API:er för privileged Identity Management

  • Artikel

Privileged Identity Management (PIM), en del av Microsoft Entra, innehåller tre leverantörer:

  • PIM för Microsoft Entra-roller
  • PIM för Azure-resurser
  • PIM för grupper

Du kan hantera tilldelningar i PIM för Microsoft Entra-roller och PIM för grupper med hjälp av Microsoft Graph. Du kan hantera tilldelningar i PIM för Azure-resurser med hjälp av Azure Resource Manager-API:er. I den här artikeln beskrivs viktiga begrepp för att använda API:erna för Privileged Identity Management.

Mer information om API:er som gör det möjligt att hantera tilldelningar finns i dokumentationen:

PIM API-historik

Det har gjorts flera iterationer av PIM-API:erna under de senaste åren. Det finns vissa överlappningar i funktioner, men de representerar inte en linjär utveckling av versioner.

Iteration 1 – Inaktuell

/beta/privilegedRoles Under slutpunkten hade Microsoft en klassisk version av PIM-API:et, som endast stödde Microsoft Entra-roller och inte längre stöds. Åtkomsten till det här API:et upphörde i juni 2021.

Iteration 2 – Stöder Microsoft Entra-roller och Azure-resursroller

/beta/privilegedAccess Under slutpunkten stödde Microsoft både /aadRoles och /azureResources. Den här slutpunkten är fortfarande tillgänglig i din klientorganisation, men Microsoft rekommenderar att du inte startar någon ny utveckling med det här API:et. Det här API:et kommer aldrig att släppas till allmän tillgänglighet och kommer så småningom att bli inaktuellt.

Iteration 3 (aktuell) – PIM för Microsoft Entra-roller, grupper i Microsoft Graph API och för Azure-resurser i ARM API

Detta är den slutliga iterationen av PIM-API:et. Den innehåller:

  • PIM för Microsoft Entra-roller i Microsoft Graph API – allmänt tillgängligt.
  • PIM för Azure-resurser i ARM API – allmänt tillgängligt.
  • PIM för grupper i Microsoft Graph API – allmänt tillgängligt.
  • PIM-aviseringar för Microsoft Entra-roller i Microsoft Graph API – förhandsversion.
  • PIM-aviseringar för Azure-resurser i ARM API – förhandsversion.

Att ha PIM för Microsoft Entra-roller i Microsoft Graph API och PIM för Azure-resurser i ARM API ger några fördelar, bland annat:

  • Justering av PIM-API:er för regelbunden rolltilldelning för både Microsoft Entra-roller och Azure-resursroller.
  • Minska behovet av att anropa andra PIM-API:er för att registrera en resurs, hämta en resurs eller hämta rolldefinition.
  • Stöd för appbehörigheter.
  • Nya funktioner som konfiguration av godkännande och e-postavisering.

Översikt över PIM API-iteration 3

PIM-API:er mellan leverantörer (både Microsoft Graph-API:er och ARM-API:er) följer samma principer.

Hantering av tilldelningar

Om du vill skapa tilldelning (aktiv eller berättigad), förnya, utöka, uppdatera tilldelning (aktiv eller berättigad), aktivera berättigad tilldelning, inaktivera berättigad tilldelning, använda resurser *AssignmentScheduleRequest och *EligibleyScheduleRequest:

Skapandet av *AssignmentScheduleRequest- eller *EligibilityScheduleRequest-objekt kan leda till att skrivskyddade *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance och *EligibilityScheduleInstance-objekt skapas.

  • *AssignmentSchedule - och *EligibilitySchedule-objekt visar aktuella tilldelningar och begäranden för tilldelningar som ska skapas i framtiden.
  • *AssignmentScheduleInstance - och *EligibilityScheduleInstance-objekt visar endast aktuella tilldelningar.

När en berättigad tilldelning aktiveras (Skapa *AssignmentScheduleRequest anropades) fortsätter *EligibleyScheduleInstance att finnas, nya *AssignmentSchedule och ett *AssignmentScheduleInstance-objekt skapas för den aktiverade varaktigheten.

Mer information om tilldelnings- och aktiverings-API:er finns i PIM API för hantering av rolltilldelningar och berättiganden.

PIM-principer (rollinställningar)

Om du vill hantera PIM-principerna använder du *roleManagementPolicy och *roleManagementPolicyAssignment-entiteter :

Resursen *roleManagementPolicy innehåller regler som utgör PIM-princip: godkännandekrav, maximal aktiveringstid, meddelandeinställningar och så vidare.

Objektet *roleManagementPolicyAssignment kopplar principen till en specifik roll.

Mer information om API:er för principinställningar finns i rollinställningar och PIM.

Behörigheter

PIM för Microsoft Entra-roller

Microsoft Graph-behörigheter som krävs för PIM för Microsoft Entra-roller finns på motsvarande REST API-referenssidor.

PIM för Azure-resurser

PIM-API:erna för Azure-resursroller utvecklas ovanpå Azure Resource Manager-ramverket. Du måste godkänna Azure Resource Management men behöver inga Microsoft Graph-behörigheter. Du måste också se till att användaren eller tjänstens huvudnamn som anropar API:et har rollen Ägare eller Administratör för användaråtkomst på den resurs som du försöker administrera.

PIM för grupper

Microsoft Graph-behörigheter som krävs för PIM för grupper finns på motsvarande REST API-referenssidor.

Relation mellan PIM-entiteter och rolltilldelningsentiteter

Den enda länken mellan PIM-entiteten och rolltilldelningsentiteten för beständiga (aktiva) tilldelningar för antingen Microsoft Entra-roller eller Azure-roller är *AssignmentScheduleInstance. Det finns en en-till-en-mappning mellan de två entiteterna. Den mappningen innebär att roleAssignment och *AssignmentScheduleInstance båda skulle innehålla:

  • Beständiga (aktiva) tilldelningar som görs utanför PIM
  • Beständiga (aktiva) tilldelningar med ett schema som gjorts i PIM
  • Aktiverade berättigade tilldelningar

PIM-specifika egenskaper (till exempel sluttid) är endast tillgängliga via *AssignmentScheduleInstance-objekt .

Nästa steg