API Privileged Identity Management

  • Articolo

Privileged Identity Management (PIM), parte di Microsoft Entra, include tre provider:

  • PIM per i ruoli di Microsoft Entra
  • PIM per risorse di Azure
  • PIM per i gruppi

È possibile gestire le assegnazioni in PIM per i ruoli di Microsoft Entra e PIM per i gruppi usando Microsoft Graph. È possibile gestire le assegnazioni in PIM per le risorse di Azure usando le API di Azure Resource Manager. Questo articolo descrive concetti importanti per l'uso delle API per Privileged Identity Management.

Per altre informazioni sulle API che consentono di gestire le assegnazioni, vedere la documentazione:

Cronologia API PIM

Negli ultimi anni sono state eseguite diverse iterazioni delle API PIM. Esistono alcune sovrapposizioni nelle funzionalità, ma non rappresentano una progressione lineare delle versioni.

Iterazione 1 - Deprecato

Nell'endpoint /beta/privilegedRoles Microsoft aveva una versione classica dell'API PIM, che supportava solo i ruoli Microsoft Entra e non è più supportata. L'accesso a questa API è stato deprecato nel giugno 2021.

Iterazione 2: supporta i ruoli di Microsoft Entra e i ruoli delle risorse di Azure

Nell'endpoint /beta/privilegedAccess Microsoft supporta sia /aadRoles che /azureResources. Questo endpoint è ancora disponibile nel tenant, ma Microsoft consiglia di iniziare qualsiasi nuovo sviluppo con questa API. Questa API non verrà mai rilasciata a disponibilità generale e alla fine verrà deprecata.

Iterazione 3 (corrente): PIM per ruoli di Microsoft Entra, gruppi nell'API Microsoft Graph e per le risorse di Azure nell'API ARM

Questa è l'iterazione finale dell'API PIM. Comprende:

  • PIM per i ruoli di Microsoft Entra nell'API Microsoft Graph : disponibile a livello generale.
  • PIM per le risorse di Azure nell'API ARM : disponibile a livello generale.
  • PIM per i gruppi nell'API Microsoft Graph : disponibile a livello generale.
  • Avvisi PIM per i ruoli di Microsoft Entra nell'API Microsoft Graph - Anteprima.
  • Avvisi PIM per le risorse di Azure nell'API ARM - Anteprima.

La presenza di PIM per i ruoli Microsoft Entra nell'API Microsoft Graph e PIM per le risorse di Azure nell'API ARM offre alcuni vantaggi, tra cui:

  • Allineamento delle API PIM per l'assegnazione di ruolo regolare sia per i ruoli di Microsoft Entra che per i ruoli delle risorse di Azure.
  • Riduzione della necessità di chiamare altre API PIM per eseguire l'onboarding di una risorsa, ottenere una risorsa o ottenere la definizione del ruolo.
  • Supporto delle autorizzazioni solo app.
  • Nuove funzionalità, ad esempio l'approvazione e la configurazione delle notifiche tramite posta elettronica.

Panoramica dell'iterazione dell'API PIM 3

Le API PIM tra provider (API Microsoft Graph e API ARM) seguono gli stessi principi.

Gestione delle assegnazioni

Per creare un'assegnazione (attiva o idonea), rinnovare, estendere, aggiornare l'assegnazione (attiva o idonea), attivare l'assegnazione idonea, disattivare l'assegnazione idonea, usare le risorse *AssignmentScheduleRequest e *EligibilityScheduleRequest:

La creazione di oggetti *AssignmentScheduleRequest o *EligibilityScheduleRequest può causare la creazione di oggetti *AssignmentSchedule di sola lettura, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance.

  • *AssignmentSchedule e *EligibilitySchedule objects show current assignments and requests for assignments to be created in future.
  • *AssignmentScheduleInstance e *EligibilityScheduleInstance oggetti mostrano solo le assegnazioni correnti.

Quando viene attivata un'assegnazione idonea (è stata chiamata la creazione di *AssignmentScheduleRequest ), * EligibilityScheduleInstance continua ad esistere, vengono creati nuovi oggetti *AssignmentSchedule e *AssignmentScheduleInstance per tale durata attivata.

Per altre informazioni sulle API di assegnazione e attivazione, vedere API PIM per la gestione delle assegnazioni di ruolo e delle idoneità.

Criteri PIM (impostazioni del ruolo)

Per gestire i criteri PIM, usare *roleManagementPolicy e *roleManagementPolicyAssignment entities:

La risorsa *roleManagementPolicy include regole che costituiscono criteri PIM: requisiti di approvazione, durata massima di attivazione, impostazioni di notifica e così via.

L'oggetto *roleManagementPolicyAssignment associa i criteri a un ruolo specifico.

Per altre informazioni sulle API delle impostazioni dei criteri, vedere Impostazioni del ruolo e PIM.

Autorizzazioni

PIM per i ruoli di Microsoft Entra

Per le autorizzazioni di Microsoft Graph necessarie per i ruoli PIM per Microsoft Entra, vedere le pagine di riferimento dell'API REST corrispondenti.

PIM per risorse di Azure

Le API PIM per i ruoli delle risorse di Azure sono sviluppate in base al framework di Azure Resource Manager. È necessario fornire il consenso a Gestione risorse di Azure, ma non sono necessarie autorizzazioni di Microsoft Graph. È anche necessario assicurarsi che l'utente o l'entità servizio che chiama l'API abbia almeno il ruolo Proprietario o Amministratore accesso utenti nella risorsa che si sta tentando di amministrare.

PIM per i gruppi

Per le autorizzazioni di Microsoft Graph necessarie per PIM per i gruppi, vedere le pagine di riferimento dell'API REST corrispondenti.

Relazione tra entità PIM ed entità di assegnazione di ruolo

L'unico collegamento tra l'entità PIM e l'entità di assegnazione di ruolo per l'assegnazione permanente (attiva) per i ruoli di Microsoft Entra o di Azure è * AssignmentScheduleInstance. Esiste un mapping uno-a-uno tra le due entità. Questo mapping indica che roleAssignment e *AssignmentScheduleInstance includerebbero entrambi:

  • Assegnazioni persistenti (attive) eseguite all'esterno di PIM
  • Assegnazioni persistenti (attive) con una pianificazione eseguita all'interno di PIM
  • Assegnazioni idonee attivate

Le proprietà specifiche di PIM (ad esempio l'ora di fine) saranno disponibili solo tramite l'oggetto *AssignmentScheduleInstance .

Passaggi successivi