概述
特权身份管理(PIM)是 Microsoft Entra 的一部分,包含三个提供者:
- 用于Microsoft Entra角色的 PIM。
- Azure资源的权限管理(PIM)。
- 组的 PIM。
可以使用 Microsoft Graph 管理 Microsoft Entra 角色的 PIM 和用于组的 PIM 的分配。 可以使用 Azure 资源管理器 API 管理 AZURE 资源的 PIM 中的分配。 本文介绍使用特权身份管理 API 的重要概念。
在文档中查找有关允许管理分配的 API 的更多详细信息:
- Microsoft Entra 角色的 PIM API 参考
- 用于Azure资源角色 API 参考的 PIM
- PIM for Groups API 参考
- Microsoft Entra 角色的 PIM 警报 API 参考
- Azure 资源 API 参考的PIM 警报
PIM API 历史记录
在过去的几年中,PIM API 进行了多次迭代。 会存在一些功能重叠,但它们并不代表版本的线性进度。
迭代 1 - 已停用
在 /beta/privilegedRoles 终结点下,Microsoft 提供了一种仅支持 Microsoft Entra 角色的经典版本 PIM API。 此 API 已于 2021 年 6 月停用。
迭代 2 - 已弃用
在 /beta/privilegedAccess 终结点下,Microsoft 支持 /aadRoles 和 /azureResources 两个部分,分别用于管理 Microsoft Entra 角色和 Azure 资源角色。 此终结点已弃用,将在 2026 年 10 月 28 日停止返回数据。 Microsoft建议不要使用这些 API 启动任何新开发。
迭代 3 (当前)- Microsoft Entra 角色的 PIM、Microsoft 图形 API 中的组,以及 Azure 资源管理器 API 中的 Azure 资源
这是 PIM API 的最终迭代。 其中包括:
- 适用于Microsoft 图形 API中Microsoft Entra角色的 PIM - 正式发布。
- 适用于 Azure 资源管理器 API 中的 Azure 资源的特权身份管理 (PIM) - 正式发布。
- Microsoft 图形 API 中的组 PIM - 已经正式发布。
- Microsoft 图形 API 中适用于 Microsoft Entra 角色的 PIM 警报 - 预览版本。
- ARM API 中Azure资源的 PIM 警报 - 预览版。
注释
roleAssignmentApprovals API 仅在 /beta 中可用。
通过在 Microsoft 图形 API 中使用 PIM 管理 Microsoft Entra 角色,并在 ARM API 中管理 Azure 资源,能够带来一些好处,包括:
- Microsoft Entra 角色和 Azure 资源角色常规角色分配的 PIM API 对齐方式。
- 减少调用其他 PIM API 以加入资源、获取资源或获取角色定义的需求。
- 支持仅限应用权限。
- 新增功能,如审批和电子邮件通知配置。
PIM API 迭代 3 概述
跨提供程序(Microsoft Graph API 和 Azure 资源管理器 API)的 PIM API 遵循相同的原则。
任务管理
若要创建分配(活动或符合条件的)、续订、扩展或更新分配(活动或符合条件的)、激活符合条件的分配、停用符合条件的分配、使用资源 *AssignmentScheduleRequest 和 *EligibilityScheduleRequest:
- 对于Microsoft Entra角色:unifiedRoleAssignmentScheduleRequest、unifiedRoleEligibilityScheduleRequest;
- 对于Azure资源:角色分配计划请求,角色资格计划请求;
- 对于组:privilegedAccessGroupAssignmentScheduleRequest、privilegedAccessGroupEligibilityScheduleRequest。
创建 *AssignmentScheduleRequest 或 *EligibilityScheduleRequest 对象可能会导致创建只读 *AssignmentSchedule、*EligibilitySchedule、*AssignmentScheduleInstance 和 *EligibilityScheduleInstance 对象。
- *AssignmentSchedule 和 *EligibilitySchedule 对象显示当前分配和未来将创建的分配请求。
- *AssignmentScheduleInstance 和 *EligibilityScheduleInstance 对象仅显示当前分配。
激活符合条件的分配时(调用 Create*AssignmentScheduleRequest 时),**EligibilityScheduleInstance 继续存在,并将为该激活的持续时间创建新的 *AssignmentSchedule 和 *AssignmentScheduleInstance 对象。
有关分配和激活 API 的详细信息,请参阅用于管理角色分配和资格的 PIM API。
PIM 策略(角色设置)
要管理 PIM 策略,请使用 *roleManagementPolicy 和 *roleManagementPolicyAssignment 实体:
- 对于Microsoft Entra角色的 PIM,适用于组的 PIM:unifiedroleManagementPolicy、unifiedroleManagementPolicyAssignment
- 对于 Azure 资源的 PIM:角色管理策略、角色管理策略分配
*roleManagementPolicy 资源包括构成 PIM 策略的规则:审批要求、最大激活持续时间、通知设置。
*roleManagementPolicyAssignment 对象会将策略附加到特定角色。
有关策略设置 API 的详细信息,请参阅角色设置和 PIM。
权限
用于Microsoft Entra角色的 PIM
有关 Microsoft Entra 角色的 PIM 所需的 Microsoft Graph 权限,请参阅相应的 REST API 参考页。
PIM 用于 Azure 资源
Azure资源角色的 PIM API 是在Azure 资源管理器框架的基础上开发的。 需要同意Azure资源管理,但不需要任何Microsoft Graph权限。 你还需要确保调用 API 的用户或服务主体在尝试管理的资源上至少具有所有者或用户访问管理员角色。
PIM 组管理
有关组的 PIM 所需的 Microsoft Graph 权限,请参阅相应的 REST API 参考页。
PIM 实体与角色分配实体之间的关系
PIM 实体与 Microsoft Entra 角色或 Azure 角色的持久(主动)分配的角色分配实体之间唯一的链接是 *AssignmentScheduleInstance。 这两个实体之间是一对一的映射关系。 该映射意味着 roleAssignment 和 *AssignmentScheduleInstance 都包括:
- 在 PIM 之外进行的持久性(活动)分配。
- 持久性(活跃)分配,计划在 PIM 中制定。
- 已激活的合格任务。
PIM 特定的属性(如结束时间)只能通过 *AssignmentScheduleInstance 对象提供。