Privileged Identity Management API
Privileged Identity Management (PIM)是 Microsoft Entra 的一部分,包含三個提供者:
- 適用于 Microsoft Entra 角色的 PIM
- 適用于 Azure 資源的 PIM
- 群組的 PIM
您可以使用 Microsoft Graph API 在 PIM 中管理 Microsoft Entra 角色的指派,以及使用 Microsoft Graph API 管理群組的 PIM。 您可以使用 Azure Resource Manager (ARM) API 來管理 Azure 資源 PIM 中的指派。 本文說明使用 Privileged Identity Management API 的重要概念。
在檔中尋找允許管理指派之 API 的更多詳細資料:
- 適用于 Microsoft Entra 角色的 PIM API 參考
- 適用于 Azure 資源角色的 PIM API 參考
- 群組 API 參考的 PIM
- Microsoft Entra 角色 API 參考的 PIM 警示
- 適用于 Azure 資源 API 的 PIM 警示參考
PIM API 歷程記錄
過去幾年來,PIM API 有數個反復專案。 您會在功能中找到一些重迭,但它們並不代表版本的線性進展。
反復專案 1 – 已淘汰
在 /Beta/privilegedRoles 端點下,Microsoft 有一個傳統版的 PIM API,僅支援 Microsoft Entra 角色,不再受到支援。 存取此 API 已在 2021 年 6 月淘汰。
反復專案 2 – 支援 Microsoft Entra 角色和 Azure 資源角色
在端點下 /beta/privilegedAccess ,Microsoft 支援 /aadRoles 和 /azureResources 。 此端點仍可在您的租使用者中使用,但 Microsoft 建議不使用此 API 啟動任何新的開發。 此 Beta API 永遠不會發行至正式運作,且最終會淘汰。
反復專案 3 (目前) - 適用于 Microsoft Entra 角色的 PIM、Microsoft Graph API 中的群組,以及 ARM API 中的 Azure 資源
這是 PIM API 的最終反復專案。 包括:
- Microsoft Graph API 中 Microsoft Entra 角色的 PIM - 正式推出。
- ARM API 中適用于 Azure 資源的 PIM - 正式推出。
- Microsoft Graph API 中群組的 PIM - 預覽。
- Microsoft Graph API 中 Microsoft Entra 角色的 PIM 警示 - 預覽。
- ARM API 中 Azure 資源的 PIM 警示 - 預覽。
在 Microsoft Graph API 中擁有適用于 Microsoft Entra 角色的 PIM,以及 ARM API 中適用于 Azure 資源的 PIM 提供一些優點,包括:
- Microsoft Entra 角色和 Azure 資源角色之一般角色指派 API 的 PIM API 對齊方式。
- 減少呼叫其他 PIM API 以將資源上線、取得資源或取得角色定義的需求。
- 支援僅限應用程式的許可權。
- 核准和電子郵件通知設定等新功能。
PIM API 反復專案概觀 3
跨提供者的 PIM API(Microsoft Graph API 和 ARM API)都遵循相同的原則。
工作分派管理
若要建立指派(作用中或符合資格)、更新指派的更新、延長、啟用合格指派、停用合格指派、使用資源 *AssignmentScheduleRequest 和 *EligibilityScheduleRequest :
- 針對 Microsoft Entra 角色: unifiedRoleAssignmentScheduleRequest 、unifiedRoleEligibilityScheduleRequest ;
- 針對 Azure 資源: 角色指派排程要求 、 角色資格排程要求 ;
- 針對群組: privilegedAccessGroupAssignmentScheduleRequest 、 privilegedAccessGroupEligibilityScheduleRequest 。
建立 *AssignmentScheduleRequest 或 *EligibilityScheduleRequest 物件可能會導致建立唯讀 的 *AssignmentSchedule 、*EligibilitySchedule、 *AssignmentScheduleInstance 和 *EligibilityScheduleInstance 物件。
- *AssignmentSchedule 和 *EligibilitySchedule 物件會顯示未來要建立指派的目前指派和要求。
- *AssignmentScheduleInstance 和 *EligibilityScheduleInstance 物件只會顯示目前的指派。
啟用合格指派時( 已呼叫 Create *AssignmentScheduleRequest ), *EligibilityScheduleInstance 會繼續存在,將會針對該啟動的持續時間建立新的 *AssignmentScheduleInstance 物件和 *AssignmentScheduleInstance 物件。
如需指派和啟用 API 的詳細資訊,請參閱 管理角色指派和資格 的 PIM API。
PIM 原則 (角色設定)
若要管理 PIM 原則,請使用 *roleManagementPolicy 和 *roleManagementPolicyAssignment 實體:
- 針對 Microsoft Entra 角色的 PIM,適用于群組的 PIM: unifiedroleManagementPolicy 、 unifiedroleManagementPolicyAssignment
- 適用于 Azure 資源的 PIM: 角色管理原則 、 角色管理原則指派
*roleManagementPolicy 資源包含構成 PIM 原則的規則:核准需求、啟用持續時間上限、通知設定等。
*roleManagementPolicyAssignment 物件會將原則附加至特定角色。
如需原則設定 API 的詳細資訊,請參閱 角色設定和 PIM 。
權限
適用于 Microsoft Entra 角色的 PIM
如需 Microsoft Entra 角色 PIM 所需的圖形 API 許可權,請參閱 角色管理許可權 。
適用于 Azure 資源的 PIM
Azure 資源角色的 PIM API 是在 Azure Resource Manager 架構之上開發的。 您必須同意 Azure 資源管理,但不需要任何 Microsoft Graph API 許可權。 您也必須確定呼叫 API 的使用者或服務主體至少有您嘗試管理之資源的擁有者或使用者存取管理員istrator 角色。
群組的 PIM
如需群組 PIM 所需的圖形 API 許可權,請參閱 群組的 PIM – 許可權和許可權 。
PIM 實體與角色指派實體之間的關聯性
PIM 實體與 Microsoft Entra 角色或 Azure 角色持續指派的角色指派實體之間的唯一連結是 *AssignmentScheduleInstance 。 兩個實體之間有一對一對應。 該對應表示 roleAssignment 和 *AssignmentScheduleInstance 兩者都包含:
- 在 PIM 外部進行的持續性(主動)指派
- 具有 PIM 內排程的持續性 (作用中) 指派
- 啟用的合格指派
PIM 特定屬性(例如結束時間)只能透過 *AssignmentScheduleInstance 物件來使用。