Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Privileged Identity Management (PIM) 是 Microsoft Entra 的一部分,包括三个提供程序:
- Microsoft Entra 角色的特权身份管理 (PIM)。
- 适用于 Azure 资源的 PIM。
- 组的 PIM。
可以使用 Microsoft Graph 在适用于 Microsoft Entra 角色的 PIM 和适用于组的 PIM 中管理分配。 可以使用 Azure 资源管理器 API 在 PIM 中管理 Azure 资源的分配。 本文介绍使用适用于 Privileged Identity Management 的 API 的重要概念。
在文档中查找有关允许管理分配的 API 的更多详细信息:
- 适用于 Microsoft Entra 角色的 PIM API 参考
- 适用于 Azure 资源角色的 PIM API 参考
- PIM for Groups API 参考
- 适用于 Microsoft Entra 角色的 PIM 警报 API 参考
- 适用于 Azure 资源的 PIM 警报 API 参考
PIM API 历史记录
在过去的几年中,PIM API 进行了多次迭代。 会存在一些功能重叠,但它们并不代表版本的线性进度。
迭代 1 - 已停用
/beta/privilegedRoles终结点下,Microsoft 具有 PIM API 的经典版本,该版本仅支持 Microsoft Entra 角色。 此 API 已于 2021 年 6 月停用。
迭代 2 - 已弃用
在/beta/privilegedAccess终结点下,Microsoft 支持 /aadRoles 和 /azureResources 段,分别用于管理 Microsoft Entra 角色和 Azure 资源角色。 此终结点已弃用,将在 2026 年 10 月 28 日停止返回数据。 Microsoft建议不要使用这些 API 启动任何新开发。
迭代 3(当前)- 适用于 Microsoft Entra 角色的 PIM、Microsoft Graph API 中的组的 PIM,以及 Azure Resource Manager API 中 Azure 资源的 PIM
这是 PIM API 的最终迭代。 其中包括:
- Microsoft Graph API 中适用于 Microsoft Entra 角色的 PIM - 正式版。
- Azure Resource Manager API 中 Azure 资源的 PIM - 正式发布。
- Microsoft Graph API 中组的特权身份管理(PIM) - 正式发布。
- Microsoft Graph API 中适用于 Microsoft Entra 角色的 PIM 警报 - 预览版。
- ARM API 中 Azure 资源的 PIM 警报 - 预览版。
注释
roleAssignmentApprovals API 仅在 /beta 中可用。
在 Microsoft Graph API 中提供 Microsoft Entra 角色的 PIM 和在 ARM API 中提供 Azure 资源的 PIM 具有一些好处,包括:
- 权限管理 (PIM) API 的对齐,以实现 Microsoft Entra 角色和 Azure 资源角色的常规角色分配。
- 减少调用其他 PIM API 以加入资源、获取资源或获取角色定义的需求。
- 支持仅限应用权限。
- 新增功能,如审批和电子邮件通知配置。
PIM API 迭代 3 概述
跨提供程序(Microsoft Graph API 和 Azure Resource Manager API)的 PIM API 遵循相同的原则。
任务管理
若要创建分配(活动或符合条件的)、续订、扩展或更新分配(活动或符合条件的)、激活符合条件的分配、停用符合条件的分配、使用资源 *AssignmentScheduleRequest 和 *EligibilityScheduleRequest:
- 对于 Microsoft Entra 角色:使用 unifiedRoleAssignmentScheduleRequest、unifiedRoleEligibilityScheduleRequest;
- 对于 Azure 资源:角色分配计划请求、角色资格计划请求;
- 对于组:privilegedAccessGroupAssignmentScheduleRequest、privilegedAccessGroupEligibilityScheduleRequest。
创建 *AssignmentScheduleRequest 或 *EligibilityScheduleRequest 对象可能会导致创建只读 *AssignmentSchedule、*EligibilitySchedule、*AssignmentScheduleInstance 和 *EligibilityScheduleInstance 对象。
- *AssignmentSchedule 和 *EligibilitySchedule 对象显示当前分配和未来将创建的分配请求。
- *AssignmentScheduleInstance 和 *EligibilityScheduleInstance 对象仅显示当前分配。
激活符合条件的分配时(调用 Create*AssignmentScheduleRequest 时),**EligibilityScheduleInstance 继续存在,并将为该激活的持续时间创建新的 *AssignmentSchedule 和 *AssignmentScheduleInstance 对象。
有关分配和激活 API 的详细信息,请参阅用于管理角色分配和资格的 PIM API。
PIM 策略(角色设置)
要管理 PIM 策略,请使用 *roleManagementPolicy 和 *roleManagementPolicyAssignment 实体:
- 对于适用于 Microsoft Entra 角色的 PIM 和适用于组的 PIM:使用 unifiedroleManagementPolicy、unifiedroleManagementPolicyAssignment
- 对于适用于 Azure 资源的 PIM:角色管理策略、角色管理策略分配
*roleManagementPolicy 资源包括构成 PIM 策略的规则:审批要求、最大激活持续时间、通知设置。
*roleManagementPolicyAssignment 对象会将策略附加到特定角色。
有关策略设置 API 的详细信息,请参阅角色设置和 PIM。
权限
适用于 Microsoft Entra 角色的 PIM
有关 Microsoft Entra 角色的 PIM 所需 Microsoft Graph 权限,请参阅相应的 REST API 参考页面。
适用于 Azure 资源的 PIM
适用于 Azure 资源角色的 PIM API 是在 Azure 资源管理器框架上开发的。 需要同意 Azure 资源管理,但不需要任何 Microsoft Graph 权限。 你还需要确保调用 API 的用户或服务主体在尝试管理的资源上至少具有所有者或用户访问管理员角色。
PIM 组管理
有关适用于组的 PIM 所需的 Microsoft Graph 权限,请参阅相应的 REST API 参考页。
PIM 实体与角色分配实体之间的关系
PIM 实体与持续(活动)分配的 Microsoft Entra 角色或 Azure 角色之间的唯一链接是 *AssignmentScheduleInstance。 这两个实体之间是一对一的映射关系。 该映射意味着 roleAssignment 和 *AssignmentScheduleInstance 都包括:
- 在 PIM 之外进行的持久性(活动)分配。
- 持久性(活跃)分配,计划在 PIM 中制定。
- 已激活的合格任务。
PIM 特定的属性(如结束时间)只能通过 *AssignmentScheduleInstance 对象提供。