Gobernanza de la pertenencia y la propiedad de grupos mediante PIM para grupos
Con Privileged Identity Management para grupos (PIM para grupos), puede controlar cómo se asigna a las entidades de seguridad la pertenencia o la propiedad de los grupos. La seguridad y la Grupos de Microsoft 365 son recursos críticos que puede usar para proporcionar acceso a recursos en la nube de Microsoft, como roles de Microsoft Entra, roles de Azure, Azure SQL, azure Key Vault, Intune y aplicaciones de terceros. PIM para grupos proporciona más control sobre cómo y cuándo las entidades de seguridad son miembros o propietarios de grupos y, por lo tanto, tienen privilegios concedidos a través de su pertenencia a grupos o su propiedad.
Pim para las API de grupos de Microsoft Graph proporciona más gobernanza sobre la seguridad y Grupos de Microsoft 365 como las siguientes funcionalidades:
- Proporcionar a las entidades de seguridad pertenencia just-in-time o propiedad de grupos
- Asignación de pertenencia temporal de entidades de seguridad o propiedad de grupos
En este artículo se presentan las funcionalidades de gobernanza de las API para PIM para grupos en Microsoft Graph.
PIM para las API de grupos para administrar las asignaciones activas de propietarios y miembros del grupo
Pim para las API de grupos de Microsoft Graph le permite asignar entidades de seguridad permanentes o temporales y con límite de tiempo o propiedad a grupos.
En la tabla siguiente se enumeran los escenarios para usar PIM para las API de grupos con el fin de administrar las asignaciones activas de las entidades de seguridad y las API correspondientes a las que llamar.
| Scenarios | API |
|---|---|
| Un administrador: Una entidad de seguridad: |
Creación de assignmentScheduleRequest |
| Un administrador enumera todas las solicitudes de pertenencia activa y asignaciones de propiedad para un grupo. | Enumeración de assignmentScheduleRequests |
| Un administrador enumera todas las asignaciones activas y las solicitudes para las asignaciones que se crearán en el futuro, para la pertenencia y la propiedad de un grupo. | Asignación de listaProgramas |
| Un administrador enumera todas las asignaciones de pertenencia y propiedad activas para un grupo. | Asignación de listaScheduleInstances |
| Un administrador consulta un miembro y una asignación de propiedad para un grupo y sus detalles | Obtener privilegedAccessGroupAssignmentScheduleRequest |
| Una entidad de seguridad consulta sus solicitudes de pertenencia o asignación de propiedad y los detalles Un aprobador consulta las solicitudes de pertenencia o propiedad a la espera de su aprobación y los detalles de estas solicitudes. |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
| Una entidad de seguridad cancela una solicitud de asignación de pertenencia o propiedad que creó | privilegedAccessGroupAssignmentScheduleRequest: cancel |
| Un aprobador obtiene detalles para la solicitud de aprobación, incluida la información sobre los pasos de aprobación. | Obtener aprobación |
| Un aprobador aprueba o deniega la solicitud de aprobación al aprobar o denegar el paso de aprobación. | Actualizar approvalStep |
PIM para las API de grupos para administrar las asignaciones aptas de propietarios y miembros del grupo
Es posible que las entidades de seguridad no requieran pertenencia permanente o propiedad de grupos porque no requieren los privilegios concedidos a través de la pertenencia o la propiedad todo el tiempo. En este caso, PIM para grupos permite que las entidades de seguridad sean aptas para la pertenencia o propiedad de los grupos.
Cuando una entidad de seguridad tiene una asignación apta, activa su asignación cuando necesita los privilegios concedidos a través de los grupos para realizar tareas con privilegios. Una asignación apta puede ser permanente o temporal. La activación siempre tiene límite de tiempo durante un máximo de 8 horas. La entidad de seguridad también puede ampliar o renovar su pertenencia o propiedad del grupo.
En la tabla siguiente se enumeran los escenarios para usar PIM para las API de grupos con el fin de administrar las asignaciones aptas para las entidades de seguridad y las API correspondientes a las que llamar.
| Scenarios | API |
|---|---|
| Un administrador: |
Creación de eligibilityScheduleRequest |
| Un administrador consulta todas las solicitudes de pertenencia o propiedad aptas y sus detalles | Enumeración de elegibilidadScheduleRequests |
| Un administrador consulta una solicitud de pertenencia o propiedad apta y sus detalles | Obtener eligibilityScheduleRequest |
| Un administrador cancela una solicitud de pertenencia o propiedad válida que creó | privilegedAccessGroupEligibilityScheduleRequest:cancel |
| Una entidad de seguridad consulta sus pertenencias o propiedad aptas para solicitar sus detalles | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Configuración de directivas en PIM para grupos
PIM para grupos define la configuración o las reglas que rigen cómo se puede asignar a las entidades de seguridad la pertenencia o la propiedad de la seguridad y Grupos de Microsoft 365. Estas reglas incluyen si se requiere autenticación multifactor (MFA), justificación o aprobación para activar una pertenencia o propiedad apta para un grupo, o si puede crear asignaciones permanentes o elegibilidad para las entidades de seguridad para los grupos. Las reglas se definen en las directivas y se puede aplicar una directiva a un grupo.
En Microsoft Graph, estas reglas se administran a través de los tipos de recursos unifiedRoleManagementPolicy y unifiedRoleManagementPolicyAssignment y sus métodos relacionados.
Por ejemplo, suponga que, de forma predeterminada, PIM para grupos no permite asignaciones de pertenencia y propiedad activas permanentes y define un máximo de seis meses para las asignaciones activas. Al intentar crear un objeto privilegedAccessGroupAssignmentScheduleRequest sin fecha de expiración, se devuelve un 400 Bad Request código de respuesta para infringir la regla de expiración.
PIM para grupos le permite configurar varias reglas, entre las que se incluyen:
- Si a las entidades de seguridad se les pueden asignar asignaciones aptas permanentes
- Duración máxima permitida para una activación de pertenencia a grupos o propiedad y si se requiere justificación o aprobación para activar la pertenencia o propiedad aptas
- Los usuarios a los que se les permite aprobar solicitudes de activación para una pertenencia o propiedad de grupo
- Si MFA es necesario para activar y aplicar una pertenencia a grupos o una asignación de propiedad
- Las entidades de seguridad a las que se notifica la pertenencia a grupos o las activaciones de propiedad
En la tabla siguiente se enumeran los escenarios para usar PIM para que los grupos administren reglas y las API a las que llamar.
| Escenarios | API |
|---|---|
| Recuperación de PIM para directivas de grupos y reglas o configuraciones asociadas | Enumerar unifiedRoleManagementPolicies |
| Recuperación de una directiva de PIM para grupos y sus reglas o configuraciones asociadas | Obtener unifiedRoleManagementPolicy |
| Actualización de una directiva de PIM para grupos en sus reglas o configuraciones asociadas | Actualizar unifiedRoleManagementPolicy |
| Recuperar las reglas definidas para una directiva pim para grupos | Enumerar reglas |
| Recuperación de una regla definida para una directiva pim para grupos | Obtener unifiedRoleManagementPolicyRule |
| Actualización de una regla definida para una directiva pim para grupos | Actualizar unifiedRoleManagementPolicyRule |
| Obtenga los detalles de todos los PIM para las asignaciones de directivas de grupos, incluidas las directivas y reglas asociadas a la pertenencia y propiedad de grupos. | Enumeración de unifiedRoleManagementPolicyAssignments |
| Obtenga los detalles de una PIM para la asignación de directivas de grupos, incluida la directiva y las reglas asociadas a la pertenencia o propiedad de grupos. | Obtener unifiedRoleManagementPolicyAssignment |
Para obtener más información sobre el uso de Microsoft Graph para configurar reglas, consulte Información general sobre las reglas en las API de PIM en Microsoft Graph. Para obtener ejemplos de actualización de reglas, consulte Uso de LAS API de PIM en Microsoft Graph para actualizar reglas.
Incorporación de grupos a PIM para grupos
No se puede incorporar un grupo a PIM para grupos explícitamente. Cuando se solicita agregar asignación al grupo mediante Create assignmentScheduleRequest o Create eligibilityScheduleRequest, o se actualiza la directiva pim (configuración de roles) para un grupo mediante Update unifiedRoleManagementPolicy o Update unifiedRoleManagementPolicyRule, el grupo se incorpora automáticamente a PIM si no se ha incorporado antes.
Puede llamar a una de las siguientes API para ambos grupos que están incorporados a PIM y grupos que aún no están incorporados a PIM, pero se recomienda hacerlo solo para los grupos que se incorporan a PIM para reducir las posibilidades de que se limite.
- Enumeración de assignmentScheduleRequests
- Asignación de listaProgramas
- Enumeración assignmentScheduleInstances,
- Enumeración de elegibilidadScheduleRequests
- Lista de elegibilidadProgramas
- Enumeración de elegibilidadScheduleInstances
Una vez que PIM incorpora un grupo, cambian los identificadores de las directivas de PIM y las asignaciones de directivas del grupo específico. Llame a la API Get unifiedRoleManagementPolicy o Get unifiedRoleManagementPolicyAssignment para obtener los identificadores actualizados.
Una vez que PIM incorpora un grupo, no puede desconectarlo, pero puede quitar todas las asignaciones aptas y con límite de tiempo según sea necesario.
PIM para grupos y el objeto de grupo
La pertenencia y la propiedad de cualquier seguridad y grupo de Microsoft 365 (excepto grupos dinámicos y grupos sincronizados desde el entorno local) se pueden regular mediante PIM para grupos. El grupo no tiene que ser asignable a roles para habilitarse en PIM para grupos.
Al asignar una pertenencia o propiedad temporal o permanente activa de entidad de seguridad de un grupo, o cuando realizan una activación Just-In-Time:
- Los detalles de la entidad de seguridad se devuelven al consultar las relaciones de miembros y propietarios a través de las API Enumerar miembros del grupo o Enumerar propietarios de grupos .
- Puede quitar la entidad de seguridad del grupo mediante las API Quitar propietario del grupo o Quitar miembro del grupo .
- Si se realiza un seguimiento de los cambios en el grupo mediante las funciones Obtener delta y Obtener delta para objetos de directorio , contiene
@odata.nextLinkel nuevo miembro o propietario. - Los cambios realizados en los miembros y propietarios del grupo a través de PIM para grupos se registran Microsoft Entra registros de auditoría y se pueden leer a través de la API de auditorías de directorios de lista.
Cuando a una entidad de seguridad se le asigna la pertenencia permanente o temporal apta o la propiedad de un grupo, las relaciones de miembros y propietarios del grupo no se actualizan.
Cuando expire la pertenencia activa temporal de una entidad de seguridad o la propiedad de un grupo:
- Los detalles de la entidad de seguridad se quitan automáticamente de las relaciones de miembros y propietarios .
- Si se realiza un seguimiento de los cambios en el grupo mediante las funciones Obtener delta y Obtener delta para objetos de directorio ,
@odata.nextLinkindica el propietario o miembro del grupo eliminado.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.
Licencias
El inquilino donde se usa Privileged Identity Management debe tener suficientes licencias compradas o de prueba. Para obtener más información, consulte Gobierno de Microsoft Entra ID aspectos básicos de las licencias.
Contenido relacionado
Microsoft Entra operaciones de seguridad para Privileged Identity Management en el centro de arquitectura de Microsoft Entra