Compartilhar via


Gerir Microsoft Entra atribuições de funções com APIs PIM

Privileged Identity Management (PIM) é uma funcionalidade de Microsoft Entra ID Governance que lhe permite gerir, controlar e monitorizar o acesso a recursos importantes na sua organização. Um método através do qual os principais, como utilizadores, grupos e principais de serviço (aplicações) têm acesso a recursos importantes é através da atribuição de Microsoft Entra funções de administrador.

As APIs do PIM para Microsoft Entra funções permitem-lhe governar o acesso privilegiado e limitar o acesso excessivo às funções de Microsoft Entra. Este artigo apresenta as capacidades de governação do PIM para Microsoft Entra funções apIs no Microsoft Graph.

Observação

Para gerir funções de recursos do Azure, utilize as APIs PIM para o Azure Resource Manager.

Métodos de atribuição de funções

O PIM para funções de Microsoft Entra fornece dois métodos para atribuir funções a principais:

  • Atribuições de funções ativas: um principal pode ter uma atribuição de função permanente ou temporária permanentemente ativa.
  • Atribuições de funções elegíveis: um principal pode ser eligibil para uma função de forma permanente ou temporária. Com assigments elegíveis, o principal ativa a respetiva função - criando assim uma atribuição de função temporariamente ativa - quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas, mas a duração máxima pode ser reduzida nas definições de função. A ativação também pode ser renovada ou expandida.

APIs PIM para gerir atribuições de funções ativas

O PIM permite-lhe gerir atribuições de funções ativas ao criar atribuições permanentes ou atribuições temporárias. Utilize o tipo de recurso unifiedRoleAssignmentScheduleRequest e os respetivos métodos relacionados para gerir atribuições de funções.

Observação

Recomendamos que utilize o PIM para gerir atribuições de funções ativas através da unifiedRoleAssignment ou dos tipos de recursos directoryRole para geri-las diretamente.

A tabela seguinte lista cenários para utilizar o PIM para gerir atribuições de funções e as APIs a chamar.

Cenários API
Um administrador cria e atribui a um principal uma atribuição de função permanente
Um administrador atribui a um principal uma função temporária
Criar roleAssignmentScheduleRequests
Um administrador renova, atualiza, expande ou remove atribuições de funções Criar roleAssignmentScheduleRequests
Um administrador consulta todas as atribuições de funções e os respetivos detalhes Função de listaAssignmentScheduleRequests
Um administrador consulta uma atribuição de função e os respetivos detalhes Obter unifiedRoleAssignmentScheduleRequest
Um principal consulta as atribuições de funções e os detalhes unifiedRoleAssignmentScheduleRequest: filterByCurrentUser
Um principal executa a ativação just-in-time e com limite de tempo da atribuição de função elegível Criar roleAssignmentScheduleRequests
Um principal cancela um pedido de atribuição de função que criou unifiedRoleAssignmentScheduleRequest: cancelar
Um principal que ativou a atribuição de função elegível desativa-a quando já não precisa de acesso Criar roleAssignmentScheduleRequests
Um principal desativa, expande ou renova a sua própria atribuição de função. Criar roleAssignmentScheduleRequests

APIs PIM para gerir elegibilidades de funções

Os principais podem não necessitar de atribuições de funções permanentes, uma vez que não necessitam sempre dos privilégios concedidos através da função com privilégios. Neste caso, o PIM também lhe permite criar elegibilidades de função e atribuí-las aos principais. Com a elegibilidade da função, o principal ativa a função quando precisar de realizar tarefas com privilégios. A ativação tem sempre um limite de tempo máximo de 8 horas. O principal também pode ser elegível permanente ou temporariamente para a função.

Utilize o tipo de recurso unifiedRoleEligibilityScheduleRequest e os respetivos métodos relacionados para gerir as elegibilidades de funções.

A tabela seguinte lista cenários para utilizar o PIM para gerir as elegibilidades de funções e as APIs a chamar.

Cenários API
Um administrador cria e atribui a um principal uma função elegível
Um administrador atribui uma elegibilidade de função temporária a um principal
Criar roleEligibilityScheduleRequests
Um administrador renova, atualiza, expande ou remove elegibilidades de funções Criar roleEligibilityScheduleRequests
Um administrador consulta todas as elegibilidades de funções e os respetivos detalhes Função de listaEligibilityScheduleRequests
Um administrador consulta a elegibilidade de uma função e os respetivos detalhes Obter unifiedRoleEligibilityScheduleRequest
Um administrador cancela um pedido de elegibilidade de função que criou unifiedRoleEligibilityScheduleRequest: cancelar
Um principal consulta as elegibilidades das funções e os detalhes unifiedRoleEligibilityScheduleRequest: filterByCurrentUser
Um principal desativa, expande ou renova a sua própria elegibilidade de função. Criar roleEligibilityScheduleRequests

Definições de função e PIM

Cada função de Microsoft Entra define definições ou regras. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma função elegível ou se pode criar atribuições permanentes ou elegibilidade para principais para a função. Estas regras específicas de funções determinam as definições que pode aplicar ao criar ou gerir atribuições de funções e elegibilidades através do PIM.

No Microsoft Graph, estas regras são geridas através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.

Por exemplo, suponha que, por predefinição, uma função não permite atribuições ativas permanentes e define um máximo de 15 dias para atribuições ativas. Tentar criar um objeto unifiedRoleAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request código de resposta por violação da regra de expiração.

O PIM permite-lhe configurar várias regras, incluindo:

  • Se os principais podem ser atribuídos a atribuições elegíveis permanentes
  • A duração máxima permitida para uma ativação de função e se é necessária justificação ou aprovação para ativar funções elegíveis
  • Os utilizadores com permissão para aprovar pedidos de ativação para uma função de Microsoft Entra
  • Se a MFA é necessária para ativar e impor uma atribuição de função
  • Os principais que são notificados das ativações de funções

A tabela seguinte lista cenários para utilizar o PIM para gerir regras para Microsoft Entra funções e as APIs a chamar.

Cenários API
Obter políticas de gestão de funções e regras ou definições associadas Listar unifiedRoleManagementPolicies
Obter uma política de gestão de funções e as respetivas regras ou definições associadas Obter unifiedRoleManagementPolicy
Atualizar uma política de gestão de funções nas respetivas regras ou definições associadas Atualizar unifiedRoleManagementPolicy
Obter as regras definidas para a política de gestão de funções Listar regras
Obter uma regra definida para uma política de gestão de funções Obter unifiedRoleManagementPolicyRule
Atualizar uma regra definida para uma política de gestão de funções Atualizar unifiedRoleManagementPolicyRule
Obtenha os detalhes de todas as atribuições de políticas de gestão de funções, incluindo as políticas e regras ou definições associadas às funções de Microsoft Entra Listar unifiedRoleManagementPolicyAssignments
Obtenha os detalhes de uma atribuição de política de gestão de funções, incluindo a política e regras ou definições associadas à função Microsoft Entra Obter unifiedRoleManagementPolicyAssignment

Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras para Microsoft Entra funções em APIs PIM no Microsoft Graph. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM no Microsoft Graph para atualizar regras de Microsoft Entra ID.

Alertas de segurança para funções de Microsoft Entra

O PIM para Microsoft Entra funções gera alertas quando deteta definições suspeitas ou não seguras para Microsoft Entra funções no seu inquilino. Estão disponíveis os seguintes sete tipos de alerta:

Alerta Recursos do Microsoft Graph (configuração de alertas/incidentes)
Demasiados administradores globais no inquilino tooManyGlobalAdminsAssignedToTenantAlertConfiguration / tooManyGlobalAdminsAssignedToTenantAlertIncident
Alertas de licença inválidos que limitam a utilização do PIM invalidLicenseAlertConfiguration / invalidLicenseAlertIncident
Funções configuradas para ativação sem necessidade de autenticação multifator noMfaOnRoleActivationAlertConfiguration / noMfaOnRoleActivationAlertIncident
Utilizadores com atribuições de funções de Microsoft Entra Microsoft Entra ativas não utilizadas redundantAssignmentAlertConfiguration / redundantAssignmentAlertIncident
Microsoft Entra funções atribuídas fora do Privileged Identity Management rolesAssignedOutsidePrivilegedIdentityManagementAlertConfiguration / rolesAssignedOutsidePrivilegedIdentityManagementAlertIncident
Microsoft Entra funções que estão a ser ativadas com demasiada frequência sequentialActivationRenewalsAlertConfiguration / sequentialActivationRenewalsAlertIncident
Potenciais contas obsoletos numa função com privilégios staleSignInAlertConfiguration / staleSignInAlertIncident

Para obter mais informações sobre estes alertas, incluindo a classificação de gravidade e os acionadores, veja Configurar alertas de segurança para Microsoft Entra funções no PIM.

Blocos modulares das APIs de alertas do PIM

Utilize os seguintes recursos do Microsoft Graph para gerir alertas PIM.

Recurso Descrição Operações de API
unifiedRoleManagementAlert Fornece um resumo dos alertas no PIM para Microsoft Entra funções, quer estejam ativadas ou desativadas, quando o serviço PIM analisou pela última vez o inquilino quanto a incidências ou este alerta e o número de incidências mapeadas para este tipo de alerta no inquilino. O serviço PIM analisa o inquilino diariamente quanto a incidências relacionadas com o alerta, mas também pode executar uma análise manual. List

Get

Atualizar

Atualizar (Análise manual)
unifiedRoleManagementAlertDefinition Fornece uma descrição detalhada de cada tipo de alerta, o nível de gravidade, os passos recomendados para mitigar as incidências relacionadas com o alerta no inquilino e as ações recomendadas para evitar incidências futuras. List

Get
unifiedRoleManagementAlertConfiguration A configuração específica do inquilino para o alerta, incluindo se o serviço PIM deve analisar o inquilino quanto a incidências relacionadas com o alerta, os limiares que acionam o alerta e a definição de alerta relacionada. Este é um tipo abstrato a partir do qual os recursos que representam os tipos de alerta individuais são derivados. List

Get

Atualizar
unifiedRoleManagementAlertIncident As incidências no inquilino que correspondem ao tipo de alerta. List

Get

Corrigir

Para obter mais informações sobre como trabalhar com alertas de segurança para Microsoft Entra funções através de APIs PIM, veja Gerir alertas de segurança para funções de Microsoft Entra através de APIs PIM no Microsoft Graph.

Logs de auditoria

Todas as atividades efetuadas através do PIM para Microsoft Entra funções são registadas Microsoft Entra registos de auditoria e pode ler a API de auditorias de diretórios de Lista.

Confiança Zero

Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:

  • Verificar explicitamente
  • Utilizar menos privilégios
  • Assumir violação

Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

Licenciamento

O inquilino onde Privileged Identity Management está a ser utilizado tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.