Управление назначениями ролей Microsoft Entra с помощью API PIM
управление привилегированными пользователями (PIM) — это функция Управление Microsoft Entra ID, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Одним из способов предоставления доступа к важным ресурсам субъектов, таких как пользователи, группы и субъекты-службы (приложения), является назначение Microsoft Entra ролей администратора.
API-интерфейсы PIM для Microsoft Entra ролей позволяют управлять привилегированным доступом и ограничивать чрезмерный доступ к Microsoft Entra ролям. В этой статье рассматриваются возможности управления PIM для API Microsoft Entra ролей в Microsoft Graph.
Примечание.
Для управления ролями ресурсов Azure используйте API PIM для azure Resource Manager.
Методы назначения ролей
PIM для ролей Microsoft Entra предоставляет два метода назначения ролей субъектам:
- Активные назначения ролей. Субъект может иметь постоянное или временное назначение ролей с бессрочной лицензией.
- Допустимые назначения ролей. Субъект может быть элигибильным для роли постоянно или временно. С соответствующими разрешениями субъект активирует свою роль, создавая тем самым временно активное назначение роли, когда ему нужно выполнять привилегированные задачи. Активация всегда ограничена по времени в течение 8 часов, но максимальная длительность может быть снижена в параметрах роли. Активацию также можно продлить или продлить.
API PIM для управления назначениями активных ролей
PIM позволяет управлять назначениями активных ролей путем создания постоянных или временных назначений. Используйте тип ресурса unifiedRoleAssignmentScheduleRequest и связанные с ним методы для управления назначениями ролей.
Примечание.
Мы рекомендуем использовать PIM для управления назначениями активных ролей, а также использовать типы ресурсов unifiedRoleAssignment или directoryRole , чтобы управлять ими напрямую.
В следующей таблице перечислены сценарии использования PIM для управления назначениями ролей и API для вызова.
| Сценарии | API |
|---|---|
| Администратор создает и назначает субъекту назначение постоянной роли. Администратор назначает субъекту временную роль. |
Создание roleAssignmentScheduleRequests |
| Администратор обновляет, обновляет, расширяет или удаляет назначения ролей. | Создание roleAssignmentScheduleRequests |
| Администратор запрашивает все назначения ролей и их сведения | Список ролейAssignmentScheduleRequests |
| Администратор запрашивает назначение роли и сведения о нем | Получение unifiedRoleAssignmentScheduleRequest |
| Субъект запрашивает назначения ролей и сведения | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| Субъект выполняет JIT-активацию и ограниченную по времени активацию соответствующего назначения ролей. | Создание roleAssignmentScheduleRequests |
| Субъект отменяет созданный запрос на назначение ролей. | unifiedRoleAssignmentScheduleRequest: cancel |
| Субъект, который активировал соответствующее назначение ролей, отключает его, если доступ больше не нужен. | Создание roleAssignmentScheduleRequests |
| Субъект деактивирует, расширяет или продлевает назначение собственной роли. | Создание roleAssignmentScheduleRequests |
API PIM для управления правомочности ролей
Субъекты могут не требовать постоянных назначений ролей, так как им не требуются привилегии, предоставляемые через привилегированную роль постоянно. В этом случае PIM также позволяет создавать права на роли и назначать их субъектам. При допустимости ролей субъект активирует роль, когда ей нужно выполнять привилегированные задачи. Активация всегда ограничена по времени в течение не более 8 часов. Субъект также может быть постоянно или временно иметь право на участие в этой роли.
Используйте тип ресурса unifiedRoleEligibilityScheduleRequest и связанные с ним методы для управления правомочностью ролей.
В следующей таблице перечислены сценарии использования PIM для управления правомочности ролей и api для вызова.
| Сценарии | API |
|---|---|
| Администратор создает и назначает субъекту допустимую роль. Администратор назначает субъекту временную роль |
Создание roleEligibilityScheduleRequests |
| Администратор продлевает, обновляет, расширяет или удаляет права на роль. | Создание roleEligibilityScheduleRequests |
| Администратор запрашивает все права на роль и сведения о нем | List roleEligibilityScheduleRequests |
| Администратор запрашивает право на роль и сведения о ней | Получение unifiedRoleEligibilityScheduleRequest |
| Администратор отменяет созданный им запрос на получение ролей. | unifiedRoleEligibilityScheduleRequest: cancel |
| Субъект запрашивает свои права на роль и сведения | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| Субъект отключает, расширяет или продлевает свою роль. | Создание roleEligibilityScheduleRequests |
Параметры ролей и PIM
Каждая роль Microsoft Entra определяет параметры или правила. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующей роли, а также возможность создания постоянных назначений или разрешений для участников роли. Эти правила для конкретных ролей определяют параметры, которые можно применить при создании назначений ролей или управлении ими с помощью PIM.
В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.
Например, предположим, что по умолчанию роль не разрешает постоянные активные назначения и определяет не более 15 дней для активных назначений. При попытке создать объект unifiedRoleAssignmentScheduleRequest без даты окончания срока действия возвращается 400 Bad Request код ответа на нарушение правила истечения срока действия.
PIM позволяет настроить различные правила, в том числе:
- Можно ли назначать субъектам постоянные соответствующие назначения
- Максимальная продолжительность активации роли и необходимость обоснования или утверждения для активации соответствующих ролей
- Пользователи, которым разрешено утверждать запросы на активацию для Microsoft Entra роли
- Требуется ли многофакторная проверка подлинности для активации и принудительного назначения ролей
- Субъекты, которые получают уведомления об активации ролей
В следующей таблице перечислены сценарии использования PIM для управления правилами для Microsoft Entra ролей и API для вызова.
| Сценарии | API |
|---|---|
| Получение политик управления ролями и связанных правил или параметров | Список unifiedRoleManagementPolicies |
| Получение политики управления ролями и связанных с ней правил или параметров | Получение unifiedRoleManagementPolicy |
| Обновление политики управления ролями для связанных с ней правил или параметров | Обновление unifiedRoleManagementPolicy |
| Получение правил, определенных для политики управления ролями | Список правил |
| Получение правила, определенного для политики управления ролями | Получение unifiedRoleManagementPolicyRule |
| Обновление правила, определенного для политики управления ролями | Обновление unifiedRoleManagementPolicyRule |
| Получение сведений обо всех назначениях политик управления ролями, включая политики и правила или параметры, связанные с Microsoft Entra ролями. | Список unifiedRoleManagementPolicyAssignments |
| Получение сведений о назначении политики управления ролями, включая политику и правила или параметры, связанные с ролью Microsoft Entra. | Получение unifiedRoleManagementPolicyAssignment |
Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил для Microsoft Entra ролей в API PIM в Microsoft Graph. Примеры обновления правил см. в статье Использование API PIM в Microsoft Graph для обновления Microsoft Entra ID правил.
Оповещения системы безопасности для ролей Microsoft Entra
PIM для ролей Microsoft Entra создает оповещения при обнаружении подозрительных или небезопасных параметров для Microsoft Entra ролей в клиенте. Доступны следующие семь типов оповещений:
| Оповещение | Ресурсы Microsoft Graph (конфигурация оповещений и инциденты) |
|---|---|
| Слишком много глобальных администраторов в клиенте | tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident |
| Оповещения о недопустимой лицензии, ограничивающие использование PIM | invalidLicenseAlertConfiguration / invalidLicenseAlertIncident |
| Роли, настроенные для активации без необходимости многофакторной проверки подлинности | noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident |
| Пользователи с неиспользуемых допустимых или активными назначениями ролей Microsoft Entra | redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident |
| Microsoft Entra роли, назначенные за пределами управление привилегированными пользователями | rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident |
| Microsoft Entra роли, активируемые слишком часто | sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident |
| Потенциальные устаревшие учетные записи в привилегированной роли | staleSignInAlertConfiguration / staleSignInAlertIncident |
Дополнительные сведения об этих оповещениях, включая оценку серьезности и триггеры, см. в статье Настройка оповещений системы безопасности для Microsoft Entra ролей в PIM.
Стандартные блоки API оповещений PIM
Используйте следующие ресурсы Microsoft Graph для управления оповещениями PIM.
| Ресурс | Описание | Операции API |
|---|---|---|
| unifiedRoleManagementAlert | Содержит сводку оповещений в PIM для Microsoft Entra ролей, независимо от того, включены ли они или отключены, когда служба PIM в последний раз проверяла клиент на наличие инцидентов или этого оповещения, а также количество случаев, сопоставленных с этим типом оповещений в клиенте. Служба PIM ежедневно сканирует клиент на наличие инцидентов, связанных с оповещением, но вы также можете запустить проверку вручную. |
List Получение Обновление Обновление (проверка вручную) |
| unifiedRoleManagementAlertDefinition | Содержит подробное описание каждого типа оповещений, уровня серьезности, рекомендуемых действий по устранению рисков, связанных с оповещением в клиенте, и рекомендуемых действий по предотвращению будущих инцидентов. |
List получение; |
| unifiedRoleManagementAlertConfiguration | Конфигурация оповещения, зависящая от клиента, включая, должна ли служба PIM проверять клиент на наличие инцидентов, связанных с оповещением, пороговых значений, которые активируют оповещение, и соответствующего определения оповещения. Это абстрактный тип, от которого наследуются ресурсы, представляющие отдельные типы оповещений. |
List Получение Обновление |
| unifiedRoleManagementAlertIncident | Случаи в клиенте, соответствующие типу оповещений. |
List получение; Исправление |
Дополнительные сведения о работе с оповещениями системы безопасности для Microsoft Entra ролей с помощью API PIM см. в статье Управление оповещениями системы безопасности для Microsoft Entra ролей с помощью API PIM в Microsoft Graph.
Журналы аудита
Все действия, выполненные через PIM для Microsoft Entra ролей, регистрируются в журналах аудита Microsoft Entra, и вы можете прочитать API списка аудитов каталогов.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Лицензирование
Клиент, в котором используется управление привилегированными пользователями, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения см. в статье основы лицензирования Управление Microsoft Entra ID.
Связанные материалы
- Дополнительные сведения об операциях безопасности см. в разделе Microsoft Entra операций безопасности для управление привилегированными пользователями в Центре архитектуры Microsoft Entra.