Правила в PIM — руководство по сопоставлению
управление привилегированными пользователями (PIM) предоставляет параметры ролей или правила для ресурсов, которыми можно управлять. В Microsoft Graph эти ресурсы являются Microsoft Entra ролями и группами и управляются через PIM для Microsoft Entra ролей и PIM для групп соответственно.
Параметры роли относятся к одной из трех категорий: параметры активации, параметры назначения и параметры уведомлений. Такие параметры включают, требуется ли многофакторная проверка подлинности (MFA) для активации соответствующей роли, членства в группе или владения группой, а также можно ли создавать постоянные назначения ролей или постоянное членство в группе или владение.
При использовании API PIM в Microsoft Graph эти параметры ролей управляются с помощью политик и правил.
Политики
В Microsoft Graph параметры роли называются правилами. Эти правила группируются в, назначаются и управляются для Microsoft Entra ролей и групп с помощью контейнеров, называемых политиками.
Политики определяются с помощью типа ресурса unifiedRoleManagementPolicy.
Выбор правил политики
Каждая политика содержит 17 предопределенных правил, которые можно обновить. Управление этими правилами осуществляется через связь правилтипа ресурса unifiedRoleManagementPolicy.
Чтобы сгруппировать правила в правила активации, назначения и уведомления, Microsoft Graph определяет абстрактный тип ресурса unifiedRoleManagementPolicyRule . Этот абстрактный тип наследуется пятью ресурсами. Каждый из этих пяти производных типов определяет конфигурации правил, которые могут быть одним или несколькими из 17 правил. 17 правил идентифицируются по уникальным и неизменяемым идентификаторам правил.
В этой статье приведено сопоставление параметров В PIM на Центр администрирования Microsoft Entra с соответствующими правилами в Microsoft Graph.
Сопоставление идентификаторов правил с параметрами роли PIM на Центр администрирования Microsoft Entra
Правила активации
На следующем рисунке показаны параметры роли активации в Центр администрирования Microsoft Entra, сопоставленные с правилами и типами ресурсов в API PIM в Microsoft Graph.
| Номер | Описание пользовательского интерфейса Центр администрирования Microsoft Entra | Идентификатор правила Microsoft Graph или тип производного ресурса | Принудительно для вызывающего абонента |
|---|---|---|---|
| 1 | Максимальная продолжительность активации (часы) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Конечный пользователь |
| 2 | При активации требуется: Нет, Azure MFA Требовать сведения о билете при активации Требовать обоснование при активации |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
Администратор |
| 3 | При активации требуется: Microsoft Entra контекст проверки подлинности условного доступа (предварительная версия) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
Конечный пользователь |
| 4 | Требовать утверждения для активации | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
Конечный пользователь |
Правила назначения
На следующем рисунке показаны параметры назначения ролей на Центр администрирования Microsoft Entra, сопоставленные с правилами и типами ресурсов в API PIM в Microsoft Graph.
| Номер | Описание пользовательского интерфейса Центр администрирования Microsoft Entra | Идентификатор правила Microsoft Graph или тип производного ресурса | Принудительно для вызывающего абонента |
|---|---|---|---|
| 5 | Разрешить постоянное допустимое назначение Срок действия допустимых назначений истекает после |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 6 | Разрешить постоянное активное назначение Истекает срок действия активных назначений после |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 7 | Требовать Многофакторную идентификацию Azure при активном назначении Требовать обоснование для активного назначения Требовать сведения о билете при активации |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 8 | Требовать Многофакторную идентификацию Azure при активном назначении Требовать обоснование для активного назначения Требовать сведения о билете при активации |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
Конечный пользователь |
Правила уведомлений
На следующем рисунке показаны параметры роли уведомлений на Центр администрирования Microsoft Entra, сопоставленные с правилами и типами ресурсов в API PIM в Microsoft Graph.
| Номер | Описание пользовательского интерфейса Центр администрирования Microsoft Entra | Идентификатор правила Microsoft Graph или тип производного ресурса | Принудительно для вызывающего абонента |
|---|---|---|---|
| 9 | Отправка уведомлений о назначении участников в качестве подходящих для этой роли: оповещение о назначении роли | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Администратор |
| 10 | Отправка уведомлений, когда участники назначены в качестве подходящих для этой роли: уведомление назначенному пользователю (назначаемому) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Назначаемый или запрашивающий |
| 11 | Отправка уведомлений, когда участники назначены в качестве подходящих для этой роли: запрос на утверждение продления или продления назначения роли | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
Утверждающий |
| 12 | Отправка уведомлений, когда участники назначены как активные для этой роли: оповещение о назначении роли | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Администратор |
| 13 | Отправка уведомлений, когда участники назначены как активные для этой роли: уведомление назначенному пользователю (назначаемому) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Назначаемый или запрашивающий |
| 14 | Отправка уведомлений, когда участники назначены как активные для этой роли: запрос на утверждение продления или расширения назначения ролей | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
Утверждающий |
| 15 | Отправка уведомлений, когда соответствующие участники активируют эту роль: оповещение активации роли | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Администратор |
| 16 | Отправка уведомлений при активации этой роли соответствующими участниками: уведомление активированным пользователем (инициатором запроса) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Запрашивающего |
| 17 | Отправка уведомлений при активации этой роли соответствующими участниками: запрос на утверждение активации | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
Утверждающий |
Связанные материалы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по