Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avec Privileged Identity Management pour les groupes (PIM pour les groupes), vous pouvez régir la façon dont les principaux sont affectés à l’appartenance ou à la propriété des groupes. La sécurité et la Groupes Microsoft 365 sont des ressources critiques que vous pouvez utiliser pour fournir l’accès aux ressources cloud Microsoft telles que les rôles Microsoft Entra, les rôles Azure, les Azure SQL, les Key Vault Azure, les Intune et les applications tierces. PIM pour les groupes vous permet de mieux contrôler comment et quand les principaux sont membres ou propriétaires de groupes, et disposent donc de privilèges accordés par le biais de leur appartenance ou propriété de groupe.
Les API PIM pour les groupes dans Microsoft Graph vous offrent une gouvernance accrue de la sécurité et de la Groupes Microsoft 365, par exemple les fonctionnalités suivantes :
- Fourniture d’une appartenance juste-à-temps à des principaux ou d’une propriété de groupes
- Attribution d’une appartenance ou d’une propriété temporaire de groupes à des principaux
Cet article présente les fonctionnalités de gouvernance des API pour PIM pour les groupes dans Microsoft Graph.
API PIM pour groupes pour la gestion des affectations actives de propriétaires et de membres de groupes
Les API PIM pour les groupes dans Microsoft Graph vous permettent d’attribuer à des groupes des principaux une appartenance ou une propriété permanente ou temporaire et limitée dans le temps.
Le tableau suivant répertorie les scénarios d’utilisation des API PIM pour les groupes afin de gérer les affectations actives pour les principaux et les API correspondantes à appeler.
| Scenarios | API |
|---|---|
| Un administrateur : Un principal : |
Créer assignmentScheduleRequest |
| Un administrateur répertorie toutes les demandes d’attributions d’appartenance et de propriété actives pour un groupe | Répertorier assignmentScheduleRequests |
| Un administrateur répertorie toutes les affectations actives et les demandes d’affectations à créer à l’avenir, pour l’appartenance et la propriété d’un groupe | Répertorier assignmentSchedules |
| Un administrateur répertorie toutes les attributions d’appartenance et de propriété actives pour un groupe | Répertorier assignmentScheduleInstances |
| Un administrateur interroge un membre et une attribution de propriété pour un groupe et ses détails | Obtenir privilegedAccessGroupAssignmentScheduleRequest |
| Un principal interroge ses demandes d’appartenance ou d’attribution de propriété et les détails Un approbateur interroge les demandes d’appartenance ou de propriété en attente de leur approbation et des détails de ces demandes |
privilegedAccessGroupAssignmentScheduleRequest : filterByCurrentUser |
| Un principal annule une demande d’appartenance ou d’attribution de propriété qu’il a créée | privilegedAccessGroupAssignmentScheduleRequest : cancel |
| Un approbateur obtient les détails de la demande d’approbation, notamment des informations sur les étapes d’approbation | Obtenir l’approbation |
| Un approbateur approuve ou refuse la demande d’approbation en approuvant ou en refusant l’étape d’approbation | Mettre à jour l’approbationStep |
API PIM pour les groupes pour la gestion des affectations éligibles des propriétaires et des membres du groupe
Vos principaux peuvent ne pas nécessiter d’appartenance permanente ou de propriété de groupes, car ils n’ont pas besoin des privilèges accordés via l’appartenance ou la propriété en permanence. Dans ce cas, PIM for Groups vous permet de rendre les principaux éligibles pour l’appartenance ou la propriété des groupes.
Lorsqu’un principal a une affectation éligible, il active son affectation lorsqu’il a besoin des privilèges accordés par le biais des groupes pour effectuer des tâches privilégiées. Une affectation éligible peut être permanente ou temporaire. L’activation est toujours limitée pendant un maximum de huit heures. Le principal peut également étendre ou renouveler son appartenance ou sa propriété au groupe.
Le tableau suivant répertorie les scénarios d’utilisation des API PIM pour les groupes afin de gérer les affectations éligibles pour les principaux et les API correspondantes à appeler.
| Scenarios | API |
|---|---|
| Un administrateur : |
Create eligibilityScheduleRequest |
| Un administrateur interroge toutes les demandes d’appartenance ou de propriété éligibles et leurs détails | List eligibilityScheduleRequests |
| Un administrateur interroge une demande d’appartenance ou de propriété éligible et ses détails | Get eligibilityScheduleRequest |
| Un administrateur annule une demande d’appartenance ou de propriété éligible qu’il a créée | privilegedAccessGroupEligibilityScheduleRequest :cancel |
| Un principal interroge ses informations d’appartenance ou de propriété éligibles | privilegedAccessGroupEligibilityScheduleRequest : filterByCurrentUser |
Paramètres de stratégie dans PIM pour les groupes
PIM pour les groupes définit des paramètres ou des règles qui régissent la façon dont les principaux peuvent être affectés à l’appartenance ou à la propriété de la sécurité et de la Groupes Microsoft 365. Ces règles incluent si l’authentification multifacteur (MFA), la justification ou l’approbation est nécessaire pour activer une appartenance ou une propriété éligible pour un groupe, ou si vous pouvez créer des affectations permanentes ou des éligibilités pour les principaux des groupes. Vous définissez les règles dans les stratégies et vous pouvez appliquer une stratégie à un groupe.
Dans Microsoft Graph, vous gérez ces règles via les types de ressources unifiedRoleManagementPolicy et unifiedRoleManagementPolicyAssignment et leurs méthodes associées.
Par exemple, supposons que par défaut, PIM pour Les groupes n’autorise pas les attributions d’appartenance et de propriété actives permanentes et définit un maximum de six mois pour les affectations actives. Toute tentative de création d’un objet privilegedAccessGroupAssignmentScheduleRequest sans date d’expiration retourne un 400 Bad Request code de réponse en cas de violation de la règle d’expiration.
PIM pour les groupes vous permet de configurer différentes règles, notamment :
- Si des principaux peuvent être affectés à des affectations éligibles permanentes
- Durée maximale autorisée pour l’activation d’une appartenance ou d’une propriété de groupe et si une justification ou une approbation est requise pour activer l’appartenance ou la propriété éligible
- Utilisateurs autorisés à approuver les demandes d’activation d’une appartenance ou d’une propriété de groupe
- Si l’authentification multifacteur est requise pour activer et appliquer une appartenance à un groupe ou une attribution de propriété
- Les principaux qui sont informés de l’appartenance à un groupe ou des activations de propriété
Le tableau suivant répertorie les scénarios d’utilisation de PIM pour les groupes afin de gérer les règles et les API à appeler.
| Scénarios | API |
|---|---|
| Récupérer les stratégies PIM pour les groupes et les règles ou paramètres associés | List unifiedRoleManagementPolicies |
| Récupérer une stratégie PIM pour les groupes et ses règles ou paramètres associés | Obtenir unifiedRoleManagementPolicy |
| Mettre à jour une stratégie PIM pour les groupes sur ses règles ou paramètres associés | Mettre à jour unifiedRoleManagementPolicy |
| Récupérer les règles définies pour une stratégie PIM pour les groupes | List rules |
| Récupérer une règle définie pour une stratégie PIM pour les groupes | Obtenir unifiedRoleManagementPolicyRule |
| Mettre à jour une règle définie pour une stratégie PIM pour les groupes | Mettre à jour unifiedRoleManagementPolicyRule |
| Obtenir les détails de toutes les attributions de stratégie PIM pour les groupes, y compris les stratégies et les règles associées à l’appartenance et à la propriété des groupes | Répertorier unifiedRoleManagementPolicyAssignments |
| Obtenir les détails d’une attribution de stratégie PIM pour les groupes, y compris la stratégie et les règles associées à l’appartenance ou à la propriété des groupes | Obtenir unifiedRoleManagementPolicyAssignment |
Pour plus d’informations sur l’utilisation de Microsoft Graph pour configurer des règles, consultez Vue d’ensemble des règles dans les API PIM dans Microsoft Graph. Pour obtenir des exemples de règles de mise à jour, consultez Utiliser les API PIM dans Microsoft Graph pour mettre à jour les règles.
Intégration de groupes à PIM pour les groupes
Vous ne pouvez pas intégrer explicitement un groupe à PIM pour les groupes. Lorsque vous demandez à ajouter une affectation à un groupe à l’aide de Create assignmentScheduleRequest ou Create eligibilityScheduleRequest, ou lorsque vous mettez à jour la stratégie PIM (paramètres de rôle) pour un groupe à l’aide de Update unifiedRoleManagementPolicy ou update unifiedRoleManagementPolicyRule, PIM intègre automatiquement le groupe s’il n’a pas été intégré auparavant.
Vous pouvez appeler les API suivantes pour les groupes qui sont intégrés à PIM et pour les groupes qui ne sont pas encore intégrés à PIM. Pour réduire les risques de limitation, appelez ces API uniquement pour les groupes intégrés à PIM.
- Répertorier assignmentScheduleRequests
- Répertorier assignmentSchedules
- Répertorier assignmentScheduleInstances
- List eligibilityScheduleRequests
- Lister les éligibilitéSchedules
- List eligibilityScheduleInstances
Une fois que PIM a intégré un groupe, les ID des stratégies PIM et des affectations de stratégie pour le groupe spécifique changent. Pour obtenir les ID mis à jour, appelez l’API Get unifiedRoleManagementPolicy ou Get unifiedRoleManagementPolicyAssignment .
Une fois que PIM intègre un groupe, vous ne pouvez pas le désactiver, mais vous pouvez supprimer toutes les affectations éligibles et limitées dans le temps si nécessaire.
PIM pour Groups et l’objet group
Vous pouvez utiliser PIM pour les groupes afin de régir l’appartenance et la propriété de toute sécurité et groupe Microsoft 365, à l’exception des groupes dynamiques et des groupes synchronisés à partir d’un emplacement local. Le groupe n’a pas besoin d’être assignable à un rôle pour l’activer dans PIM pour les groupes.
Lorsque vous attribuez une appartenance ou une propriété permanente ou temporaire active à un principal d’un groupe, ou lorsqu’il effectue une activation juste-à-temps :
- Vous voyez les détails du principal lorsque vous interrogez les relations membres et propriétaires via les API Répertorier les membres du groupe ou Lister les propriétaires de groupe .
- Vous pouvez supprimer le principal du groupe à l’aide des API Supprimer le propriétaire du groupe ou Supprimer un membre du groupe .
- Si vous effectuez le suivi des modifications apportées au groupe à l’aide des fonctions Obtenir le delta et Obtenir le delta pour les objets d’annuaire , un
@odata.nextLinkcontient le nouveau membre ou propriétaire. - Vous voyez les modifications apportées aux membres et propriétaires du groupe via PIM pour les groupes connectés Microsoft Entra journaux d’audit, et vous pouvez les lire via l’API Répertorier les audits d’annuaire.
Lorsque vous attribuez une appartenance ou une propriété permanente ou temporaire d’un principal éligible à un groupe, les relations entre les membres et les propriétaires du groupe ne sont pas mises à jour.
Lorsque l’appartenance ou la propriété active temporaire d’un principal d’un groupe expire :
- Les détails du principal sont automatiquement supprimés des relations entre les membres et les propriétaires .
- Si vous effectuez le suivi des modifications apportées au groupe à l’aide des fonctions Obtenir le delta et Obtenir le delta pour les objets d’annuaire , un
@odata.nextLinkindique le membre ou le propriétaire du groupe supprimé.
Confiance Zéro
Cette fonctionnalité permet aux organisations d’aligner leurs locataires sur les trois principes directeurs d’une architecture Confiance nulle :
- Vérifiez explicitement.
- Utiliser le privilège minimum
- Supposez une violation.
Pour en savoir plus sur Confiance nulle et d’autres façons d’aligner vos organization sur les principes directeurs, consultez le Centre d’aide Confiance nulle.
Licences
Le locataire dans lequel vous utilisez Privileged Identity Management doit avoir suffisamment de licences achetées ou d’évaluation. Pour plus d’informations, consultez Gouvernance Microsoft Entra ID principes de base des licences.
Contenu connexe
Microsoft Entra les opérations de sécurité pour Privileged Identity Management dans le centre d’architecture Microsoft Entra