Governe a associação e a propriedade de grupos que usam o PIM para grupos
Com Privileged Identity Management para grupos (PIM para grupos), você pode controlar como as entidades são atribuídas a associação ou propriedade de grupos. Segurança e grupos do Microsoft 365 são recursos críticos que você pode usar para fornecer acesso a recursos de nuvem da Microsoft, como funções de Microsoft Entra, funções do Azure, SQL do Azure, Key Vault do Azure, Intune; e aplicativos de terceiros. O PIM para grupos oferece mais controle sobre como e quando as entidades são membros ou proprietários de grupos e, portanto, têm privilégios concedidos por meio de sua associação de grupo ou propriedade.
As APIs do PIM para grupos no Microsoft Graph fornecem mais governança sobre segurança e grupos do Microsoft 365, como os seguintes recursos:
- Fornecendo associação just-in-time ou propriedade de grupos
- Atribuindo às entidades de segurança associação temporária ou propriedade de grupos
Este artigo apresenta os recursos de governança das APIs para PIM para grupos no Microsoft Graph.
PIM para APIs de grupos para gerenciar atribuições ativas de proprietários e membros do grupo
O PIM para APIs de grupos no Microsoft Graph permite atribuir às entidades associação ou propriedade permanente ou temporária e com limite de tempo a grupos.
A tabela a seguir lista cenários para o uso de PIM para APIs de grupos para gerenciar atribuições ativas para entidades de segurança e as APIs correspondentes a serem chamadas.
Cenários | API |
---|---|
Um administrador: Uma entidade de segurança: |
Criar atribuiçãoScheduleRequest |
Um administrador lista todas as solicitações de associação ativa e atribuições de propriedade para um grupo | Atribuição de listaScheduleRequests |
Um administrador lista todas as atribuições ativas e solicitações para que as atribuições sejam criadas no futuro, para associação e propriedade para um grupo | Atribuição de listaSchedules |
Um administrador lista todas as atribuições de associação ativa e propriedade para um grupo | Atribuição de listaScheduleInstances |
Um administrador consulta um membro e uma atribuição de propriedade para um grupo e seus detalhes | Obter privilegedAccessGroupAssignmentScheduleRequest |
Uma entidade de segurança consulta suas solicitações de associação ou atribuição de propriedade e os detalhes Um aprovador consulta a associação ou solicitações de propriedade aguardando sua aprovação e detalhes dessas solicitações |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
Uma entidade de segurança cancela uma solicitação de associação ou atribuição de propriedade que eles criaram | privilegedAccessGroupAssignmentScheduleRequest: cancel |
Um aprovador obtém detalhes para solicitação de aprovação, incluindo informações sobre etapas de aprovação | Obter aprovação |
Um aprovador aprova ou nega a solicitação de aprovação aprovando ou negando a etapa de aprovação | Atualizar approvalStep |
PIM para APIs de grupos para gerenciar atribuições qualificadas de proprietários e membros do grupo
Seus diretores podem não exigir associação permanente ou propriedade de grupos porque eles podem não exigir os privilégios concedidos por meio da associação ou propriedade o tempo todo. Nesse caso, o PIM para grupos permite que você torne as entidades de segurança qualificadas para a associação ou propriedade dos grupos.
Quando uma entidade de segurança tem uma atribuição qualificada, ela ativa sua atribuição quando precisa dos privilégios concedidos por meio dos grupos para executar tarefas privilegiadas. Uma atribuição qualificada pode ser permanente ou temporária. A ativação é sempre com limite de tempo para até um máximo de oito horas.
A tabela a seguir lista cenários para o uso de PIM para APIs de grupos para gerenciar atribuições qualificadas para entidades e as APIs correspondentes a serem chamadas.
Cenários | API |
---|---|
Um administrador: |
Criar eligibilityScheduleRequest |
Um administrador consulta todas as solicitações de associação ou propriedade qualificadas e seus detalhes | List eligibilityScheduleRequests |
Um administrador consulta uma associação qualificada ou solicitação de propriedade e seus detalhes | Obter elegibilidadeScheduleRequest |
Um administrador cancela uma solicitação de associação ou propriedade qualificada que eles criaram | privilegedAccessGroupEligibilityScheduleRequest:cancel |
Uma entidade de segurança consulta seus membros qualificados ou a propriedade solicitam seus detalhes | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Configurações de política no PIM para grupos
O PIM para grupos define configurações ou regras que regem como as entidades podem ser atribuídas a associação ou propriedade de segurança e grupos do Microsoft 365. Essas regras incluem se a MFA (autenticação multifator), a justificativa ou a aprovação são necessárias para ativar uma associação ou propriedade qualificada para um grupo ou se você pode criar atribuições permanentes ou elegibilidades para entidades de entidades para os grupos. As regras são definidas em políticas e uma política pode ser aplicada a um grupo.
No Microsoft Graph, essas regras são gerenciadas por meio do unifiedRoleManagementPolicy e dos tipos de recursos unifiedRoleManagementPolicyAssignment e seus métodos relacionados.
Por exemplo, suponha que, por padrão, o PIM para grupos não permita atribuições permanentes de associação ativa e propriedade e define um máximo de seis meses para atribuições ativas. Tentar criar um objeto privilegedAccessGroupAssignmentScheduleRequest sem data de validade retorna um 400 Bad Request
código de resposta por violação da regra de expiração.
O PIM para grupos permite que você configure várias regras, incluindo:
- Se as entidades de segurança podem receber atribuições qualificadas permanentes
- A duração máxima permitida para uma associação de grupo ou ativação de propriedade e se a justificativa ou aprovação é necessária para ativar a associação ou propriedade qualificada
- Os usuários que têm permissão para aprovar solicitações de ativação para uma associação ou propriedade do grupo
- Se o MFA é necessário para ativar e impor uma associação de grupo ou atribuição de propriedade
- As entidades de segurança que são notificadas sobre associação de grupo ou ativações de propriedade
A tabela a seguir lista cenários para usar o PIM para grupos gerenciarem regras e as APIs a serem chamadas.
Cenários | API |
---|---|
Recuperar PIM para políticas de grupos e regras ou configurações associadas | Lista unifiedRoleManagementPolicies |
Recuperar um PIM para política de grupos e suas regras ou configurações associadas | Obter unifiedRoleManagementPolicy |
Atualizar um PIM para política de grupos em suas regras ou configurações associadas | Atualizar unifiedRoleManagementPolicy |
Recuperar as regras definidas para uma política de PIM para grupos | Listar regras |
Recuperar uma regra definida para um PIM para política de grupos | Obter unifiedRoleManagementPolicyRule |
Atualizar uma regra definida para um PIM para política de grupos | Atualizar unifiedRoleManagementPolicyRule |
Obtenha os detalhes de todos os PIM para atribuições de política de grupos, incluindo as políticas e regras associadas à associação e à propriedade dos grupos | Lista unifiedRoleManagementPolicyAssignments |
Obtenha os detalhes de um PIM para atribuição de política de grupos, incluindo a política e as regras associadas à associação ou propriedade dos grupos | Obter unifiedRoleManagementPolicyAssignment |
Para obter mais informações sobre como usar o Microsoft Graph para configurar regras, confira Visão geral das regras em APIs de PIM no Microsoft Graph. Para obter exemplos de regras de atualização, confira Usar APIs de PIM no Microsoft Graph para atualizar regras.
Integrando grupos ao PIM para grupos
Você não pode integrar um grupo ao PIM para grupos explicitamente. Quando você solicita adicionar atribuição ao grupo usando Create assignmentScheduleRequest ou Create eligibilityScheduleRequest ou atualiza a política PIM (configurações de função) para um grupo usando Update unifiedRoleManagementPolicy ou Update unifiedRoleManagementPolicyRule, o grupo será integrado ao PIM automaticamente se ele não estiver integrado antes.
Você pode chamar atribuição ListScheduleRequests, Atribuição de listaSchedules, List assignmentScheduleInstances, List eligibilityScheduleRequests, List eligibilitySchedules e List eligibilityScheduleInstances APIs para ambos os grupos que estão integrados ao PIM e grupos que ainda não estão integrados ao PIM, mas recomendamos fazê-lo apenas para grupos que estão integrados ao PIM para reduzir as chances de serem limitados
Depois que o PIM integra um grupo, as IDs das políticas do PIM e as atribuições de política da alteração de grupo específica. Chame a API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment para obter as IDs atualizadas.
Depois que o PIM integra um grupo, você não pode desacoplá-lo, mas pode remover todas as atribuições qualificadas e com limite de tempo, conforme necessário.
PIM para grupos e o objeto de grupo
A associação e a propriedade de qualquer segurança e grupo do Microsoft 365 (exceto grupos dinâmicos e grupos sincronizados do local) podem ser regidos por meio do PIM para grupos. O grupo não precisa ser atribuível a função para ser habilitado no PIM para grupos.
Quando você atribui uma associação permanente ativa ou temporária ou propriedade de um grupo ou quando ela faz uma ativação just-in-time:
- Os detalhes da entidade são retornados quando você consulta as relações de membros e proprietários por meio dos membros do grupo List ou APIs de proprietários de grupo de listas.
- Você pode remover a entidade principal do grupo usando o proprietário do grupo Remover ou Remover APIs membro do grupo .
- Se as alterações no grupo forem rastreadas usando as funções Obter delta e Obter delta para objetos de diretório , um
@odata.nextLink
contém o novo membro ou proprietário. - As alterações nos membros e proprietários do grupo feitas por meio do PIM para grupos são registradas em logs de auditoria Microsoft Entra e podem ser lidas por meio da API de auditorias de diretório de lista.
Quando uma entidade de segurança é atribuída a associação permanente ou temporária qualificada ou propriedade de um grupo, as relações de membros e proprietários do grupo não são atualizadas.
Quando a associação ativa temporária ou a propriedade de um grupo expira:
- Os detalhes da entidade são removidos automaticamente dos relacionamentos de membros e proprietários .
- Se as alterações no grupo forem rastreadas usando as funções Obter delta e Obter delta para objetos de diretório , um
@odata.nextLink
indica o membro ou proprietário do grupo removido.
Confiança Zero
Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Usar privilégio mínimo
- Assumir violação
Para saber mais sobre Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Centro de Diretrizes Confiança Zero.
Permissões e privilégios
As seguintes permissões do Microsoft Graph são necessárias para chamar o PIM para APIs de grupos.
Pontos de extremidade | Operações suportadas | Permissões |
---|---|---|
assignmentSchedule assignmentScheduleInstance |
LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
assignmentScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
eligibilitySchedule eligibilityScheduleInstance |
LIST, GET | PrivilegedEligibilitySchedule.Read.AzureADGroup PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
eligibilityScheduleRequest | CREATE, LIST, GET, UPDATE, DELELE | PrivilegedEligibilitySchedule.ReadWrite.AzureADGroup |
aprovação | OBTER | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
approvalStep | LIST, GET | PrivilegedAssignmentSchedule.Read.AzureADGroup PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
approvalStep | UPDATE | PrivilegedAssignmentSchedule.ReadWrite.AzureADGroup |
roleManagementPolicy roleManagementPolicyAssignment |
LIST, GET | RoleManagementPolicy.Read.AzureADGroup RoleManagementPolicy.ReadWrite.AzureADGroup |
roleManagementPolicy | UPDATE | RoleManagementPolicy.ReadWrite.AzureADGroup |
Além disso, para cenários delegados, a entidade de chamada precisa de uma das funções a seguir (não aplicável à aprovação e aprovação Pontos de extremidadestep).
Agrupar | Role | Operações suportadas |
---|---|---|
Atribuição de função | Administrador de Função Privilegiada Proprietário do grupo* Membro do grupo* |
CREATE, UPDATE, DELELE |
Atribuição de função | Leitor Global Administrador de Função Privilegiada Proprietário do grupo* Membro do grupo* |
LIST, GET |
Não atribuível a função | Escritor de Diretórios Administrador de grupos Administrador de Governança de Identidade Administrador do usuário Proprietário do grupo* Membro do grupo* |
CREATE, UPDATE, DELELE |
Não atribuível a função | Leitor Global Escritor de Diretórios Administrador de grupos Administrador de Governança de Identidade Administrador do usuário Proprietário do grupo* Membro do grupo* |
LIST, GET |
*
As permissões para membros do grupo e proprietários de grupo são limitadas às operações de leitura ou gravação que precisam executar. Por exemplo, um membro do grupo pode cancelar sua atribuiçãoScheduleRequest , mas não a solicitação de qualquer outra entidade.
Somente o aprovador da solicitação pode chamar os /approval
pontos de extremidade e /approvalStep
. Eles não precisam ser atribuídos a nenhuma Microsoft Entra funções.