PIM 中的规则 - 映射指南
Privileged Identity Management (PIM) 公开可管理的资源的角色设置。 在 Microsoft Graph 中,这些资源Microsoft Entra角色和组,分别通过 PIM 管理Microsoft Entra角色和组的 PIM。
角色设置分为以下三个类别之一:
- 激活设置
- 分配设置
- 通知设置
此类设置包括是否需要多重身份验证 (MFA) 来激活符合条件的角色或组成员身份;或者是否可以创建永久角色分配、组所有权或组成员身份。
在 Microsoft Graph 中将 PIM 用于Microsoft Entra角色 API 或组 API 的 PIM 时,这些角色设置通过策略和规则进行管理。
策略
在 Microsoft Graph 中,角色设置称为 规则。 这些规则通过称为策略的容器对Microsoft Entra角色和组进行分组、分配和管理。
策略是通过 unifiedRoleManagementPolicy 资源类型定义的。
策略规则
每个 unifiedRoleManagementPolicy 对象都包含 17 个可更新的预定义规则。 这些规则通过 规则 关系进行管理。
Microsoft Graph 定义 unifiedRoleManagementPolicyRule 资源类型 抽象类型,该类型由五个资源继承。 这五种派生类型用于将规则分组为激活、分配和通知规则。 它们定义规则配置,这些配置可以是 17 个规则中的一个或多个,这些规则由唯一和不可变的规则 ID 标识。
本文提供MICROSOFT ENTRA 管理中心上的 PIM 中的设置映射到 Microsoft Graph 中的相应规则。
将规则 ID 映射到 Microsoft Entra 管理中心 上的 PIM 角色设置
激活规则
下图显示了Microsoft Entra 管理中心上的激活角色设置,这些设置映射到 Microsoft Graph 中的 PIM API 中的规则和资源类型。
数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft图形规则 ID/派生资源类型 | 对调用方强制实施 |
---|---|---|---|
1 | 激活最大持续时间 (小时) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
最终用户 |
2 | 激活时,需要:无、Azure MFA 需要有关激活的票证信息 激活时需要理由 |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
最终用户 |
3 | 激活时,需要:Microsoft Entra条件访问身份验证上下文 (预览版) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
最终用户 |
4 | 需要审批才能激活 |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
最终用户 |
分配规则
下图显示了Microsoft Entra 管理中心上的分配角色设置,这些设置映射到 Microsoft Graph 中 PIM API 中的规则和资源类型。
数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft图形规则 ID/派生资源类型 | 对调用方强制实施 |
---|---|---|---|
5 | 允许永久合格分配 在以下时间之后使符合条件的分配过期 |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
管理员 |
6 | 允许永久活动分配 在之后使活动分配过期 |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理员 |
7 | 要求对活动分配进行 Azure 多重身份验证 要求对活动分配提供理由 |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理员 |
8 | Microsoft Entra 管理中心 UX 中不存在 |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
管理员 |
通知规则
下图显示了Microsoft Entra 管理中心上的通知角色设置,这些设置映射到 Microsoft Graph 中 PIM API 中的规则和资源类型。
数字 | Microsoft Entra 管理中心 UX 说明 | Microsoft图形规则 ID/派生资源类型 | 对调用方强制实施 |
---|---|---|---|
9 | 当成员被分配为有资格担任此角色时发送通知:角色分配警报 |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
管理员 |
10 | 当成员被分配为有资格担任此角色时发送通知:通知已分配的用户 (被分配者) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
被委托人/请求者 |
11 | 当成员被分配为有资格担任此角色时发送通知:请求批准角色分配续订/延期 |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
审批者 |
12 | 将成员分配为活动角色时发送通知:角色分配警报 |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理员 |
13 | 将成员分配为此角色的活动时发送通知:向分配的用户发送通知 (被分配者) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
被委托人/请求者 |
14 | 将成员分配到此角色时发送通知:请求批准角色分配续订/延期 |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
审批者 |
15 | 合格成员激活此角色时发送通知:角色激活警报 |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
管理员 |
16 | 在符合条件的成员激活此角色时发送通知:通知已激活的用户 (请求者) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
请求 |
17 | 合格成员激活此角色时发送通知:请求批准激活 |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
审批者 |