Управление назначениями ролей Microsoft Entra с помощью API PIM
управление привилегированными пользователями (PIM) — это функция Управление Microsoft Entra ID, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Одним из способов предоставления доступа к важным ресурсам субъектам, таким как пользователи, группы и субъекты-службы (приложения), является назначение Microsoft Entra ролей.
API-интерфейсы PIM для Microsoft Entra ролей позволяют управлять привилегированным доступом и ограничивать чрезмерный доступ к Microsoft Entra ролям. В этой статье рассматриваются возможности управления PIM для API Microsoft Entra ролей в Microsoft Graph.
Примечание.
Для управления ролями ресурсов Azure используйте API Resource Manager Azure для PIM.
API PIM для управления оповещениями системы безопасности для Microsoft Entra ролей доступны только в конечной точке/beta
. Дополнительные сведения см. в разделе Оповещения системы безопасности для Microsoft Entra ролей.
Методы назначения ролей
PIM для ролей Microsoft Entra предоставляет два метода назначения ролей субъектам:
- Активные назначения ролей. Субъект может иметь постоянное или временное назначение ролей с бессрочной лицензией.
- Допустимые назначения ролей. Субъект может быть элигибильным для роли постоянно или временно. С соответствующими разрешениями субъект активирует свою роль, создавая тем самым временно активное назначение роли, когда ему нужно выполнять привилегированные задачи. Активация всегда ограничена по времени в течение 8 часов, но максимальная длительность может быть снижена в параметрах роли. Активацию также можно продлить или продлить.
API PIM для управления назначениями активных ролей
PIM позволяет управлять назначениями активных ролей путем создания постоянных или временных назначений. Используйте тип ресурса unifiedRoleAssignmentScheduleRequest и связанные с ним методы для управления назначениями ролей.
Примечание.
Мы рекомендуем использовать PIM для управления назначениями активных ролей, а также использовать типы ресурсов unifiedRoleAssignment или directoryRole , чтобы управлять ими напрямую.
В следующей таблице перечислены сценарии использования PIM для управления назначениями ролей и API для вызова.
Сценарии | API |
---|---|
Администратор создает и назначает субъекту назначение постоянной роли. Администратор назначает субъекту временную роль. |
Создание roleAssignmentScheduleRequests |
Администратор обновляет, обновляет, расширяет или удаляет назначения ролей. | Создание roleAssignmentScheduleRequests |
Администратор запрашивает все назначения ролей и их сведения | Список ролейAssignmentScheduleRequests |
Администратор запрашивает назначение роли и сведения о нем | Получение unifiedRoleAssignmentScheduleRequest |
Субъект запрашивает назначения ролей и сведения | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
Субъект выполняет JIT-активацию и ограниченную по времени активацию соответствующего назначения ролей. | Создание roleAssignmentScheduleRequests |
Субъект отменяет созданный запрос на назначение ролей. | unifiedRoleAssignmentScheduleRequest: cancel |
Субъект, который активировал соответствующее назначение ролей, отключает его, если доступ больше не нужен. | Создание roleAssignmentScheduleRequests |
Субъект деактивирует, расширяет или продлевает назначение собственной роли. | Создание roleAssignmentScheduleRequests |
API PIM для управления правомочности ролей
Субъекты могут не требовать постоянных назначений ролей, так как им не требуются привилегии, предоставляемые через привилегированную роль постоянно. В этом случае PIM также позволяет создавать права на роли и назначать их субъектам. При допустимости ролей субъект активирует роль, когда ей нужно выполнять привилегированные задачи. Активация всегда ограничена по времени в течение не более 8 часов. Субъект также может быть постоянно или временно иметь право на участие в этой роли.
Используйте тип ресурса unifiedRoleEligibilityScheduleRequest и связанные с ним методы для управления правомочностью ролей.
В следующей таблице перечислены сценарии использования PIM для управления правомочности ролей и api для вызова.
Сценарии | API |
---|---|
Администратор создает и назначает субъекту допустимую роль. Администратор назначает субъекту временную роль |
Создание roleEligibilityScheduleRequests |
Администратор продлевает, обновляет, расширяет или удаляет права на роль. | Создание roleEligibilityScheduleRequests |
Администратор запрашивает все права на роль и сведения о нем | List roleEligibilityScheduleRequests |
Администратор запрашивает право на роль и сведения о ней | Получение unifiedRoleEligibilityScheduleRequest |
Администратор отменяет созданный им запрос на получение ролей. | unifiedRoleEligibilityScheduleRequest: cancel |
Субъект запрашивает свои права на роль и сведения | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
Субъект отключает, расширяет или продлевает свою роль. | Создание roleEligibilityScheduleRequests |
Параметры ролей и PIM
Каждая роль Microsoft Entra определяет параметры или правила. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующей роли, а также возможность создания постоянных назначений или разрешений для участников роли. Эти правила для конкретных ролей определяют параметры, которые можно применить при создании назначений ролей или управлении ими с помощью PIM.
В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.
Например, предположим, что по умолчанию роль не разрешает постоянные активные назначения и определяет не более 15 дней для активных назначений. При попытке создать объект unifiedRoleAssignmentScheduleRequest без даты окончания срока действия возвращается 400 Bad Request
код ответа на нарушение правила истечения срока действия.
PIM позволяет настроить различные правила, в том числе:
- Можно ли назначать субъектам постоянные соответствующие назначения
- Максимальная продолжительность активации роли и необходимость обоснования или утверждения для активации соответствующих ролей
- Пользователи, которым разрешено утверждать запросы на активацию для Microsoft Entra роли
- Требуется ли многофакторная проверка подлинности для активации и принудительного назначения ролей
- Субъекты, которые получают уведомления об активации ролей
В следующей таблице перечислены сценарии использования PIM для управления правилами для Microsoft Entra ролей и API для вызова.
Сценарии | API |
---|---|
Получение политик управления ролями и связанных правил или параметров | Список unifiedRoleManagementPolicies |
Получение политики управления ролями и связанных с ней правил или параметров | Получение unifiedRoleManagementPolicy |
Обновление политики управления ролями для связанных с ней правил или параметров | Обновление unifiedRoleManagementPolicy |
Получение правил, определенных для политики управления ролями | Список правил |
Получение правила, определенного для политики управления ролями | Получение unifiedRoleManagementPolicyRule |
Обновление правила, определенного для политики управления ролями | Обновление unifiedRoleManagementPolicyRule |
Получение сведений обо всех назначениях политик управления ролями, включая политики и правила или параметры, связанные с Microsoft Entra ролями. | Список unifiedRoleManagementPolicyAssignments |
Получение сведений о назначении политики управления ролями, включая политику и правила или параметры, связанные с ролью Microsoft Entra. | Получение unifiedRoleManagementPolicyAssignment |
Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил для Microsoft Entra ролей в API PIM. Примеры обновления правил см. в статье Использование API PIM для обновления правил для Microsoft Entra ID ролей.
Журналы аудита
Все действия, выполненные через PIM для Microsoft Entra ролей, регистрируются в журналах аудита Microsoft Entra, и вы можете прочитать API списка аудитов каталогов.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Лицензирование
Клиент, в котором используется управление привилегированными пользователями, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения см. в статье основы лицензирования Управление Microsoft Entra ID.
Связанные материалы
- Дополнительные сведения об операциях безопасности см. в разделе Microsoft Entra операций безопасности для управление привилегированными пользователями в Центре архитектуры Microsoft Entra.