Administración de asignaciones de roles Microsoft Entra mediante las API de PIM
Privileged Identity Management (PIM) es una característica de Gobierno de Microsoft Entra ID que le permite administrar, controlar y supervisar el acceso a recursos importantes de su organización. Un método a través del cual se concede acceso a entidades de seguridad como usuarios, grupos y entidades de servicio (aplicaciones) a recursos importantes es mediante la asignación de roles de Microsoft Entra.
Pim for Microsoft Entra roles API permite controlar el acceso con privilegios y limitar el acceso excesivo a los roles de Microsoft Entra. En este artículo se presentan las funcionalidades de gobernanza de PIM para las API de roles de Microsoft Entra en Microsoft Graph.
Nota:
Para administrar roles de recursos de Azure, use las API de Azure Resource Manager para PIM.
Las API de PIM para administrar alertas de seguridad para roles de Microsoft Entra solo están disponibles en el punto de /beta conexión. Para obtener más información, consulte Alertas de seguridad para roles de Microsoft Entra.
Métodos de asignación de roles
PIM para roles de Microsoft Entra proporciona dos métodos para asignar roles a entidades de seguridad:
- Asignaciones de roles activas: una entidad de seguridad puede tener una asignación de roles permanente o temporal permanentemente activa.
- Asignaciones de roles aptas: una entidad de seguridad puede ser eligibile para un rol de forma permanente o temporal. Con las assigments aptas, la entidad de seguridad activa su rol (creando así una asignación de roles activa temporalmente) cuando necesita realizar tareas con privilegios. La activación siempre tiene límite de tiempo durante un máximo de 8 horas, pero la duración máxima se puede reducir en la configuración del rol. La activación también se puede renovar o ampliar.
API de PIM para administrar asignaciones de roles activas
PIM permite administrar las asignaciones de roles activas mediante la creación de asignaciones permanentes o asignaciones temporales. Use el tipo de recurso unifiedRoleAssignmentScheduleRequest y sus métodos relacionados para administrar las asignaciones de roles.
Nota:
Se recomienda usar PIM para administrar las asignaciones de roles activas mediante los tipos de recursos unifiedRoleAssignment o directoryRole para administrarlas directamente.
En la tabla siguiente se enumeran los escenarios para usar PIM para administrar las asignaciones de roles y las API a las que llamar.
| Escenarios | API |
|---|---|
| Un administrador crea y asigna a una entidad de seguridad una asignación de roles permanente Un administrador asigna a una entidad de seguridad un rol temporal |
Crear roleAssignmentScheduleRequests |
| Un administrador renueva, actualiza, amplía o quita asignaciones de roles. | Crear roleAssignmentScheduleRequests |
| Un administrador consulta todas las asignaciones de roles y sus detalles | Enumerar roleAssignmentScheduleRequests |
| Un administrador consulta una asignación de roles y sus detalles | Obtener unifiedRoleAssignmentScheduleRequest |
| Una entidad de seguridad consulta sus asignaciones de roles y los detalles | unifiedRoleAssignmentScheduleRequest: filterByCurrentUser |
| Una entidad de seguridad realiza la activación just-in-time y con límite de tiempo de su asignación de roles apta | Crear roleAssignmentScheduleRequests |
| Una entidad de seguridad cancela una solicitud de asignación de roles que creó | unifiedRoleAssignmentScheduleRequest: cancel |
| Una entidad de seguridad que ha activado su asignación de roles apta la desactiva cuando ya no necesita acceso. | Crear roleAssignmentScheduleRequests |
| Una entidad de seguridad desactiva, amplía o renueva su propia asignación de roles. | Crear roleAssignmentScheduleRequests |
API de PIM para administrar las elegibilidades de roles
Es posible que las entidades de seguridad no requieran asignaciones de roles permanentes porque no requieren los privilegios concedidos a través del rol con privilegios todo el tiempo. En este caso, PIM también permite crear elegibilidades de roles y asignarlas a las entidades de seguridad. Con las elegibilidades de roles, la entidad de seguridad activa el rol cuando necesita realizar tareas con privilegios. La activación siempre tiene límite de tiempo durante un máximo de 8 horas. La entidad de seguridad también puede ser permanente o temporalmente apta para el rol.
Use el tipo de recurso unifiedRoleEligibilityScheduleRequest y sus métodos relacionados para administrar las elegibilidades de roles.
En la tabla siguiente se enumeran los escenarios para usar PIM para administrar las idoneidades de roles y las API a las que llamar.
| Escenarios | API |
|---|---|
| Un administrador crea y asigna a una entidad de seguridad un rol apto Un administrador asigna una elegibilidad de rol temporal a una entidad de seguridad |
Crear roleEligibilityScheduleRequests |
| Un administrador renueva, actualiza, amplía o quita las elegibilidades de roles. | Crear roleEligibilityScheduleRequests |
| Un administrador consulta todas las elegibilidades de roles y sus detalles | Enumerar roleEligibilityScheduleRequests |
| Un administrador consulta la elegibilidad de un rol y sus detalles | Obtener unifiedRoleEligibilityScheduleRequest |
| Un administrador cancela una solicitud de elegibilidad de roles que creó. | unifiedRoleEligibilityScheduleRequest: cancel |
| Una entidad de seguridad consulta sus elegibilidades de roles y los detalles | unifiedRoleEligibilityScheduleRequest: filterByCurrentUser |
| Una entidad de seguridad desactiva, amplía o renueva su propia elegibilidad para el rol. | Crear roleEligibilityScheduleRequests |
Configuración de roles y PIM
Cada rol Microsoft Entra define la configuración o las reglas. Estas reglas incluyen si se requiere autenticación multifactor (MFA), justificación o aprobación para activar un rol apto, o si se pueden crear asignaciones permanentes o elegibilidad para las entidades de seguridad del rol. Estas reglas específicas del rol determinan la configuración que puede aplicar al crear o administrar asignaciones de roles y elegibilidad a través de PIM.
En Microsoft Graph, estas reglas se administran a través de los tipos de recursos unifiedRoleManagementPolicy y unifiedRoleManagementPolicyAssignment y sus métodos relacionados.
Por ejemplo, suponga que, de forma predeterminada, un rol no permite asignaciones activas permanentes y define un máximo de 15 días para las asignaciones activas. Al intentar crear un objeto unifiedRoleAssignmentScheduleRequest sin fecha de expiración, se devuelve un 400 Bad Request código de respuesta para infringir la regla de expiración.
PIM le permite configurar varias reglas, entre las que se incluyen:
- Si a las entidades de seguridad se les pueden asignar asignaciones aptas permanentes
- Duración máxima permitida para una activación de roles y si se requiere justificación o aprobación para activar roles aptos
- Los usuarios a los que se les permite aprobar solicitudes de activación para un rol de Microsoft Entra
- Si MFA es necesario para activar y aplicar una asignación de roles
- Las entidades de seguridad a las que se notifican las activaciones de roles
En la tabla siguiente se enumeran los escenarios para usar PIM con el fin de administrar reglas para Microsoft Entra roles y las API a las que llamar.
| Escenarios | API |
|---|---|
| Recuperar directivas de administración de roles y reglas o configuraciones asociadas | Enumerar unifiedRoleManagementPolicies |
| Recuperar una directiva de administración de roles y sus reglas o configuraciones asociadas | Obtener unifiedRoleManagementPolicy |
| Actualización de una directiva de administración de roles en sus reglas o configuraciones asociadas | Actualizar unifiedRoleManagementPolicy |
| Recuperar las reglas definidas para la directiva de administración de roles | Enumerar reglas |
| Recuperación de una regla definida para una directiva de administración de roles | Obtener unifiedRoleManagementPolicyRule |
| Actualización de una regla definida para una directiva de administración de roles | Actualizar unifiedRoleManagementPolicyRule |
| Obtenga los detalles de todas las asignaciones de directivas de administración de roles, incluidas las directivas y reglas o la configuración asociadas a los roles de Microsoft Entra. | Enumeración de unifiedRoleManagementPolicyAssignments |
| Obtenga los detalles de una asignación de directiva de administración de roles, incluidas la directiva y las reglas o la configuración asociadas al rol de Microsoft Entra. | Obtener unifiedRoleManagementPolicyAssignment |
Para obtener más información sobre el uso de Microsoft Graph para configurar reglas, consulte Información general sobre las reglas para roles de Microsoft Entra en las API de PIM. Para obtener ejemplos de reglas de actualización, consulte Uso de las API de PIM para actualizar reglas para roles de Microsoft Entra ID.
Registros de auditoría
Todas las actividades realizadas a través de PIM para roles de Microsoft Entra se registran Microsoft Entra registros de auditoría y puede leer a través de la API de auditorías de directorios de lista.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus identidades con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.
Licencias
El inquilino donde se usa Privileged Identity Management debe tener suficientes licencias compradas o de prueba. Para obtener más información, consulte Gobierno de Microsoft Entra ID aspectos básicos de las licencias.
Contenido relacionado
- Para obtener más información sobre las operaciones de seguridad, consulte Microsoft Entra operaciones de seguridad para Privileged Identity Management en el centro de arquitectura de Microsoft Entra.