PIM 中的规则 - 映射指南
Privileged Identity Management (PIM) 公开可管理资源的角色设置或规则。 在 Microsoft Graph 中,这些资源Microsoft Entra角色和组,分别通过 PIM 管理Microsoft Entra角色和组的 PIM。
角色设置分为以下三个类别之一:激活设置、分配设置和通知设置。 此类设置包括是否需要多重身份验证 (MFA) 来激活符合条件的角色、组成员身份或组所有权,或者是否可以创建永久角色分配或永久组成员身份或所有权。
在 Microsoft Graph 中使用 PIM API 时,这些角色设置通过策略和规则进行管理。
策略
在 Microsoft Graph 中,角色设置称为 规则。 这些规则通过称为策略的容器对Microsoft Entra角色和组进行分组、分配和管理。
策略是通过 unifiedRoleManagementPolicy 资源类型定义的。
策略规则
每个策略包含 17 个可更新的预定义规则。 这些规则通过 unifiedRoleManagementPolicy 资源类型的规则关系进行管理。
为了将规则分组为激活、分配和通知规则,Microsoft Graph 定义了 unifiedRoleManagementPolicyRule 资源类型 抽象类型。 此抽象类型由五个资源继承。 然后,这五种派生类型中的每一种都定义了规则配置,这些配置可以是 17 个规则中的一个或多个。 这 17 个规则由唯一和不可变的规则 ID 标识。
本文提供 PIM 中设置Microsoft Entra 管理中心到 Microsoft Graph 中的相应规则的映射。
将规则 ID 映射到 Microsoft Entra 管理中心 上的 PIM 角色设置
激活规则
下图显示了Microsoft Entra 管理中心上的激活角色设置,这些设置映射到 Microsoft Graph 中的 PIM API 中的规则和资源类型。
数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
---|---|---|---|
1 | 激活最大持续时间 (小时) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
最终用户 |
2 | 激活时,需要:无、Azure MFA 需要有关激活的票证信息 激活时需要理由 |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
管理员 |
3 | 激活时,需要:Microsoft Entra条件访问身份验证上下文 (预览版) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
最终用户 |
4 | 需要审批才能激活 | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
最终用户 |
分配规则
下图显示了Microsoft Entra 管理中心上的分配角色设置,这些设置映射到 Microsoft Graph 中 PIM API 中的规则和资源类型。
数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
---|---|---|---|
5 | 允许永久合格分配 在以下时间之后使符合条件的分配过期 |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
管理员 |
6 | 允许永久活动分配 在之后使活动分配过期 |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理员 |
7 | 要求对活动分配进行 Azure 多重身份验证 要求对活动分配提供理由 需要有关激活的票证信息 |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理员 |
8 | 要求对活动分配进行 Azure 多重身份验证 要求对活动分配提供理由 需要有关激活的票证信息 |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
最终用户 |
通知规则
下图显示了Microsoft Entra 管理中心上的通知角色设置,这些设置映射到 Microsoft Graph 中 PIM API 中的规则和资源类型。
数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
---|---|---|---|
9 | 当成员被分配为有资格担任此角色时发送通知:角色分配警报 | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
管理员 |
10 | 当成员被分配为有资格担任此角色时发送通知:通知已分配的用户 (被分配者) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
被委托人/请求者 |
11 | 当成员被分配为有资格担任此角色时发送通知:请求批准角色分配续订/延期 | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
审批者 |
12 | 将成员分配为活动角色时发送通知:角色分配警报 | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理员 |
13 | 将成员分配为此角色的活动时发送通知:向分配的用户发送通知 (被分配者) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
被委托人/请求者 |
14 | 将成员分配到此角色时发送通知:请求批准角色分配续订/延期 | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
审批者 |
15 | 合格成员激活此角色时发送通知:角色激活警报 | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理员 |
16 | 在符合条件的成员激活此角色时发送通知:通知已激活的用户 (请求者) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
请求 |
17 | 合格成员激活此角色时发送通知:请求批准激活 | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
审批者 |
相关内容
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈