PIM 中的规则 - 映射指南
Privileged Identity Management (PIM) 公开可管理资源的角色设置或规则。 在 Microsoft Graph 中,这些资源Microsoft Entra角色和组,分别通过 PIM 管理Microsoft Entra角色和组的 PIM。
角色设置分为以下三个类别之一:激活设置、分配设置和通知设置。 此类设置包括是否需要多重身份验证 (MFA) 来激活符合条件的角色、组成员身份或组所有权,或者是否可以创建永久角色分配或永久组成员身份或所有权。
在 Microsoft Graph 中使用 PIM API 时,这些角色设置通过策略和规则进行管理。
策略
在 Microsoft Graph 中,角色设置称为 规则。 这些规则通过称为策略的容器对Microsoft Entra角色和组进行分组、分配和管理。
策略是通过 unifiedRoleManagementPolicy 资源类型定义的。
策略规则
每个策略包含 17 个可更新的预定义规则。 这些规则通过 unifiedRoleManagementPolicy 资源类型的规则关系进行管理。
为了将规则分组为激活、分配和通知规则,Microsoft Graph 定义了 unifiedRoleManagementPolicyRule 资源类型 抽象类型。 此抽象类型由五个资源继承。 然后,这五种派生类型中的每一种都定义了规则配置,这些配置可以是 17 个规则中的一个或多个。 这 17 个规则由唯一和不可变的规则 ID 标识。
本文提供 PIM 中设置Microsoft Entra 管理中心到 Microsoft Graph 中的相应规则的映射。
将规则 ID 映射到 Microsoft Entra 管理中心 上的 PIM 角色设置
激活规则
下图显示了Microsoft Entra 管理中心上的激活角色设置,这些设置映射到 Microsoft Graph 中的 PIM API 中的规则和资源类型。
| 数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
|---|---|---|---|
| 1 | 激活最大持续时间 (小时) | Expiration_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
最终用户 |
| 2 | 激活时,需要:无、Azure MFA 需要有关激活的票证信息 激活时需要理由 |
Enablement_Admin_Eligibility / unifiedRoleManagementPolicyEnablementRule |
管理员 |
| 3 | 激活时,需要:Microsoft Entra条件访问身份验证上下文 (预览版) | AuthenticationContext_EndUser_Assignment / unifiedRoleManagementPolicyAuthenticationContextRule |
最终用户 |
| 4 | 需要审批才能激活 | Approval_EndUser_Assignment / unifiedRoleManagementPolicyApprovalRule |
最终用户 |
分配规则
下图显示了Microsoft Entra 管理中心上的分配角色设置,这些设置映射到 Microsoft Graph 中 PIM API 中的规则和资源类型。
| 数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
|---|---|---|---|
| 5 | 允许永久合格分配 在以下时间之后使符合条件的分配过期 |
Expiration_Admin_Eligibility / unifiedRoleManagementPolicyExpirationRule |
管理员 |
| 6 | 允许永久活动分配 在之后使活动分配过期 |
Expiration_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理员 |
| 7 | 要求对活动分配进行 Azure 多重身份验证 要求对活动分配提供理由 需要有关激活的票证信息 |
Enablement_Admin_Assignment / unifiedRoleManagementPolicyExpirationRule |
管理员 |
| 8 | 要求对活动分配进行 Azure 多重身份验证 要求对活动分配提供理由 需要有关激活的票证信息 |
Enablement_EndUser_Assignment / unifiedRoleManagementPolicyExpirationRule |
最终用户 |
通知规则
下图显示了Microsoft Entra 管理中心上的通知角色设置,这些设置映射到 Microsoft Graph 中 PIM API 中的规则和资源类型。
| 数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft Graph 规则 ID/派生资源类型 | 对调用方强制实施 |
|---|---|---|---|
| 9 | 当成员被分配为有资格担任此角色时发送通知:角色分配警报 | Notification_Admin_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
管理员 |
| 10 | 当成员被分配为有资格担任此角色时发送通知:通知已分配的用户 (被分配者) | Notification_Requestor_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
被委托人/请求者 |
| 11 | 当成员被分配为有资格担任此角色时发送通知:请求批准角色分配续订/延期 | Notification_Approver_Admin_Eligibility / unifiedRoleManagementPolicyNotificationRule |
审批者 |
| 12 | 将成员分配为活动角色时发送通知:角色分配警报 | Notification_Admin_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理员 |
| 13 | 将成员分配为此角色的活动时发送通知:向分配的用户发送通知 (被分配者) | Notification_Requestor_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
被委托人/请求者 |
| 14 | 将成员分配到此角色时发送通知:请求批准角色分配续订/延期 | Notification_Approver_Admin_Assignment / unifiedRoleManagementPolicyNotificationRule |
审批者 |
| 15 | 合格成员激活此角色时发送通知:角色激活警报 | Notification_Admin_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
管理员 |
| 16 | 在符合条件的成员激活此角色时发送通知:通知已激活的用户 (请求者) | Notification_Requestor_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
请求 |
| 17 | 合格成员激活此角色时发送通知:请求批准激活 | Notification_Approver_EndUser_Assignment / unifiedRoleManagementPolicyNotificationRule |
审批者 |
相关内容
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈