Verwalten von Microsoft Entra Rollenzuweisungen mithilfe von PIM-APIs
Privileged Identity Management (PIM) ist ein Feature von Microsoft Entra ID Governance, mit dem Sie den Zugriff auf wichtige Ressourcen in Ihrem organization verwalten, steuern und überwachen können. Eine Methode, mit der Prinzipalen wie Benutzern, Gruppen und Dienstprinzipalen (Anwendungen) Zugriff auf wichtige Ressourcen gewährt wird, ist die Zuweisung von Microsoft Entra Administratorrollen.
Mit den APIs für PIM für Microsoft Entra Rollen können Sie den privilegierten Zugriff steuern und übermäßigen Zugriff auf Microsoft Entra Rollen einschränken. In diesem Artikel werden die Governancefunktionen von PIM für Microsoft Entra Rollen-APIs in Microsoft Graph vorgestellt.
Hinweis
Verwenden Sie zum Verwalten von Azure-Ressourcenrollen die PIM-APIs für Azure Resource Manager.
Methoden zum Zuweisen von Rollen
PIM für Microsoft Entra Rollen bietet zwei Methoden zum Zuweisen von Rollen zu Prinzipalen:
- Aktive Rollenzuweisungen: Ein Prinzipal kann über eine permanente oder temporäre, dauerhaft aktive Rollenzuweisung verfügen.
- Berechtigte Rollenzuweisungen: Ein Prinzipal kann für eine Rolle entweder dauerhaft oder vorübergehend entfernt werden. Mit berechtigten Berechtigungen aktiviert der Prinzipal seine Rolle , wodurch eine vorübergehend aktive Rollenzuweisung erstellt wird, wenn er privilegierte Aufgaben ausführen muss. Die Aktivierung ist immer für maximal 8 Stunden zeitgebunden, aber die maximale Dauer kann in den Rolleneinstellungen verringert werden. Die Aktivierung kann auch verlängert oder verlängert werden.
PIM-APIs zum Verwalten aktiver Rollenzuweisungen
MIT PIM können Sie aktive Rollenzuweisungen verwalten, indem Sie permanente oder temporäre Zuweisungen erstellen. Verwenden Sie den Ressourcentyp unifiedRoleAssignmentScheduleRequest und die zugehörigen Methoden, um Rollenzuweisungen zu verwalten.
Hinweis
Es wird empfohlen, PIM zu verwenden, um aktive Rollenzuweisungen mithilfe der Ressourcentypen unifiedRoleAssignment oder directoryRole zu verwalten, um sie direkt zu verwalten.
In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Rollenzuweisungen und der aufzurufenden APIs aufgeführt.
Szenarien | API |
---|---|
Ein Administrator erstellt und weist einem Prinzipal eine permanente Rollenzuweisung zu. Ein Administrator weist einem Prinzipal eine temporäre Rolle zu. |
Erstellen von roleAssignmentScheduleRequests |
Ein Administrator verlängert, aktualisiert, erweitert oder entfernt Rollenzuweisungen. | Erstellen von roleAssignmentScheduleRequests |
Ein Administrator fragt alle Rollenzuweisungen und deren Details ab. | roleAssignmentScheduleRequests auflisten |
Ein Administrator fragt eine Rollenzuweisung und deren Details ab. | UnifiedRoleAssignmentScheduleRequest abrufen |
Ein Prinzipal fragt seine Rollenzuweisungen und die Details ab. | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
Ein Prinzipal führt just-in-time- und zeitgebundene Aktivierung seiner berechtigten Rollenzuweisung aus. | Erstellen von roleAssignmentScheduleRequests |
Ein Prinzipal bricht eine von ihnen erstellte Rollenzuweisungsanforderung ab. | unifiedRoleAssignmentScheduleRequest: cancel |
Ein Prinzipal, der seine berechtigte Rollenzuweisung aktiviert hat, deaktiviert sie, wenn er keinen Zugriff mehr benötigt. | Erstellen von roleAssignmentScheduleRequests |
Ein Prinzipal deaktiviert, erweitert oder erneuert seine eigene Rollenzuweisung. | Erstellen von roleAssignmentScheduleRequests |
PIM-APIs zum Verwalten von Rollenberechtigungen
Ihre Prinzipale erfordern möglicherweise keine permanenten Rollenzuweisungen, da sie nicht die Berechtigungen erfordern, die über die privilegierte Rolle gewährt werden. In diesem Fall können Sie mit PIM auch Rollenberechtigungen erstellen und sie den Prinzipalen zuweisen. Mit Rollenberechtigungen aktiviert der Prinzipal die Rolle, wenn er privilegierte Aufgaben ausführen muss. Die Aktivierung ist immer für maximal 8 Stunden zeitgebunden. Der Prinzipal kann auch dauerhaft oder vorübergehend für die Rolle berechtigt sein.
Verwenden Sie den Ressourcentyp unifiedRoleEligibilityScheduleRequest und die zugehörigen Methoden, um Rollenberechtigungen zu verwalten.
In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Rollenberechtigungen und der aufzurufenden APIs aufgeführt.
Szenarien | API |
---|---|
Ein Administrator erstellt und weist einem Prinzipal eine berechtigte Rolle zu. Ein Administrator weist einem Prinzipal eine temporäre Rollenberechtigung zu. |
Erstellen von roleEligibilityScheduleRequests |
Ein Administrator verlängert, aktualisiert, erweitert oder entfernt Rollenberechtigungen. | Erstellen von roleEligibilityScheduleRequests |
Ein Administrator fragt alle Rollenberechtigungen und deren Details ab. | roleEligibilityScheduleRequests auflisten |
Ein Administrator fragt eine Rollenberechtigung und deren Details ab. | Abrufen von unifiedRoleEligibilityScheduleRequest |
Ein Administrator bricht eine von ihnen erstellte Rollenberechtigungsanforderung ab. | unifiedRoleEligibilityScheduleRequest: cancel |
Ein Prinzipal fragt seine Rollenberechtigungen und die Details ab. | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
Ein Prinzipal deaktiviert, erweitert oder verlängert seine eigene Rollenberechtigung. | Erstellen von roleEligibilityScheduleRequests |
Rolleneinstellungen und PIM
Jede Microsoft Entra Rolle definiert Einstellungen oder Regeln. Diese Regeln umfassen, ob mehrstufige Authentifizierung (MFA), Begründung oder Genehmigung erforderlich ist, um eine berechtigte Rolle zu aktivieren, oder ob Sie permanente Zuweisungen oder Berechtigungsberechtigungen für Prinzipale für die Rolle erstellen können. Diese rollenspezifischen Regeln bestimmen die Einstellungen, die Sie beim Erstellen oder Verwalten von Rollenzuweisungen und Berechtigungen über PIM anwenden können.
In Microsoft Graph werden diese Regeln über die Ressourcentypen unifiedRoleManagementPolicy und unifiedRoleManagementPolicyAssignment und die zugehörigen Methoden verwaltet.
Angenommen, eine Rolle lässt standardmäßig keine dauerhaft aktiven Zuweisungen zu und definiert maximal 15 Tage für aktive Zuweisungen. Der Versuch, ein unifiedRoleAssignmentScheduleRequest-Objekt ohne Ablaufdatum zu erstellen, gibt einen Antwortcode für einen 400 Bad Request
Verstoß gegen die Ablaufregel zurück.
MIT PIM können Sie verschiedene Regeln konfigurieren, darunter:
- Ob Prinzipalen permanent berechtigte Zuweisungen zugewiesen werden können
- Die maximal zulässige Dauer für eine Rollenaktivierung und ob eine Begründung oder Genehmigung erforderlich ist, um berechtigte Rollen zu aktivieren
- Die Benutzer, die Aktivierungsanforderungen für eine Microsoft Entra Rolle genehmigen dürfen
- Gibt an, ob MFA zum Aktivieren und Erzwingen einer Rollenzuweisung erforderlich ist
- Die Prinzipale, die über Rollenaktivierungen benachrichtigt werden
In der folgenden Tabelle sind Szenarien für die Verwendung von PIM zum Verwalten von Regeln für Microsoft Entra Rollen und die aufzurufenden APIs aufgeführt.
Szenarien | API |
---|---|
Abrufen von Rollenverwaltungsrichtlinien und zugeordneten Regeln oder Einstellungen | UnifiedRoleManagementPolicies auflisten |
Abrufen einer Rollenverwaltungsrichtlinie und der zugehörigen Regeln oder Einstellungen | UnifiedRoleManagementPolicy abrufen |
Aktualisieren einer Rollenverwaltungsrichtlinie für die zugeordneten Regeln oder Einstellungen | UnifiedRoleManagementPolicy aktualisieren |
Abrufen der für die Rollenverwaltungsrichtlinie definierten Regeln | Auflisten von Regeln |
Abrufen einer für eine Rollenverwaltungsrichtlinie definierten Regel | UnifiedRoleManagementPolicyRule abrufen |
Aktualisieren einer für eine Rollenverwaltungsrichtlinie definierten Regel | UnifiedRoleManagementPolicyRule aktualisieren |
Abrufen der Details aller Rollenverwaltungsrichtlinienzuweisungen, einschließlich der Richtlinien und Regeln oder Einstellungen, die den Microsoft Entra Rollen zugeordnet sind | UnifiedRoleManagementPolicyAssignments auflisten |
Abrufen der Details einer Rollenverwaltungsrichtlinienzuweisung, einschließlich der Richtlinie und der Regeln oder Einstellungen, die der Microsoft Entra Rolle zugeordnet sind | UnifiedRoleManagementPolicyAssignment abrufen |
Weitere Informationen zur Verwendung von Microsoft Graph zum Konfigurieren von Regeln finden Sie unter Übersicht über Regeln für Microsoft Entra Rollen in PIM-APIs in Microsoft Graph. Beispiele für das Aktualisieren von Regeln finden Sie unter Verwenden von PIM-APIs in Microsoft Graph zum Aktualisieren Microsoft Entra ID Regeln.
Sicherheitswarnungen für Microsoft Entra Rollen
PIM für Microsoft Entra Rollen generiert Warnungen, wenn verdächtige oder unsichere Einstellungen für Microsoft Entra Rollen in Ihrem Mandanten erkannt werden. Die folgenden sieben Warnungstypen sind verfügbar:
Warnung | Microsoft Graph-Ressourcen (Warnungskonfiguration/Incidents) |
---|---|
Zu viele globale Administratoren im Mandanten | tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident |
Ungültige Lizenzwarnungen, die die Verwendung von PIM einschränken | invalidLicenseAlertConfiguration / invalidLicenseAlertIncident |
Für die Aktivierung konfigurierte Rollen ohne mehrstufige Authentifizierung | noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident |
Benutzer mit nicht verwendeten berechtigten oder aktiven Microsoft Entra Rollenzuweisungen | redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident |
Microsoft Entra Rollen, die außerhalb von Privileged Identity Management zugewiesen werden | rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident |
zu häufig aktivierte Microsoft Entra Rollen | sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident |
Potenzielle veraltete Konten in einer privilegierten Rolle | staleSignInAlertConfiguration / staleSignInAlertIncident |
Weitere Informationen zu diesen Warnungen, einschließlich der Schweregradbewertung und trigger, finden Sie unter Konfigurieren von Sicherheitswarnungen für Microsoft Entra Rollen in PIM.
Bausteine der PIM-Warnungs-APIs
Verwenden Sie die folgenden Microsoft Graph-Ressourcen, um PIM-Warnungen zu verwalten.
Ressource | Beschreibung | API-Vorgänge |
---|---|---|
unifiedRoleManagementAlert | Enthält eine Zusammenfassung der Warnungen in PIM für Microsoft Entra Rollen, unabhängig davon, ob sie aktiviert oder deaktiviert sind, wann der PIM-Dienst den Mandanten zuletzt auf Inzidenzen oder diese Warnung überprüft hat, und die Anzahl der Häufigkeiten, die diesem Warnungstyp im Mandanten zugeordnet sind. Der PIM-Dienst überprüft den Mandanten täglich auf Vorfälle im Zusammenhang mit der Warnung, Aber Sie können auch eine manuelle Überprüfung ausführen. |
List Get Update Aktualisieren (manuelle Überprüfung) |
unifiedRoleManagementAlertDefinition | Enthält eine detaillierte Beschreibung der einzelnen Warnungstypen, des Schweregrads, der empfohlenen Schritte zur Abmilderung von Vorfällen im Zusammenhang mit der Warnung im Mandanten und den empfohlenen Maßnahmen, um zukünftige Vorfälle zu verhindern. |
List Get |
unifiedRoleManagementAlertConfiguration | Die mandantenspezifische Konfiguration für die Warnung, einschließlich, ob der PIM-Dienst den Mandanten auf Vorfälle im Zusammenhang mit der Warnung, die Schwellenwerte, die die Warnung auslösen, und die zugehörige Warnungsdefinition überprüfen soll. Dies ist ein abstrakter Typ, von dem Ressourcen abgeleitet werden, die die einzelnen Warnungstypen darstellen. |
List Get Update |
unifiedRoleManagementAlertIncident | Die Fälle im Mandanten, die dem Warnungstyp entsprechen. |
List Get Korrektur |
Weitere Informationen zum Arbeiten mit Sicherheitswarnungen für Microsoft Entra Rollen mithilfe von PIM-APIs finden Sie unter Verwalten von Sicherheitswarnungen für Microsoft Entra Rollen mithilfe von PIM-APIs in Microsoft Graph.
Überwachungsprotokolle
Alle Aktivitäten, die über PIM für Microsoft Entra Rollen durchgeführt werden, werden in Microsoft Entra Überwachungsprotokollen protokolliert, und Sie können die API für Verzeichnisüberwachungen auflisten lesen.
Zero Trust
Dieses Feature hilft Organisationen, ihre Mandanten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.
Lizenzierung
Der Mandant, in dem Privileged Identity Management verwendet wird, muss über genügend erworbene oder Testlizenzen verfügen. Weitere Informationen finden Sie unter Microsoft Entra ID Governance Lizenzierungsgrundlagen.
Verwandte Inhalte
- Weitere Informationen zu Sicherheitsvorgängen finden Sie unter Microsoft Entra Sicherheitsvorgänge für Privileged Identity Management im Microsoft Entra Architecture Center.