Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Privileged Identity Management (PIM) expone la configuración de roles para los recursos que puede administrar. En Microsoft Graph, estos recursos son Microsoft Entra roles y grupos. Los administra a través de PIM para roles de Microsoft Entra y PIM para grupos, respectivamente.
La configuración de roles se divide en una de las tres categorías:
- Configuración de activación
- Configuración de asignación
- Configuración de notificaciones
Esta configuración incluye si se requiere la autenticación multifactor (MFA) para activar un rol apto o una pertenencia a grupos, o si puede crear asignaciones de roles permanentes, propiedad de grupos o pertenencias a grupos.
Cuando usa PIM para las API de roles de Microsoft Entra o PIM para las API de grupos en Microsoft Graph, administra esta configuración de roles mediante directivas y reglas.
Directivas
En Microsoft Graph, la configuración del rol se denomina reglas. Estas reglas se agrupan en , se asignan a y se administran para Microsoft Entra roles y grupos a través de contenedores denominados directivas.
Defina las directivas mediante el tipo de recurso unifiedRoleManagementPolicy.
Reglas de directiva
Cada objeto unifiedRoleManagementPolicy contiene 17 reglas predefinidas que puede actualizar. Administre estas reglas a través de la relación de reglas .
Microsoft Graph define el tipo abstracto de tipo de recurso unifiedRoleManagementPolicyRule , que heredan cinco recursos. Use los cinco tipos derivados para agrupar las reglas en reglas de activación, asignación y notificación. Definen configuraciones de reglas que pueden ser una o varias de las 17 reglas que se identifican mediante identificadores de reglas únicos e inmutables.
En este artículo se proporciona una asignación de la configuración de PIM en el Centro de administración Microsoft Entra a las reglas correspondientes de Microsoft Graph.
Asignación de identificadores de regla a la configuración de roles de PIM en el Centro de administración Microsoft Entra
Reglas de activación
En la imagen siguiente se muestra la configuración del rol de activación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en las API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 1 | Duración máxima de activación (horas) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuario final |
| 2 | En la activación, requerir: Ninguno, Azure MFA Requerir información de vales sobre la activación Requerir justificación sobre la activación |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyEnablementRule |
Usuario final |
| 3 | En la activación, requerir: Microsoft Entra contexto de autenticación de acceso condicional (versión preliminar) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyAuthenticationContextRule |
Usuario final |
| 4 | Requerir aprobación para activar |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyApprovalRule |
Usuario final |
Reglas de asignación
En la imagen siguiente se muestra la configuración del rol de asignación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 5 | Permitir asignación apta permanente Expirar las asignaciones aptas después de |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 6 | Permitir asignación activa permanente Expirar las asignaciones activas después de |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Admin |
| 7 | Requerir Azure Multi-Factor Authentication en la asignación activa Requerir justificación en la asignación activa |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyEnablementRule |
Admin |
| 8 | No se muestra en el Centro de administración Microsoft Entra |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyEnablementRule |
Admin |
Reglas de notificación
En la imagen siguiente se muestra la configuración del rol de notificación en la Centro de administración Microsoft Entra, asignada a reglas y tipos de recursos en la API de PIM en Microsoft Graph.
| Número | Centro de administración Microsoft Entra descripción de la experiencia de usuario | Identificador de regla de Microsoft Graph o tipo de recurso derivado | Aplicado para el autor de la llamada |
|---|---|---|---|
| 9 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Alerta de asignación de roles |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Admin |
| 10 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: Notificación al usuario asignado (cesionario) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Asignador/Solicitante |
| 11 | Enviar notificaciones cuando los miembros se asignan como aptos para este rol: solicitud para aprobar una renovación o extensión de asignación de roles |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Aprobador |
| 12 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Alerta de asignación de roles |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Admin |
| 13 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: Notificación al usuario asignado (asignado) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Asignador/Solicitante |
| 14 | Enviar notificaciones cuando los miembros se asignan como activos a este rol: solicitud para aprobar una renovación o extensión de asignación de roles |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Aprobador |
| 15 | Enviar notificaciones cuando los miembros aptos activen este rol: Alerta de activación de roles |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Admin |
| 16 | Enviar notificaciones cuando los miembros aptos activen este rol: Notificación al usuario activado (solicitante) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Solicitante |
| 17 | Enviar notificaciones cuando los miembros aptos activen este rol: Solicitud para aprobar una activación |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Aprobador |