Поделиться через


Управление назначениями ролей Microsoft Entra с помощью API PIM

управление привилегированными пользователями (PIM) — это функция Управление Microsoft Entra ID, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Одним из способов предоставления доступа к важным ресурсам субъектов, таких как пользователи, группы и субъекты-службы (приложения), является назначение Microsoft Entra ролей администратора.

API-интерфейсы PIM для Microsoft Entra ролей позволяют управлять привилегированным доступом и ограничивать чрезмерный доступ к Microsoft Entra ролям. В этой статье рассматриваются возможности управления PIM для API Microsoft Entra ролей в Microsoft Graph.

Примечание.

Для управления ролями ресурсов Azure используйте API PIM для azure Resource Manager.

Методы назначения ролей

PIM для ролей Microsoft Entra предоставляет два метода назначения ролей субъектам:

  • Активные назначения ролей. Субъект может иметь постоянное или временное назначение ролей с бессрочной лицензией.
  • Допустимые назначения ролей. Субъект может быть элигибильным для роли постоянно или временно. С соответствующими разрешениями субъект активирует свою роль, создавая тем самым временно активное назначение роли, когда ему нужно выполнять привилегированные задачи. Активация всегда ограничена по времени в течение 8 часов, но максимальная длительность может быть снижена в параметрах роли. Активацию также можно продлить или продлить.

API PIM для управления назначениями активных ролей

PIM позволяет управлять назначениями активных ролей путем создания постоянных или временных назначений. Используйте тип ресурса unifiedRoleAssignmentScheduleRequest и связанные с ним методы для управления назначениями ролей.

Примечание.

Мы рекомендуем использовать PIM для управления назначениями активных ролей, а также использовать типы ресурсов unifiedRoleAssignment или directoryRole , чтобы управлять ими напрямую.

В следующей таблице перечислены сценарии использования PIM для управления назначениями ролей и API для вызова.

Сценарии API
Администратор создает и назначает субъекту назначение постоянной роли.
Администратор назначает субъекту временную роль.
Создание roleAssignmentScheduleRequests
Администратор обновляет, обновляет, расширяет или удаляет назначения ролей. Создание roleAssignmentScheduleRequests
Администратор запрашивает все назначения ролей и их сведения Список ролейAssignmentScheduleRequests
Администратор запрашивает назначение роли и сведения о нем Получение unifiedRoleAssignmentScheduleRequest
Субъект запрашивает назначения ролей и сведения unifiedRoleAssignmentScheduleRequest: filterByCurrentUser
Субъект выполняет JIT-активацию и ограниченную по времени активацию соответствующего назначения ролей. Создание roleAssignmentScheduleRequests
Субъект отменяет созданный запрос на назначение ролей. unifiedRoleAssignmentScheduleRequest: cancel
Субъект, который активировал соответствующее назначение ролей, отключает его, если доступ больше не нужен. Создание roleAssignmentScheduleRequests
Субъект деактивирует, расширяет или продлевает назначение собственной роли. Создание roleAssignmentScheduleRequests

API PIM для управления правомочности ролей

Субъекты могут не требовать постоянных назначений ролей, так как им не требуются привилегии, предоставляемые через привилегированную роль постоянно. В этом случае PIM также позволяет создавать права на роли и назначать их субъектам. При допустимости ролей субъект активирует роль, когда ей нужно выполнять привилегированные задачи. Активация всегда ограничена по времени в течение не более 8 часов. Субъект также может быть постоянно или временно иметь право на участие в этой роли.

Используйте тип ресурса unifiedRoleEligibilityScheduleRequest и связанные с ним методы для управления правомочностью ролей.

В следующей таблице перечислены сценарии использования PIM для управления правомочности ролей и api для вызова.

Сценарии API
Администратор создает и назначает субъекту допустимую роль.
Администратор назначает субъекту временную роль
Создание roleEligibilityScheduleRequests
Администратор продлевает, обновляет, расширяет или удаляет права на роль. Создание roleEligibilityScheduleRequests
Администратор запрашивает все права на роль и сведения о нем List roleEligibilityScheduleRequests
Администратор запрашивает право на роль и сведения о ней Получение unifiedRoleEligibilityScheduleRequest
Администратор отменяет созданный им запрос на получение ролей. unifiedRoleEligibilityScheduleRequest: cancel
Субъект запрашивает свои права на роль и сведения unifiedRoleEligibilityScheduleRequest: filterByCurrentUser
Субъект отключает, расширяет или продлевает свою роль. Создание roleEligibilityScheduleRequests

Параметры ролей и PIM

Каждая роль Microsoft Entra определяет параметры или правила. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующей роли, а также возможность создания постоянных назначений или разрешений для участников роли. Эти правила для конкретных ролей определяют параметры, которые можно применить при создании назначений ролей или управлении ими с помощью PIM.

В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.

Например, предположим, что по умолчанию роль не разрешает постоянные активные назначения и определяет не более 15 дней для активных назначений. При попытке создать объект unifiedRoleAssignmentScheduleRequest без даты окончания срока действия возвращается 400 Bad Request код ответа на нарушение правила истечения срока действия.

PIM позволяет настроить различные правила, в том числе:

  • Можно ли назначать субъектам постоянные соответствующие назначения
  • Максимальная продолжительность активации роли и необходимость обоснования или утверждения для активации соответствующих ролей
  • Пользователи, которым разрешено утверждать запросы на активацию для Microsoft Entra роли
  • Требуется ли многофакторная проверка подлинности для активации и принудительного назначения ролей
  • Субъекты, которые получают уведомления об активации ролей

В следующей таблице перечислены сценарии использования PIM для управления правилами для Microsoft Entra ролей и API для вызова.

Сценарии API
Получение политик управления ролями и связанных правил или параметров Список unifiedRoleManagementPolicies
Получение политики управления ролями и связанных с ней правил или параметров Получение unifiedRoleManagementPolicy
Обновление политики управления ролями для связанных с ней правил или параметров Обновление unifiedRoleManagementPolicy
Получение правил, определенных для политики управления ролями Список правил
Получение правила, определенного для политики управления ролями Получение unifiedRoleManagementPolicyRule
Обновление правила, определенного для политики управления ролями Обновление unifiedRoleManagementPolicyRule
Получение сведений обо всех назначениях политик управления ролями, включая политики и правила или параметры, связанные с Microsoft Entra ролями. Список unifiedRoleManagementPolicyAssignments
Получение сведений о назначении политики управления ролями, включая политику и правила или параметры, связанные с ролью Microsoft Entra. Получение unifiedRoleManagementPolicyAssignment

Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил для Microsoft Entra ролей в API PIM в Microsoft Graph. Примеры обновления правил см. в статье Использование API PIM в Microsoft Graph для обновления Microsoft Entra ID правил.

Оповещения системы безопасности для ролей Microsoft Entra

PIM для ролей Microsoft Entra создает оповещения при обнаружении подозрительных или небезопасных параметров для Microsoft Entra ролей в клиенте. Доступны следующие семь типов оповещений:

Оповещение Ресурсы Microsoft Graph (конфигурация оповещений и инциденты)
Слишком много глобальных администраторов в клиенте tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident
Оповещения о недопустимой лицензии, ограничивающие использование PIM invalidLicenseAlertConfiguration / invalidLicenseAlertIncident
Роли, настроенные для активации без необходимости многофакторной проверки подлинности noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident
Пользователи с неиспользуемых допустимых или активными назначениями ролей Microsoft Entra redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident
Microsoft Entra роли, назначенные за пределами управление привилегированными пользователями rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident
Microsoft Entra роли, активируемые слишком часто sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident
Потенциальные устаревшие учетные записи в привилегированной роли staleSignInAlertConfiguration / staleSignInAlertIncident

Дополнительные сведения об этих оповещениях, включая оценку серьезности и триггеры, см. в статье Настройка оповещений системы безопасности для Microsoft Entra ролей в PIM.

Стандартные блоки API оповещений PIM

Используйте следующие ресурсы Microsoft Graph для управления оповещениями PIM.

Ресурс Описание Операции API
unifiedRoleManagementAlert Содержит сводку оповещений в PIM для Microsoft Entra ролей, независимо от того, включены ли они или отключены, когда служба PIM в последний раз проверяла клиент на наличие инцидентов или этого оповещения, а также количество случаев, сопоставленных с этим типом оповещений в клиенте. Служба PIM ежедневно сканирует клиент на наличие инцидентов, связанных с оповещением, но вы также можете запустить проверку вручную. List

Получение

Обновление

Обновление (проверка вручную)
unifiedRoleManagementAlertDefinition Содержит подробное описание каждого типа оповещений, уровня серьезности, рекомендуемых действий по устранению рисков, связанных с оповещением в клиенте, и рекомендуемых действий по предотвращению будущих инцидентов. List

получение;
unifiedRoleManagementAlertConfiguration Конфигурация оповещения, зависящая от клиента, включая, должна ли служба PIM проверять клиент на наличие инцидентов, связанных с оповещением, пороговых значений, которые активируют оповещение, и соответствующего определения оповещения. Это абстрактный тип, от которого наследуются ресурсы, представляющие отдельные типы оповещений. List

Получение

Обновление
unifiedRoleManagementAlertIncident Случаи в клиенте, соответствующие типу оповещений. List

получение;

Исправление

Дополнительные сведения о работе с оповещениями системы безопасности для Microsoft Entra ролей с помощью API PIM см. в статье Управление оповещениями системы безопасности для Microsoft Entra ролей с помощью API PIM в Microsoft Graph.

Журналы аудита

Все действия, выполненные через PIM для Microsoft Entra ролей, регистрируются в журналах аудита Microsoft Entra, и вы можете прочитать API списка аудитов каталогов.

"Никому не доверяй"

Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":

  • Выполняйте проверку явным образом.
  • Использование минимальных привилегий
  • Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

Лицензирование

Клиент, в котором используется управление привилегированными пользователями, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения см. в статье основы лицензирования Управление Microsoft Entra ID.