Gérer Microsoft Entra attributions de rôles à l’aide d’API PIM
Privileged Identity Management (PIM) est une fonctionnalité de Gouvernance Microsoft Entra ID qui vous permet de gérer, de contrôler et de surveiller l’accès aux ressources importantes de votre organization. L’attribution de rôles Microsoft Entra est une méthode permettant aux principaux tels que les utilisateurs, les groupes et les principaux de service (applications) d’accéder à des ressources importantes.
Les API PIM pour les rôles Microsoft Entra vous permettent de régir l’accès privilégié et de limiter l’accès excessif aux rôles Microsoft Entra. Cet article présente les fonctionnalités de gouvernance de PIM pour les API de rôles Microsoft Entra dans Microsoft Graph.
Remarque
Pour gérer les rôles de ressources Azure, utilisez les API Azure Resource Manager pour PIM.
Les API PIM pour la gestion des alertes de sécurité pour les rôles Microsoft Entra sont disponibles uniquement sur le point de /beta
terminaison. Pour plus d’informations, consultez Alertes de sécurité pour les rôles Microsoft Entra.
Méthodes d’attribution de rôles
PIM pour les rôles Microsoft Entra fournit deux méthodes pour attribuer des rôles aux principaux :
- Attributions de rôles actives : un principal peut avoir une attribution de rôle permanente ou temporaire perpétuellement active.
- Attributions de rôles éligibles : un principal peut être élucidé pour un rôle de manière permanente ou temporaire. Avec les assigments éligibles, le principal active son rôle, créant ainsi une attribution de rôle temporairement active, lorsqu’il a besoin d’effectuer des tâches privilégiées. L’activation est toujours limitée pendant un maximum de 8 heures, mais la durée maximale peut être réduite dans les paramètres de rôle. L’activation peut également être renouvelée ou étendue.
API PIM pour la gestion des attributions de rôles actives
PIM vous permet de gérer les attributions de rôles actives en créant des affectations permanentes ou temporaires. Utilisez le type de ressource unifiedRoleAssignmentScheduleRequest et ses méthodes associées pour gérer les attributions de rôles.
Remarque
Nous vous recommandons d’utiliser PIM pour gérer les attributions de rôles actives à l’aide des types de ressources unifiedRoleAssignment ou directoryRole pour les gérer directement.
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour gérer les attributions de rôles et les API à appeler.
Scénarios | API |
---|---|
Un administrateur crée et attribue à un principal une attribution de rôle permanente Un administrateur attribue à un principal un rôle temporaire |
Create roleAssignmentScheduleRequests |
Un administrateur renouvelle, met à jour, étend ou supprime des attributions de rôles | Create roleAssignmentScheduleRequests |
Un administrateur interroge toutes les attributions de rôles et leurs détails | List roleAssignmentScheduleRequests |
Un administrateur interroge une attribution de rôle et ses détails | Get unifiedRoleAssignmentScheduleRequest |
Un principal interroge ses attributions de rôles et les détails | unifiedRoleAssignmentScheduleRequest : filterByCurrentUser |
Un principal effectue une activation juste-à-temps et limitée dans le temps de son attribution de rôle éligible | Create roleAssignmentScheduleRequests |
Un principal annule une demande d’attribution de rôle qu’il a créée | unifiedRoleAssignmentScheduleRequest : cancel |
Un principal qui a activé son attribution de rôle éligible la désactive lorsqu’il n’a plus besoin d’accès | Create roleAssignmentScheduleRequests |
Un principal désactive, étend ou renouvelle son propre attribution de rôle. | Create roleAssignmentScheduleRequests |
API PIM pour la gestion des éligibilités aux rôles
Vos principaux peuvent ne pas nécessiter d’attributions de rôles permanentes, car ils n’ont pas besoin des privilèges accordés via le rôle privilégié en permanence. Dans ce cas, PIM vous permet également de créer des éligibilités aux rôles et de les attribuer aux principaux. Avec les éligibilités aux rôles, le principal active le rôle lorsqu’il a besoin d’effectuer des tâches privilégiées. L’activation est toujours limitée pendant un maximum de 8 heures. Le principal peut également être éligible de manière permanente ou temporaire pour le rôle.
Utilisez le type de ressource unifiedRoleEligibilityScheduleRequest et ses méthodes associées pour gérer l’éligibilité des rôles.
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour gérer les éligibilités aux rôles et les API à appeler.
Scénarios | API |
---|---|
Un administrateur crée et attribue à un principal un rôle éligible Un administrateur attribue une éligibilité à un rôle temporaire à un principal |
Créer roleEligibilityScheduleRequests |
Un administrateur renouvelle, met à jour, étend ou supprime les éligibilités aux rôles | Créer roleEligibilityScheduleRequests |
Un administrateur interroge toutes les éligibilités aux rôles et leurs détails | List roleEligibilityScheduleRequests |
Un administrateur interroge l’éligibilité d’un rôle et ses détails | Obtenir unifiedRoleEligibilityScheduleRequest |
Un administrateur annule une demande d’éligibilité de rôle qu’il a créée | unifiedRoleEligibilityScheduleRequest : cancel |
Un principal interroge son éligibilité au rôle et les détails | unifiedRoleEligibilityScheduleRequest : filterByCurrentUser |
Un principal désactive, étend ou renouvelle son propre éligibilité à un rôle. | Créer roleEligibilityScheduleRequests |
Paramètres de rôle et PIM
Chaque rôle Microsoft Entra définit des paramètres ou des règles. Ces règles incluent si l’authentification multifacteur (MFA), la justification ou l’approbation est nécessaire pour activer un rôle éligible, ou si vous pouvez créer des affectations permanentes ou des éligibilités pour les principaux du rôle. Ces règles spécifiques aux rôles déterminent les paramètres que vous pouvez appliquer lors de la création ou de la gestion des attributions de rôles et de l’éligibilité via PIM.
Dans Microsoft Graph, ces règles sont gérées via les types de ressources unifiedRoleManagementPolicy et unifiedRoleManagementPolicyAssignment et leurs méthodes associées.
Par exemple, supposons que par défaut, un rôle n’autorise pas les affectations actives permanentes et définit un maximum de 15 jours pour les affectations actives. Toute tentative de création d’un objet unifiedRoleAssignmentScheduleRequest sans date d’expiration retourne un 400 Bad Request
code de réponse en cas de violation de la règle d’expiration.
PIM vous permet de configurer différentes règles, notamment :
- Si des principaux peuvent être affectés à des affectations éligibles permanentes
- Durée maximale autorisée pour une activation de rôle et si une justification ou une approbation est requise pour activer les rôles éligibles
- Les utilisateurs autorisés à approuver les demandes d’activation pour un rôle Microsoft Entra
- Si l’authentification multifacteur est requise pour activer et appliquer une attribution de rôle
- Les principaux qui sont avertis des activations de rôle
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour gérer les règles pour les rôles Microsoft Entra et les API à appeler.
Scénarios | API |
---|---|
Récupérer les stratégies de gestion des rôles et les règles ou paramètres associés | List unifiedRoleManagementPolicies |
Récupérer une stratégie de gestion des rôles et ses règles ou paramètres associés | Obtenir unifiedRoleManagementPolicy |
Mettre à jour une stratégie de gestion des rôles sur ses règles ou paramètres associés | Mettre à jour unifiedRoleManagementPolicy |
Récupérer les règles définies pour la stratégie de gestion des rôles | List rules |
Récupérer une règle définie pour une stratégie de gestion des rôles | Obtenir unifiedRoleManagementPolicyRule |
Mettre à jour une règle définie pour une stratégie de gestion des rôles | Mettre à jour unifiedRoleManagementPolicyRule |
Obtenir les détails de toutes les attributions de stratégie de gestion des rôles, y compris les stratégies et les règles ou les paramètres associés aux rôles Microsoft Entra | Répertorier unifiedRoleManagementPolicyAssignments |
Obtenir les détails d’une attribution de stratégie de gestion des rôles, y compris la stratégie et les règles ou paramètres associés au rôle Microsoft Entra | Obtenir unifiedRoleManagementPolicyAssignment |
Pour plus d’informations sur l’utilisation de Microsoft Graph pour configurer des règles, consultez Vue d’ensemble des règles pour les rôles Microsoft Entra dans les API PIM. Pour obtenir des exemples de mise à jour des règles, consultez Utiliser les API PIM pour mettre à jour des règles pour les rôles Microsoft Entra ID.
Journaux d’audit
Toutes les activités effectuées via PIM pour les rôles Microsoft Entra sont enregistrées Microsoft Entra journaux d’audit et vous pouvez lire l’API Répertorier les audits d’annuaire.
Confiance Zéro
Cette fonctionnalité permet aux organisations d’aligner leurs identités sur les trois principes directeurs d’une architecture Confiance nulle :
- Vérifiez explicitement.
- Utiliser le privilège minimum
- Supposez une violation.
Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.
Licences
Le locataire dans lequel Privileged Identity Management est utilisé doit disposer de suffisamment de licences achetées ou d’évaluation. Pour plus d’informations, consultez Gouvernance Microsoft Entra ID principes de base des licences.
Contenu connexe
- Pour en savoir plus sur les opérations de sécurité, consultez Microsoft Entra opérations de sécurité pour Privileged Identity Management dans le centre d’architecture Microsoft Entra.