Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Privileged Identity Management (PIM) expõe as definições de função dos recursos que pode gerir. No Microsoft Graph, estes recursos são Microsoft Entra funções e grupos. Pode geri-las através do PIM para Microsoft Entra funções e PIM para grupos, respetivamente.
As definições de função enquadram-se numa de três categorias:
- Definições de ativação
- Definições de atribuição
- Definições de notificação
Estas definições incluem se a autenticação multifator (MFA) é necessária para ativar uma função elegível ou associação a um grupo ou se pode criar atribuições de funções permanentes, propriedade de grupo ou associações a grupos.
Quando utiliza o PIM para Microsoft Entra funções APIs ou PIM para APIs de grupos no Microsoft Graph, gere estas definições de função através de políticas e regras.
Políticas
No Microsoft Graph, as definições de função são denominadas regras. Agrupa estas regras, atribui-as e gere-as para Microsoft Entra funções e grupos através de contentores denominados políticas.
Defina as políticas através do tipo de recurso unifiedRoleManagementPolicy.
Regras de política
Cada objeto unifiedRoleManagementPolicy contém 17 regras predefinidas que pode atualizar. Faça a gestão destas regras através da relação de regras .
O Microsoft Graph define o tipo abstrato de tipo de recurso unifiedRoleManagementPolicyRule , que cinco recursos herdam. Utilize os cinco tipos derivados para agrupar as regras em regras de ativação, atribuição e notificação. Definem configurações de regras que podem ser uma ou mais de 17 regras identificadas por IDs de regras exclusivos e imutáveis.
Este artigo fornece um mapeamento das definições no PIM no centro de administração do Microsoft Entra às regras correspondentes no Microsoft Graph.
Mapeamento de IDs de regra para definições de função PIM no centro de administração do Microsoft Entra
Regras de ativação
A imagem seguinte mostra as definições da função de ativação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos nas APIs PIM no Microsoft Graph.
| Número | Descrição da UX do centro de administração do Microsoft Entra | ID da regra do Microsoft Graph/Tipo de recurso derivado | Imposto para autor da chamada |
|---|---|---|---|
| 1 | Duração máxima da ativação (horas) |
Expiration_EndUser_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Usuário final |
| 2 | Na ativação, exigir: Nenhum, MFA do Azure Exigir informações sobre o pedido de suporte na ativação Exigir justificação na ativação |
Enablement_EndUser_Assignment
/
unifiedRoleManagementPolicyEnablementRule |
Usuário final |
| 3 | Na ativação, exija: Microsoft Entra contexto de autenticação de Acesso Condicional (Pré-visualização) |
AuthenticationContext_EndUser_Assignment
/
unifiedRoleManagementPolicyAuthenticationContextRule |
Usuário final |
| 4 | Exigir aprovação para ativar |
Approval_EndUser_Assignment
/
unifiedRoleManagementPolicyApprovalRule |
Usuário final |
Regras de atribuição
A imagem seguinte mostra as definições da função de atribuição no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.
| Número | Descrição da UX do centro de administração do Microsoft Entra | ID da Regra do Microsoft Graph/Tipo de recurso derivado | Imposto para autor da chamada |
|---|---|---|---|
| 5 | Permitir atribuição elegível permanente Expirar atribuições elegíveis após |
Expiration_Admin_Eligibility
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
| 6 | Permitir atribuição ativa permanente Expirar atribuições ativas após |
Expiration_Admin_Assignment
/
unifiedRoleManagementPolicyExpirationRule |
Administrador |
| 7 | Exigir o Multi-Factor Authentication do Azure na atribuição ativa Exigir justificação na atribuição ativa |
Enablement_Admin_Assignment
/
unifiedRoleManagementPolicyEnablementRule |
Administrador |
| 8 | Não apresentado no centro de administração do Microsoft Entra |
Enablement_Admin_Eligibility
/
unifiedRoleManagementPolicyEnablementRule |
Administrador |
Regras de notificação
A imagem seguinte mostra as definições da função de notificação no centro de administração do Microsoft Entra, mapeadas para regras e tipos de recursos na API PIM no Microsoft Graph.
| Número | Descrição da UX do centro de administração do Microsoft Entra | ID da Regra do Microsoft Graph/Tipo de recurso derivado | Imposto para autor da chamada |
|---|---|---|---|
| 9 | Enviar notificações quando os membros são atribuídos como elegíveis para esta função: Alerta de atribuição de função |
Notification_Admin_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Administrador |
| 10 | Enviar notificações quando os membros são atribuídos como elegíveis para esta função: Notificação ao utilizador atribuído (detentor) |
Notification_Requestor_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Assignee/Requestor |
| 11 | Enviar notificações quando os membros são atribuídos como elegíveis para esta função: pedido para aprovar uma renovação/extensão de atribuição de função |
Notification_Approver_Admin_Eligibility
/
unifiedRoleManagementPolicyNotificationRule |
Aprovador |
| 12 | Enviar notificações quando os membros são atribuídos como ativos a esta função: Alerta de atribuição de função |
Notification_Admin_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Administrador |
| 13 | Enviar notificações quando os membros estiverem atribuídos como ativos a esta função: Notificação ao utilizador atribuído (assignee) |
Notification_Requestor_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Assignee/Requestor |
| 14 | Enviar notificações quando os membros estiverem atribuídos como ativos a esta função: Pedido para aprovar uma renovação/extensão de atribuição de função |
Notification_Approver_Admin_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Aprovador |
| 15 | Enviar notificações quando os membros elegíveis ativarem esta função: Alerta de ativação de funções |
Notification_Admin_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Administrador |
| 16 | Enviar notificações quando os membros elegíveis ativarem esta função: Notificação para o utilizador ativado (requerente) |
Notification_Requestor_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Requerente |
| 17 | Enviar notificações quando os membros elegíveis ativarem esta função: Pedir para aprovar uma ativação |
Notification_Approver_EndUser_Assignment
/
unifiedRoleManagementPolicyNotificationRule |
Aprovador |