Microsoft Graph 中特权标识管理中 Azure AD 角色的规则概述 (PIM) API
在 Privileged Identity Management,每个 Azure AD 角色都有可分为以下三个类别之一的设置:激活设置、分配设置和通知设置。 此类设置包括是否需要多重身份验证 (MFA) 才能激活符合条件的角色,或者是否可为该角色创建永久分配。
在 Microsoft Graph 中使用 特权标识管理 API 时,这些 Azure AD 设置通过策略和规则进行管理。
角色管理策略
在 Microsoft Graph 中,Azure AD 角色设置称为 规则。 这些规则在 中分组,并通过称为策略的容器分配给 Azure AD 角色。 每个策略都是只读的。
策略是通过 unifiedRoleManagementPolicy 资源类型定义的。
角色管理策略规则
虽然每个策略都是只读的,但它包含 17 个可以更新的预定义规则。 这些规则通过 unifiedRoleManagementPolicy 资源类型的规则关系进行管理。
为了将规则分组为激活、分配和通知规则,Microsoft Graph 定义了 unifiedRoleManagementPolicyRule 资源类型 抽象类型。 此抽象类型由五个资源继承。 然后,这五种派生类型中的每一种都定义了规则配置,这些配置可以是 17 个规则中的一个或多个。 这 17 个规则由唯一和不可变的规则 ID 标识。
本文提供Azure 门户 Azure AD 角色设置到 Microsoft Graph 中相应规则的映射。
将规则 ID 映射到Azure 门户设置
激活规则
下图显示了Azure 门户上的激活角色设置,这些设置映射到 Microsoft Graph 中的 PIM API 中的规则和资源类型。
| 数字 | Azure 门户 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
|---|---|---|---|
| 1 | 激活最大持续时间 (小时) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
最终用户 |
| 2 | 激活时,需要:无、Azure AD 多重身份验证 需要有关激活的票证信息 激活时需要理由 |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
管理员 |
| 3 | 激活时需要:Azure AD 条件访问身份验证上下文 (预览版) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
最终用户 |
| 4 | 需要审批才能激活 | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
最终用户 |
分配规则
下图显示了Azure 门户上的分配角色设置,这些设置映射到 Microsoft Graph 中 PIM API 中的规则和资源类型。
| 数字 | Azure 门户 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
|---|---|---|---|
| 5 | 允许永久合格分配 在以下时间之后使符合条件的分配过期 |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
管理员 |
| 6 | 允许永久活动分配 在之后使活动分配过期 |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理员 |
| 7 | 要求对活动分配进行 Azure 多重身份验证 要求对活动分配提供理由 需要有关激活的票证信息 |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理员 |
| 8 | 要求对活动分配进行 Azure 多重身份验证 要求对活动分配提供理由 需要有关激活的票证信息 |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
最终用户 |
通知规则
下图显示了Azure 门户上的通知角色设置,这些设置映射到 Microsoft Graph 中的 PIM API 中的规则和资源类型。
| 数字 | Azure 门户 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
|---|---|---|---|
| 9 | 当成员被分配为有资格担任此角色时发送通知:角色分配警报 | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
管理员 |
| 10 | 当成员被分配为有资格担任此角色时发送通知:通知已分配的用户 (被分配者) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
被委托人/请求者 |
| 11 | 当成员被分配为有资格担任此角色时发送通知:请求批准角色分配续订/延期 | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
审批者 |
| 12 | 将成员分配为活动角色时发送通知:角色分配警报 | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理员 |
| 13 | 将成员分配为此角色的活动时发送通知:向分配的用户发送通知 (被分配者) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
被委托人/请求者 |
| 14 | 将成员分配到此角色时发送通知:请求批准角色分配续订/延期 | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
审批者 |
| 15 | 合格成员激活此角色时发送通知:角色激活警报 | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理员 |
| 16 | 在符合条件的成员激活此角色时发送通知:通知已激活的用户 (请求者) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
请求 |
| 17 | 合格成员激活此角色时发送通知:请求批准激活 | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
审批者 |