Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con Privileged Identity Management para grupos (PIM para grupos), puede controlar cómo se asigna a las entidades de seguridad la pertenencia o la propiedad de los grupos. La seguridad y la Grupos de Microsoft 365 son recursos críticos que puede usar para proporcionar acceso a recursos en la nube de Microsoft, como roles de Microsoft Entra, roles de Azure, Azure SQL, azure Key Vault, Intune y aplicaciones de terceros. PIM for Groups proporciona más control sobre cómo y cuándo las entidades de seguridad son miembros o propietarios de grupos y, por lo tanto, tienen privilegios concedidos a través de su pertenencia a grupos o su propiedad.
Las API de PIM para grupos de Microsoft Graph proporcionan más gobernanza sobre seguridad y Grupos de Microsoft 365, como las siguientes funcionalidades:
- Proporcionar a las entidades de seguridad pertenencia just-in-time o propiedad de grupos
- Asignación de pertenencia temporal de entidades de seguridad o propiedad de grupos
En este artículo se presentan las funcionalidades de gobernanza de las API para PIM para grupos en Microsoft Graph.
PIM para API de grupos para administrar asignaciones activas de propietarios y miembros del grupo
PIM para las API de grupos de Microsoft Graph le permite asignar entidades de seguridad permanentes o temporales y con límite de tiempo o propiedad a grupos.
En la tabla siguiente se enumeran los escenarios para usar PIM para las API de grupos con el fin de administrar las asignaciones activas de las entidades de seguridad y las API correspondientes a las que llamar.
| Scenarios | API |
|---|---|
| Un administrador: Una entidad de seguridad: |
Creación de assignmentScheduleRequest |
| Un administrador enumera todas las solicitudes de pertenencia activa y asignaciones de propiedad para un grupo. | Enumeración de assignmentScheduleRequests |
| Un administrador enumera todas las asignaciones activas y las solicitudes para las asignaciones que se crearán en el futuro, para la pertenencia y la propiedad de un grupo. | Asignación de listaProgramas |
| Un administrador enumera todas las asignaciones de pertenencia y propiedad activas para un grupo. | Asignación de listaScheduleInstances |
| Un administrador consulta un miembro y una asignación de propiedad para un grupo y sus detalles | Obtener privilegedAccessGroupAssignmentScheduleRequest |
| Una entidad de seguridad consulta sus solicitudes de pertenencia o asignación de propiedad y los detalles Un aprobador consulta las solicitudes de pertenencia o propiedad a la espera de su aprobación y los detalles de estas solicitudes. |
privilegedAccessGroupAssignmentScheduleRequest: filterByCurrentUser |
| Una entidad de seguridad cancela una solicitud de asignación de pertenencia o propiedad que creó | privilegedAccessGroupAssignmentScheduleRequest: cancel |
| Un aprobador obtiene detalles para la solicitud de aprobación, incluida la información sobre los pasos de aprobación. | Obtener aprobación |
| Un aprobador aprueba o deniega la solicitud de aprobación al aprobar o denegar el paso de aprobación. | Actualizar approvalStep |
PIM para LAS API de grupos para administrar las asignaciones aptas de propietarios y miembros del grupo
Es posible que las entidades de seguridad no requieran pertenencia permanente ni propiedad de grupos porque no necesitan los privilegios concedidos a través de la pertenencia o la propiedad todo el tiempo. En este caso, PIM para grupos permite que las entidades de seguridad sean aptas para la pertenencia o la propiedad de los grupos.
Cuando una entidad de seguridad tiene una asignación apta, activa su asignación cuando necesita los privilegios concedidos a través de los grupos para realizar tareas con privilegios. Una asignación apta puede ser permanente o temporal. La activación siempre tiene límite de tiempo durante un máximo de ocho horas. La entidad de seguridad también puede ampliar o renovar su pertenencia o propiedad del grupo.
En la tabla siguiente se enumeran los escenarios para usar PIM para las API de grupos con el fin de administrar las asignaciones aptas para las entidades de seguridad y las API correspondientes a las que llamar.
| Scenarios | API |
|---|---|
| Un administrador: |
Creación de eligibilityScheduleRequest |
| Un administrador consulta todas las solicitudes de pertenencia o propiedad aptas y sus detalles | Enumeración de elegibilidadScheduleRequests |
| Un administrador consulta una solicitud de pertenencia o propiedad apta y sus detalles | Obtener eligibilityScheduleRequest |
| Un administrador cancela una solicitud de pertenencia o propiedad válida que creó | privilegedAccessGroupEligibilityScheduleRequest:cancel |
| Una entidad de seguridad consulta sus pertenencias o propiedad aptas para solicitar sus detalles | privilegedAccessGroupEligibilityScheduleRequest: filterByCurrentUser |
Configuración de directivas en PIM para grupos
PIM para grupos define la configuración o las reglas que rigen cómo se puede asignar a las entidades de seguridad la pertenencia o la propiedad de la seguridad y Grupos de Microsoft 365. Estas reglas incluyen si se requiere autenticación multifactor (MFA), justificación o aprobación para activar una pertenencia o propiedad apta para un grupo, o si puede crear asignaciones permanentes o elegibilidad para las entidades de seguridad para los grupos. Las reglas se definen en las directivas y se puede aplicar una directiva a un grupo.
En Microsoft Graph, estas reglas se administran a través de los tipos de recursos unifiedRoleManagementPolicy y unifiedRoleManagementPolicyAssignment y sus métodos relacionados.
Por ejemplo, suponga que, de forma predeterminada, PIM para grupos no permite asignaciones de pertenencia y propiedad activas permanentes y define un máximo de seis meses para las asignaciones activas. Al intentar crear un objeto privilegedAccessGroupAssignmentScheduleRequest sin fecha de expiración, se devuelve un 400 Bad Request código de respuesta para infringir la regla de expiración.
PIM para grupos le permite configurar varias reglas, entre las que se incluyen:
- Si a las entidades de seguridad se les pueden asignar asignaciones aptas permanentes
- Duración máxima permitida para una activación de pertenencia a grupos o propiedad y si se requiere justificación o aprobación para activar la pertenencia o propiedad aptas
- Los usuarios a los que se les permite aprobar solicitudes de activación para una pertenencia o propiedad de grupo
- Si MFA es necesario para activar y aplicar una pertenencia a grupos o una asignación de propiedad
- Las entidades de seguridad a las que se notifica la pertenencia a grupos o las activaciones de propiedad
En la tabla siguiente se enumeran los escenarios para usar PIM para grupos para administrar reglas y las API a las que llamar.
| Escenarios | API |
|---|---|
| Recuperación de directivas de PIM para grupos y reglas o configuraciones asociadas | Enumerar unifiedRoleManagementPolicies |
| Recuperación de una directiva de PIM para grupos y sus reglas o configuraciones asociadas | Obtener unifiedRoleManagementPolicy |
| Actualización de una directiva de PIM para grupos en sus reglas o configuraciones asociadas | Actualizar unifiedRoleManagementPolicy |
| Recuperación de las reglas definidas para una directiva pim para grupos | Enumerar reglas |
| Recuperación de una regla definida para una directiva pim para grupos | Obtener unifiedRoleManagementPolicyRule |
| Actualización de una regla definida para una directiva pim para grupos | Actualizar unifiedRoleManagementPolicyRule |
| Obtenga los detalles de todas las asignaciones de directivas de PIM para grupos, incluidas las directivas y reglas asociadas a la pertenencia y propiedad de grupos. | Enumeración de unifiedRoleManagementPolicyAssignments |
| Obtenga los detalles de una asignación de directiva de PIM para grupos, incluida la directiva y las reglas asociadas a la pertenencia o propiedad de grupos. | Obtener unifiedRoleManagementPolicyAssignment |
Para obtener más información sobre el uso de Microsoft Graph para configurar reglas, consulte Información general sobre las reglas en las API de PIM en Microsoft Graph. Para obtener ejemplos de actualización de reglas, consulte Uso de LAS API de PIM en Microsoft Graph para actualizar reglas.
Incorporación de grupos a PIM para grupos
No se puede incorporar explícitamente un grupo a PIM para grupos. Cuando se solicita agregar una asignación a un grupo mediante Create assignmentScheduleRequest o Create eligibilityScheduleRequest, o al actualizar la directiva pim (configuración de roles) para un grupo mediante Update unifiedRoleManagementPolicy o Update unifiedRoleManagementPolicyRule, PIM incorpora automáticamente el grupo si no se ha incorporado antes.
Puede llamar a las siguientes API para ambos grupos que se incorporan a PIM y grupos que aún no están incorporados a PIM. Para reducir las posibilidades de que se limite, llame a estas API solo para los grupos que se incorporan a PIM.
- Enumeración de assignmentScheduleRequests
- Asignación de listaProgramas
- Asignación de listaScheduleInstances
- Enumeración de elegibilidadScheduleRequests
- Lista de elegibilidadProgramas
- Enumeración de elegibilidadScheduleInstances
Una vez que PIM incorpora un grupo, cambian los identificadores de las directivas de PIM y las asignaciones de directivas para el grupo específico. Para obtener los identificadores actualizados, llame a la API Get unifiedRoleManagementPolicy o Get unifiedRoleManagementPolicyAssignment .
Una vez que PIM incorpora un grupo, no puede desconectarlo, pero puede quitar todas las asignaciones aptas y con límite de tiempo según sea necesario.
PIM para grupos y el objeto de grupo
Puede usar PIM para grupos para controlar la pertenencia y la propiedad de cualquier grupo de Seguridad y Microsoft 365, excepto los grupos dinámicos y los grupos sincronizados desde el entorno local. No es necesario asignar roles al grupo para habilitarlo en PIM para grupos.
Al asignar una pertenencia o propiedad temporal o permanente activa de entidad de seguridad de un grupo, o cuando realizan una activación Just-In-Time:
- Verá los detalles de la entidad de seguridad al consultar las relaciones de miembros y propietarios a través de las API Enumerar miembros del grupo o Enumerar propietarios de grupos .
- Puede quitar la entidad de seguridad del grupo mediante las API Quitar propietario del grupo o Quitar miembro del grupo .
- Si realiza un seguimiento de los cambios en el grupo mediante las funciones Obtener delta y Obtener delta para objetos de directorio , contiene
@odata.nextLinkel nuevo miembro o propietario. - Verá los cambios realizados en los miembros y propietarios del grupo a través de PIM para grupos que han iniciado sesión Microsoft Entra registros de auditoría y puede leerlos a través de la API de auditorías de directorios de lista.
Al asignar una pertenencia permanente o temporal apta principal o la propiedad de un grupo, las relaciones de miembros y propietarios del grupo no se actualizan.
Cuando expire la pertenencia activa temporal de una entidad de seguridad o la propiedad de un grupo:
- Los detalles de la entidad de seguridad se quitan automáticamente de las relaciones de miembros y propietarios .
- Si realiza un seguimiento de los cambios en el grupo mediante las funciones Obtener delta y Obtener delta para objetos de directorio ,
@odata.nextLinkindica el propietario o miembro del grupo eliminado.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus inquilinos con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.
Licencias
El inquilino donde se usa Privileged Identity Management debe tener suficientes licencias compradas o de prueba. Para obtener más información, consulte Gobierno de Microsoft Entra ID aspectos básicos de las licencias.
Contenido relacionado
Microsoft Entra operaciones de seguridad para Privileged Identity Management en el centro de arquitectura de Microsoft Entra