Privileged Identity Management API
Privileged Identity Management (PIM) (Microsoft Entra 的一部分) 包含三個提供者:
- 適用於 Microsoft Entra 角色的 PIM
- 適用於 Azure 資源的 PIM
- 群組 PIM
您可以使用 Microsoft Graph,在 PIM 中管理 Microsoft Entra 角色和群組的 PIM 指派。 您可以使用 Azure Resource Manager API 在 PIM 中管理 Azure 資源的指派。 本文描述使用 Privileged Identity Management 的 API 時的重要概念。
在文件中尋找允許管理指派之 API 的更多詳細資料:
- 適用於 Microsoft Entra 角色 API 參考的 PIM
- 適用於 Azure 資源角色的 PIM API 參考
- 適用於群組 API 參考的 PIM
- 適用於 Microsoft Entra 角色 API 參考的 PIM 警示
- 適用於 Azure 資源 API 參考的 PIM 警示
PIM API 歷程記錄
過去幾年來,PIM API 有數個反覆專案。 功能有一些重疊,但並不代表版本的線性進展。
反復項目 1 – 已淘汰
在端點下 /beta/privilegedRoles
,Microsoft具有傳統版本的 PIM API,該 API 僅支援Microsoft Entra 角色,且不再受到支援。 此 API 的存取已在 2021 年 6 月被淘汰。
反覆項目 2 – 支援 Microsoft Entra 角色和 Azure 資源角色
在 /beta/privilegedAccess
端點下,Microsoft 同時支援 /aadRoles
和 /azureResources
。 此端點在您的租用戶中仍可使用,但 Microsoft 建議您不要使用此 API 來開始任何新的開發。 此 API 永遠不會發行至正式運作,且最終將會淘汰。
反覆項目 3 (目前) – 適用於 Microsoft Entra 角色的 PIM、Microsoft Graph API 中的群組,以及 ARM API 中的 Azure 資源
這是 PIM API 的最終反覆運算。 包括:
- Microsoft Graph API 中 Microsoft Entra 角色的 PIM - 正式推出。
- ARM API 中 Azure 資源的 PIM - 正式推出。
- Microsoft Graph API 中群組的 PIM - 正式推出。
- Microsoft Graph API 中Microsoft Entra 角色的 PIM 警示 - 預覽。
- ARM API 中 Azure 資源的 PIM 警示 - 預覽。
在 Microsoft Graph API 中擁有適用於 Microsoft Entra 角色的 PIM,以及在 ARM API 中擁有適用於 Azure 資源的 PIM 可提供一些優點,包括:
- Microsoft Entra 角色和 Azure 資源角色的一般角色指派 PIM API 對齊。
- 減少呼叫其他 PIM API 以將資源上線、取得資源或取得角色定義的需求。
- 支援僅限應用程式的權限。
- 新功能,例如,核准和電子郵件通知設定。
PIM API 反覆項目 3 的概觀
跨提供者的 PIM API (Microsoft Graph API 和 ARM API) 都遵循相同的原則。
指派管理
若要建立指派 (作用中或符合資格)、更新指派 (作用中或符合資格) 的續約、延長、啟用合格指派、停用合格指派,請使用資源 *AssignmentScheduleRequest 和 *EligibilityScheduleRequest:
- 針對 Microsoft Entra 角色:unifiedRoleAssignmentScheduleRequest、unifiedRoleEligibilityScheduleRequest;
- 針對 Azure 資源:角色指派排程要求、角色資格排程要求;
- 針對群組:privilegedAccessGroupAssignmentScheduleRequest、privilegedAccessGroupEligibilityScheduleRequest。
建立 *AssignmentScheduleRequest 或 *EligibilityScheduleRequest 物件可能導致建立唯讀 *AssignmentSchedule、*EligibilitySchedule、*AssignmentScheduleInstance,以及 *EligibilityScheduleInstance 物件。
- *AssignmentSchedule 和 *EligibilitySchedule 物件會顯示目前的指派和未來要建立指派的要求。
- *AssignmentScheduleInstance 和 *EligibilityScheduleInstance 物件只會顯示目前的指派。
啟用合格指派時(已呼叫 Create *AssignmentScheduleRequest),*EligibilityScheduleInstance 會繼續存在,系統會針對該啟動的持續時間建立新的 *AssignmentScheduleInstance 物件和 *AssignmentScheduleInstance 物件。
如需指派和啟用 API 的詳細資訊,請參閱管理角色指派和資格的 PIM API。
PIM 原則 (角色設定)
若要管理 PIM 原則,請使用 *roleManagementPolicy 和 *roleManagementPolicyAssignment 實體:
- 針對 Microsoft Entra 角色的 PIM、適用於群組的 PIM:unifiedroleManagementPolicy、unifiedroleManagementPolicyAssignment
- 針對適用於 Azure 資源的 PIM:角色管理原則、角色管理原則指派
*roleManagementPolicy 資源包含構成 PIM 原則的規則:核准需求、啟用持續時間上限、通知設定等等。
*roleManagementPolicyAssignment 物件會將原則連結至特定角色。
如需原則設定 API 的詳細資訊,請參閱角色設定和 PIM。
權限
適用於 Microsoft Entra 角色的 PIM
如需 PIM Microsoft Entra 角色所需的Microsoft Graph 許可權,請參閱對應的 REST API 參考頁面。
適用於 Azure 資源的 PIM
Azure 資源角色的 PIM API 是在 Azure Resource Manager 架構之上開發的。 您必須同意 Azure 資源管理,但不需要任何Microsoft Graph 許可權。 您也必須確定呼叫 API 的使用者或服務主體,在您嘗試管理的資源上至少有擁有者或使用者存取系統管理員角色。
群組 PIM
如需群組 PIM 所需的Microsoft Graph 許可權,請參閱對應的 REST API 參考頁面。
PIM 實體和角色指派實體之間的關聯性
針對 Microsoft Entra 角色或 Azure 角色的持續性 (作用中) 指派,PIM 實體與角色指派實體之間的唯一連結是 *AssignmentScheduleInstance。 兩個實體之間有一對一對應。 該對應表示 roleAssignment 和 *AssignmentScheduleInstance 都會包含:
- 在 PIM 外部進行的持續性 (使用中) 指派
- 具有在 PIM 內進行排程的持續性 (使用中) 指派
- 啟動的合格指派
PIM 特定屬性 (例如結束時間) 只能透過 *AssignmentScheduleInstance 物件來使用。