Privileged Identity Management-API's
Privileged Identity Management (PIM), onderdeel van Microsoft Entra, omvat drie providers:
- PIM voor Microsoft Entra-rollen
- PIM voor Azure-resources
- PIM voor groepen
U kunt opdrachten beheren in PIM voor Microsoft Entra-rollen en PIM voor groepen met behulp van Microsoft Graph. U kunt toewijzingen beheren in PIM voor Azure-resources met behulp van Azure Resource Manager-API's. In dit artikel worden belangrijke concepten beschreven voor het gebruik van de API's voor Privileged Identity Management.
Meer informatie over API's waarmee toewijzingen kunnen worden beheerd in de documentatie:
- API-naslaginformatie voor PIM voor Microsoft Entra-rollen
- API-naslaginformatie voor PIM voor Azure-resourcerollen
- Naslaginformatie over PIM voor groepen-API
- PIM-waarschuwingen voor API-naslaginformatie voor Microsoft Entra-rollen
- Naslaginformatie over PIM-waarschuwingen voor Azure Resources-API
PIM API-geschiedenis
De afgelopen jaren zijn er verschillende iteraties van de PIM-API's geweest. Er zijn enkele overlappingen in functionaliteit, maar ze vertegenwoordigen geen lineaire voortgang van versies.
Iteratie 1 – afgeschaft
Onder het /beta/privilegedRoles
eindpunt had Microsoft een klassieke versie van de PIM-API, die alleen Microsoft Entra-rollen ondersteunde en niet meer wordt ondersteund. De toegang tot deze API is in juni 2021 afgeschaft.
Iteratie 2: ondersteunt Microsoft Entra-rollen en Azure-resourcerollen
Onder het /beta/privilegedAccess
eindpunt ondersteunde Microsoft zowel als /aadRoles
/azureResources
. Dit eindpunt is nog steeds beschikbaar in uw tenant, maar Microsoft raadt aan om nieuwe ontwikkeling met deze API te starten. Deze API wordt nooit uitgebracht voor algemene beschikbaarheid en wordt uiteindelijk afgeschaft.
Iteratie 3 (Current) – PIM voor Microsoft Entra-rollen, groepen in Microsoft Graph API en voor Azure-resources in ARM API
Dit is de laatste iteratie van de PIM-API. Deze bevat:
- PIM voor Microsoft Entra-rollen in Microsoft Graph API - algemeen beschikbaar.
- PIM voor Azure-resources in ARM API : algemeen beschikbaar.
- PIM voor groepen in Microsoft Graph API - algemeen beschikbaar.
- PIM-waarschuwingen voor Microsoft Entra-rollen in Microsoft Graph API - Preview.
- PIM-waarschuwingen voor Azure-resources in ARM API - Preview.
Pim voor Microsoft Entra-rollen in Microsoft Graph API en PIM voor Azure-resources in ARM API bieden enkele voordelen, waaronder:
- Uitlijning van de PIM-API's voor reguliere roltoewijzing voor zowel Microsoft Entra-rollen als Azure-resourcerollen.
- Het verminderen van de noodzaak om andere PIM-API's aan te roepen om een resource te onboarden, een resource op te halen of roldefinitie op te halen.
- Ondersteunende machtigingen voor alleen apps.
- Nieuwe functies, zoals goedkeuring en configuratie van e-mailmeldingen.
Overzicht van PIM API-iteratie 3
PIM-API's tussen providers (zowel Microsoft Graph API's als ARM-API's) volgen dezelfde principes.
Toewijzingsbeheer
Als u een toewijzing wilt maken (actief of in aanmerking komend), verlengt, verlengt, verlengt, verlengt u de updatetoewijzing (actief of in aanmerking komt), activeert u de in aanmerking komende toewijzing, gebruikt u resources *AssignmentScheduleRequest en *EligibilityScheduleRequest:
- Voor Microsoft Entra-rollen: unifiedRoleAssignmentScheduleRequest, unifiedRoleEligibilityScheduleRequest;
- Voor Azure-resources: aanvraag voor roltoewijzingsplanning, aanvraag voor rol geschiktheidsplanning;
- Voor groepen: privilegedAccessGroupAssignmentScheduleRequest, privilegedAccessGroupEligibilityScheduleRequest.
Het maken van objecten *AssignmentScheduleRequest of *EligibilityScheduleRequest kan leiden tot het maken van alleen-lezen *AssignmentSchedule, *EligibilitySchedule, *AssignmentScheduleInstance en *EligibilityScheduleInstance-objecten.
- *AssignmentSchedule- en *EligibilitySchedule-objecten tonen huidige toewijzingen en aanvragen voor toewijzingen die in de toekomst moeten worden gemaakt.
- *AssignmentScheduleInstance en *EligibilityScheduleInstance-objecten geven alleen huidige toewijzingen weer.
Wanneer een in aanmerking komende toewijzing is geactiveerd (Create *AssignmentScheduleRequest is aangeroepen), blijft de *EligibilityScheduleInstance bestaan, worden nieuwe *AssignmentSchedule- en *AssignmentScheduleInstance-objecten gemaakt voor die geactiveerde duur.
Zie PIM API voor het beheren van roltoewijzingen en eligibiliteiten voor meer informatie over toewijzings- en activerings-API's.
PIM-beleid (rolinstellingen)
Als u het PIM-beleid wilt beheren, gebruikt u de entiteiten *roleManagementPolicy en *roleManagementPolicyAssignment :
- Voor PIM voor Microsoft Entra-rollen, PIM for Groups: unifiedroleManagementPolicy, unifiedroleManagementPolicyAssignment
- Voor PIM voor Azure-resources: rolbeheerbeleid, rolbeheerbeleidstoewijzingen
De resource *roleManagementPolicy bevat regels die PIM-beleid vormen: goedkeuringsvereisten, maximale activeringsduur, meldingsinstellingen, enzovoort.
Het object *roleManagementPolicyAssignment koppelt het beleid aan een specifieke rol.
Zie rolinstellingen en PIM voor meer informatie over de API's voor beleidsinstellingen.
Machtigingen
PIM voor Microsoft Entra-rollen
Zie de bijbehorende REST API-referentiepagina's voor Microsoft Graph-machtigingen die zijn vereist voor PIM voor Microsoft Entra-rollen.
PIM voor Azure-resources
De PIM-API's voor Azure-resourcerollen worden ontwikkeld boven op het Azure Resource Manager-framework. U moet toestemming geven voor Azure Resource Management, maar u hebt geen Microsoft Graph-machtigingen nodig. U moet er ook voor zorgen dat de gebruiker of de service-principal die de API aanroept, ten minste de rol Eigenaar of Beheerder van gebruikerstoegang heeft voor de resource die u probeert te beheren.
PIM voor groepen
Zie de bijbehorende REST API-referentiepagina's voor Microsoft Graph-machtigingen die zijn vereist voor PIM voor groepen.
Relatie tussen PIM-entiteiten en roltoewijzingsentiteiten
De enige koppeling tussen de PIM-entiteit en de roltoewijzingsentiteit voor permanente (actieve) toewijzing voor Microsoft Entra-rollen of Azure-rollen is de *AssignmentScheduleInstance. Er is een een-op-een-toewijzing tussen de twee entiteiten. Deze toewijzing betekent dat roleAssignment en *AssignmentScheduleInstance beide zijn:
- Permanente (actieve) toewijzingen buiten PIM
- Permanente (actieve) toewijzingen met een schema gemaakt in PIM
- Geactiveerde in aanmerking komende toewijzingen
PIM-specifieke eigenschappen (zoals eindtijd) zijn alleen beschikbaar via het object *AssignmentScheduleInstance .