Régir l’appartenance et la propriété des groupes à l’aide de PIM pour les groupes

Avec Privileged Identity Management pour les groupes (PIM pour les groupes), vous pouvez régir la façon dont les principaux sont affectés à l’appartenance ou à la propriété des groupes. La sécurité et les Groupes Microsoft 365 sont des ressources critiques que vous pouvez utiliser pour fournir l’accès aux ressources cloud Microsoft telles que les rôles Microsoft Entra, les rôles Azure, les Azure SQL, les Key Vault Azure, les Intune et les applications tierces. PIM pour les groupes vous permet de mieux contrôler comment et quand les principaux sont membres ou propriétaires de groupes, et disposent donc de privilèges accordés par le biais de leur appartenance ou propriété au groupe.

Les API PIM pour les groupes dans Microsoft Graph vous offrent une gouvernance accrue de la sécurité et des Groupes Microsoft 365 telles que les fonctionnalités suivantes :

  • Fourniture d’une appartenance juste-à-temps à des principaux ou d’une propriété de groupes
  • Attribution d’une appartenance ou d’une propriété temporaire de groupes à des principaux

Cet article présente les fonctionnalités de gouvernance des API pour PIM pour les groupes dans Microsoft Graph.

API PIM pour les groupes pour la gestion des affectations actives des propriétaires et des membres de groupe

Les API PIM pour les groupes dans Microsoft Graph vous permettent d’attribuer à des groupes des principaux une appartenance ou une propriété permanente ou temporaire et limitée dans le temps.

Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les API de groupes afin de gérer les affectations actives pour les principaux et les API correspondantes à appeler.

Scenarios API
Un administrateur :
  • Attribue une appartenance ou une propriété active à un principal à un groupe
  • Renouvelle, met à jour, étend ou supprime un principal de son appartenance ou propriété active à un groupe

    Un principal :
  • Effectue l’activation juste-à-temps et limitée dans le temps de leur appartenance éligible ou de leur attribution de propriété pour un groupe
  • Désactive leur appartenance éligible et leur attribution de propriété lorsqu’ils n’ont plus besoin d’un accès
  • Désactive, étend ou renouvelle leur propre appartenance et attribution de propriété
  • Créer assignmentScheduleRequest
    Un administrateur répertorie toutes les demandes d’attributions d’appartenance et de propriété actives pour un groupe Répertorier assignmentScheduleRequests
    Un administrateur répertorie toutes les affectations actives et les demandes d’affectations à créer à l’avenir, pour l’appartenance et la propriété d’un groupe Répertorier assignmentSchedules
    Un administrateur répertorie toutes les attributions d’appartenance et de propriété actives pour un groupe Répertorier assignmentScheduleInstances
    Un administrateur interroge un membre et une attribution de propriété pour un groupe et ses détails Obtenir privilegedAccessGroupAssignmentScheduleRequest
    Un principal interroge ses demandes d’appartenance ou d’attribution de propriété et les détails

    Un approbateur interroge les demandes d’appartenance ou de propriété en attente de leur approbation et des détails de ces demandes
    privilegedAccessGroupAssignmentScheduleRequest : filterByCurrentUser
    Un principal annule une demande d’appartenance ou d’attribution de propriété qu’il a créée privilegedAccessGroupAssignmentScheduleRequest : cancel
    Un approbateur obtient les détails de la demande d’approbation, notamment des informations sur les étapes d’approbation Obtenir l’approbation
    Un approbateur approuve ou refuse la demande d’approbation en approuvant ou en refusant l’étape d’approbation Mettre à jour l’approbationStep

    API PIM pour les groupes pour la gestion des affectations éligibles des propriétaires et des membres du groupe

    Vos principaux peuvent ne pas nécessiter l’appartenance permanente ou la propriété des groupes, car ils ne nécessitent pas les privilèges accordés par le biais de l’appartenance ou de la propriété en permanence. Dans ce cas, PIM pour les groupes vous permet de rendre les principaux éligibles pour l’appartenance ou la propriété des groupes.

    Lorsqu’un principal a une affectation éligible, il active son affectation lorsqu’il a besoin des privilèges accordés par le biais des groupes pour effectuer des tâches privilégiées. Une affectation éligible peut être permanente ou temporaire. L’activation est toujours limitée pendant un maximum de 8 heures. Le principal peut également étendre ou renouveler son appartenance ou sa propriété au groupe.

    Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les API de groupes afin de gérer les affectations éligibles pour les principaux et les API correspondantes à appeler.

    Scenarios API
    Un administrateur :
  • Crée une appartenance ou une attribution de propriété éligible pour le groupe
  • Renouvelle, met à jour, étend ou supprime une attribution d’appartenance/propriété éligible pour le groupe
  • Désactive, étend ou renouvelle leur propre éligibilité d’appartenance ou de propriété
  • Create eligibilityScheduleRequest
    Un administrateur interroge toutes les demandes d’appartenance ou de propriété éligibles et leurs détails List eligibilityScheduleRequests
    Un administrateur interroge une demande d’appartenance ou de propriété éligible et ses détails Get eligibilityScheduleRequest
    Un administrateur annule une demande d’appartenance ou de propriété éligible qu’il a créée privilegedAccessGroupEligibilityScheduleRequest :cancel
    Un principal interroge ses informations d’appartenance ou de propriété éligibles privilegedAccessGroupEligibilityScheduleRequest : filterByCurrentUser

    Paramètres de stratégie dans PIM pour les groupes

    PIM pour les groupes définit des paramètres ou des règles qui régissent la façon dont les principaux peuvent être attribués à l’appartenance ou à la propriété de la sécurité et de la Groupes Microsoft 365. Ces règles incluent si l’authentification multifacteur (MFA), la justification ou l’approbation est nécessaire pour activer une appartenance ou une propriété éligible pour un groupe, ou si vous pouvez créer des affectations permanentes ou des éligibilités pour les principaux des groupes. Les règles sont définies dans les stratégies et une stratégie peut être appliquée à un groupe.

    Dans Microsoft Graph, ces règles sont gérées via les types de ressources unifiedRoleManagementPolicy et unifiedRoleManagementPolicyAssignment et leurs méthodes associées.

    Par exemple, supposons que par défaut, PIM pour les groupes n’autorise pas les attributions d’appartenance et de propriété actives permanentes et définit un maximum de six mois pour les affectations actives. Toute tentative de création d’un objet privilegedAccessGroupAssignmentScheduleRequest sans date d’expiration retourne un 400 Bad Request code de réponse en cas de violation de la règle d’expiration.

    PIM pour les groupes vous permet de configurer différentes règles, notamment :

    • Si des principaux peuvent être affectés à des affectations éligibles permanentes
    • Durée maximale autorisée pour l’activation d’une appartenance ou d’une propriété de groupe et si une justification ou une approbation est requise pour activer l’appartenance ou la propriété éligible
    • Utilisateurs autorisés à approuver les demandes d’activation d’une appartenance ou d’une propriété de groupe
    • Si l’authentification multifacteur est requise pour activer et appliquer une appartenance à un groupe ou une attribution de propriété
    • Les principaux qui sont informés de l’appartenance à un groupe ou des activations de propriété

    Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les groupes afin de gérer les règles et les API à appeler.

    Scénarios API
    Récupérer pim pour les stratégies de groupes et les règles ou paramètres associés List unifiedRoleManagementPolicies
    Récupérer une stratégie PIM pour les groupes et ses règles ou paramètres associés Obtenir unifiedRoleManagementPolicy
    Mettre à jour une stratégie PIM pour les groupes sur ses règles ou paramètres associés Mettre à jour unifiedRoleManagementPolicy
    Récupérer les règles définies pour une stratégie PIM pour les groupes List rules
    Récupérer une règle définie pour une stratégie PIM pour les groupes Obtenir unifiedRoleManagementPolicyRule
    Mettre à jour une règle définie pour une stratégie PIM pour les groupes Mettre à jour unifiedRoleManagementPolicyRule
    Obtenir les détails de toutes les affectations de stratégie PIM pour les groupes, y compris les stratégies et les règles associées à l’appartenance et à la propriété des groupes Répertorier unifiedRoleManagementPolicyAssignments
    Obtenir les détails d’une affectation de stratégie PIM pour les groupes, y compris la stratégie et les règles associées à l’appartenance ou à la propriété des groupes Obtenir unifiedRoleManagementPolicyAssignment

    Pour plus d’informations sur l’utilisation de Microsoft Graph pour configurer des règles, consultez Vue d’ensemble des règles dans les API PIM dans Microsoft Graph. Pour obtenir des exemples de règles de mise à jour, consultez Utiliser les API PIM dans Microsoft Graph pour mettre à jour les règles.

    Intégration de groupes à PIM pour les groupes

    Vous ne pouvez pas intégrer explicitement un groupe à PIM pour les groupes. Lorsque vous effectuez une demande d’ajout d’une affectation à un groupe à l’aide de Create assignmentScheduleRequest ou Create eligibilityScheduleRequest, ou que vous mettez à jour la stratégie PIM (paramètres de rôle) pour un groupe à l’aide de Update unifiedRoleManagementPolicy ou update unifiedRoleManagementPolicyRule, le groupe est automatiquement intégré à PIM s’il n’a pas été intégré auparavant.

    Vous pouvez appeler l’une des API suivantes pour les groupes qui sont intégrés à PIM et les groupes qui ne sont pas encore intégrés à PIM, mais nous vous recommandons de le faire uniquement pour les groupes qui sont intégrés à PIM afin de réduire les risques de limitation.

    Une fois que PIM a intégré un groupe, les ID des stratégies PIM et des affectations de stratégie du groupe spécifique changent. Appelez l’API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment pour obtenir les ID mis à jour.

    Une fois que PIM a intégré un groupe, vous ne pouvez pas le désactiver, mais vous pouvez supprimer toutes les affectations éligibles et limitées dans le temps si nécessaire.

    PIM pour les groupes et l’objet de groupe

    L’appartenance et la propriété de toute sécurité et groupe Microsoft 365 (à l’exception des groupes dynamiques et synchronisés à partir d’un emplacement local) peuvent être régies par le biais de PIM pour les groupes. Le groupe n’a pas besoin d’être assignable à un rôle pour être activé dans PIM pour les groupes.

    Lorsque vous attribuez une appartenance ou une propriété permanente ou temporaire active à un principal d’un groupe, ou lorsqu’il effectue une activation juste-à-temps :

    Lorsqu’un principal se voit attribuer une appartenance ou une propriété permanente ou temporaire éligible à un groupe, les relations entre les membres et les propriétaires du groupe ne sont pas mises à jour.

    Lorsque l’appartenance ou la propriété active temporaire d’un principal d’un groupe expire :

    • Les détails du principal sont automatiquement supprimés des relations entre les membres et les propriétaires .
    • Si les modifications apportées au groupe sont suivies à l’aide des fonctions Obtenir le delta et Obtenir le delta pour les objets d’annuaire , un @odata.nextLink indique le membre ou le propriétaire du groupe supprimé.

    Confiance Zéro

    Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :

    • Vérifiez explicitement.
    • Utiliser le privilège minimum
    • Supposez une violation.

    Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.

    Licences

    Le locataire dans lequel Privileged Identity Management est utilisé doit disposer de suffisamment de licences achetées ou d’évaluation. Pour plus d’informations, consultez Gouvernance Microsoft Entra ID principes de base des licences.