다음을 통해 공유


Privileged Identity Management API

Microsoft Entra의 일부인 PIM(Privileged Identity Management)에는 다음 세 가지 공급자가 포함됩니다.

  • Microsoft Entra 역할에 대한 PIM
  • Azure Resource용 PIM
  • 그룹에 대한 PIM

Microsoft Graph를 사용하여 Microsoft Entra 역할의 PIM 및 그룹용 PIM에서 할당을 관리할 수 있습니다. Azure Resource Manager API를 사용하여 Azure 리소스에 대한 PIM에서 할당을 관리할 수 있습니다. 이 문서에서는 Privileged Identity Management API를 사용하기 위한 중요한 개념을 설명합니다.

설명서에서 할당을 관리할 수 있는 API에 대한 자세한 내용을 찾아보세요.

PIM API 기록

지난 몇 년 동안 PIM API가 여러 차례 반복되었습니다. 기능이 일부 겹치지만 버전의 선형 진행을 나타내지는 않습니다.

반복 1 – 사용되지 않음

엔드포인트에서 /beta/privilegedRoles Microsoft는 Microsoft Entra 역할만 지원하며 더 이상 지원되지 않는 클래식 버전의 PIM API를 사용했습니다. 이 API에 대한 액세스는 2021년 6월에 더 이상 사용되지 않습니다.

반복 2 – Microsoft Entra 역할 및 Azure 리소스 역할 지원

/beta/privilegedAccess 엔드포인트에서 Microsoft는 /aadRoles/azureResources를 모두 지원했습니다. 이 엔드포인트는 테넌트에서 계속 사용할 수 있지만, 이 API를 사용하여 새 개발을 시작하지 않는 것이 좋습니다. 이 API는 일반 공급으로 릴리스되지 않으며 결국 더 이상 사용되지 않습니다.

반복 3(현재) – Microsoft Entra 역할, Microsoft Graph API의 그룹 및 Azure Resource Manager API의 Azure 리소스에 대한 PIM

이는 PIM API의 마지막 반복입니다. 다음을 포함합니다.

  • Microsoft Graph API의 Microsoft Entra 역할에 대한 PIM - 일반적으로 사용 가능합니다.
  • Azure 리소스에 대한 Azure Resource Manager API의 PIM(권한 관리) - 일반 제공됨.
  • Microsoft Graph API의 그룹에 대한 PIM - 일반 공급.
  • Microsoft Graph API - 미리 보기에서 Microsoft Entra 역할에 대한 PIM 경고입니다.
  • ARM API의 Azure 리소스에 대한 PIM 경고 - 미리 보기.

Microsoft Graph API의 Microsoft Entra 역할에 대한 PIM과 ARM API의 Azure 리소스에 대한 PIM을 사용하면 다음과 같은 몇 가지 이점을 얻을 수 있습니다.

  • Microsoft Entra 역할과 Azure 리소스 역할 모두에 대한 일반 역할 할당에 대한 PIM API의 맞춤입니다.
  • 리소스를 온보딩하거나, 리소스를 얻거나, 역할 정의를 가져오기 위해 다른 PIM API를 호출할 필요성을 줄입니다.
  • 앱 전용 권한 지원.
  • 승인 및 이메일 알림 구성과 같은 새로운 기능.

PIM API 반복 3 개요

공급자(Microsoft Graph API 및 Azure Resource Manager API 모두)의 PIM API는 동일한 원칙을 따릅니다.

할당 관리

할당을 만들고(활성 또는 적합), 할당을 갱신/연장/업데이트하고(활성 또는 적합), 적합한 할당을 활성화하고, 적합한 할당을 비활성화하려면, 리소스 *AssignmentScheduleRequest*EligibilityScheduleRequest를 사용합니다.

*AssignmentScheduleRequest 또는 *EligibilityScheduleRequest 개체를 만들면 읽기 전용 *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance*EligibilityScheduleInstance 개체가 만들어질 수 있습니다.

  • *AssignmentSchedule*EligibilitySchedule 개체는 현재 할당과 향후 만들어질 할당에 대한 요청을 표시합니다.
  • *AssignmentScheduleInstance*EligibilityScheduleInstance 개체는 현재 할당만 표시합니다.

적격 할당이 활성화되면(*AssignmentScheduleRequest 만들기가 호출됨) *EligibilityScheduleInstance가 계속 존재하고, 활성화된 기간 동안 새 *AssignmentSchedule*AssignmentScheduleInstance 개체가 만들어집니다.

할당 및 활성화 API에 대한 자세한 내용은 역할 할당 및 자격을 관리하기 위한 PIM API를 참조하세요.

PIM 정책(역할 설정)

PIM 정책을 관리하려면 *roleManagementPolicy*roleManagementPolicyAssignment 항목을 사용합니다.

*roleManagementPolicy 리소스에는 PIM 정책을 구성하는 규칙(승인 요구 사항, 최대 활성화 기간, 알림 설정 등)이 포함되어 있습니다.

*roleManagementPolicyAssignment 개체는 정책을 특정 역할에 연결합니다.

정책 설정 API에 대한 자세한 내용은 역할 설정 및 PIM을 참조하세요.

사용 권한

Microsoft Entra 역할에 대한 PIM

Microsoft Entra 역할에 대한 PIM에 필요한 Microsoft Graph 권한은 해당 REST API 참조 페이지를 참조하세요.

Azure Resource용 PIM

Azure 리소스 역할에 대한 PIM API는 Azure Resource Manager 프레임워크를 기반으로 개발됩니다. Azure 리소스 관리에 동의해야 하지만 Microsoft Graph 권한이 필요하지 않습니다. 또한 API를 호출하는 사용자 또는 서비스 주체가 관리하려는 리소스에 대해 적어도 소유자 또는 사용자 액세스 관리자 역할이 있는지 확인해야 합니다.

그룹에 대한 PIM

그룹용 PIM에 필요한 Microsoft Graph 권한은 해당 REST API 참조 페이지를 참조하세요.

PIM 엔터티와 역할 할당 엔터티 간의 관계

Microsoft Entra 역할 또는 Azure 역할의 영구(활성) 할당에 대한 PIM 엔터티와 역할 할당 엔터티 간의 유일한 링크는 *AssignmentScheduleInstance입니다. 두 엔터티 간에 일대일 매핑이 있습니다. 이 매핑은 roleAssignment와 *AssignmentScheduleInstance가 모두 다음을 포함한다는 것을 의미합니다.

  • PIM 외부에서 수행된 영구(활성) 할당
  • PIM 내에 지정된 일정으로 영구(활성) 할당
  • 활성화된 적격 할당

PIM 관련 속성(예: 종료 시간)은 *AssignmentScheduleInstance 개체를 통해서만 사용할 수 있습니다.

다음 단계