Partilhar via


Governar a associação e a propriedade de grupos com o PIM para grupos

Com Privileged Identity Management para grupos (PIM para grupos), pode governar a forma como os principais são atribuídos à associação ou propriedade dos grupos. A segurança e Grupos do Microsoft 365 são recursos críticos que pode utilizar para fornecer acesso a recursos da cloud da Microsoft, como funções de Microsoft Entra, funções do Azure, SQL do Azure, Key Vault do Azure, Intune e aplicações de terceiros. O PIM para grupos dá-lhe mais controlo sobre como e quando os principais são membros ou proprietários de grupos e, por conseguinte, têm privilégios concedidos através da associação ou propriedade do grupo.

O PIM para APIs de grupos no Microsoft Graph fornece-lhe mais governação sobre segurança e Grupos do Microsoft 365, tais como as seguintes capacidades:

  • Fornecer aos principais a associação just-in-time ou a propriedade dos grupos
  • Atribuir associação temporária a principais ou propriedade de grupos

Este artigo apresenta as capacidades de governação das APIs para PIM para grupos no Microsoft Graph.

PIM para APIs de grupos para gerir atribuições ativas de proprietários e membros de grupos

O PIM para APIs de grupos no Microsoft Graph permite-lhe atribuir associações ou propriedades permanentes ou temporárias e com limite de tempo aos grupos.

A tabela seguinte lista cenários para utilizar o PIM para apIs de grupos para gerir atribuições ativas para principais e as APIs correspondentes a chamar.

Cenários API
Um administrador:
  • Atribui uma associação ou propriedade ativa principal a um grupo
  • Renova, atualiza, expande ou remove um principal da respetiva associação ou propriedade ativa a um grupo

    Um principal:
  • Efetua a ativação just-in-time e com limite de tempo da respetiva associação elegível ou atribuição de propriedade para um grupo
  • Desativa a associação elegível e a atribuição de propriedade quando já não precisam de acesso
  • Desativa, expande ou renova a sua própria atribuição de associação e propriedade
  • Criar atribuiçãoScheduleRequest
    Um administrador lista todos os pedidos de associação ativa e atribuições de propriedade para um grupo Listar atribuiçõesScheduleRequests
    Um administrador lista todas as atribuições ativas e pedidos de criação de atribuições no futuro, para associação e propriedade de um grupo List assignmentSchedules
    Um administrador lista todas as atribuições de propriedade e associação ativas de um grupo Listar atribuiçõesScheduleInstances
    Um administrador consulta um membro e a atribuição de propriedade de um grupo e os respetivos detalhes Obter privilegedAccessGroupAssignmentScheduleRequest
    Um principal consulta os pedidos de associação ou atribuição de propriedade e os detalhes

    Um aprovador consulta os pedidos de associação ou propriedade a aguardar a aprovação e os detalhes destes pedidos
    privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser
    Um principal cancela um pedido de atribuição de propriedade ou associação que criou privilegedAccessGroupAssignmentScheduleRequest: cancelar
    Um aprovador obtém detalhes para o pedido de aprovação, incluindo informações sobre os passos de aprovação Obter aprovação
    Um aprovador aprova ou nega o pedido de aprovação ao aprovar ou negar o passo de aprovação Atualizar aprovaçãoPasso

    PIM para APIs de grupos para gerir atribuições elegíveis de proprietários e membros do grupo

    Os seus principais podem não exigir a associação permanente ou a propriedade dos grupos, uma vez que não necessitam sempre dos privilégios concedidos através da associação ou propriedade. Neste caso, o PIM para grupos permite-lhe tornar os principais elegíveis para a associação ou propriedade dos grupos.

    Quando um principal tem uma atribuição elegível, ativa a respetiva atribuição quando precisa dos privilégios concedidos através dos grupos para realizar tarefas privilegiadas. Uma atribuição elegível pode ser permanente ou temporária. A ativação tem sempre um limite de tempo máximo de 8 horas. O principal também pode expandir ou renovar a respetiva associação ou propriedade do grupo.

    A tabela seguinte lista cenários para utilizar o PIM para apIs de grupos para gerir atribuições elegíveis para principais e as APIs correspondentes a chamar.

    Cenários API
    Um administrador:
  • Cria uma atribuição de propriedade ou associação elegível para o grupo
  • Renova, atualiza, expande ou remove uma atribuição de associação/propriedade elegível para o grupo
  • Desativa, expande ou renova a sua própria elegibilidade de associação/propriedade
  • Criar elegibilidadeScheduleRequest
    Um administrador consulta todos os pedidos de propriedade ou associação elegíveis e os respetivos detalhes Elegibilidade da listaScheduleRequests
    Um administrador consulta um pedido de associação ou propriedade elegível e os respetivos detalhes Obter elegibilidadeScheduleRequest
    Um administrador cancela um pedido de associação ou propriedade elegível que criou privilegedAccessGroupEligibilityScheduleRequest:cancel
    Um principal consulta os respetivos dados de associação ou propriedade elegíveis privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser

    Definições de política no PIM para grupos

    O PIM para grupos define definições ou regras que regem a forma como os principais podem ser atribuídos à associação ou propriedade de segurança e Grupos do Microsoft 365. Essas regras incluem se a autenticação multifator (MFA), justificação ou aprovação é necessária para ativar uma associação ou propriedade elegível para um grupo ou se pode criar atribuições permanentes ou elegibilidades para principais para os grupos. As regras são definidas em políticas e uma política pode ser aplicada a um grupo.

    No Microsoft Graph, estas regras são geridas através dos tipos de recursos unifiedRoleManagementPolicy e unifiedRoleManagementPolicyAssignment e dos respetivos métodos relacionados.

    Por exemplo, suponha que, por predefinição, o PIM para grupos não permite atribuições de associação ativa e propriedade permanentes e define um máximo de seis meses para atribuições ativas. Tentar criar um objeto privilegedAccessGroupAssignmentScheduleRequest sem data de expiração devolve um 400 Bad Request código de resposta para violação da regra de expiração.

    O PIM para grupos permite-lhe configurar várias regras, incluindo:

    • Se os principais podem ser atribuídos a atribuições elegíveis permanentes
    • A duração máxima permitida para uma associação a um grupo ou ativação de propriedade e se a justificação ou aprovação é necessária para ativar a associação ou propriedade elegível
    • Os utilizadores com permissão para aprovar pedidos de ativação para uma propriedade ou associação a um grupo
    • Se a MFA é necessária para ativar e impor uma associação a um grupo ou atribuição de propriedade
    • Os principais que são notificados das ativações de associação ou propriedade do grupo

    A tabela seguinte lista os cenários para utilizar o PIM para grupos gerirem regras e as APIs a chamar.

    Cenários API
    Obter o PIM para políticas de grupos e regras ou definições associadas Listar unifiedRoleManagementPolicies
    Obter um PIM para a política de grupos e as respetivas regras ou definições associadas Obter unifiedRoleManagementPolicy
    Atualizar um PIM para a política de grupos nas respetivas regras ou definições associadas Atualizar unifiedRoleManagementPolicy
    Obter as regras definidas para uma política PIM para grupos Listar regras
    Obter uma regra definida para um PIM para a política de grupos Obter unifiedRoleManagementPolicyRule
    Atualizar uma regra definida para um PIM para a política de grupos Atualizar unifiedRoleManagementPolicyRule
    Obtenha os detalhes de todos os PIMs para atribuições de políticas de grupos, incluindo as políticas e regras associadas à associação e propriedade dos grupos Listar unifiedRoleManagementPolicyAssignments
    Obtenha os detalhes de um PIM para atribuição de políticas de grupos, incluindo a política e as regras associadas à associação ou propriedade dos grupos Obter unifiedRoleManagementPolicyAssignment

    Para obter mais informações sobre como utilizar o Microsoft Graph para configurar regras, veja Descrição geral das regras nas APIs PIM no Microsoft Graph. Para obter exemplos de regras de atualização, veja Utilizar APIs PIM no Microsoft Graph para atualizar regras.

    Integração de grupos no PIM para grupos

    Não pode integrar um grupo no PIM para grupos explicitamente. Quando pedir para adicionar a atribuição ao grupo através de Criar atribuiçãoScheduleRequest ou Criar elegibilidadeScheduleRequest ou atualizar a política PIM (definições de função) para um grupo através de Update unifiedRoleManagementPolicy ou Update unifiedRoleManagementPolicyRule, o grupo é integrado automaticamente no PIM se não tiver sido integrado anteriormente.

    Pode chamar uma das seguintes APIs para ambos os grupos integrados no PIM e grupos que ainda não estão integrados no PIM, mas recomendamos que o faça apenas para grupos integrados no PIM para reduzir as possibilidades de limitação.

    Depois de o PIM integrar um grupo, os IDs das políticas pim e as atribuições de políticas da alteração específica do grupo. Chame a API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment para obter os IDs atualizados.

    Assim que o PIM integrar um grupo, não o pode remover, mas pode remover todas as atribuições elegíveis e com limite de tempo, conforme necessário.

    PIM para grupos e o objeto de grupo

    A associação e a propriedade de qualquer segurança e grupo do Microsoft 365 (exceto grupos dinâmicos sincronizados a partir do local) podem ser regidos através do PIM para grupos. O grupo não tem de ser atribuível a funções para ser ativado no PIM para grupos.

    Quando atribui uma associação permanente ou temporária principal ou a propriedade de um grupo ou quando este faz uma ativação just-in-time:

    Quando um principal é atribuído a uma associação permanente ou temporária elegível ou propriedade de um grupo, as relações de membros e proprietários do grupo não são atualizadas.

    Quando a associação ativa temporária de um principal ou a propriedade de um grupo expirar:

    • Os detalhes do principal são removidos automaticamente das relações entre membros e proprietários .
    • Se as alterações ao grupo forem registadas com as funções Obter delta e Obter delta para objetos de diretório , um @odata.nextLink indica o membro ou proprietário do grupo removido.

    Confiança Zero

    Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:

    • Verificar explicitamente
    • Utilizar menos privilégios
    • Assumir violação

    Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

    Licenciamento

    O inquilino onde Privileged Identity Management está a ser utilizado tem de ter licenças de compra ou avaliação suficientes. Para obter mais informações, veja noções básicas de licenciamento do Microsoft Entra ID Governance.