Compartir a través de


API Privileged Identity Management

Privileged Identity Management (PIM), parte de Microsoft Entra, incluye tres proveedores:

  • PIM para roles de Microsoft Entra
  • PIM para recursos de Azure
  • PIM para grupos

Puede administrar asignaciones en PIM para roles de Microsoft Entra y PIM para grupos mediante Microsoft Graph. Puede administrar las asignaciones en PIM para recursos de Azure mediante las API de Azure Resource Manager. En este artículo se describen conceptos importantes para usar las API de Privileged Identity Management.

Obtenga más información sobre las API que permiten administrar asignaciones en la documentación:

Historial de la API de PIM

Ha habido varias iteraciones de las API de PIM en los últimos años. Hay algunas funcionalidades que coinciden, pero no representan una progresión lineal de las versiones.

Iteración 1: en desuso

En el punto de conexión /beta/privilegedRoles, Microsoft tenía una versión clásica de la API PIM, que solo admitía funciones de Microsoft Entra y que ya no se admite. El acceso a esta API está en desuso en junio de 2021.

Iteración 2: Admite los roles de Microsoft Entra y de recursos de Azure

En el punto de conexión /beta/privilegedAccess, Microsoft admitía /aadRoles y /azureResources. Este punto de conexión sigue estando disponible en el inquilino, pero Microsoft recomienda no iniciar ningún desarrollo nuevo con esta API. Esta API nunca se publicará para disponibilidad general y finalmente dejará de usarse.

Iteración 3 (actual): PIM para roles de Microsoft Entra, grupos en Microsoft Graph API y para recursos de Azure en la API de Azure Resource Manager

Esta es la iteración final de la API de PIM. Incluye:

  • PIM para roles de Microsoft Entra en Microsoft Graph API: Disponible con carácter general.
  • PIM para recursos de Azure en la API de Azure Resource Manager: disponible con carácter general.
  • PIM para grupos en Microsoft Graph API: disponible con carácter general.
  • Alertas de PIM para roles de Microsoft Entra en Microsoft Graph API: Versión preliminar.
  • Alertas de PIM para recursos de Azure en la API de ARM: versión preliminar.

Tener PIM para roles de Microsoft Entra en Microsoft Graph API y PIM para recursos de Azure en la API de ARM proporciona algunas ventajas, entre las que se incluyen:

  • Alineación de las API de PIM para la asignación de roles regular para los roles de Microsoft Entra y los roles de Azure Resource.
  • Reducción de la necesidad de llamar a otras API de PIM para incorporar un recurso, obtener un recurso u obtener la definición de roles.
  • Compatibilidad con los permisos de solo aplicación.
  • Nuevas características, como la aprobación y la configuración de notificaciones por correo electrónico.

Información general sobre la iteración 3 de la API de PIM

Las API de PIM entre proveedores (tanto las API de Microsoft Graph como las API de Azure Resource Manager) siguen los mismos principios.

Administración de asignaciones

Para crear una asignación (activa o apta), renovar, ampliar o actualizar una asignación (activa o apta), activar la asignación apta, desactivar la asignación apta, usar recursos *AssignmentScheduleRequest y *EligibilityScheduleRequest:

La creación de objetos *AssignmentScheduleRequest o *EligibilityScheduleRequest puede provocar la creación de objetos de solo lectura *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance y *EligibilityScheduleInstance.

  • Los objetos *AssignmentSchedule y *EligibilitySchedule muestran las asignaciones actuales y las solicitudes de las asignaciones que se van a crear en el futuro.
  • Los objetos*AssignmentScheduleInstance y *EligibilityScheduleInstance solo muestran las asignaciones actuales.

Cuando se activa una asignación apta (se llamó a Crear*AssignmentScheduleRequest), *EligibilityScheduleInstance sigue existiendo y se crean los objetos * AssignmentSchedule y *AssignmentScheduleInstance durante esa duración activada.

Para más información sobre las API de asignación y activación, consulte API de PIM para administrar asignaciones de roles e idoneidades.

Directivas de PIM (configuración de roles)

Para administrar las directivas de PIM, use las entidades *roleManagementPolicy y *roleManagementPolicyAssignment:

El recurso *roleManagementPolicy incluye reglas que constituyen la directiva PIM: requisitos de aprobación, duración máxima de activación, configuración de notificación, etc.

El objeto *roleManagementPolicyAssignment conecta la directiva a un rol específico.

Para más información sobre las API de configuración de directivas, consulte Configuración de roles y PIM.

Permisos

PIM para roles de Microsoft Entra

Para obtener los permisos de Microsoft Graph necesarios para los roles de PIM para Microsoft Entra, consulte las páginas de referencia de la API de REST correspondientes.

PIM para recursos de Azure

Las API de PIM para roles de recursos de Azure se desarrolló con el marco de Azure Resource Manager como base. Tiene que dar su consentimiento a Azure Resource Management, pero no necesita ningún permiso de Microsoft Graph. También debe asegurarse de que el usuario o la entidad de servicio que llama a la API tenga al menos el rol Propietario o Administrador de acceso de usuario en el recurso que está intentando administrar.

PIM para grupos

Para obtener los permisos de Microsoft Graph necesarios para PIM para grupos, consulte las páginas de referencia de la API de REST correspondientes.

Relación entre las entidades de PIM y las entidades de asignación de roles

El único vínculo entre la entidad de PIM y la entidad de asignación de roles para la asignación persistente (activa) de roles de Microsoft Entra o roles de Azure es *AssignmentScheduleInstance. Hay una correspondencia uno a uno entre las dos entidades. Esa asignación significa que roleAssignment y *AssignmentScheduleInstance incluirán:

  • Asignaciones persistentes (activas) realizadas fuera de PIM
  • Asignaciones persistentes (activas) con una programación realizadas dentro de PIM
  • Asignaciones aptas activadas

Las propiedades específicas de PIM (como la hora de finalización) solo estarán disponibles a través del objeto *AssignmentScheduleInstance.

Pasos siguientes