Правила в PIM — руководство по сопоставлению
управление привилегированными пользователями (PIM) предоставляет параметры ролей для ресурсов, которыми можно управлять. В Microsoft Graph эти ресурсы являются Microsoft Entra ролями и группами и управляются через PIM для Microsoft Entra ролей и PIM для групп соответственно.
Параметры роли относятся к одной из трех категорий:
- Параметры активации
- Параметры назначения
- Параметры уведомлений
Такие параметры включают, требуется ли многофакторная проверка подлинности (MFA) для активации соответствующей роли или членства в группе; или можно ли создавать постоянные назначения ролей, права владения группами или членства в группах.
При использовании PIM для API Microsoft Entra ролей или PIM для API групп в Microsoft Graph эти параметры ролей управляются с помощью политик и правил.
Политики
В Microsoft Graph параметры роли называются правилами. Эти правила группируются в, назначаются и управляются для Microsoft Entra ролей и групп с помощью контейнеров, называемых политиками.
Политики определяются с помощью типа ресурса unifiedRoleManagementPolicy.
Выбор правил политики
Каждый объект unifiedRoleManagementPolicy содержит 17 предопределенных правил, которые можно обновить. Управление этими правилами осуществляется через связь правил .
Microsoft Graph определяет абстрактный тип ресурса unifiedRoleManagementPolicyRule , который наследуется пятью ресурсами. Пять производных типов используются для группирования правил в правила активации, назначения и уведомления. Они определяют конфигурации правил, которые могут быть одним или несколькими из 17 правил, которые идентифицируются по уникальным и неизменяемым идентификаторам правил.
В этой статье приведено сопоставление параметров В PIM на Центр администрирования Microsoft Entra с соответствующими правилами в Microsoft Graph.
Сопоставление идентификаторов правил с параметрами роли PIM на Центр администрирования Microsoft Entra
Правила активации
На следующем рисунке показаны параметры роли активации в Центр администрирования Microsoft Entra, сопоставленные с правилами и типами ресурсов в API PIM в Microsoft Graph.
| Номер | Описание пользовательского интерфейса Центр администрирования Microsoft Entra | Идентификатор правила Microsoft Graph или тип производного ресурса | Принудительно для вызывающего абонента |
|---|---|---|---|
| 1 | Максимальная продолжительность активации (часы) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Конечный пользователь |
| 2 | При активации требуется: Нет, Azure MFA Требовать сведения о билете при активации Требовать обоснование при активации |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Конечный пользователь |
| 3 | При активации требуется: Microsoft Entra контекст проверки подлинности условного доступа (предварительная версия) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Конечный пользователь |
| 4 | Требовать утверждения для активации |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Конечный пользователь |
Правила назначения
На следующем рисунке показаны параметры назначения ролей на Центр администрирования Microsoft Entra, сопоставленные с правилами и типами ресурсов в API PIM в Microsoft Graph.
| Номер | Описание пользовательского интерфейса Центр администрирования Microsoft Entra | Идентификатор правила Microsoft Graph или тип производного ресурса | Принудительно для вызывающего абонента |
|---|---|---|---|
| 5 | Разрешить постоянное допустимое назначение Срок действия допустимых назначений истекает после |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 6 | Разрешить постоянное активное назначение Истекает срок действия активных назначений после |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 7 | Требовать Многофакторную идентификацию Azure при активном назначении Требовать обоснование для активного назначения |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 8 | Не существует в пользовательском интерфейсе Центр администрирования Microsoft Entra |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Администратор |
Правила уведомлений
На следующем рисунке показаны параметры роли уведомлений на Центр администрирования Microsoft Entra, сопоставленные с правилами и типами ресурсов в API PIM в Microsoft Graph.
| Номер | Описание пользовательского интерфейса Центр администрирования Microsoft Entra | Идентификатор правила Microsoft Graph или тип производного ресурса | Принудительно для вызывающего абонента |
|---|---|---|---|
| 9 | Отправка уведомлений о назначении участников в качестве подходящих для этой роли: оповещение о назначении роли |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 10 | Отправка уведомлений, когда участники назначены в качестве подходящих для этой роли: уведомление назначенному пользователю (назначаемому) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Назначаемый или запрашивающий |
| 11 | Отправка уведомлений, когда участники назначены в качестве подходящих для этой роли: запрос на утверждение продления или продления назначения роли |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Утверждающий |
| 12 | Отправка уведомлений, когда участники назначены как активные для этой роли: оповещение о назначении роли |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 13 | Отправка уведомлений, когда участники назначены как активные для этой роли: уведомление назначенному пользователю (назначаемому) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Назначаемый или запрашивающий |
| 14 | Отправка уведомлений, когда участники назначены как активные для этой роли: запрос на утверждение продления или расширения назначения ролей |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Утверждающий |
| 15 | Отправка уведомлений, когда соответствующие участники активируют эту роль: оповещение активации роли |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Администратор |
| 16 | Отправка уведомлений при активации этой роли соответствующими участниками: уведомление активированным пользователем (инициатором запроса) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Запрашивающего |
| 17 | Отправка уведомлений при активации этой роли соответствующими участниками: запрос на утверждение активации |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Утверждающий |