Gerir Microsoft Entra atribuições de funções com APIs PIM
Privileged Identity Management (PIM) é uma funcionalidade de Microsoft Entra ID Governance que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Um método através do qual os principais, como utilizadores, grupos e principais de serviço (aplicações) têm acesso a recursos importantes é através da atribuição de Microsoft Entra funções.
As APIs do PIM para Microsoft Entra funções permitem-lhe governar o acesso privilegiado e limitar o acesso excessivo às funções de Microsoft Entra. Este artigo apresenta as capacidades de governação do PIM para Microsoft Entra funções apIs no Microsoft Graph.
Observação
Para gerir funções de recursos do Azure, utilize as APIs de Resource Manager do Azure para PIM.
As APIs PIM para gerir alertas de segurança para Microsoft Entra funções só estão disponíveis no /beta
ponto final. Para obter mais informações, veja Alertas de segurança para funções de Microsoft Entra.
Métodos de atribuição de funções
O PIM para funções de Microsoft Entra fornece dois métodos para atribuir funções a principais:
- Atribuições de funções ativas: um principal pode ter uma atribuição de função permanente ou temporária permanentemente ativa.
- Atribuições de funções elegíveis: um principal pode ser eligibil para uma função de forma permanente ou temporária. Com assigments elegíveis, o principal ativa a respetiva função - criando assim uma atribuição de função temporariamente ativa - quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas, mas a duração máxima pode ser reduzida nas definições de função. A ativação também pode ser renovada ou expandida.
APIs PIM para gerir atribuições de funções ativas
O PIM permite-lhe gerir atribuições de funções ativas ao criar atribuições permanentes ou atribuições temporárias. Utilize o tipo de recurso unifiedRoleAssignmentScheduleRequest e os respetivos métodos relacionados para gerir atribuições de funções.
Observação
Recomendamos que utilize o PIM para gerir atribuições de funções ativas através da unifiedRoleAssignment ou dos tipos de recursos directoryRole para geri-las diretamente.
A tabela seguinte lista cenários para utilizar o PIM para gerir atribuições de funções e as APIs a chamar.
Cenários | API |
---|---|
Um administrador cria e atribui a um principal uma atribuição de função permanente Um administrador atribui a um principal uma função temporária |
Criar roleAssignmentScheduleRequests |
Um administrador renova, atualiza, expande ou remove atribuições de funções | Criar roleAssignmentScheduleRequests |
Um administrador consulta todas as atribuições de funções e os respetivos detalhes | Função de listaAssignmentScheduleRequests |
Um administrador consulta uma atribuição de função e os respetivos detalhes | Obter unifiedRoleAssignmentScheduleRequest |
Um principal consulta as atribuições de funções e os detalhes | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
Um principal executa a ativação just-in-time e com limite de tempo da atribuição de função elegível | Criar roleAssignmentScheduleRequests |
Um principal cancela um pedido de atribuição de função que criou | unifiedRoleAssignmentScheduleRequest: cancelar |
Um principal que ativou a atribuição de função elegível desativa-a quando já não precisa de acesso | Criar roleAssignmentScheduleRequests |
Um principal desativa, expande ou renova a sua própria atribuição de função. | Criar roleAssignmentScheduleRequests |
APIs PIM para gerir elegibilidades de funções
Os principais podem não necessitar de atribuições de funções permanentes, uma vez que não necessitam sempre dos privilégios concedidos através da função com privilégios. Neste caso, o PIM também lhe permite criar elegibilidades de função e atribuí-las aos principais. Com a elegibilidade da função, o principal ativa a função quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas. O principal também pode ser elegível permanente ou temporariamente para a função.
Utilize o tipo de recurso unifiedRoleEligibilityScheduleRequest e os respetivos métodos relacionados para gerir as elegibilidades de funções.
A tabela seguinte lista cenários para utilizar o PIM para gerir as elegibilidades de funções e as APIs a chamar.
Cenários | API |
---|---|
Um administrador cria e atribui a um principal uma função elegível Um administrador atribui uma elegibilidade de função temporária a um principal |
Criar roleEligibilityScheduleRequests |
Um administrador renova, atualiza, expande ou remove elegibilidades de funções | Criar roleEligibilityScheduleRequests |
Um administrador consulta todas as elegibilidades de funções e os respetivos detalhes | Função de listaEligibilityScheduleRequests |
Um administrador consulta a elegibilidade de uma função e os respetivos detalhes | Obter unifiedRoleEligibilityScheduleRequest |
Um administrador cancela um pedido de elegibilidade de função que criou | unifiedRoleEligibilityScheduleRequest: cancelar |
Um principal consulta as elegibilidades das funções e os detalhes | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
Um principal desativa, expande ou renova a sua própria elegibilidade de função. | Criar roleEligibilityScheduleRequests |
Definições de função e PIM
Cada função de Microsoft Entra define definições ou regras. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma função elegível ou se pode criar atribuições permanentes ou elegibilidade para principais para a função. Estas regras específicas de funções determinam as definições que pode aplicar ao criar ou gerir atribuições de funções e elegibilidades através do PIM.
No Microsoft Graph, estas regras são geridas através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.
Por exemplo, suponha que, por predefinição, uma função não permite atribuições ativas permanentes e define um máximo de 15 dias para atribuições ativas. Tentar criar um objeto unifiedRoleAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request
código de resposta por violação da regra de expiração.
O PIM permite-lhe configurar várias regras, incluindo:
- Se os principais podem ser atribuídos a atribuições elegíveis permanentes
- A duração máxima permitida para uma ativação de função e se é necessária justificação ou aprovação para ativar funções elegíveis
- Os utilizadores com permissão para aprovar pedidos de ativação para uma função de Microsoft Entra
- Se a MFA é necessária para ativar e impor uma atribuição de função
- Os principais que são notificados das ativações de funções
A tabela seguinte lista cenários para utilizar o PIM para gerir regras para Microsoft Entra funções e as APIs a chamar.
Cenários | API |
---|---|
Obter políticas de gestão de funções e regras ou definições associadas | Listar unifiedRoleManagementPolicies |
Obter uma política de gestão de funções e as respetivas regras ou definições associadas | Obter unifiedRoleManagementPolicy |
Atualizar uma política de gestão de funções nas respetivas regras ou definições associadas | Atualizar unifiedRoleManagementPolicy |
Obter as regras definidas para a política de gestão de funções | Listar regras |
Obter uma regra definida para uma política de gestão de funções | Obter unifiedRoleManagementPolicyRule |
Atualizar uma regra definida para uma política de gestão de funções | Atualizar unifiedRoleManagementPolicyRule |
Obtenha os detalhes de todas as atribuições de políticas de gestão de funções, incluindo as políticas e regras ou definições associadas às funções de Microsoft Entra | Listar unifiedRoleManagementPolicyAssignments |
Obtenha os detalhes de uma atribuição de política de gestão de funções, incluindo a política e regras ou definições associadas à função Microsoft Entra | Obter unifiedRoleManagementPolicyAssignment |
Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras para Microsoft Entra funções nas APIs PIM. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM para atualizar regras para funções de Microsoft Entra ID.
Logs de auditoria
Todas as atividades efetuadas através do PIM para Microsoft Entra funções são registadas Microsoft Entra registos de auditoria e pode ler a API de auditorias de diretórios de Lista.
Confiança Zero
Esta funcionalidade ajuda as organizações a alinhar as suas identidades com os três princípios de orientação de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Utilizar menos privilégios
- Assumir violação
Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.
Licenciamento
O inquilino onde Privileged Identity Management está a ser utilizado tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.
Conteúdo relacionado
- Para saber mais sobre as operações de segurança, veja Microsoft Entra operações de segurança para Privileged Identity Management no centro de arquitetura do Microsoft Entra.