使用组的 PIM 管理组的成员身份和所有权
使用组Privileged Identity Management (组的 PIM) ,可以控制主体如何分配组的成员身份或所有权。 安全性和 Microsoft 365 组是可用于提供对 Microsoft 云资源(如Microsoft Entra角色、Azure 角色、Azure SQL、Azure 密钥保管库、Intune和第三方应用程序)的访问权限的关键资源。 组的 PIM 让你可以更好地控制主体如何以及何时是组的成员或所有者,因此具有通过其组成员身份或所有权授予的权限。
Microsoft Graph 中组 API 的 PIM 提供对安全性和 Microsoft 365 组的更多监管,例如以下功能:
- 为主体提供组的实时成员身份或所有权
- 为主体分配临时成员身份或组所有权
本文介绍 Microsoft Graph 中组的 PIM API 的治理功能。
组 API 的 PIM,用于管理组所有者和成员的活动分配
Microsoft Graph 中组 API 的 PIM 允许向组分配主体永久成员身份或临时成员身份或有时限的成员身份或所有权。
下表列出了对组 API 使用 PIM 来管理主体的活动分配以及要调用的相应 API 的方案。
| Scenarios | API |
|---|---|
| 管理员: 主体: |
创建 assignmentScheduleRequest |
| 管理员列出组的活动成员身份和所有权分配的所有请求 | 列出 assignmentScheduleRequests |
| 管理员列出组的成员身份和所有权的所有活动分配以及将来要创建的分配请求 | 列出 assignmentSchedules |
| 管理员列出组的所有活动成员身份和所有权分配 | 列出 assignmentScheduleInstances |
| 管理员查询组及其详细信息的成员和所有权分配 | 获取 privilegedAccessGroupAssignmentScheduleRequest |
| 主体查询其成员身份或所有权分配请求以及详细信息 审批者查询成员身份或所有权请求,等待其批准以及这些请求的详细信息 |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
| 主体取消他们创建的成员身份或所有权分配请求 | privilegedAccessGroupAssignmentScheduleRequest:cancel |
| 审批者获取审批请求的详细信息,包括有关审批步骤的信息 | 获取审批 |
| 审批者通过批准或拒绝审批步骤批准或拒绝审批请求 | 更新审批步骤 |
组 API 的 PIM,用于管理组所有者和成员的合格分配
主体可能不需要永久成员身份或组所有权,因为它们可能不需要通过成员身份或所有权一直授予的权限。 在这种情况下,组的 PIM 允许你使主体有资格获得组的成员身份或所有权。
当主体具有符合条件的分配时,当主体需要通过组授予的权限来执行特权任务时,会激活其分配。 符合条件的分配可以是永久的或临时的。 激活始终有时间限制,最长为 8 小时。
下表列出了对组 API 使用 PIM 来管理主体的合格分配以及要调用的相应 API 的方案。
| Scenarios | API |
|---|---|
| 管理员: |
创建 eligibilityScheduleRequest |
| 管理员查询所有符合条件的成员身份或所有权请求及其详细信息 | 列出 eligibilityScheduleRequests |
| 管理员查询符合条件的成员身份或所有权请求及其详细信息 | 获取 eligibilityScheduleRequest |
| 管理员取消他们创建的合格成员身份或所有权请求 | privilegedAccessGroupEligibilityScheduleRequest:cancel |
| 主体查询其符合条件的成员身份或所有权请求其详细信息 | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
组的 PIM 中的策略设置
组的 PIM 定义设置或规则,这些设置或规则控制如何向主体分配成员身份或所有权的安全和 Microsoft 365 组。 此类规则包括是否需要多重身份验证 (MFA) 、理由或批准来激活组的合格成员身份或所有权,或者是否可以为组的主体创建永久分配或资格。 规则在策略中定义,策略可以应用于组。
在 Microsoft Graph 中,这些规则通过 unifiedRoleManagementPolicy 和 unifiedRoleManagementPolicyAssignment 资源类型及其相关方法进行管理。
例如,假设默认情况下,组的 PIM 不允许永久活动成员身份和所有权分配,并且为活动分配定义了最多 6 个月。 尝试创建不带到期日期的 privilegedAccessGroupAssignmentScheduleRequest 对象会 400 Bad Request 返回违反过期规则的响应代码。
组的 PIM 允许配置各种规则,包括:
- 是否可以为主体分配永久合格分配
- 组成员身份或所有权激活所允许的最长持续时间,以及激活符合条件的成员身份或所有权是否需要理由或批准
- 允许批准组成员身份或所有权的激活请求的用户
- 激活和强制执行组成员身份或所有权分配是否需要 MFA
- 收到组成员身份或所有权激活通知的主体
下表列出了对组使用 PIM 来管理规则和要调用的 API 的方案。
| 应用场景 | API |
|---|---|
| 检索组策略和关联规则或设置的 PIM | 列出 unifiedRoleManagementPolicies |
| 检索组策略及其关联规则或设置的 PIM | 获取 unifiedRoleManagementPolicy |
| 根据其关联的规则或设置更新组策略的 PIM | 更新 unifiedRoleManagementPolicy |
| 检索为组策略的 PIM 定义的规则 | List rules |
| 检索为组策略的 PIM 定义的规则 | 获取 unifiedRoleManagementPolicyRule |
| 更新为组策略的 PIM 定义的规则 | 更新 unifiedRoleManagementPolicyRule |
| 获取组策略分配的所有 PIM 的详细信息,包括与组成员身份和所有权关联的策略和规则 | 列出 unifiedRoleManagementPolicyAssignments |
| 获取组策略分配的 PIM 的详细信息,包括与组成员身份或所有权关联的策略和规则 | 获取 unifiedRoleManagementPolicyAssignment |
有关使用 Microsoft Graph 配置规则的详细信息,请参阅 Microsoft Graph 中 PIM API 中的规则概述。 有关更新规则的示例,请参阅 在 Microsoft Graph 中使用 PIM API 更新规则。
将组载入到组的 PIM
无法显式将组加入组的 PIM。 使用“创建分配ScheduleRequest”或“创建资格ScheduleRequest”请求向组添加分配时,或者使用“更新 unifiedRoleManagementPolicy”或“更新 unifiedRoleManagementPolicyRule”为组更新 PIM 策略 (角色设置) 时,如果组以前未加入,则会自动加入 PIM。
对于载入 PIM 的组和尚未加入 PIM 的组,可以调用 List assignmentScheduleRequests、List assignmentScheduleInstances、List eligibilityScheduleRequests、List eligibilitySchedules 和 List eligibilityScheduleInstances API,但我们建议仅对载入 PIM 的组执行此操作,以减少受到限制的可能性
PIM 加入组后,PIM 策略的 ID 和特定组的策略分配会更改。 调用 Get unifiedRoleManagementPolicy 或 Get unifiedRoleManagementPolicyAssignment API 以获取更新的 ID。
PIM 加入组后,无法将其卸载,但可以根据需要删除所有符合条件的有时限的分配。
组和组对象的 PIM
任何安全性和 Microsoft 365 组 (的成员身份和所有权(从本地) 同步的动态组和组除外)都可以通过组的 PIM 进行控制。 组无需可分配角色,就可以在 PIM 中为组启用。
为主体分配组 的活动 永久或临时成员身份或所有权时,或者他们进行实时激活时:
- 通过列表组成员或列表组所有者 API 查询成员和所有者关系时,将返回主体的详细信息。
- 可以使用“ 删除组所有者”或“删除组 成员 API”从 组中删除 主体。
- 如果使用 “获取目录对象的增量” 和“ 获取增量” 函数跟踪对组所做的更改,则 包含
@odata.nextLink新的成员或所有者。 - 通过组的 PIM 对组成员和所有者所做的更改将记录Microsoft Entra审核日志中,并可通过列表目录审核 API 进行读取。
为主体分配 了组的合格 永久或临时成员身份或所有权时,不会更新该组的成员和所有者关系。
当主体的 临时活动 成员身份或组所有权过期时:
- 主体的详细信息会自动从 成员 和 所有者 关系中删除。
- 如果使用 “获取目录对象的增量 ”和“ 获取增量” 函数跟踪对组所做的更改,则
@odata.nextLink指示已删除的组成员或所有者。
零信任
此功能可帮助组织将其标识与零信任体系结构的三个指导原则保持一致:
- 显式验证
- 使用最低特权
- 假定漏洞
若要详细了解零信任和其他使组织符合指导原则的方法,请参阅零信任指导中心。
权限和特权
调用组 API 的 PIM 需要以下 Microsoft Graph 权限。
| 终结点 | 支持的操作 | 权限 |
|---|---|---|
| assignmentSchedule assignmentScheduleInstance |
LIST、GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| assignmentScheduleRequest | CREATE、LIST、GET、UPDATE、DELELE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| eligibilitySchedule eligibilityScheduleInstance |
LIST、GET | PrivilegedEligibilitySchedule.Read.AzureADGroup PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
| eligibilityScheduleRequest | CREATE、LIST、GET、UPDATE、DELELE | PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
| “审批” | GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| approvalStep | LIST、GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| approvalStep | 更新 | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
| roleManagementPolicy roleManagementPolicyAssignment |
LIST、GET | RoleManagementPolicy.Read.AzureADGroup RoleManagementPolicy.ReadWrite.AzureADGroup |
| roleManagementPolicy | 更新 | RoleManagementPolicy.ReadWrite.AzureADGroup |
此外,对于委托方案,调用主体需要以下角色之一 (不适用于审批和审批步骤终结点) 。
| 组 | Role | 支持的操作 |
|---|---|---|
| 角色可分配 | 特权角色管理员 组所有者* 组成员* |
CREATE、UPDATE、DELELE |
| 角色可分配 | 全局读取者 特权角色管理员 组所有者* 组成员* |
LIST、GET |
| 不可分配角色 | 目录写入程序 组管理员 标识治理管理员 用户管理员 组所有者* 组成员* |
CREATE、UPDATE、DELELE |
| 不可分配角色 | 全局读取者 目录写入程序 组管理员 标识治理管理员 用户管理员 组所有者* 组成员* |
LIST、GET |
* 组成员和组所有者的权限仅限于他们需要执行的读取或写入操作。 例如,组成员可以 取消其 assignmentScheduleRequest ,但不能取消任何其他主体的请求。
只有请求的审批者才能调用 /approval 和 /approvalStep 终结点。 无需为他们分配任何Microsoft Entra角色。
相关内容
组Privileged Identity Management (PIM)
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈