API управления привилегированными идентичностями

Обзор

управление привилегированными пользователями (PIM), часть Microsoft Entra, включает в себя три поставщика:

  • PIM для ролей Microsoft Entra.
  • PIM для ресурсов Azure.
  • PIM для групп.

Вы можете управлять назначениями в PIM для ролей Microsoft Entra и PIM для групп с помощью Microsoft Graph. Вы можете управлять назначениями в PIM для ресурсов Azure с помощью API Azure Resource Manager. В этой статье описаны принципы, которые важно учесть при использовании интерфейсов API для управления привилегированными пользователями.

Дополнительные сведения об API, которые позволяют управлять назначениями в документации:

История API PIM

За последние несколько лет было несколько итераций API PIM. Существуют некоторые перекрытия функций, но они не представляют линейную прогрессию версий.

Итерация 1 — завершена

В конечной точке /beta/privilegedRoles корпорация Майкрософт имела классическую версию API PIM, которая поддерживала только роли Microsoft Entra. Этот API был прекращен в июне 2021 года.

Итерация 2 — устаревшая

В конечной точке /beta/privilegedAccess корпорация Майкрософт поддерживает оба /aadRoles и /azureResources сегменты для управления ролями Microsoft Entra и ролями ресурсов Azure соответственно. Эта конечная точка устарела и перестанет возвращать данные 28 октября 2026 г. Корпорация Майкрософт не рекомендует начинать новую разработку с использованием этих API.

Итерация 3 (текущая версия) — PIM для ролей Microsoft Entra, групп в API Microsoft Graph и ресурсов Azure в API Azure Resource Manager

Это окончательная итерация API PIM. Сюда входят:

  • PIM для ролей Microsoft Entra в API Microsoft Graph — общедоступен.
  • PIM для ресурсов Azure в API Azure Resource Manager — общедоступен.
  • PIM для групп в API Microsoft Graph — общедоступен.
  • Оповещения PIM для ролей Microsoft Entra в API Microsoft Graph — предварительная версия.
  • Оповещения PIM для ресурсов Azure в API ARM — предварительная версия.

Замечание

API roleAssignmentApprovals доступны только в /beta.

Наличие PIM для ролей Microsoft Entra в API Microsoft Graph и PIM для ресурсов Azure в API ARM обеспечивает несколько преимуществ, в том числе:

  • Согласование API PIM для назначения ролей на регулярной основе как для ролей Microsoft Entra, так и для ролей ресурсов Azure.
  • Сокращение необходимости вызова других API PIM для подключения ресурса, получения ресурса или получения определения роли.
  • Поддержка разрешений только для приложений.
  • Новые функции, такие как утверждение и настройка уведомлений по электронной почте.

Обзор итерации API PIM 3

API PIM между поставщиками (api Microsoft Graph и API Azure Resource Manager) соответствуют тем же принципам.

Управление назначениями

Чтобы создать назначение (активное или подходящее), продлить, расширить или обновить назначение (активное или подходящее), активировать допустимое назначение, деактивировать допустимое назначение, используйте ресурсы *AssignmentScheduleRequest и *EligibilityScheduleRequest:

Создание объектов *AssignmentScheduleRequest или *EligibilityScheduleRequest может привести к созданию объектов *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance и *EligibilityScheduleInstance с доступом только для чтения.

  • *AssignmentSchedule и *EligibilitySchedule отображают текущие выделения и запросы на создание выделений в будущем.
  • *AssignmentScheduleInstance и *EligibilityScheduleInstance объекты отображают только текущие назначения.

При активации допустимого назначения (Create*AssignmentScheduleRequest вызывается), объект *EligibilityScheduleInstance продолжает существовать, новые *AssignmentSchedule и *AssignmentScheduleInstance объекты создаются для этой активированной длительности.

Дополнительные сведения об API назначения и активации см. в разделе API PIM для управления назначениями ролей и разрешениями.

Политики PIM (настройки роли)

Чтобы управлять политиками PIM, используйте сущности *roleManagementPolicy и *roleManagementPolicyAssignment:

Ресурс *roleManagementPolicy содержит правила, составляющие политику PIM: требования к утверждению, максимальная длительность активации, параметры уведомлений.

Объект *roleManagementPolicyAssignment присоединяет политику к определенной роли.

Дополнительные сведения об API параметров политики см. в разделе Параметры ролей и PIM.

Разрешения

PIM для ролей Microsoft Entra

Разрешения Microsoft Graph, необходимые для PIM для ролей Microsoft Entra, смотрите в соответствующих справочных страницах REST API.

PIM для ресурсов Azure

API PIM для ролей ресурсов Azure разрабатываются на основе платформы Azure Resource Manager. Вам нужно предоставить согласие на управление ресурсами Azure, но не требуется никаких разрешений Microsoft Graph. Кроме того, необходимо убедиться, что пользователь или субъект-служба, вызывающий API, имеет по крайней мере роль владельца или администратора доступа пользователей в ресурсе, который вы пытаетесь администрировать.

PIM для групп

Разрешения Microsoft Graph, необходимые для PIM для групп, см. на соответствующих справочных страницах REST API.

Отношения между сущностями PIM и сущностями назначения ролей

Единственная связь между сущностью PIM и сущностью назначения ролей для постоянного (активного) назначения для ролей Microsoft Entra или ролей Azure — это *AssignmentScheduleInstance. Существует сопоставление "один к одному" между двумя сущностями. Это сопоставление означает, что и roleAssignment, и *AssignmentScheduleInstance включают:

  • Постоянные (активные) назначения, сделанные за пределами PIM.
  • Постоянные (активные) назначения, связанные с расписанием, созданным в PIM.
  • Активированы подходящие назначения.

Свойства PIM (например, время окончания) будут доступны только через объект *AssignmentScheduleInstance .

Следующие шаги

  • Last updated on