API Privileged Identity Management
Privileged Identity Management (PIM), qui fait partie de Microsoft Entra, comprend trois fournisseurs :
- PIM pour les rôles Microsoft Entra
- PIM pour les ressources Azure
- PIM pour les groupes
Vous pouvez gérer les affectations dans PIM pour les rôles Microsoft Entra et PIM pour les groupes à l’aide de Microsoft API Graph. Vous pouvez gérer les affectations dans PIM pour les ressources Azure à l’aide de l’API Azure Resource Manager (ARM). Cet article décrit des concepts importants pour l’utilisation des API pour Privileged Identity Management.
Pour plus d’informations sur les API qui permettent de gérer les affectations, consultez la documentation :
- Informations de référence sur l’API PIM pour les rôles Microsoft Entra
- Informations de référence sur l’API PIM pour les rôles de ressources Azure
- Référence sur l’API PIM pour les groupes
- Informations de référence sur les alertes PIM pour les rôles Microsoft Entra
- Référence sur les Alertes PIM pour l’API des ressources Azure
Historique de l’API PIM
Il y a eu plusieurs itérations de l’API PIM au cours des dernières années. Vous trouverez quelques chevauchements dans les fonctionnalités, mais ils ne représentent pas une progression linéaire des versions.
Itération 1 – Dépréciée
Sous le point de terminaison /beta/privilegedRoles, Microsoft avait une version classique de l’API PIM qui ne prenait en charge que les rôles Microsoft Entra. Celle-ci n’est plus prise en charge. L’accès à cette API a été déprécié en juin 2021.
Itération 2 : prise en charge des rôles Microsoft Entra et des rôles de ressources Azure
Sous le point de terminaison /beta/privilegedAccess, Microsoft prenait en charge /aadRoles et /azureResources. Ce point de terminaison est toujours disponible dans votre locataire, mais Microsoft déconseille de commencer tout nouveau développement avec cette API. Cette API bêta ne sera jamais mise en disponibilité générale et sera un jour dépréciée.
Itération 3 (actuelle) : PIM pour les rôles Microsoft Entra, les groupes dans Microsoft API Graph et pour les ressources Azure dans l’API ARM
Il s’agit de la dernière itération de l’API PIM. Elle inclut :
- PIM pour les rôles Microsoft Entra dans Microsoft API Graph : disponibilité générale.
- PIM pour les ressources Azure dans l’API ARM – Disponibilité générale.
- PIM pour les groupes dans l’API Microsoft Graph – Préversion.
- Alertes PIM pour les rôles Microsoft Entra dans Microsoft API Graph : préversion.
- Alertes PIM pour les ressources Azure dans l’API ARM – Préversion.
Les rôles PIM pour Microsoft Entra dans Microsoft API Graph et PIM pour les ressources Azure dans l’API ARM offrent quelques avantages, notamment :
- L’alignement de l’API PIM sur l’API d’attribution de rôle standard pour les rôles Microsoft Entra et les rôles Azure Resource.
- La nécessité moindre d’appeler une API PIM supplémentaire pour intégrer une ressource, obtenir une ressource ou obtenir une définition de rôle.
- La prise en charge des autorisations d’application uniquement.
- De nouvelles fonctionnalités telles que l’approbation et la configuration des notifications par e-mail.
Vue d’ensemble de l’itération de l’API PIM 3
Les API PIM entre les fournisseurs (à la fois les API Microsoft Graph et les API ARM) suivent les mêmes principes.
Gestion des affectations
Pour créer une affectation (active ou éligible), renouveler, étendre, mettre à jour l’affectation (active ou éligible), activer ou désactiver l’affectation éligible, utiliser des ressources *AssignmentScheduleRequest et *EligibilityScheduleRequest :
- Pour les rôles Microsoft Entra : unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest ;
- Pour les ressources Azure : requête de planification d’attribution de rôle, requête de planification d’éligibilité des rôles ;
- Pour les groupes : privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
La création d’objets *AssignmentScheduleRequest ou *EligibilityScheduleRequest peut entraîner la création d’objets *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance et *EligibilityScheduleInstance en lecture seule.
- Les objets *AssignmentSchedule et *EligibilitySchedule présentent les affectations actuelles et les requêtes de création d’affectations à l’avenir.
- Les objets *AssignmentScheduleInstance et *EligibilityScheduleInstance présentent uniquement les affectations actuelles.
Quand une affectation éligible est activée (Créer*AssignmentScheduleRequest a été appelé), *EligibilityScheduleInstance continue d’exister, de nouveaux objets *AssignmentSchedule et *AssignmentScheduleInstance sont créés pour cette durée activée.
Pour plus d’informations sur les API d’attribution et d’activation, consultez l’API PIM pour gérer les attributions de rôles et les éligibilités.
Stratégies PIM (paramètres de rôle)
Pour gérer les stratégies PIM, utilisez les entités *roleManagementPolicy et *roleManagementPolicyAssignment :
- Pour les rôles PIM pour Microsoft Entra, PIM pour les groupes : unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Pour PIM pour les ressources Azure : stratégies de gestion des rôles, affectations de stratégie de gestion des rôles
La ressource *roleManagementPolicy comprend des règles qui constituent la stratégie PIM : exigences d’approbation, durée maximale d’activation, paramètres de notification, etc.
L’objet *roleManagementPolicyAssignment joint la stratégie à un rôle spécifique.
Pour plus d’informations sur les API des paramètres de stratégie, consultez paramètres de rôle et PIM.
Autorisations
PIM pour les rôles Microsoft Entra
Pour API Graph autorisations requises pour PIM pour les rôles Microsoft Entra, consultez Autorisations de gestion des rôles.
PIM pour les ressources Azure
L’API PIM pour les rôles de ressources Azure est développée sur l’infrastructure Azure Resource Manager. Vous devrez donner votre consentement à Azure Resource Management, mais vous n’aurez pas besoin d’autorisation pour l’API Microsoft Graph. Vous devrez également vous assurer que l’utilisateur ou le principal de service qui appelle l’API a au moins le rôle Propriétaire ou Administrateur de l’accès utilisateur sur la ressource que vous essayez d’administrer.
PIM pour les groupes
Pour les autorisations API Graph requises pour PIM pour les groupes, consultez PIM pour les groupes : autorisations et privilèges.
Relation entre les entités PIM et les entités d’attribution de rôle
Le seul lien entre l'entité PIM et l'entité d'attribution des rôles pour l'attribution persistante (active) des rôles Microsoft Entra ou Azure est le *AssignmentScheduleInstance. Il existe un mappage univoque entre les deux entités. Ce mappage signifie que roleAssignment et *AssignmentScheduleInstance incluraient tous deux :
- Des attributions persistantes (actives) effectuées en dehors de PIM
- Des attributions persistantes (actives) avec une planification effectuée dans PIM
- Des attributions éligibles activées
Les propriétés spécifiques à PIM (telles que l’heure de fin) ne seront disponibles que via l’objet *AssignmentScheduleInstance.