Regras no PIM – Guia de mapeamento

Privileged Identity Management (PIM) expõe as definições de função dos recursos que podem ser geridos. No Microsoft Graph, estes recursos são Microsoft Entra funções e grupos e são geridos através do PIM para Microsoft Entra funções e PIM para grupos, respetivamente.

As definições de função enquadram-se numa de três categorias:

  • Definições de ativação
  • Definições de atribuição
  • Definições de notificação

Estas definições incluem se a autenticação multifator (MFA) é necessária para ativar uma função elegível ou associação a grupos; ou se pode criar atribuições de funções permanentes, propriedade do grupo ou associações a grupos.

Ao utilizar o PIM para Microsoft Entra funções APIs ou PIM para APIs de grupos no Microsoft Graph, estas definições de função são geridas através de políticas e regras.

Políticas

No Microsoft Graph, as definições de função são denominadas regras. Estas regras são agrupadas, atribuídas e geridas para Microsoft Entra funções e grupos através de contentores denominados políticas.

As políticas são definidas através do tipo de recurso unifiedRoleManagementPolicy.

Regras de política

Cada objeto unifiedRoleManagementPolicy contém 17 regras predefinidas que podem ser atualizadas. Estas regras são geridas através da relação de regras .

O Microsoft Graph define o tipo abstrato de tipo de recurso unifiedRoleManagementPolicyRule , que é herdado por cinco recursos. Os cinco tipos derivados são utilizados para agrupar as regras em regras de ativação, atribuição e notificação. Definem configurações de regras que podem ser uma ou mais de 17 regras identificadas por IDs de regras exclusivos e imutáveis.

Este artigo fornece um mapeamento das definições no PIM no centro de administração do Microsoft Entra às regras correspondentes no Microsoft Graph.

Mapeamento de IDs de regra para definições de função PIM no centro de administração do Microsoft Entra

Regras de ativação

A imagem seguinte mostra as definições da função de ativação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos nas APIs PIM no Microsoft Graph.

Definições de ativação da função PIM no centro de administração do Microsoft Entra.

Número Descrição da UX do centro de administração do Microsoft Entra ID da regra do Microsoft Graph/Tipo de recurso derivado Imposto para autor da chamada
1 Duração máxima da ativação (horas) Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuário final
2 Na ativação, exigir: Nenhum, MFA do Azure

Exigir informações sobre o pedido de suporte na ativação

Exigir justificação na ativação
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuário final
3 Na ativação, exija: Microsoft Entra contexto de autenticação de Acesso Condicional (Pré-visualização) AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuário final
4 Exigir aprovação para ativar Approval_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Usuário final

Regras de atribuição

A imagem seguinte mostra as definições da função de atribuição no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.

Definições de atribuição de função PIM no centro de administração do Microsoft Entra.

Número Descrição da UX do centro de administração do Microsoft Entra ID da Regra do Microsoft Graph/Tipo de recurso derivado Imposto para autor da chamada
5 Permitir atribuição elegível permanente

Expirar atribuições elegíveis após
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Administrador
6 Permitir atribuição ativa permanente

Expirar atribuições ativas após
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Administrador
7 Exigir o Multi-Factor Authentication do Azure na atribuição ativa

Exigir justificação na atribuição ativa
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Administrador
8 Não existe no centro de administração do Microsoft Entra UX Enablement_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Administrador

Regras de notificação

A imagem seguinte mostra as definições da função de notificação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.

Definições de notificação de função PIM no centro de administração do Microsoft Entra.

Número Descrição da UX do centro de administração do Microsoft Entra ID da Regra do Microsoft Graph/Tipo de recurso derivado Imposto para autor da chamada
9 Enviar notificações quando os membros são atribuídos como elegíveis para esta função: Alerta de atribuição de função Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Administrador
10 Enviar notificações quando os membros são atribuídos como elegíveis para esta função: Notificação ao utilizador atribuído (detentor) Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Assignee/Requestor
11 Enviar notificações quando os membros são atribuídos como elegíveis para esta função: pedido para aprovar uma renovação/extensão de atribuição de função Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule Aprovador
12 Enviar notificações quando os membros são atribuídos como ativos a esta função: Alerta de atribuição de função Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Administrador
13 Enviar notificações quando os membros estiverem atribuídos como ativos a esta função: Notificação ao utilizador atribuído (assignee) Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Assignee/Requestor
14 Enviar notificações quando os membros estiverem atribuídos como ativos a esta função: Pedido para aprovar uma renovação/extensão de atribuição de função Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule Aprovador
15 Enviar notificações quando os membros elegíveis ativarem esta função: Alerta de ativação de funções Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Administrador
16 Enviar notificações quando os membros elegíveis ativarem esta função: Notificação para o utilizador ativado (requerente) Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Requerente
17 Enviar notificações quando os membros elegíveis ativarem esta função: Pedir para aprovar uma ativação Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule Aprovador