Megosztás a következőn keresztül:


Egyéni biztonsági attribútumokhoz való hozzáférés kezelése a Microsoft Entra-azonosítóban

Ahhoz, hogy a szervezet tagjai hatékonyan dolgozhassanak az egyéni biztonsági attribútumokkal, meg kell adnia a megfelelő hozzáférést. Az egyéni biztonsági attribútumokban szerepeltetni kívánt információktól függően előfordulhat, hogy korlátozni szeretné az egyéni biztonsági attribútumokat, vagy széles körben elérhetővé szeretné tenni őket a szervezetben. Ez a cikk az egyéni biztonsági attribútumokhoz való hozzáférés kezelését ismerteti.

Előfeltételek

Az egyéni biztonsági attribútumokhoz való hozzáférés kezeléséhez a következőkkel kell rendelkeznie:

Fontos

Alapértelmezés szerint a globális Rendszergazda istrator és más rendszergazdai szerepkörök nem rendelkeznek egyéni biztonsági attribútumok olvasására, definiálására vagy hozzárendelésére vonatkozó engedélyekkel.

1. lépés: Az attribútumok rendszerezésének meghatározása

Minden egyéni biztonsági attribútum definíciójának egy attribútumkészlet részét kell képeznie. Az attribútumkészletekkel csoportosíthatja és kezelheti a kapcsolódó egyéni biztonsági attribútumokat. Meg kell határoznia, hogyan szeretne attribútumkészleteket hozzáadni a szervezetéhez. Előfordulhat például, hogy részlegek, csapatok vagy projektek alapján szeretne attribútumkészleteket hozzáadni. Az egyéni biztonsági attribútumokhoz való hozzáférés attól függ, hogyan rendszerezi az attribútumkészleteket.

A részlegek által beállított attribútumokat bemutató diagram.

2. lépés: A szükséges hatókör azonosítása

A hatókör az erőforrások azon halmaza, amelyre a hozzáférés vonatkozik. Egyéni biztonsági attribútumok esetén szerepköröket rendelhet a bérlői hatókörhöz vagy az attribútumkészlet hatóköréhez. Ha széles körű hozzáférést szeretne hozzárendelni, szerepköröket rendelhet a bérlői hatókörhöz. Ha azonban korlátozni szeretné az adott attribútumkészletekhez való hozzáférést, szerepköröket rendelhet hozzá az attribútumkészlet hatókörében.

A bérlői hatókört és az attribútumkészlet hatókörét bemutató ábra.

A Microsoft Entra szerepkör-hozzárendelések additív modellek, így a tényleges engedélyek a szerepkör-hozzárendelések összegét képezik. Ha például hozzárendel egy felhasználót egy szerepkörhöz a bérlői hatókörben, és ugyanazt a szerepkört rendeli hozzá az attribútumkészlet hatóköréhez, a felhasználó továbbra is rendelkezik engedéllyel a bérlő hatókörében.

3. lépés: Az elérhető szerepkörök áttekintése

Meg kell határoznia, hogy kinek van szüksége hozzáférésre az egyéni biztonsági attribútumokkal való munkához a szervezetben. Az egyéni biztonsági attribútumokhoz való hozzáférés kezeléséhez négy beépített Microsoft Entra-szerepkör van. Ha szükséges, valaki, aki legalább a Privileged Role Rendszergazda istrator szerepkörrel rendelkezik, hozzárendelheti ezeket a szerepköröket.

Az alábbi táblázat az egyéni biztonsági attribútumok szerepköreinek magas szintű összehasonlítását tartalmazza.

Engedély Attribútumdefiníciós Rendszergazda Attribútum-hozzárendelési Rendszergazda Attribútumdefiníció-olvasó Attribútum-hozzárendelés-olvasó
Attribútumkészletek olvasása
Attribútumdefiníciók olvasása
Attribútum-hozzárendelések olvasása felhasználókhoz és alkalmazásokhoz (szolgáltatásnevek)
Attribútumkészletek hozzáadása vagy szerkesztése
Attribútumdefiníciók hozzáadása, szerkesztése vagy inaktiválása
Attribútumok hozzárendelése felhasználókhoz és alkalmazásokhoz (szolgáltatásnevek)

4. lépés: A delegálási stratégia meghatározása

Ez a lépés két módszert mutat be az egyéni biztonsági attribútumokhoz való hozzáférés kezelésére. Az első módszer az, hogy központilag kezeli őket, a második módszer pedig a felügyelet másokkal való delegálása.

Attribútumok központi kezelése

Az attribútumdefiníciós Rendszergazda istrator- és attribútum-hozzárendelési Rendszergazda istrator szerepkörrel rendelkező rendszergazdák a bérlő hatókörében kezelhetik az egyéni biztonsági attribútumok minden aspektusát. Az alábbi ábra bemutatja, hogyan definiálja és rendeli hozzá egyetlen rendszergazda az egyéni biztonsági attribútumokat.

A központilag felügyelt egyéni biztonsági attribútumok diagramja.

  1. A rendszergazda (Xia) attribútumdefiníciós Rendszergazda istrator és attribútum-hozzárendelési Rendszergazda istrator szerepkörrel rendelkezik a bérlő hatókörében. A rendszergazda attribútumkészleteket ad hozzá, és attribútumokat határoz meg.
  2. A rendszergazda attribútumokat rendel a Microsoft Entra-objektumokhoz.

Az attribútumok központi kezelése azzal az előnnyel jár, hogy egy vagy két rendszergazda felügyelheti. Hátránya, hogy a rendszergazda több kérést is kaphat egyéni biztonsági attribútumok definiálására vagy hozzárendelésére. Ebben az esetben érdemes lehet delegálni a felügyeletet.

Attribútumok kezelése delegálással

Előfordulhat, hogy a rendszergazdák nem ismerik az egyéni biztonsági attribútumok definiálásának és hozzárendelésének minden helyzetét. Általában a megfelelő részlegeken, csapatokon vagy projekteken belüli felhasználók ismerik a legtöbbet a területükről. Ahelyett, hogy egy vagy két rendszergazdát rendel az összes egyéni biztonsági attribútum kezeléséhez, delegálhatja a felügyeletet az attribútumkészlet hatókörében. Ez azt is követi, hogy a minimális jogosultsággal csak azokat az engedélyeket adja meg, amelyekre más rendszergazdáknak szükségük van a munkájuk elvégzéséhez, és elkerülik a szükségtelen hozzáférést. Az alábbi ábra bemutatja, hogyan delegálható az egyéni biztonsági attribútumok kezelése több rendszergazdának.

A delegálással felügyelt egyéni biztonsági attribútumok diagramja.

  1. A bérlői hatókörhöz hozzárendelt attribútumdefiníciós Rendszergazda istrator szerepkörrel rendelkező rendszergazda (Xia) attribútumkészleteket ad hozzá. A rendszergazda jogosult szerepkörök hozzárendelésére másokhoz (Privileged Role Rendszergazda istrator) és olyan meghatalmazottakhoz is, akik az egyes attribútumkészletekhez egyéni biztonsági attribútumokat olvashatnak, definiálhatnak vagy rendelhetnek hozzá.
  2. A delegált attribútumdefiníciós Rendszergazda istratorok (Alice és Bob) azon attribútumkészletek attribútumait határozzák meg, amelyekhez hozzáférést kaptak.
  3. A delegált attribútum-hozzárendelési Rendszergazda istratorok (Chandra és Bob) attribútumokat rendelnek az attribútumkészleteikből a Microsoft Entra-objektumokhoz.

5. lépés: A megfelelő szerepkörök és hatókör kiválasztása

Miután jobban megismerte az attribútumok rendszerezésének módját, és kinek van szüksége hozzáférésre, kiválaszthatja a megfelelő egyéni biztonsági attribútumszerepköröket és hatóköröket. Az alábbi táblázat segíthet a kijelölésben.

Meg szeretném adni ezt a hozzáférést Szerepkör hozzárendelése Hatókör
Attribútumdefiníciós Rendszergazda istrator A bérlő hatókörének ikonja.
Bérlő
Attribútumdefiníciós Rendszergazda istrator Az attribútumkészlet hatókörének ikonja.
Attribútumkészlet
Attribútum-hozzárendelési Rendszergazda istrator A bérlő hatókörének ikonja.
Bérlő
Attribútum-hozzárendelési Rendszergazda istrator Az attribútumkészlet hatókörének ikonja.
Attribútumkészlet
  • A bérlő összes attribútumkészletének olvasása
  • Az összes attribútumdefiníció beolvasása egy bérlőben
Attribútumdefiníció-olvasó A bérlő hatókörének ikonja.
Bérlő
  • Attribútumdefiníciók olvasása hatókörrel rendelkező attribútumkészletben
  • Más attribútumkészletek nem olvashatók
Attribútumdefiníció-olvasó Az attribútumkészlet hatókörének ikonja.
Attribútumkészlet
  • A bérlő összes attribútumkészletének olvasása
  • Az összes attribútumdefiníció beolvasása egy bérlőben
  • Egy bérlő összes attribútum-hozzárendelésének olvasása felhasználók számára
  • Egy bérlő összes attribútum-hozzárendelésének olvasása alkalmazásokhoz (szolgáltatásnevek)
Attribútum-hozzárendelés-olvasó A bérlő hatókörének ikonja.
Bérlő
  • Attribútumdefiníciók olvasása hatókörrel rendelkező attribútumkészletben
  • Olyan attribútum-hozzárendelések olvasása, amelyek attribútumokat használnak egy hatókörrel rendelkező attribútumkészletben a felhasználók számára
  • Olyan attribútum-hozzárendelések olvasása, amelyek az alkalmazásokhoz (szolgáltatásnevekhez) tartozó hatókörű attribútumkészletben használnak attribútumokat
  • Nem olvashatók az attribútumok más attribútumkészletekben
  • Nem olvashatók olyan attribútum-hozzárendelések, amelyek attribútumokat használnak más attribútumkészletekben
Attribútum-hozzárendelés-olvasó Az attribútumkészlet hatókörének ikonja.
Attribútumkészlet

6. lépés: Szerepkörök hozzárendelése

A megfelelő személyek hozzáférésének biztosításához kövesse az alábbi lépéseket az egyéni biztonsági attribútumok egyik szerepkörének hozzárendeléséhez.

Szerepkörök hozzárendelése az attribútumkészlet hatókörében

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Az alábbi példák azt mutatják be, hogyan rendelhet hozzá egyéni biztonsági attribútumszerepkört egy Egyszerűhöz egy Engineering nevű attribútumkészlet-hatókörben.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba attribútum-hozzárendelési Rendszergazda istratorként.

  2. Tallózással keresse meg az Egyéni védelmi>biztonsági attribútumokat.

  3. Válassza ki azt az attribútumkészletet, amelyhez hozzáférést szeretne adni.

  4. Válassza a Szerepkörök és rendszergazdák lehetőséget.

    Képernyőkép attribútumszerepkörök hozzárendeléséről az attribútumkészlet hatókörében.

  5. Hozzárendelések hozzáadása az egyéni biztonsági attribútumszerepkörökhöz.

    Feljegyzés

    Ha Microsoft Entra Privileged Identity Managementet (PIM) használ, az attribútumkészlet hatókörében jelenleg nem támogatottak a jogosult szerepkör-hozzárendelések. Az attribútumkészlet hatókörében lévő állandó szerepkör-hozzárendelések támogatottak.

Szerepkörök hozzárendelése bérlői hatókörben

Az alábbi példák bemutatják, hogyan rendelhet egyéni biztonsági attribútumszerepkört egy bérlői hatókörben lévő taghoz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba attribútum-hozzárendelési Rendszergazda istratorként.

  2. Keresse meg az Identitásszerepkörök>> Rendszergazdai>szerepkörök > rendszergazdai szerepköröket.

    Képernyőkép az attribútumszerepkörök bérlői hatókörben való hozzárendeléséről.

  3. Hozzárendelések hozzáadása az egyéni biztonsági attribútumszerepkörökhöz.

Egyéni biztonsági attribútum naplózási naplói

Időnként szükség van az egyéni biztonsági attribútumok változásaira vonatkozó információkra naplózási vagy hibaelhárítási célokból. Amikor valaki módosítja a definíciókat vagy hozzárendeléseket, a tevékenységek naplózva lesznek.

Az egyéni biztonsági attribútumok naplózási naplóiban megtekintheti az egyéni biztonsági attribútumokkal kapcsolatos tevékenységek előzményeit, például új definíciót adhat hozzá, vagy attribútumértéket rendelhet egy felhasználóhoz. A naplózott egyéni biztonsági attribútumokkal kapcsolatos tevékenységek a következők:

  • Attribútumkészlet hozzáadása
  • Egyéni biztonsági attribútumdefiníció hozzáadása attribútumkészlethez
  • Attribútumkészlet frissítése
  • ServicePrincipalhoz rendelt attribútumértékek frissítése
  • Felhasználóhoz rendelt attribútumértékek frissítése
  • Egyéni biztonsági attribútumdefiníció frissítése attribútumkészletben

Az attribútummódosítások naplózási naplóinak megtekintése

Az egyéni biztonsági attribútum naplózási naplóinak megtekintéséhez jelentkezzen be a Microsoft Entra felügyeleti központjába, keresse meg a naplókat, és válassza az Egyéni biztonság lehetőséget. Az egyéni biztonsági attribútumok naplózási naplóinak megtekintéséhez az alábbi szerepkörök egyikét kell hozzárendelni. Ha szükséges, valaki, aki legalább a Privileged Role Rendszergazda istrator szerepkörrel rendelkezik, hozzárendelheti ezeket a szerepköröket.

Képernyőkép az auditnaplókról, amelyen az Egyéni biztonság lap van kijelölve.

Az egyéni biztonsági attribútumok naplózási naplóinak a Microsoft Graph API használatával történő lekéréséről az customSecurityAttributeAudit erőforrástípust ismertető cikkben olvashat. További információ: Microsoft Entra auditnaplók.

Diagnosztikai beállítások

Az egyéni biztonsági attribútumok naplózási naplóinak más célhelyekre való exportálásához további feldolgozás céljából diagnosztikai beállításokat kell használnia. Az egyéni biztonsági attribútumok diagnosztikai beállításainak létrehozásához és konfigurálásához hozzá kell rendelnie az Attribútumnapló Rendszergazda istrator szerepkört.

Tipp.

A Microsoft azt javasolja, hogy tartsa távol az egyéni biztonsági attribútumok naplózási naplóit a címtárnaplóktól, hogy az attribútum-hozzárendelések ne legyenek véletlenül felfedve.

Az alábbi képernyőkép az egyéni biztonsági attribútumok diagnosztikai beállításait mutatja be. További információ: Diagnosztikai beállítások konfigurálása.

Képernyőkép a diagnosztikai beállításokról, amelyen az Egyéni biztonsági attribútumok lap van kijelölve.

A naplók viselkedésének módosítása

Módosításokat hajtottak végre az egyéni biztonsági attribútumok naplózási naplóiban az általános rendelkezésre állás érdekében, amelyek hatással lehetnek a napi műveletekre. Ha az előzetes verzióban egyéni biztonsági attribútumok naplózási naplóit használta, az alábbi műveleteket kell elvégeznie annak érdekében, hogy a naplóműveletek ne legyenek megzavarva.

  • Új naplók helyének használata
  • Attribútumnapló-szerepkörök hozzárendelése az auditnaplók megtekintéséhez
  • Új diagnosztikai beállítások létrehozása naplózási naplók exportálásához

Új naplók helyének használata

Az előzetes verzióban az egyéni biztonsági attribútumok naplózási naplói a címtár-naplózási naplók végpontjába lettek írva. 2023 októberében egy új végpont lett hozzáadva kizárólag az egyéni biztonsági attribútumok naplózási naplóihoz. Az alábbi képernyőképen a címtárnaplók és az új egyéni biztonsági attribútum naplózási naplóinak helye látható. Ha a Microsoft Graph API használatával szeretné lekérni az egyéni biztonsági attribútum naplózási naplóit, tekintse meg az customSecurityAttributeAudit erőforrás típusát.

Képernyőkép a Címtár és az Egyéni biztonság lapokat megjelenítő naplózási naplókról.

Van egy átmeneti időszak, amikor az egyéni biztonsági naplózási naplók mind a címtárba, mind az egyéni biztonsági attribútumok naplózási naplóvégpontjaiba vannak írva. A továbbiakban az egyéni biztonsági attribútumok naplózási naplóvégpontjait kell használnia az egyéni biztonsági attribútumok naplózási naplóinak megkereséséhez.

Az alábbi táblázat felsorolja azt a végpontot, ahol egyéni biztonsági attribútumok naplózási naplói találhatók az átmeneti időszakban.

Esemény dátuma Címtárvégpont Egyéni biztonsági attribútumok végpontja
2023. október
2024. február

Attribútumnapló-szerepkörök hozzárendelése az auditnaplók megtekintéséhez

Az előzetes verzióban az egyéni biztonsági attribútumok naplózási naplóit azok tekinthetik meg, akik legalább biztonsági Rendszergazda istrator szerepkörrel rendelkeznek a címtárnaplókban. Ezeket a szerepköröket már nem használhatja az egyéni biztonsági attribútumok naplózási naplóinak megtekintéséhez az új végpont használatával. Az egyéni biztonsági attribútum naplózási naplóinak megtekintéséhez attribútumnapló-olvasó vagy attribútumnapló-Rendszergazda istrator szerepkörhöz kell hozzárendelni.

Új diagnosztikai beállítások létrehozása naplózási naplók exportálásához

Az előzetes verzióban, ha az auditnaplók exportálására konfigurálta, az egyéni biztonsági naplózási attribútum auditnaplói az aktuális diagnosztikai beállításokba lettek elküldve. Az egyéni biztonsági naplózási attribútumok naplózási naplóinak fogadásához új diagnosztikai beállításokat kell létrehoznia az előző Diagnosztikai beállítások szakaszban leírtak szerint.

Következő lépések