Egyéni biztonsági attribútumokhoz való hozzáférés kezelése a Microsoft Entra-azonosítóban

Ahhoz, hogy a szervezet tagjai hatékonyan dolgozhassanak az egyéni biztonsági attribútumokkal, meg kell adnia a megfelelő hozzáférést. Az egyéni biztonsági attribútumokban szerepeltetni kívánt információktól függően előfordulhat, hogy korlátozni szeretné az egyéni biztonsági attribútumokat, vagy széles körben elérhetővé szeretné tenni őket a szervezetben. Ez a cikk az egyéni biztonsági attribútumokhoz való hozzáférés kezelését ismerteti.

Előfeltételek

Az egyéni biztonsági attribútumokhoz való hozzáférés kezeléséhez a következőkkel kell rendelkeznie:

• Attribútum-hozzárendelési Rendszergazda istrator
• Microsoft.Graph modul a Microsoft Graph PowerShell használatakor

Fontos

Alapértelmezés szerint a globális Rendszergazda istrator és más rendszergazdai szerepkörök nem rendelkeznek egyéni biztonsági attribútumok olvasására, definiálására vagy hozzárendelésére vonatkozó engedélyekkel.

1. lépés: Az attribútumok rendszerezésének meghatározása

Minden egyéni biztonsági attribútum definíciójának egy attribútumkészlet részét kell képeznie. Az attribútumkészletekkel csoportosíthatja és kezelheti a kapcsolódó egyéni biztonsági attribútumokat. Meg kell határoznia, hogyan szeretne attribútumkészleteket hozzáadni a szervezetéhez. Előfordulhat például, hogy részlegek, csapatok vagy projektek alapján szeretne attribútumkészleteket hozzáadni. Az egyéni biztonsági attribútumokhoz való hozzáférés attól függ, hogyan rendszerezi az attribútumkészleteket.

2. lépés: A szükséges hatókör azonosítása

A hatókör az erőforrások azon halmaza, amelyre a hozzáférés vonatkozik. Egyéni biztonsági attribútumok esetén szerepköröket rendelhet a bérlői hatókörhöz vagy az attribútumkészlet hatóköréhez. Ha széles körű hozzáférést szeretne hozzárendelni, szerepköröket rendelhet a bérlői hatókörhöz. Ha azonban korlátozni szeretné az adott attribútumkészletekhez való hozzáférést, szerepköröket rendelhet hozzá az attribútumkészlet hatókörében.

A Microsoft Entra szerepkör-hozzárendelések additív modellek, így a tényleges engedélyek a szerepkör-hozzárendelések összegét képezik. Ha például hozzárendel egy felhasználót egy szerepkörhöz a bérlői hatókörben, és ugyanazt a szerepkört rendeli hozzá az attribútumkészlet hatóköréhez, a felhasználó továbbra is rendelkezik engedéllyel a bérlő hatókörében.

3. lépés: Az elérhető szerepkörök áttekintése

Meg kell határoznia, hogy kinek van szüksége hozzáférésre az egyéni biztonsági attribútumokkal való munkához a szervezetben. Az egyéni biztonsági attribútumokhoz való hozzáférés kezeléséhez négy beépített Microsoft Entra-szerepkör van. Alapértelmezés szerint a globális Rendszergazda istrator és más rendszergazdai szerepkörök nem rendelkeznek egyéni biztonsági attribútumok olvasására, definiálására vagy hozzárendelésére vonatkozó engedélyekkel. Szükség esetén a globális Rendszergazda istrator hozzárendelheti ezeket a szerepköröket saját magukhoz.

• Attribútumdefiníciós Rendszergazda istrator
• Attribútum-hozzárendelési Rendszergazda istrator
• Attribútumdefiníció-olvasó
• Attribútum-hozzárendelés-olvasó

Az alábbi táblázat az egyéni biztonsági attribútumok szerepköreinek magas szintű összehasonlítását tartalmazza.

Engedély	Globális rendszergazda	Attribútumdefiníciós Rendszergazda	Attribútum-hozzárendelési Rendszergazda	Attribútumdefiníció-olvasó	Attribútum-hozzárendelés-olvasó
Attribútumkészletek olvasása		✅	✅	✅	✅
Attribútumdefiníciók olvasása		✅	✅	✅	✅
Attribútum-hozzárendelések olvasása felhasználókhoz és alkalmazásokhoz (szolgáltatásnevek)			✅		✅
Attribútumkészletek hozzáadása vagy szerkesztése		✅
Attribútumdefiníciók hozzáadása, szerkesztése vagy inaktiválása		✅
Attribútumok hozzárendelése felhasználókhoz és alkalmazásokhoz (szolgáltatásnevek)			✅

4. lépés: A delegálási stratégia meghatározása

Ez a lépés két módszert mutat be az egyéni biztonsági attribútumokhoz való hozzáférés kezelésére. Az első módszer az, hogy központilag kezeli őket, a második módszer pedig a felügyelet másokkal való delegálása.

Attribútumok központi kezelése

Az attribútumdefiníciós Rendszergazda istrator- és attribútum-hozzárendelési Rendszergazda istrator szerepkörrel rendelkező rendszergazdák a bérlő hatókörében kezelhetik az egyéni biztonsági attribútumok minden aspektusát. Az alábbi ábra bemutatja, hogyan definiálja és rendeli hozzá egyetlen rendszergazda az egyéni biztonsági attribútumokat.

1. A rendszergazda (Xia) attribútumdefiníciós Rendszergazda istrator és attribútum-hozzárendelési Rendszergazda istrator szerepkörrel rendelkezik a bérlő hatókörében. A rendszergazda attribútumkészleteket ad hozzá, és attribútumokat határoz meg.
2. A rendszergazda attribútumokat rendel a Microsoft Entra-objektumokhoz.

Az attribútumok központi kezelése azzal az előnnyel jár, hogy egy vagy két rendszergazda felügyelheti. Hátránya, hogy a rendszergazda több kérést is kaphat egyéni biztonsági attribútumok definiálására vagy hozzárendelésére. Ebben az esetben érdemes lehet delegálni a felügyeletet.

Attribútumok kezelése delegálással

Előfordulhat, hogy a rendszergazdák nem ismerik az egyéni biztonsági attribútumok definiálásának és hozzárendelésének minden helyzetét. Általában a megfelelő részlegeken, csapatokon vagy projekteken belüli felhasználók ismerik a legtöbbet a területükről. Ahelyett, hogy egy vagy két rendszergazdát rendel az összes egyéni biztonsági attribútum kezeléséhez, delegálhatja a felügyeletet az attribútumkészlet hatókörében. Ez azt is követi, hogy a minimális jogosultsággal csak azokat az engedélyeket adja meg, amelyekre más rendszergazdáknak szükségük van a munkájuk elvégzéséhez, és elkerülik a szükségtelen hozzáférést. Az alábbi ábra bemutatja, hogyan delegálható az egyéni biztonsági attribútumok kezelése több rendszergazdának.

1. A bérlői hatókörhöz hozzárendelt attribútumdefiníciós Rendszergazda istrator szerepkörrel rendelkező rendszergazda (Xia) attribútumkészleteket ad hozzá. A rendszergazda jogosult szerepkörök hozzárendelésére másokhoz (Privileged Role Rendszergazda istrator) és olyan meghatalmazottakhoz is, akik az egyes attribútumkészletekhez egyéni biztonsági attribútumokat olvashatnak, definiálhatnak vagy rendelhetnek hozzá.
2. A delegált attribútumdefiníciós Rendszergazda istratorok (Alice és Bob) azon attribútumkészletek attribútumait határozzák meg, amelyekhez hozzáférést kaptak.
3. A delegált attribútum-hozzárendelési Rendszergazda istratorok (Chandra és Bob) attribútumokat rendelnek az attribútumkészleteikből a Microsoft Entra-objektumokhoz.

5. lépés: A megfelelő szerepkörök és hatókör kiválasztása

Miután jobban megismerte az attribútumok rendszerezésének módját, és kinek van szüksége hozzáférésre, kiválaszthatja a megfelelő egyéni biztonsági attribútumszerepköröket és hatóköröket. Az alábbi táblázat segíthet a kijelölésben.

Meg szeretném adni ezt a hozzáférést	Szerepkör hozzárendelése	Hatókör
A bérlő összes attribútumkészletének olvasása Az összes attribútumdefiníció beolvasása egy bérlőben Bérlő összes attribútumkészletének hozzáadása vagy szerkesztése Bérlői attribútumdefiníciók hozzáadása, szerkesztése vagy inaktiválása	Attribútumdefiníciós Rendszergazda istrator	Bérlő
Attribútumdefiníciók olvasása hatókörrel rendelkező attribútumkészletben Attribútumdefiníciók hozzáadása, szerkesztése vagy inaktiválása hatókörrel rendelkező attribútumkészletben A hatókörön belüli attribútumkészlet nem frissíthető Más attribútumkészletek nem olvashatók, nem vehetők fel és nem frissíthetők	Attribútumdefiníciós Rendszergazda istrator	Attribútumkészlet
A bérlő összes attribútumkészletének olvasása Az összes attribútumdefiníció beolvasása egy bérlőben Egy bérlő összes attribútum-hozzárendelésének olvasása felhasználók számára Egy bérlő összes attribútum-hozzárendelésének olvasása alkalmazásokhoz (szolgáltatásnevek) Bérlő összes attribútumának hozzárendelése a felhasználókhoz Bérlő összes attribútumának hozzárendelése alkalmazásokhoz (szolgáltatásnevekhez) Azure-szerepkör-hozzárendelési feltételek létrehozása, amelyek a Principal attribútumot használják egy bérlő összes attribútumához	Attribútum-hozzárendelési Rendszergazda istrator	Bérlő
Attribútumdefiníciók olvasása hatókörrel rendelkező attribútumkészletben Olyan attribútum-hozzárendelések olvasása, amelyek attribútumokat használnak egy hatókörrel rendelkező attribútumkészletben a felhasználók számára Olyan attribútum-hozzárendelések olvasása, amelyek az alkalmazásokhoz (szolgáltatásnevekhez) tartozó hatókörű attribútumkészletben használnak attribútumokat Attribútumok hozzárendelése hatókörrel rendelkező attribútumkészletben a felhasználókhoz Attribútumok hozzárendelése egy hatókörrel rendelkező attribútumkészletben alkalmazásokhoz (szolgáltatásnevekhez) Olyan Azure-szerepkör-hozzárendelési feltételek létrehozása, amelyek a Principal attribútumot használják egy hatókörrel rendelkező attribútumkészlet összes attribútumához Nem olvashatók az attribútumok más attribútumkészletekben Nem olvashatók olyan attribútum-hozzárendelések, amelyek attribútumokat használnak más attribútumkészletekben	Attribútum-hozzárendelési Rendszergazda istrator	Attribútumkészlet
A bérlő összes attribútumkészletének olvasása Az összes attribútumdefiníció beolvasása egy bérlőben	Attribútumdefiníció-olvasó	Bérlő
Attribútumdefiníciók olvasása hatókörrel rendelkező attribútumkészletben Más attribútumkészletek nem olvashatók	Attribútumdefiníció-olvasó	Attribútumkészlet
A bérlő összes attribútumkészletének olvasása Az összes attribútumdefiníció beolvasása egy bérlőben Egy bérlő összes attribútum-hozzárendelésének olvasása felhasználók számára Egy bérlő összes attribútum-hozzárendelésének olvasása alkalmazásokhoz (szolgáltatásnevek)	Attribútum-hozzárendelés-olvasó	Bérlő
Attribútumdefiníciók olvasása hatókörrel rendelkező attribútumkészletben Olyan attribútum-hozzárendelések olvasása, amelyek attribútumokat használnak egy hatókörrel rendelkező attribútumkészletben a felhasználók számára Olyan attribútum-hozzárendelések olvasása, amelyek az alkalmazásokhoz (szolgáltatásnevekhez) tartozó hatókörű attribútumkészletben használnak attribútumokat Nem olvashatók az attribútumok más attribútumkészletekben Nem olvashatók olyan attribútum-hozzárendelések, amelyek attribútumokat használnak más attribútumkészletekben	Attribútum-hozzárendelés-olvasó	Attribútumkészlet

6. lépés: Szerepkörök hozzárendelése

A megfelelő személyek hozzáférésének biztosításához kövesse az alábbi lépéseket az egyéni biztonsági attribútumok egyik szerepkörének hozzárendeléséhez.

Szerepkörök hozzárendelése az attribútumkészlet hatókörében

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az alábbi példák azt mutatják be, hogyan rendelhet hozzá egyéni biztonsági attribútumszerepkört egy Egyszerűhöz egy Engineering nevű attribútumkészlet-hatókörben.

Rendszergazda központ

1. Jelentkezzen be a Microsoft Entra felügyeleti központba attribútum-hozzárendelési Rendszergazda istratorként.

2. Tallózással keresse meg az Egyéni védelmi>biztonsági attribútumokat.

3. Válassza ki azt az attribútumkészletet, amelyhez hozzáférést szeretne adni.

4. Válassza a Szerepkörök és rendszergazdák lehetőséget.

   

5. Hozzárendelések hozzáadása az egyéni biztonsági attribútumszerepkörökhöz.

   Feljegyzés

   Ha Microsoft Entra Privileged Identity Managementet (PIM) használ, az attribútumkészlet hatókörében jelenleg nem támogatottak a jogosult szerepkör-hozzárendelések. Az attribútumkészlet hatókörében lévő állandó szerepkör-hozzárendelések támogatottak.

PowerShell

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScopeId = "/attributeSets/Engineering"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

Microsoft Graph

UnifiedRoleAssignment létrehozása

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/attributeSets/Engineering"
}

Azure AD PowerShell

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScope = "/attributeSets/Engineering"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Szerepkörök hozzárendelése bérlői hatókörben

Az alábbi példák bemutatják, hogyan rendelhet egyéni biztonsági attribútumszerepkört egy bérlői hatókörben lévő taghoz.

Rendszergazda központ

1. Jelentkezzen be a Microsoft Entra felügyeleti központba attribútum-hozzárendelési Rendszergazda istratorként.

2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

   

3. Hozzárendelések hozzáadása az egyéni biztonsági attribútumszerepkörökhöz.

PowerShell

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScopeId = "/"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

Microsoft Graph

UnifiedRoleAssignment létrehozása

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Azure AD PowerShell

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScope = "/"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Egyéni biztonsági attribútum naplózási naplói

Időnként szükség van az egyéni biztonsági attribútumok változásaira vonatkozó információkra naplózási vagy hibaelhárítási célokból. Amikor valaki módosítja a definíciókat vagy hozzárendeléseket, a tevékenységek naplózva lesznek.

Az egyéni biztonsági attribútumok naplózási naplóiban megtekintheti az egyéni biztonsági attribútumokkal kapcsolatos tevékenységek előzményeit, például új definíciót adhat hozzá, vagy attribútumértéket rendelhet egy felhasználóhoz. A naplózott egyéni biztonsági attribútumokkal kapcsolatos tevékenységek a következők:

• Attribútumkészlet hozzáadása
• Egyéni biztonsági attribútumdefiníció hozzáadása attribútumkészlethez
• Attribútumkészlet frissítése
• ServicePrincipalhoz rendelt attribútumértékek frissítése
• Felhasználóhoz rendelt attribútumértékek frissítése
• Egyéni biztonsági attribútumdefiníció frissítése attribútumkészletben

Az attribútummódosítások naplózási naplóinak megtekintése

Az egyéni biztonsági attribútum naplózási naplóinak megtekintéséhez jelentkezzen be a Microsoft Entra felügyeleti központjába, keresse meg a naplókat, és válassza az Egyéni biztonság lehetőséget. Az egyéni biztonsági attribútumok naplózási naplóinak megtekintéséhez az alábbi szerepkörök egyikét kell hozzárendelni. Alapértelmezés szerint egy globális Rendszergazda istrator nem rendelkezik hozzáféréssel ezekhez az auditnaplókhoz.

• Attribútumnapló-olvasó
• Attribútumnapló Rendszergazda istrator

Az egyéni biztonsági attribútumok naplózási naplóinak a Microsoft Graph API használatával történő lekéréséről az customSecurityAttributeAudit erőforrástípust ismertető cikkben olvashat. További információ: Microsoft Entra auditnaplók.

Diagnosztikai beállítások

Az egyéni biztonsági attribútumok naplózási naplóinak más célhelyekre való exportálásához további feldolgozás céljából diagnosztikai beállításokat kell használnia. Az egyéni biztonsági attribútumok diagnosztikai beállításainak létrehozásához és konfigurálásához hozzá kell rendelnie az Attribútumnapló Rendszergazda istrator szerepkört.

Tipp.

A Microsoft azt javasolja, hogy tartsa távol az egyéni biztonsági attribútumok naplózási naplóit a címtárnaplóktól, hogy az attribútum-hozzárendelések ne legyenek véletlenül felfedve.

Az alábbi képernyőkép az egyéni biztonsági attribútumok diagnosztikai beállításait mutatja be. További információ: Diagnosztikai beállítások konfigurálása.

A naplók viselkedésének módosítása

Módosításokat hajtottak végre az egyéni biztonsági attribútumok naplózási naplóiban az általános rendelkezésre állás érdekében, amelyek hatással lehetnek a napi műveletekre. Ha az előzetes verzióban egyéni biztonsági attribútumok naplózási naplóit használta, az alábbi műveleteket kell elvégeznie annak érdekében, hogy a naplóműveletek ne legyenek megzavarva.

• Új naplók helyének használata
• Attribútumnapló-szerepkörök hozzárendelése az auditnaplók megtekintéséhez
• Új diagnosztikai beállítások létrehozása naplózási naplók exportálásához

Új naplók helyének használata

Az előzetes verzióban az egyéni biztonsági attribútumok naplózási naplói a címtár-naplózási naplók végpontjába lettek írva. 2023 októberében egy új végpont lett hozzáadva kizárólag az egyéni biztonsági attribútumok naplózási naplóihoz. Az alábbi képernyőképen a címtárnaplók és az új egyéni biztonsági attribútum naplózási naplóinak helye látható. Ha a Microsoft Graph API használatával szeretné lekérni az egyéni biztonsági attribútum naplózási naplóit, tekintse meg az customSecurityAttributeAudit erőforrás típusát.

Van egy átmeneti időszak, amikor az egyéni biztonsági naplózási naplók mind a címtárba, mind az egyéni biztonsági attribútumok naplózási naplóvégpontjaiba vannak írva. A továbbiakban az egyéni biztonsági attribútumok naplózási naplóvégpontjait kell használnia az egyéni biztonsági attribútumok naplózási naplóinak megkereséséhez.

Az alábbi táblázat felsorolja azt a végpontot, ahol egyéni biztonsági attribútumok naplózási naplói találhatók az átmeneti időszakban.

Esemény dátuma	Címtárvégpont	Egyéni biztonsági attribútumok végpontja
2023. október	✅	✅
2024. február		✅

Attribútumnapló-szerepkörök hozzárendelése az auditnaplók megtekintéséhez

Az előzetes verzióban az egyéni biztonsági attribútumok naplózási naplói a globális Rendszergazda istrator vagy biztonsági Rendszergazda istrator szerepkörökkel tekinthetők meg a címtárnaplókban. Ezeket a szerepköröket már nem használhatja az egyéni biztonsági attribútumok naplózási naplóinak megtekintéséhez az új végpont használatával. Az egyéni biztonsági attribútum naplózási naplóinak megtekintéséhez attribútumnapló-olvasó vagy attribútumnapló-Rendszergazda istrator szerepkörhöz kell hozzárendelni.

Új diagnosztikai beállítások létrehozása naplózási naplók exportálásához

Az előzetes verzióban, ha az auditnaplók exportálására konfigurálta, az egyéni biztonsági naplózási attribútum auditnaplói az aktuális diagnosztikai beállításokba lettek elküldve. Az egyéni biztonsági naplózási attribútumok naplózási naplóinak fogadásához új diagnosztikai beállításokat kell létrehoznia az előző Diagnosztikai beállítások szakaszban leírtak szerint.

Következő lépések

• Egyéni biztonsági attribútumdefiníciók hozzáadása vagy inaktiválása a Microsoft Entra-azonosítóban
• Felhasználó egyéni biztonsági attribútumainak hozzárendelése, frissítése, listázása vagy eltávolítása
• Egyéni biztonsági attribútumok hibaelhárítása a Microsoft Entra-azonosítóban