Администратор групп
    Администратор управления удостоверениями
    Администратор пользователей
    Владелец группы*
    Участник группы*    		 LIST, GET

    * Разрешения для членов группы и владельцев групп ограничены операциями чтения или записи, которые они должны выполнять. Например, участник группы может отменить свое назначениеScheduleRequest , но не запрос любого другого участника.

    Только утверждающий запрос может вызывать конечные /approval точки и /approvalStep . Им не нужно назначать какие-либо Microsoft Entra роли.

    Связанные материалы