Regras no PIM – Guia de mapeamento
Privileged Identity Management (PIM) expõe as definições de função dos recursos que podem ser geridos. No Microsoft Graph, estes recursos são Microsoft Entra funções e grupos e são geridos através do PIM para Microsoft Entra funções e PIM para grupos, respetivamente.
As definições de função enquadram-se numa de três categorias:
- Definições de ativação
- Definições de atribuição
- Definições de notificação
Estas definições incluem se a autenticação multifator (MFA) é necessária para ativar uma função elegível ou associação a grupos; ou se pode criar atribuições de funções permanentes, propriedade do grupo ou associações a grupos.
Ao utilizar o PIM para Microsoft Entra funções APIs ou PIM para APIs de grupos no Microsoft Graph, estas definições de função são geridas através de políticas e regras.
Políticas
No Microsoft Graph, as definições de função são denominadas regras. Estas regras são agrupadas, atribuídas e geridas para Microsoft Entra funções e grupos através de contentores denominados políticas.
As políticas são definidas através do tipo de recurso unifiedRoleManagementPolicy.
Regras de política
Cada objeto unifiedRoleManagementPolicy contém 17 regras predefinidas que podem ser atualizadas. Estas regras são geridas através da relação de regras .
O Microsoft Graph define o tipo abstrato de tipo de recurso unifiedRoleManagementPolicyRule , que é herdado por cinco recursos. Os cinco tipos derivados são utilizados para agrupar as regras em regras de ativação, atribuição e notificação. Definem configurações de regras que podem ser uma ou mais de 17 regras identificadas por IDs de regras exclusivos e imutáveis.
Este artigo fornece um mapeamento das definições no PIM no centro de administração do Microsoft Entra às regras correspondentes no Microsoft Graph.
Mapeamento de IDs de regra para definições de função PIM no centro de administração do Microsoft Entra
Regras de ativação
A imagem seguinte mostra as definições da função de ativação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos nas APIs PIM no Microsoft Graph.
Número | Descrição da UX do centro de administração do Microsoft Entra | ID da regra do Microsoft Graph/Tipo de recurso derivado | Imposto para autor da chamada |
---|---|---|---|
1 | Duração máxima da ativação (horas) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuário final |
2 | Na ativação, exigir: Nenhum, MFA do Azure Exigir informações sobre o pedido de suporte na ativação Exigir justificação na ativação |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuário final |
3 | Na ativação, exija: Microsoft Entra contexto de autenticação de Acesso Condicional (Pré-visualização) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuário final |
4 | Exigir aprovação para ativar |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuário final |
Regras de atribuição
A imagem seguinte mostra as definições da função de atribuição no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.
Número | Descrição da UX do centro de administração do Microsoft Entra | ID da Regra do Microsoft Graph/Tipo de recurso derivado | Imposto para autor da chamada |
---|---|---|---|
5 | Permitir atribuição elegível permanente Expirar atribuições elegíveis após |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
6 | Permitir atribuição ativa permanente Expirar atribuições ativas após |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
7 | Exigir o Multi-Factor Authentication do Azure na atribuição ativa Exigir justificação na atribuição ativa |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
8 | Não existe no centro de administração do Microsoft Entra UX |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
Regras de notificação
A imagem seguinte mostra as definições da função de notificação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.
Número | Descrição da UX do centro de administração do Microsoft Entra | ID da Regra do Microsoft Graph/Tipo de recurso derivado | Imposto para autor da chamada |
---|---|---|---|
9 | Enviar notificações quando os membros são atribuídos como elegíveis para esta função: Alerta de atribuição de função |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
10 | Enviar notificações quando os membros são atribuídos como elegíveis para esta função: Notificação ao utilizador atribuído (detentor) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Assignee/Requestor |
11 | Enviar notificações quando os membros são atribuídos como elegíveis para esta função: pedido para aprovar uma renovação/extensão de atribuição de função |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Aprovador |
12 | Enviar notificações quando os membros são atribuídos como ativos a esta função: Alerta de atribuição de função |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
13 | Enviar notificações quando os membros estiverem atribuídos como ativos a esta função: Notificação ao utilizador atribuído (assignee) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Assignee/Requestor |
14 | Enviar notificações quando os membros estiverem atribuídos como ativos a esta função: Pedido para aprovar uma renovação/extensão de atribuição de função |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Aprovador |
15 | Enviar notificações quando os membros elegíveis ativarem esta função: Alerta de ativação de funções |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
16 | Enviar notificações quando os membros elegíveis ativarem esta função: Notificação para o utilizador ativado (requerente) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Requerente |
17 | Enviar notificações quando os membros elegíveis ativarem esta função: Pedir para aprovar uma ativação |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Aprovador |