Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью управление привилегированными пользователями для групп (PIM для групп) вы можете управлять назначением участниками членства или владения группами. Безопасность и Группы Microsoft 365 — это критически важные ресурсы, которые можно использовать для предоставления доступа к облачным ресурсам Майкрософт, таким как Microsoft Entra роли, роли Azure, Azure SQL, Azure Key Vault, Intune и сторонним приложениям. PIM для групп дает вам больше контроля над тем, как и когда субъекты являются участниками или владельцами групп, и, следовательно, имеют привилегии, предоставляемые в рамках их членства в группах или владения.
API PIM для групп в Microsoft Graph обеспечивают более эффективное управление безопасностью и Группы Microsoft 365, например следующие возможности:
- Предоставление участникам JIT-членства или владения группами
- Назначение субъектам временного членства или владения группами
В этой статье рассматриваются возможности управления API для PIM для групп в Microsoft Graph.
PIM для API групп для управления активными назначениями владельцев и участников групп
API PIM для групп в Microsoft Graph позволяют назначать субъектам постоянное или временное членство или владение группами.
В следующей таблице перечислены сценарии использования PIM для API групп для управления активными назначениями для субъектов и соответствующих API для вызова.
| Scenarios | API |
|---|---|
| Администратор: Субъект: |
Создание assignmentScheduleRequest |
| Администратор перечисляет все запросы на активное членство и назначение прав владения для группы | Перечисление назначенийScheduleRequests |
| Администратор перечисляет все активные назначения и запросы на назначения, которые будут созданы в будущем, для членства и владения группой | Перечисление назначенийПланеты |
| Администратор выводит список всех активных назначений членства и владения для группы. | Перечисление назначенийScheduleInstances |
| Администратор запрашивает назначение участника и владельца для группы и сведения о ней | Получение privilegedAccessGroupAssignmentScheduleRequest |
| Субъект запрашивает свои запросы на назначение членства или владения и сведения Утверждающий запрашивает запросы на членство или владение в ожидании их утверждения и сведения об этих запросах. |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
| Субъект отменяет созданный запрос на назначение членства или владения. | privilegedAccessGroupAssignmentScheduleRequest: cancel |
| Утверждающий получает сведения для запроса на утверждение, включая сведения о шагах утверждения. | Получение утверждения |
| Утверждающий утверждает или отклоняет запрос на утверждение путем утверждения или отклонения шага утверждения | Обновление approvalStep |
PIM для API-интерфейсов групп для управления соответствующими назначениями владельцев и участников групп
Вашим субъектам может не потребоваться постоянное членство или право собственности на группы, так как им не требуются привилегии, предоставляемые членством или владением постоянно. В этом случае PIM для групп позволяет предоставить субъектам право на членство или владение группами.
Если у участника есть соответствующее назначение, он активирует свое назначение, когда ему требуются привилегии, предоставленные группами для выполнения привилегированных задач. Допустимое назначение может быть постоянным или временным. Активация всегда ограничена по времени в течение восьми часов. Участник также может продлить или продлить свое членство или владение группой.
В следующей таблице перечислены сценарии использования PIM для API групп для управления соответствующими назначениями для субъектов и соответствующих API для вызова.
| Scenarios | API |
|---|---|
| Администратор: |
Создание условия использованияScheduleRequest |
| Администратор запрашивает все соответствующие запросы на членство или владение и их сведения. | Список разрешенийScheduleRequests |
| Администратор запрашивает соответствующий запрос на членство или владение и сведения о нем | Получение права на участиеScheduleRequest |
| Администратор отменяет созданный им соответствующий запрос на членство или владение. | privilegedAccessGroupEligibilityScheduleRequest:cancel |
| Субъект запрашивает соответствующее членство или право владения запросит свои сведения | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Параметры политики в PIM для групп
PIM для групп определяет параметры или правила, определяющие, как участникам можно назначать членство или владение безопасностью и Группы Microsoft 365. К таким правилам относятся, требуется ли многофакторная проверка подлинности (MFA), обоснование или утверждение для активации соответствующего членства или владения группой, а также возможность создания постоянных назначений или разрешений для участников групп. Вы определяете правила в политиках и можете применить политику к группе.
В Microsoft Graph эти правила управляются с помощью типов ресурсов unifiedRoleManagementPolicy и unifiedRoleManagementPolicyAssignment и связанных с ними методов.
Например, предположим, что по умолчанию PIM для групп не разрешает постоянное активное членство и назначение прав владения и определяет не более шести месяцев для активных назначений. Попытка создать объект privilegedAccessGroupAssignmentScheduleRequest без даты окончания срока действия возвращает 400 Bad Request код ответа на нарушение правила истечения срока действия.
PIM для групп позволяет настроить различные правила, в том числе:
- Можно ли назначать субъектам постоянные соответствующие назначения
- Максимальная продолжительность, допустимая для членства в группе или активации прав владения, а также требуется ли обоснование или утверждение для активации соответствующего членства или владения
- Пользователи, которым разрешено утверждать запросы на активацию для членства в группе или владения
- Требуется ли многофакторная проверка подлинности для активации и принудительного применения членства в группе или назначения прав владения
- Субъекты, которые получают уведомления об активации членства в группе или владения
В следующей таблице перечислены сценарии использования PIM для групп для управления правилами и API для вызова.
| Сценарии | API |
|---|---|
| Получение PIM для политик групп и связанных правил или параметров | Список unifiedRoleManagementPolicies |
| Получение политики PIM для групп и связанных с ней правил или параметров | Получение unifiedRoleManagementPolicy |
| Обновление политики PIM для групп для связанных с ней правил или параметров | Обновление unifiedRoleManagementPolicy |
| Получение правил, определенных для политики PIM для групп | Список правил |
| Получение правила, определенного для политики PIM для групп | Получение unifiedRoleManagementPolicyRule |
| Обновление правила, определенного для политики PIM для групп | Обновление unifiedRoleManagementPolicyRule |
| Получение сведений обо всех назначениях политик PIM для групп, включая политики и правила, связанные с членством и владением группами. | Список unifiedRoleManagementPolicyAssignments |
| Получение сведений о назначении политики PIM для групп, включая политику и правила, связанные с членством или владением группами. | Получение unifiedRoleManagementPolicyAssignment |
Дополнительные сведения об использовании Microsoft Graph для настройки правил см. в статье Обзор правил в API PIM в Microsoft Graph. Примеры обновления правил см. в статье Использование API PIM в Microsoft Graph для обновления правил.
Подключение групп к PIM для групп
Вы не можете явно подключить группу к PIM для групп. При запросе на добавление назначения в группу с помощью команды Create assignmentScheduleRequest или Create eligibilityScheduleRequest или при обновлении политики PIM (параметров роли) для группы с помощью команды Update unifiedRoleManagementPolicy или Update unifiedRoleManagementPolicyRule PIM автоматически добавляет группу, если она не была подключена ранее.
Вы можете вызвать следующие API для обеих групп, подключенных к PIM, и групп, которые еще не подключены к PIM. Чтобы снизить вероятность регулирования, вызывайте эти API только для групп, подключенных к PIM.
- Перечисление назначенийScheduleRequests
- Перечисление назначенийПланеты
- Перечисление назначенийScheduleInstances
- Список разрешенийScheduleRequests
- Перечисление допустимостиПланеты
- Список разрешенийScheduleInstances
После подключения PIM к группе идентификаторы политик PIM и назначений политик для конкретной группы изменяются. Чтобы получить обновленные идентификаторы, вызовите API Get unifiedRoleManagementPolicy или Get unifiedRoleManagementPolicyAssignment .
Когда PIM подключит группу, вы не сможете отключить ее, но при необходимости можно удалить все допустимые и ограниченные по времени назначения.
PIM для групп и объекта group
PIM для групп можно использовать для управления членством и владением любой группой безопасности и Группой Microsoft 365, за исключением динамических групп и групп, синхронизированных из локальной среды. Группа не должна назначать роли, чтобы включить ее в PIM для групп.
При назначении субъекту активного постоянного или временного членства или владения группой или при выполнении JIT-активации:
- Сведения о субъекте отображаются при запросе связей участников и владельцев с помощью API списка участников группы или списка владельцев групп .
- Вы можете удалить участника из группы с помощью API Удалить владельца группы или Удалить участников группы .
- Если вы отслеживаете изменения в группе с помощью функций Get delta и Get delta для объектов каталога , объект
@odata.nextLinkсодержит нового члена или владельца. - Вы увидите изменения членов и владельцев групп, внесенные с помощью PIM для групп, вошедшими в журналы аудита Microsoft Entra, и можете прочитать их с помощью API аудита каталога списка.
При назначении субъекту постоянного или временного членства или владения группой отношения участников и владельцев группы не обновляются.
По истечении срока временного активного членства участника или владения группой:
- Сведения о субъекте автоматически удаляются из отношений участников и владельцев .
- Если вы отслеживаете изменения в группе с помощью функций Получить delta и Get delta для объектов каталога , объект указывает
@odata.nextLink, что удаленный член или владелец группы.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои клиенты с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Лицензирование
Клиент, в котором вы используете управление привилегированными пользователями, должен иметь достаточно приобретенных или пробных лицензий. Дополнительные сведения см. в статье основы лицензирования Управление Microsoft Entra ID.
Связанные материалы
Microsoft Entra операций безопасности для управление привилегированными пользователями в центре архитектуры Microsoft Entra