Управление назначениями ролей Microsoft Entra с помощью API PIM
управление привилегированными пользователями (PIM) — это функция Управление Microsoft Entra ID, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Одним из способов предоставления доступа к важным ресурсам субъектам, таким как пользователи, группы и субъекты-службы (приложения), является назначение Microsoft Entra ролей.
API-интерфейсы PIM для Microsoft Entra ролей позволяют управлять привилегированным доступом и ограничивать чрезмерный доступ к Microsoft Entra ролям. В этой статье рассматриваются возможности управления PIM для API Microsoft Entra ролей в Microsoft Graph.
Примечание.
Для управления ролями ресурсов Azure используйте API azure Resource Manager (ARM) для PIM.
API PIM для управления оповещениями системы безопасности для Microsoft Entra ролей доступны только в конечной точкеbeta. Дополнительные сведения см. в разделе Оповещения системы безопасности для Microsoft Entra ролей.
API PIM для управления назначениями активных ролей
PIM позволяет управлять назначениями активных ролей путем создания постоянных или временных назначений. Используйте тип ресурса unifiedRoleAssignmentScheduleRequest и связанные с ним методы для управления назначениями ролей.
В следующей таблице перечислены сценарии использования PIM для управления назначениями ролей и API для вызова.
| Сценарии | API |
|---|---|
| Администратор создает и назначает субъекту назначение постоянной роли. Администратор назначает субъекту временную роль. |
Создание roleAssignmentScheduleRequests |
| Администратор обновляет, обновляет, расширяет или удаляет назначения ролей. | Создание roleAssignmentScheduleRequests |
| Администратор запрашивает все назначения ролей и их сведения | Список ролейAssignmentScheduleRequests |
| Администратор запрашивает назначение роли и сведения о нем | Получение unifiedRoleAssignmentScheduleRequest |
| Субъект запрашивает назначения ролей и сведения | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| Субъект выполняет JIT-активацию и ограниченную по времени активацию соответствующего назначения ролей. | Создание roleAssignmentScheduleRequests |
| Субъект отменяет созданный запрос на назначение ролей. | unifiedRoleAssignmentScheduleRequest: cancel |
| Субъект, который активировал соответствующее назначение ролей, отключает его, если доступ больше не нужен. | Создание roleAssignmentScheduleRequests |
| Субъект деактивирует, расширяет или продлевает назначение собственной роли. | Создание roleAssignmentScheduleRequests |
API PIM для управления правомочности ролей
Субъекты могут не требовать постоянных назначений ролей, так как они могут не требовать привилегий, предоставляемых привилегированной ролью постоянно. В этом случае PIM также позволяет создавать права на роли и назначать их субъектам. При допустимости ролей субъект активирует роль, когда ей нужно выполнять привилегированные задачи. Активация всегда ограничена по времени в течение не более 8 часов. Право на роль также может быть постоянным или временным.
Используйте тип ресурса unifiedRoleEligibilityScheduleRequest и связанные с ним методы для управления правомочностью ролей.
В следующей таблице перечислены сценарии использования PIM для управления правомочности ролей и api для вызова.
| Сценарии | API |
|---|---|
| Администратор создает и назначает субъекту допустимую роль. Администратор назначает субъекту временную роль |
Создание roleEligibilityScheduleRequests |
| Администратор продлевает, обновляет, расширяет или удаляет права на роль. | Создание roleEligibilityScheduleRequests |
| Администратор запрашивает все права на роль и сведения о нем | List roleEligibilityScheduleRequests |
| Администратор запрашивает право на роль и сведения о ней | Получение unifiedRoleEligibilityScheduleRequest |
| Администратор отменяет созданный им запрос на получение ролей. | unifiedRoleEligibilityScheduleRequest: cancel |
| Субъект запрашивает свои права на роль и сведения | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| Субъект отключает, расширяет или продлевает свою роль. | Создание roleEligibilityScheduleRequests |
Параметры ролей и PIM
Каждая роль Microsoft Entra определяет параметры или правила. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующей роли, а также возможность создания постоянных назначений или разрешений для участников роли. Эти правила для конкретных ролей определяют параметры, которые можно применить при создании назначений ролей или управлении ими с помощью PIM.
В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.
Например, предположим, что по умолчанию роль не разрешает постоянные активные назначения и определяет не более 15 дней для активных назначений. При попытке создать объект unifiedRoleAssignmentScheduleRequest без даты окончания срока действия возвращается 400 Bad Request код ответа на нарушение правила истечения срока действия.
PIM позволяет настроить различные правила, в том числе:
- Можно ли назначать субъектам постоянные соответствующие назначения
- Максимальная продолжительность активации роли и необходимость обоснования или утверждения для активации соответствующих ролей
- Пользователи, которым разрешено утверждать запросы на активацию для Microsoft Entra роли
- Требуется ли многофакторная проверка подлинности для активации и принудительного назначения ролей
- Субъекты, которые получают уведомления об активации ролей
В следующей таблице перечислены сценарии использования PIM для управления правилами для Microsoft Entra ролей и API для вызова.
| Сценарии | API |
|---|---|
| Получение политик управления ролями и связанных правил или параметров | Список unifiedRoleManagementPolicies |
| Получение политики управления ролями и связанных с ней правил или параметров | Получение unifiedRoleManagementPolicy |
| Обновление политики управления ролями для связанных с ней правил или параметров | Обновление unifiedRoleManagementPolicy |
| Получение правил, определенных для политики управления ролями | Список правил |
| Получение правила, определенного для политики управления ролями | Получение unifiedRoleManagementPolicyRule |
| Обновление правила, определенного для политики управления ролями | Обновление unifiedRoleManagementPolicyRule |
| Получение сведений обо всех назначениях политик управления ролями, включая политики и правила или параметры, связанные с Microsoft Entra ролями. | Список unifiedRoleManagementPolicyAssignments |
| Получение сведений о назначении политики управления ролями, включая политику и правила или параметры, связанные с ролью Microsoft Entra. | Получение unifiedRoleManagementPolicyAssignment |
Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил для Microsoft Entra ролей в API PIM. Примеры обновления правил см. в статье Использование API PIM для обновления правил для Microsoft Entra ID ролей.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Лицензирование
Клиент, в котором используется управление привилегированными пользователями, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения см. в статье основы лицензирования Управление Microsoft Entra ID.
Связанные материалы
- Что такое Microsoft Entra управление привилегированными пользователями?
- Дополнительные сведения о параметрах ролей в PIM см. в следующих статьях:
- Следуйте этим руководствам, чтобы узнать больше об использовании API PIM.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по