Governar a associação e a propriedade de grupos com o PIM para grupos
Com Privileged Identity Management para grupos (PIM para grupos), pode governar a forma como os principais são atribuídos à associação ou propriedade dos grupos. A segurança e Grupos do Microsoft 365 são recursos críticos que pode utilizar para fornecer acesso a recursos da cloud da Microsoft, como funções de Microsoft Entra, funções do Azure, SQL do Azure, Key Vault do Azure, Intune e aplicações de terceiros. O PIM para grupos dá-lhe mais controlo sobre como e quando os principais são membros ou proprietários de grupos e, por conseguinte, têm privilégios concedidos através da associação ou propriedade do grupo.
O PIM para APIs de grupos no Microsoft Graph fornece-lhe mais governação sobre segurança e Grupos do Microsoft 365, tais como as seguintes capacidades:
- Fornecer aos principais a associação just-in-time ou a propriedade dos grupos
- Atribuir associação temporária a principais ou propriedade de grupos
Este artigo apresenta as capacidades de governação das APIs para PIM para grupos no Microsoft Graph.
PIM para APIs de grupos para gerir atribuições ativas de proprietários e membros de grupos
O PIM para APIs de grupos no Microsoft Graph permite-lhe atribuir associações ou propriedades permanentes ou temporárias e com limite de tempo aos grupos.
A tabela seguinte lista cenários para utilizar o PIM para apIs de grupos para gerir atribuições ativas para principais e as APIs correspondentes a chamar.
Cenários | API |
---|---|
Um administrador: Um principal: |
Criar atribuiçãoScheduleRequest |
Um administrador lista todos os pedidos de associação ativa e atribuições de propriedade para um grupo | Listar atribuiçõesScheduleRequests |
Um administrador lista todas as atribuições ativas e pedidos de criação de atribuições no futuro, para associação e propriedade de um grupo | List assignmentSchedules |
Um administrador lista todas as atribuições de propriedade e associação ativas de um grupo | Listar atribuiçõesScheduleInstances |
Um administrador consulta um membro e a atribuição de propriedade de um grupo e os respetivos detalhes | Obter privilegedAccessGroupAssignmentScheduleRequest |
Um principal consulta os pedidos de associação ou atribuição de propriedade e os detalhes Um aprovador consulta os pedidos de associação ou propriedade a aguardar a aprovação e os detalhes destes pedidos |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
Um principal cancela um pedido de atribuição de propriedade ou associação que criou | privilegedAccessGroupAssignmentScheduleRequest: cancelar |
Um aprovador obtém detalhes para o pedido de aprovação, incluindo informações sobre os passos de aprovação | Obter aprovação |
Um aprovador aprova ou nega o pedido de aprovação ao aprovar ou negar o passo de aprovação | Atualizar aprovaçãoPasso |
PIM para APIs de grupos para gerir atribuições elegíveis de proprietários e membros do grupo
Os seus principais podem não exigir a associação permanente ou a propriedade dos grupos, uma vez que não necessitam sempre dos privilégios concedidos através da associação ou propriedade. Neste caso, o PIM para grupos permite-lhe tornar os principais elegíveis para a associação ou propriedade dos grupos.
Quando um principal tem uma atribuição elegível, ativa a respetiva atribuição quando precisa dos privilégios concedidos através dos grupos para realizar tarefas privilegiadas. Uma atribuição elegível pode ser permanente ou temporária. A ativação tem sempre um limite de tempo máximo de 8 horas. O principal também pode expandir ou renovar a respetiva associação ou propriedade do grupo.
A tabela seguinte lista cenários para utilizar o PIM para apIs de grupos para gerir atribuições elegíveis para principais e as APIs correspondentes a chamar.
Cenários | API |
---|---|
Um administrador: |
Criar elegibilidadeScheduleRequest |
Um administrador consulta todos os pedidos de propriedade ou associação elegíveis e os respetivos detalhes | Elegibilidade da listaScheduleRequests |
Um administrador consulta um pedido de associação ou propriedade elegível e os respetivos detalhes | Obter elegibilidadeScheduleRequest |
Um administrador cancela um pedido de associação ou propriedade elegível que criou | privilegedAccessGroupEligibilityScheduleRequest:cancel |
Um principal consulta os respetivos dados de associação ou propriedade elegíveis | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Definições de política no PIM para grupos
O PIM para grupos define definições ou regras que regem a forma como os principais podem ser atribuídos à associação ou propriedade de segurança e Grupos do Microsoft 365. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma associação ou propriedade elegível para um grupo ou se pode criar atribuições permanentes ou elegibilidades para principais para os grupos. As regras são definidas em políticas e uma política pode ser aplicada a um grupo.
No Microsoft Graph, estas regras são geridas através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.
Por exemplo, suponha que, por predefinição, o PIM para grupos não permite atribuições de associação ativa e propriedade permanentes e define um máximo de seis meses para atribuições ativas. Tentar criar um objeto privilegedAccessGroupAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request
código de resposta para violação da regra de expiração.
O PIM para grupos permite-lhe configurar várias regras, incluindo:
- Se os principais podem ser atribuídos a atribuições elegíveis permanentes
- A duração máxima permitida para uma associação a um grupo ou ativação de propriedade e se a justificação ou aprovação é necessária para ativar a associação ou propriedade elegível
- Os utilizadores com permissão para aprovar pedidos de ativação para uma propriedade ou associação a um grupo
- Se a MFA é necessária para ativar e impor uma associação a um grupo ou atribuição de propriedade
- Os principais que são notificados das ativações de associação ou propriedade do grupo
A tabela seguinte lista os cenários para utilizar o PIM para grupos gerirem regras e as APIs a chamar.
Cenários | API |
---|---|
Obter o PIM para políticas de grupos e regras ou definições associadas | Listar unifiedRoleManagementPolicies |
Obter um PIM para a política de grupos e as respetivas regras ou definições associadas | Obter unifiedRoleManagementPolicy |
Atualizar um PIM para a política de grupos nas respetivas regras ou definições associadas | Atualizar unifiedRoleManagementPolicy |
Obter as regras definidas para uma política PIM para grupos | Listar regras |
Obter uma regra definida para um PIM para a política de grupos | Obter unifiedRoleManagementPolicyRule |
Atualizar uma regra definida para um PIM para a política de grupos | Atualizar unifiedRoleManagementPolicyRule |
Obtenha os detalhes de todos os PIMs para atribuições de políticas de grupos, incluindo as políticas e regras associadas à associação e propriedade dos grupos | Listar unifiedRoleManagementPolicyAssignments |
Obtenha os detalhes de um PIM para atribuição de políticas de grupos, incluindo a política e as regras associadas à associação ou propriedade dos grupos | Obter unifiedRoleManagementPolicyAssignment |
Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras nas APIs PIM no Microsoft Graph. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM no Microsoft Graph para atualizar regras.
Integração de grupos no PIM para grupos
Não pode integrar um grupo no PIM para grupos explicitamente. Quando pedir para adicionar a atribuição ao grupo através de Criar atribuiçãoScheduleRequest ou Criar elegibilidadeScheduleRequest ou atualizar a política PIM (definições de função) para um grupo através de Update unifiedRoleManagementPolicy ou Update unifiedRoleManagementPolicyRule, o grupo é integrado automaticamente no PIM se não tiver sido integrado anteriormente.
Pode chamar uma das seguintes APIs para ambos os grupos integrados no PIM e grupos que ainda não estão integrados no PIM, mas recomendamos que o faça apenas para grupos integrados no PIM para reduzir as possibilidades de limitação.
- Listar atribuiçõesScheduleRequests
- List assignmentSchedules
- List assignmentScheduleInstances,
- Elegibilidade da listaScheduleRequests
- Elegibilidade da listaSchedules
- Elegibilidade da listaScheduleInstances
Depois de o PIM integrar um grupo, os IDs das políticas pim e as atribuições de políticas da alteração específica do grupo. Chame a API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment para obter os IDs atualizados.
Assim que o PIM integrar um grupo, não o pode remover, mas pode remover todas as atribuições elegíveis e com limite de tempo, conforme necessário.
PIM para grupos e o objeto de grupo
A associação e a propriedade de qualquer segurança e grupo do Microsoft 365 (exceto grupos dinâmicos sincronizados a partir do local) podem ser regidos através do PIM para grupos. O grupo não tem de ser atribuível a funções para ser ativado no PIM para grupos.
Quando atribui uma associação permanente ou temporária principal ou a propriedade de um grupo ou quando este faz uma ativação just-in-time:
- Os detalhes do principal são devolvidos quando consulta as relações de membros e proprietários através das APIs De proprietários do grupo Lista ou De lista .
- Pode remover o principal do grupo com as APIs Remover proprietário do grupo ou Remover membro do grupo .
- Se as alterações ao grupo forem registadas com as funções Obter delta e Obter delta para objetos de diretório , um
@odata.nextLink
contém o novo membro ou proprietário. - As alterações aos membros e proprietários do grupo efetuadas através do PIM para grupos são registadas Microsoft Entra registos de auditoria e podem ser lidas através da API de auditorias de diretórios de lista.
Quando um principal é atribuído a uma associação permanente ou temporária elegível ou propriedade de um grupo, as relações de membros e proprietários do grupo não são atualizadas.
Quando a associação ativa temporária de um principal ou a propriedade de um grupo expirar:
- Os detalhes do principal são removidos automaticamente das relações entre membros e proprietários .
- Se as alterações ao grupo forem registadas com as funções Obter delta e Obter delta para objetos de diretório , um
@odata.nextLink
indica o membro ou proprietário do grupo removido.
Confiança Zero
Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Utilizar menos privilégios
- Assumir violação
Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.
Licenciamento
O inquilino onde Privileged Identity Management está a ser utilizado tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.
Conteúdo relacionado
Microsoft Entra operações de segurança para Privileged Identity Management no centro de arquitetura do Microsoft Entra