Gerir Microsoft Entra atribuições de funções com APIs PIM
Privileged Identity Management (PIM) é uma funcionalidade de Microsoft Entra ID Governance que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Um método através do qual os principais, como utilizadores, grupos e principais de serviço (aplicações) têm acesso a recursos importantes é através da atribuição de Microsoft Entra funções de administrador.
As APIs do PIM para Microsoft Entra funções permitem-lhe governar o acesso privilegiado e limitar o acesso excessivo às funções de Microsoft Entra. Este artigo apresenta as capacidades de governação do PIM para Microsoft Entra funções apIs no Microsoft Graph.
Observação
Para gerir funções de recursos do Azure, utilize as APIs PIM para o Azure Resource Manager.
Métodos de atribuição de funções
O PIM para funções de Microsoft Entra fornece dois métodos para atribuir funções a principais:
- Atribuições de funções ativas: um principal pode ter uma atribuição de função permanente ou temporária permanentemente ativa.
- Atribuições de funções elegíveis: um principal pode ser eligibil para uma função de forma permanente ou temporária. Com assigments elegíveis, o principal ativa a respetiva função - criando assim uma atribuição de função temporariamente ativa - quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas, mas a duração máxima pode ser reduzida nas definições de função. A ativação também pode ser renovada ou expandida.
APIs PIM para gerir atribuições de funções ativas
O PIM permite-lhe gerir atribuições de funções ativas ao criar atribuições permanentes ou atribuições temporárias. Utilize o tipo de recurso unifiedRoleAssignmentScheduleRequest e os respetivos métodos relacionados para gerir atribuições de funções.
Observação
Recomendamos que utilize o PIM para gerir atribuições de funções ativas através da unifiedRoleAssignment ou dos tipos de recursos directoryRole para geri-las diretamente.
A tabela seguinte lista cenários para utilizar o PIM para gerir atribuições de funções e as APIs a chamar.
| Cenários | API |
|---|---|
| Um administrador cria e atribui a um principal uma atribuição de função permanente Um administrador atribui a um principal uma função temporária |
Criar roleAssignmentScheduleRequests |
| Um administrador renova, atualiza, expande ou remove atribuições de funções | Criar roleAssignmentScheduleRequests |
| Um administrador consulta todas as atribuições de funções e os respetivos detalhes | Função de listaAssignmentScheduleRequests |
| Um administrador consulta uma atribuição de função e os respetivos detalhes | Obter unifiedRoleAssignmentScheduleRequest |
| Um principal consulta as atribuições de funções e os detalhes | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| Um principal executa a ativação just-in-time e com limite de tempo da atribuição de função elegível | Criar roleAssignmentScheduleRequests |
| Um principal cancela um pedido de atribuição de função que criou | unifiedRoleAssignmentScheduleRequest: cancelar |
| Um principal que ativou a atribuição de função elegível desativa-a quando já não precisa de acesso | Criar roleAssignmentScheduleRequests |
| Um principal desativa, expande ou renova a sua própria atribuição de função. | Criar roleAssignmentScheduleRequests |
APIs PIM para gerir elegibilidades de funções
Os principais podem não necessitar de atribuições de funções permanentes, uma vez que não necessitam sempre dos privilégios concedidos através da função com privilégios. Neste caso, o PIM também lhe permite criar elegibilidades de função e atribuí-las aos principais. Com a elegibilidade da função, o principal ativa a função quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas. O principal também pode ser elegível permanente ou temporariamente para a função.
Utilize o tipo de recurso unifiedRoleEligibilityScheduleRequest e os respetivos métodos relacionados para gerir as elegibilidades de funções.
A tabela seguinte lista cenários para utilizar o PIM para gerir as elegibilidades de funções e as APIs a chamar.
| Cenários | API |
|---|---|
| Um administrador cria e atribui a um principal uma função elegível Um administrador atribui uma elegibilidade de função temporária a um principal |
Criar roleEligibilityScheduleRequests |
| Um administrador renova, atualiza, expande ou remove elegibilidades de funções | Criar roleEligibilityScheduleRequests |
| Um administrador consulta todas as elegibilidades de funções e os respetivos detalhes | Função de listaEligibilityScheduleRequests |
| Um administrador consulta a elegibilidade de uma função e os respetivos detalhes | Obter unifiedRoleEligibilityScheduleRequest |
| Um administrador cancela um pedido de elegibilidade de função que criou | unifiedRoleEligibilityScheduleRequest: cancelar |
| Um principal consulta as elegibilidades das funções e os detalhes | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| Um principal desativa, expande ou renova a sua própria elegibilidade de função. | Criar roleEligibilityScheduleRequests |
Definições de função e PIM
Cada função de Microsoft Entra define definições ou regras. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma função elegível ou se pode criar atribuições permanentes ou elegibilidade para principais para a função. Estas regras específicas de funções determinam as definições que pode aplicar ao criar ou gerir atribuições de funções e elegibilidades através do PIM.
No Microsoft Graph, estas regras são geridas através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.
Por exemplo, suponha que, por predefinição, uma função não permite atribuições ativas permanentes e define um máximo de 15 dias para atribuições ativas. Tentar criar um objeto unifiedRoleAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request código de resposta por violação da regra de expiração.
O PIM permite-lhe configurar várias regras, incluindo:
- Se os principais podem ser atribuídos a atribuições elegíveis permanentes
- A duração máxima permitida para uma ativação de função e se é necessária justificação ou aprovação para ativar funções elegíveis
- Os utilizadores com permissão para aprovar pedidos de ativação para uma função de Microsoft Entra
- Se a MFA é necessária para ativar e impor uma atribuição de função
- Os principais que são notificados das ativações de funções
A tabela seguinte lista cenários para utilizar o PIM para gerir regras para Microsoft Entra funções e as APIs a chamar.
| Cenários | API |
|---|---|
| Obter políticas de gestão de funções e regras ou definições associadas | Listar unifiedRoleManagementPolicies |
| Obter uma política de gestão de funções e as respetivas regras ou definições associadas | Obter unifiedRoleManagementPolicy |
| Atualizar uma política de gestão de funções nas respetivas regras ou definições associadas | Atualizar unifiedRoleManagementPolicy |
| Obter as regras definidas para a política de gestão de funções | Listar regras |
| Obter uma regra definida para uma política de gestão de funções | Obter unifiedRoleManagementPolicyRule |
| Atualizar uma regra definida para uma política de gestão de funções | Atualizar unifiedRoleManagementPolicyRule |
| Obtenha os detalhes de todas as atribuições de políticas de gestão de funções, incluindo as políticas e regras ou definições associadas às funções de Microsoft Entra | Listar unifiedRoleManagementPolicyAssignments |
| Obtenha os detalhes de uma atribuição de política de gestão de funções, incluindo a política e regras ou definições associadas à função Microsoft Entra | Obter unifiedRoleManagementPolicyAssignment |
Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras para Microsoft Entra funções em APIs PIM no Microsoft Graph. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM no Microsoft Graph para atualizar regras de Microsoft Entra ID.
Alertas de segurança para funções de Microsoft Entra
O PIM para Microsoft Entra funções gera alertas quando deteta definições suspeitas ou não seguras para Microsoft Entra funções no seu inquilino. Estão disponíveis os seguintes sete tipos de alerta:
| Alerta | Recursos do Microsoft Graph (configuração de alertas/incidentes) |
|---|---|
| Demasiados administradores globais no inquilino | tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident |
| Alertas de licença inválidos que limitam a utilização do PIM | invalidLicenseAlertConfiguration / invalidLicenseAlertIncident |
| Funções configuradas para ativação sem necessidade de autenticação multifator | noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident |
| Utilizadores com atribuições de funções de Microsoft Entra Microsoft Entra ativas não utilizadas | redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident |
| Microsoft Entra funções atribuídas fora do Privileged Identity Management | rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident |
| Microsoft Entra funções que estão a ser ativadas com demasiada frequência | sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident |
| Potenciais contas obsoletos numa função com privilégios | staleSignInAlertConfiguration / staleSignInAlertIncident |
Para obter mais informações sobre estes alertas, incluindo a classificação de gravidade e os acionadores, veja Configurar alertas de segurança para Microsoft Entra funções no PIM.
Blocos modulares das APIs de alertas do PIM
Utilize os seguintes recursos do Microsoft Graph para gerir alertas PIM.
| Recurso | Descrição | Operações de API |
|---|---|---|
| unifiedRoleManagementAlert | Fornece um resumo dos alertas no PIM para Microsoft Entra funções, quer estejam ativadas ou desativadas, quando o serviço PIM analisou pela última vez o inquilino quanto a incidências ou este alerta e o número de incidências mapeadas para este tipo de alerta no inquilino. O serviço PIM analisa o inquilino diariamente quanto a incidências relacionadas com o alerta, mas também pode executar uma análise manual. |
List Get Atualizar Atualizar (Análise manual) |
| unifiedRoleManagementAlertDefinition | Fornece uma descrição detalhada de cada tipo de alerta, o nível de gravidade, os passos recomendados para mitigar as incidências relacionadas com o alerta no inquilino e as ações recomendadas para evitar incidências futuras. |
List Get |
| unifiedRoleManagementAlertConfiguration | A configuração específica do inquilino para o alerta, incluindo se o serviço PIM deve analisar o inquilino quanto a incidências relacionadas com o alerta, os limiares que acionam o alerta e a definição de alerta relacionada. Este é um tipo abstrato a partir do qual os recursos que representam os tipos de alerta individuais são derivados. |
List Get Atualizar |
| unifiedRoleManagementAlertIncident | As incidências no inquilino que correspondem ao tipo de alerta. |
List Get Corrigir |
Para obter mais informações sobre como trabalhar com alertas de segurança para Microsoft Entra funções através de APIs PIM, veja Gerir alertas de segurança para funções de Microsoft Entra através de APIs PIM no Microsoft Graph.
Logs de auditoria
Todas as atividades efetuadas através do PIM para Microsoft Entra funções são registadas Microsoft Entra registos de auditoria e pode ler a API de auditorias de diretórios de Lista.
Confiança Zero
Esta funcionalidade ajuda as organizações a alinhar as suas identidades com os três princípios de orientação de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Utilizar menos privilégios
- Assumir violação
Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.
Licenciamento
O inquilino onde Privileged Identity Management está a ser utilizado tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.
Conteúdo relacionado
- Para saber mais sobre as operações de segurança, veja Microsoft Entra operações de segurança para Privileged Identity Management no centro de arquitetura do Microsoft Entra.