Gerenciar atribuições de função Microsoft Entra usando APIs de PIM
Privileged Identity Management (PIM) é um recurso de Microsoft Entra ID Governance que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. Um método por meio do qual entidades como usuários, grupos e entidades de serviço (aplicativos) recebem acesso a recursos importantes é por meio da atribuição de funções Microsoft Entra.
As APIs do PIM para funções Microsoft Entra permitem que você governe o acesso privilegiado e limite o acesso excessivo a funções de Microsoft Entra. Este artigo apresenta os recursos de governança do PIM para APIs de funções Microsoft Entra no Microsoft Graph.
Observação
Para gerenciar funções de recurso do Azure, use as APIs de PIM para OZure Resource Manager (ARM).
APIs de PIM para gerenciar atribuições de função ativa
O PIM permite gerenciar atribuições de função ativa criando atribuições permanentes ou atribuições temporárias. Use o tipo de recurso unifiedRoleAssignmentScheduleRequest e seus métodos relacionados para gerenciar atribuições de função.
A tabela a seguir lista cenários para usar o PIM para gerenciar atribuições de função e as APIs a serem chamadas.
| Cenários | API |
|---|---|
| Um administrador cria e atribui a uma entidade de segurança uma atribuição de função permanente Um administrador atribui a uma entidade de segurança uma função temporária |
Criar roleAssignmentScheduleRequests |
| Um administrador renova, atualiza, estende ou remove atribuições de função | Criar roleAssignmentScheduleRequests |
| Um administrador consulta todas as atribuições de função e seus detalhes | Listar roleAssignmentScheduleRequests |
| Um administrador consulta uma atribuição de função e seus detalhes | Obter unifiedRoleAssignmentScheduleRequest |
| Uma entidade de segurança consulta suas atribuições de função e os detalhes | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| Uma entidade de segurança executa ativação just-in-time e tempo limite de sua atribuição de função qualificada | Criar roleAssignmentScheduleRequests |
| Uma entidade de segurança cancela uma solicitação de atribuição de função que eles criaram | unifiedRoleAssignmentScheduleRequest: cancel |
| Uma entidade de segurança que ativou sua atribuição de função qualificada a desativa quando não precisa mais de acesso | Criar roleAssignmentScheduleRequests |
| Uma entidade de segurança desativa, estende ou renova sua própria atribuição de função. | Criar roleAssignmentScheduleRequests |
APIs de PIM para gerenciar elegibilidades de função
Seus diretores podem não exigir atribuições de função permanentes porque podem não exigir os privilégios concedidos por meio da função privilegiada o tempo todo. Nesse caso, o PIM também permite criar elegibilidades de função e atribuí-las às entidades de segurança. Com as elegibilidades de função, a entidade ativa a função quando precisa executar tarefas privilegiadas. A ativação é sempre limitada por um máximo de 8 horas. A elegibilidade da função também pode ser uma elegibilidade permanente ou uma elegibilidade temporária.
Use o tipo de recurso unifiedRoleEligibilityScheduleRequest e seus métodos relacionados para gerenciar as elegibilidades de função.
A tabela a seguir lista cenários para usar o PIM para gerenciar as elegibilidades de função e as APIs a serem chamadas.
| Cenários | API |
|---|---|
| Um administrador cria e atribui a uma entidade de segurança uma função qualificada Um administrador atribui uma elegibilidade de função temporária a uma entidade |
Criar roleEligibilityScheduleRequests |
| Um administrador renova, atualiza, estende ou remove as elegibilidades de função | Criar roleEligibilityScheduleRequests |
| Um administrador consulta todas as elegibilidades de função e seus detalhes | List roleEligibilityScheduleRequests |
| Um administrador consulta uma elegibilidade de função e seus detalhes | Obter unifiedRoleEligibilityScheduleRequest |
| Um administrador cancela uma solicitação de elegibilidade de função que eles criaram | unifiedRoleEligibilityScheduleRequest: cancel |
| Uma entidade de segurança consulta suas elegibilidades de função e os detalhes | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| Uma entidade de segurança desativa, estende ou renova sua própria elegibilidade de função. | Criar roleEligibilityScheduleRequests |
Configurações de função e PIM
Cada função Microsoft Entra define configurações ou regras. Essas regras incluem se a MFA (autenticação multifator), a justificativa ou a aprovação são necessárias para ativar uma função qualificada ou se você pode criar atribuições permanentes ou elegibilidades para entidades de segurança para a função. Essas regras específicas de função determinam as configurações que você pode aplicar ao criar ou gerenciar atribuições de função e elegibilidade por meio do PIM.
No Microsoft Graph, essas regras são gerenciadas por meio do unifiedRoleManagementPolicy e dos tipos de recursos unifiedRoleManagementPolicyAssignment e seus métodos relacionados.
Por exemplo, suponha que, por padrão, uma função não permite atribuições ativas permanentes e define um máximo de 15 dias para atribuições ativas. Tentar criar um objeto unifiedRoleAssignmentScheduleRequest sem data de validade retorna um 400 Bad Request código de resposta por violação da regra de expiração.
O PIM permite configurar várias regras, incluindo:
- Se as entidades de segurança podem receber atribuições qualificadas permanentes
- A duração máxima permitida para uma ativação de função e se a justificativa ou aprovação são necessárias para ativar funções qualificadas
- Os usuários que têm permissão para aprovar solicitações de ativação para uma função Microsoft Entra
- Se o MFA é necessário para ativar e impor uma atribuição de função
- As entidades de segurança que são notificadas de ativações de função
A tabela a seguir lista cenários para usar o PIM para gerenciar regras para Microsoft Entra funções e as APIs a serem chamadas.
| Cenários | API |
|---|---|
| Recuperar políticas de gerenciamento de função e regras ou configurações associadas | Lista unifiedRoleManagementPolicies |
| Recuperar uma política de gerenciamento de função e suas regras ou configurações associadas | Obter unifiedRoleManagementPolicy |
| Atualizar uma política de gerenciamento de função em suas regras ou configurações associadas | Atualizar unifiedRoleManagementPolicy |
| Recuperar as regras definidas para a política de gerenciamento de função | Listar regras |
| Recuperar uma regra definida para uma política de gerenciamento de função | Obter unifiedRoleManagementPolicyRule |
| Atualizar uma regra definida para uma política de gerenciamento de função | Atualizar unifiedRoleManagementPolicyRule |
| Obtenha os detalhes de todas as atribuições de política de gerenciamento de função, incluindo as políticas e regras ou configurações associadas às funções Microsoft Entra | Lista unifiedRoleManagementPolicyAssignments |
| Obtenha os detalhes de uma atribuição de política de gerenciamento de função, incluindo a política e as regras ou configurações associadas à função Microsoft Entra | Obter unifiedRoleManagementPolicyAssignment |
Para obter mais informações sobre como usar o Microsoft Graph para configurar regras, consulte Visão geral das regras para Microsoft Entra funções em APIs de PIM no Microsoft Graph. Para obter exemplos de regras de atualização, consulte Usar APIs de PIM no Microsoft Graph para atualizar regras de Microsoft Entra ID.
Alertas de segurança para funções de Microsoft Entra
O PIM para funções Microsoft Entra gera alertas quando detecta configurações suspeitas ou inseguras para funções Microsoft Entra em seu locatário. Os sete tipos de alerta a seguir estão disponíveis:
| Alerta | Recursos do Microsoft Graph (configuração de alerta/incidentes) |
|---|---|
| Muitos administradores globais no locatário | tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident |
| Alertas de licença inválidos que limitam o uso de PIM | invalidLicenseAlertConfiguration / invalidLicenseAlertIncident |
| Funções configuradas para ativação sem exigir autenticação multifator | noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident |
| Usuários com atribuições de função de Microsoft Entra qualificados ou ativos não utilizados | redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident |
| Microsoft Entra funções que estão sendo atribuídas fora do Privileged Identity Management | rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident |
| Microsoft Entra funções que estão sendo ativadas com muita frequência | sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident |
| Contas obsoletas potenciais em uma função privilegiada | staleSignInAlertConfiguration / staleSignInAlertIncident |
Para obter mais informações sobre esses alertas, incluindo a classificação de gravidade e os gatilhos, consulte Configurar alertas de segurança para Microsoft Entra funções no PIM.
Blocos de construção das APIs de alertas do PIM
Use os seguintes recursos do Microsoft Graph para gerenciar alertas de PIM.
| Recurso | Descrição | Operações de API |
|---|---|---|
| unifiedRoleManagementAlert | Fornece um resumo dos alertas no PIM para Microsoft Entra funções, sejam elas habilitadas ou desabilitadas, quando o serviço PIM examinou o locatário pela última vez para incidências ou esse alerta e o número de incidências mapeando para esse tipo de alerta no locatário. O serviço PIM examina o locatário diariamente em busca de incidências relacionadas ao alerta, mas você também pode executar uma verificação manual. | List Get Atualizar Atualização (verificação manual) |
| unifiedRoleManagementAlertDefinition | Fornece uma descrição detalhada de cada tipo de alerta, o nível de gravidade, as etapas recomendadas para mitigar as incidências relacionadas ao alerta no locatário e as ações recomendadas para evitar incidências futuras. | List Get |
| unifiedRoleManagementAlertConfiguration | A configuração específica do locatário para o alerta, incluindo se o serviço PIM deve verificar o locatário em busca de incidências relacionadas ao alerta, os limites que disparam o alerta e a definição de alerta relacionada. Este é um tipo abstrato do qual os recursos que representam os tipos de alerta individuais são derivados. | List Get Atualizar |
| unifiedRoleManagementAlertIncident | As incidências no locatário que correspondem ao tipo de alerta. | List Get Corrigir |
Para obter mais informações sobre como trabalhar com alertas de segurança para funções Microsoft Entra, consulte Configurar alertas de segurança para funções Microsoft Entra em Privileged Identity Management.
Para obter mais informações sobre como trabalhar com alertas de segurança para funções Microsoft Entra usando APIs de PIM, consulte Gerenciar alertas de segurança para funções Microsoft Entra usando APIs de PIM no Microsoft Graph.
Logs de auditoria
Todas as atividades feitas por meio do PIM para funções Microsoft Entra são registradas em logs de auditoria Microsoft Entra e você pode ler por meio da API de auditorias de diretório de lista.
Confiança Zero
Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Usar privilégio mínimo
- Assumir violação
Para saber mais sobre Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Centro de Diretrizes Confiança Zero.
Licenciamento
O locatário em que Privileged Identity Management está sendo usado deve ter licenças de compra ou avaliação suficientes. Para obter mais informações, consulte Requisitos de licença para usar Privileged Identity Management.
Conteúdo relacionado
- Confira os seguintes artigos para saber mais sobre como trabalhar com APIs pim:
- Trabalhar com regras para funções Microsoft Entra em APIs de PIM.
- Use APIs de PIM para atualizar regras (configurações) para Microsoft Entra funções.
- Gerenciar alertas de segurança para funções Microsoft Entra usando APIs de PIM no Microsoft Graph.
- Tutorial: use APIs de PIM para atribuir funções Microsoft Entra.
- Para saber mais sobre operações de segurança, consulte Microsoft Entra operações de segurança para Privileged Identity Management no centro de arquitetura Microsoft Entra.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de