Privileged Identity Management (Azure)

  • Artigo

O Privileged Identity Management (PIM), parte do Microsoft Entra, inclui três provedores:

  • PIM para funções do Microsoft Entra
  • PIM para Recursos do Azure
  • PIM para grupos

Você pode gerenciar atribuições no PIM para funções do Microsoft Entra e PIM para Grupos usando a API do Microsoft Graph. Você pode gerenciar atribuições no PIM para Recursos do Azure usando a API do Azure Resource Manager. Este artigo descreve conceitos importantes para uso das APIs para Privileged Identity Management.

Encontre mais detalhes sobre APIs que permitem gerenciar atribuições na documentação:

Histórico de API do PIM

Houve várias iterações da API do PIM nos últimos anos. Você encontrará algumas sobreposições na funcionalidade, mas elas não representam uma progressão linear de versões.

Iteração 1 – Preterida

No ponto de extremidade /beta/privilegedRoles, a Microsoft tinha uma versão clássica da API do PIM que dava suporte apenas às funções do Microsoft Entra, que não tem mais suporte. O acesso a essa API foi preterido em junho de 2021.

Iteração 2 – dá suporte a funções do Microsoft Entra e funções de recurso do Azure

Antes do ponto de extremidade /beta/privilegedAccess, a Microsoft dava suporte para /aadRoles e /azureResources. Esse ponto de extremidade ainda está disponível em seu locatário, mas a Microsoft recomenda não iniciar qualquer novo desenvolvimento com essa API. Essa API beta nunca será lançada para disponibilidade geral e, eventualmente, será substituída.

Iteração 3 (atual) - PIM para funções do Microsoft Entra, grupos na API do Microsoft Graph e para recursos do Azure na API do ARM

Essa é a iteração final da API do PIM. Ele inclui:

  • PIM para funções do Microsoft Entra na API do Microsoft Graph – em disponibilidade geral.
  • PIM para recursos do Azure na API do ARM - disponível para o público geral.
  • PIM para grupos na API do Microsoft Graph - versão prévia.
  • Alertas do PIM para funções do Microsoft Entra na API do Microsoft Graph – versão prévia.
  • Alertas do PIM para recursos do Azure na API do ARM - versão prévia.

Ter o PIM para funções do Microsoft Entra na API do Microsoft Graph e o PIM para recursos do Azure na API do ARM oferece alguns benefícios, incluindo:

  • Alinhamento da API do PIM para a API de atribuição de função regular para funções do Microsoft Entra e funções do Azure Resource.
  • Redução da necessidade de chamar a API do PIM adicional para carregar um recurso, obter um recurso ou obter definição de função.
  • Suporte a permissões somente de aplicativo.
  • Novos recursos, como aprovação e configuração de notificação por email.

Visão geral da iteração 3 da API do PIM

AS APIs do PIM entre provedores (APIs do Microsoft Graph e APIs do ARM) seguem os mesmos princípios.

Gerenciamento de atribuições

Para criar atribuição (ativa ou qualificada), renovar, estender, de atribuição de atualização (ativa ou qualificada), ativar atribuição qualificada, desativar atribuição qualificada, use os recursos *AssignmentScheduleRequest e *EligibilityScheduleRequest:

A criação de objetos *AssignmentScheduleRequest ou *EligibilityScheduleRequest pode levar à criação de objetos *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance e *EligibilityScheduleInstance somente leitura.

  • Os objetos *AssignmentSchedule e *EligibilitySchedule mostram as atribuições atuais e as solicitações para que as atribuições sejam criadas no futuro.
  • Os objetos *AssignmentScheduleInstance e *EligibilityScheduleInstance mostram apenas as atribuições atuais.

Quando uma atribuição qualificada é ativada (Criar*AssignmentScheduleRequest foi chamado), *EligibilityScheduleInstance continuar a existir, novos objetos *AssignmentSchedule e *AssignmentScheduleInstance serão criados para essa duração ativada.

Para obter mais informações sobre APIs de atribuição e ativação, confira API do PIM para gerenciar atribuições de função e qualificações.

Políticas do PIM (configurações de função)

Para gerenciar as políticas do PIM, use as entidades *roleManagementPolicy e *roleManagementPolicyAssignment:

O recurso *roleManagementPolicy inclui regras que constituem a política do PIM: requisitos de aprovação, duração máxima da ativação, configurações de notificação etc.

O objeto *roleManagementPolicyAssignment anexa a política a uma função específica.

Para obter mais informações sobre as APIs de configurações de política, confira as configurações de função e o PIM.

Permissões

PIM para funções do Microsoft Entra

Para permissões da API do Graph necessárias para o PIM para funções do Microsoft Entra, consulte Permissões de gerenciamento de função.

PIM para Recursos do Azure

A API do PIM para funções de recurso do Azure é desenvolvida sobre a estrutura do Azure Resource Manager. Você precisará dar consentimento ao Gerenciamento de Recursos do Azure, mas não precisará de nenhuma permissão da API do Microsoft Graph. Você também precisará certificar-se de que o usuário ou a entidade de serviço que está chamando a API tenha pelo menos a função de Proprietário ou de Administrador de Acesso do Usuário no recurso que você está tentando administrar.

PIM para grupos

Para permissões da API do Graph necessárias para o PIM para Grupos, consulte PIM para Grupos – Permissões e privilégios.

Relação entre entidades PIM e entidades de atribuição de função

O único link entre a entidade do PIM e a entidade de atribuição de função para a atribuição persistente (ativa) para funções do Microsoft Entra ou funções do Azure é o *AssignmentScheduleInstance. Há um mapeamento de um para um entre as duas entidades. Esse mapeamento significa que o roleAssignment e o*AssignmentScheduleInstance incluem:

  • Atribuições persistentes (ativas) feitas fora do PIM
  • Atribuições persistentes (ativas) com uma agenda feita dentro do PIM
  • Atribuições qualificadas ativadas

As propriedades específicas do PIM (como a hora de término) estarão disponíveis somente por meio do objeto *AssignmentScheduleInstance.

Próximas etapas