Condividi tramite


Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID

Per consentire agli utenti dell'organizzazione di lavorare efficacemente con attributi di sicurezza personalizzati, è necessario concedere l'accesso appropriato. A seconda delle informazioni che si prevede di includere negli attributi di sicurezza personalizzati, è possibile limitare gli attributi di sicurezza personalizzati o renderli facilmente accessibili nell'organizzazione. Questo articolo descrive come gestire l'accesso agli attributi di sicurezza personalizzati.

Prerequisiti

Per gestire l'accesso agli attributi di sicurezza personalizzati, è necessario disporre di:

Importante

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati.

Passaggio 1: Determinare come organizzare gli attributi

Ogni definizione di attributo di sicurezza personalizzata deve far parte di un set di attributi. Un set di attributi è un modo per raggruppare e gestire gli attributi di sicurezza personalizzati correlati. È necessario determinare come aggiungere set di attributi per l'organizzazione. Ad esempio, è possibile aggiungere set di attributi in base a reparti, team o progetti. La possibilità di concedere l'accesso agli attributi di sicurezza personalizzati dipende dalla modalità di organizzazione dei set di attributi.

Diagramma che mostra un attributo impostato per reparto.

Passaggio 2: Identificare l'ambito necessario

Ambito è il set di risorse a cui si applica l'accesso. Per gli attributi di sicurezza personalizzati, è possibile assegnare ruoli nell'ambito del tenant o nell'ambito del set di attributi. Se si vuole assegnare un accesso ampio, è possibile assegnare ruoli nell'ambito del tenant. Tuttavia, se si vuole limitare l'accesso a determinati set di attributi, è possibile assegnare ruoli nell'ambito del set di attributi.

Diagramma che mostra l'ambito del tenant e l'ambito del set di attributi.

Le assegnazioni di ruolo di Microsoft Entra sono un modello aggiuntivo, quindi le autorizzazioni valide sono la somma delle assegnazioni di ruolo. Ad esempio, se si assegna un ruolo a un utente nell'ambito del tenant e si assegna allo stesso utente lo stesso ruolo nell'ambito del set di attributi, l'utente avrà comunque le autorizzazioni nell'ambito del tenant.

Passaggio 3: Esaminare i ruoli disponibili

È necessario determinare chi deve accedere per lavorare con attributi di sicurezza personalizzati nell'organizzazione. Per gestire l'accesso agli attributi di sicurezza personalizzati, sono disponibili quattro ruoli predefiniti di Microsoft Entra. Se necessario, un utente con almeno il ruolo con ruolo con privilegi Amministrazione istrator può assegnare questi ruoli.

Nella tabella seguente viene fornito un confronto generale dei ruoli degli attributi di sicurezza personalizzati.

Autorizzazione Amministrazione di definizione degli attributi Assegnazione di attributi Amministrazione Lettore definizione di attributi Lettore assegnazione di attributi
Leggere i set di attributi
Leggere le definizioni degli attributi
Leggere le assegnazioni di attributi per utenti e applicazioni (entità servizio)
Aggiungere o modificare set di attributi
Aggiungere, modificare o disattivare definizioni di attributi
Assegnare attributi a utenti e applicazioni (entità servizio)

Passaggio 4: Determinare la strategia di delega

Questo passaggio descrive due modi in cui è possibile gestire l'accesso agli attributi di sicurezza personalizzati. Il primo consiste nel gestirli centralmente e il secondo consiste nel delegare la gestione ad altri utenti.

Gestire gli attributi centralmente

Un amministratore a cui è stata assegnata la definizione dell'attributo Amministrazione istrator e l'assegnazione di attributi Amministrazione istrator nell'ambito del tenant può gestire tutti gli aspetti degli attributi di sicurezza personalizzati. Il diagramma seguente mostra come vengono definiti e assegnati attributi di sicurezza personalizzati da un singolo amministratore.

Diagramma degli attributi di sicurezza personalizzati gestiti centralmente.

  1. L'amministratore (Xia) ha sia i ruoli Attribute Definition Amministrazione istrator che Attribute Assignment Amministrazione istrator assegnati nell'ambito del tenant. L'amministratore aggiunge set di attributi e definisce gli attributi.
  2. L'amministratore assegna gli attributi agli oggetti Microsoft Entra.

La gestione degli attributi offre centralmente il vantaggio che può essere gestito da uno o due amministratori. Lo svantaggio è che l'amministratore potrebbe ricevere diverse richieste per definire o assegnare attributi di sicurezza personalizzati. In questo caso, potrebbe essere necessario delegare la gestione.

Gestire gli attributi con delega

Un amministratore potrebbe non conoscere tutte le situazioni in cui gli attributi di sicurezza personalizzati devono essere definiti e assegnati. In genere si tratta di utenti all'interno dei rispettivi reparti, team o progetti che conoscono meglio la loro area. Anziché assegnare uno o due amministratori per gestire tutti gli attributi di sicurezza personalizzati, è invece possibile delegare la gestione nell'ambito del set di attributi. Ciò segue anche la procedura consigliata di privilegi minimi per concedere solo le autorizzazioni necessarie agli altri amministratori per svolgere il proprio lavoro ed evitare l'accesso non necessario. Il diagramma seguente illustra come delegare la gestione degli attributi di sicurezza personalizzati a più amministratori.

Diagramma degli attributi di sicurezza personalizzati gestiti con delega.

  1. L'amministratore (Xia) con il ruolo Attribute Definition Amministrazione istrator assegnato nell'ambito del tenant aggiunge set di attributi. L'amministratore ha anche le autorizzazioni per assegnare ruoli ad altri (ruolo con privilegi Amministrazione istrator) e delegati che possono leggere, definire o assegnare attributi di sicurezza personalizzati per ogni set di attributi.
  2. La definizione dell'attributo delegata Amministrazione istrators (Alice e Bob) definisce gli attributi nei set di attributi a cui è stato concesso l'accesso.
  3. L'assegnazione di attributi delegati Amministrazione istrators (Chandra e Bob) assegna gli attributi dai relativi set di attributi agli oggetti Microsoft Entra.

Passaggio 5: Selezionare i ruoli e l'ambito appropriati

Dopo aver compreso meglio il modo in cui gli attributi verranno organizzati e chi deve accedere, è possibile selezionare i ruoli e l'ambito appropriati per gli attributi di sicurezza personalizzati. La tabella seguente può essere utile per la selezione.

Si vuole concedere l'accesso Assegnare questo ruolo Ambito
Definizione dell'attributo Amministrazione istrator Icona per l'ambito del tenant.
Tenant
Definizione dell'attributo Amministrazione istrator Icona per l'ambito del set di attributi.
Set di attributi
Amministratore assegnazione di attributi Icona per l'ambito del tenant.
Tenant
Amministratore assegnazione di attributi Icona per l'ambito del set di attributi.
Set di attributi
  • Leggere tutti i set di attributi in un tenant
  • Leggere tutte le definizioni di attributi in un tenant
Lettore di definizioni di attributi Icona per l'ambito del tenant.
Tenant
  • Leggere le definizioni degli attributi in un set di attributi con ambito
  • Impossibile leggere altri set di attributi
Lettore di definizioni di attributi Icona per l'ambito del set di attributi.
Set di attributi
  • Leggere tutti i set di attributi in un tenant
  • Leggere tutte le definizioni di attributi in un tenant
  • Leggere tutte le assegnazioni di attributi in un tenant per gli utenti
  • Leggere tutte le assegnazioni di attributi in un tenant per le applicazioni (entità servizio)
Lettore assegnazione attributi Icona per l'ambito del tenant.
Tenant
  • Leggere le definizioni degli attributi in un set di attributi con ambito
  • Leggere le assegnazioni di attributi che usano attributi in un set di attributi con ambito per gli utenti
  • Leggere le assegnazioni di attributi che usano attributi in un set di attributi con ambito per le applicazioni (entità servizio)
  • Impossibile leggere gli attributi in altri set di attributi
  • Impossibile leggere le assegnazioni di attributi che usano attributi in altri set di attributi
Lettore assegnazione attributi Icona per l'ambito del set di attributi.
Set di attributi

Passaggio 6: Assegnare ruoli

Per concedere l'accesso alle persone appropriate, seguire questa procedura per assegnare uno dei ruoli degli attributi di sicurezza personalizzati.

Assegnare ruoli nell'ambito del set di attributi

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Negli esempi seguenti viene illustrato come assegnare un ruolo attributo di sicurezza personalizzato a un'entità in un ambito set di attributi denominato Engineering.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come assegnazione di attributi Amministrazione istrator.

  2. Passare a Protezione>attributi di sicurezza personalizzati.

  3. Selezionare il set di attributi a cui si vuole concedere l'accesso.

  4. Selezionare Ruoli e amministratori.

    Screenshot dell'assegnazione dei ruoli degli attributi nell'ambito del set di attributi.

  5. Aggiungere assegnazioni per i ruoli degli attributi di sicurezza personalizzati.

    Nota

    Se si usa Microsoft Entra Privileged Identity Management (PIM), le assegnazioni di ruolo idonee nell'ambito del set di attributi non sono attualmente supportate. Sono supportate le assegnazioni di ruolo permanenti nell'ambito del set di attributi.

Assegnare ruoli nell'ambito del tenant

Gli esempi seguenti illustrano come assegnare un ruolo attributo di sicurezza personalizzato a un'entità nell'ambito del tenant.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come assegnazione di attributi Amministrazione istrator.

  2. Passare a Ruoli di identità>e ruoli amministratori e amministratori.>

    Screenshot dell'assegnazione di ruoli di attributo nell'ambito del tenant.

  3. Aggiungere assegnazioni per i ruoli degli attributi di sicurezza personalizzati.

Log di controllo degli attributi di sicurezza personalizzati

In alcuni casi sono necessarie informazioni sulle modifiche personalizzate degli attributi di sicurezza per scopi di controllo o risoluzione dei problemi. Ogni volta che un utente apporta modifiche alle definizioni o alle assegnazioni, le attività vengono registrate.

I log di controllo degli attributi di sicurezza personalizzati forniscono la cronologia delle attività correlate agli attributi di sicurezza personalizzati, ad esempio l'aggiunta di una nuova definizione o l'assegnazione di un valore di attributo a un utente. Ecco le attività personalizzate correlate agli attributi di sicurezza registrate:

  • Aggiungere un set di attributi
  • Aggiungere una definizione di attributo di sicurezza personalizzata in un set di attributi
  • Aggiornare un set di attributi
  • Aggiornare i valori degli attributi assegnati a un servicePrincipal
  • Aggiornare i valori degli attributi assegnati a un utente
  • Aggiornare la definizione dell'attributo di sicurezza personalizzata in un set di attributi

Visualizzare i log di controllo per le modifiche degli attributi

Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, accedere all'interfaccia di amministrazione di Microsoft Entra, passare a Log di controllo e selezionare Sicurezza personalizzata. Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli seguenti. Se necessario, un utente con almeno il ruolo con ruolo con privilegi Amministrazione istrator può assegnare questi ruoli.

Screenshot dei log di controllo con la scheda Sicurezza personalizzata selezionata.

Per informazioni su come ottenere i log di controllo degli attributi di sicurezza personalizzati usando l'API Microsoft Graph, vedere il customSecurityAttributeAudit tipo di risorsa. Per altre informazioni, vedere Log di controllo di Microsoft Entra.

Impostazioni di diagnostica

Per esportare log di controllo degli attributi di sicurezza personalizzati in destinazioni diverse per un'elaborazione aggiuntiva, usare le impostazioni di diagnostica. Per creare e configurare le impostazioni di diagnostica per gli attributi di sicurezza personalizzati, è necessario assegnare il ruolo Log attributi Amministrazione istrator.

Suggerimento

Microsoft consiglia di mantenere i log di controllo degli attributi di sicurezza personalizzati separati dai log di controllo della directory in modo che le assegnazioni di attributi non vengano rivelate inavvertitamente.

Lo screenshot seguente mostra le impostazioni di diagnostica per gli attributi di sicurezza personalizzati. Per altre informazioni, vedere Come configurare le impostazioni di diagnostica.

Screenshot delle impostazioni di diagnostica con la scheda Attributi di sicurezza personalizzati selezionata.

Modifiche al comportamento dei log di controllo

Sono state apportate modifiche ai log di controllo degli attributi di sicurezza personalizzati per la disponibilità generale che potrebbero influire sulle operazioni quotidiane. Se si usano log di controllo degli attributi di sicurezza personalizzati durante l'anteprima, ecco le azioni da eseguire per assicurarsi che le operazioni del log di controllo non vengano interrotte.

  • Usare il nuovo percorso dei log di controllo
  • Assegnare ruoli log attributi per visualizzare i log di controllo
  • Creare nuove impostazioni di diagnostica per esportare i log di controllo

Usare il nuovo percorso dei log di controllo

Durante l'anteprima, i log di controllo degli attributi di sicurezza personalizzati sono stati scritti nell'endpoint dei log di controllo della directory. Nell'ottobre 2023 è stato aggiunto un nuovo endpoint esclusivamente per i log di controllo degli attributi di sicurezza personalizzati. Lo screenshot seguente mostra i log di controllo della directory e il nuovo percorso dei log di controllo degli attributi di sicurezza personalizzati. Per ottenere i log di controllo degli attributi di sicurezza personalizzati usando l'API Microsoft Graph, vedere il customSecurityAttributeAudit tipo di risorsa.

Screenshot dei log di controllo che mostra le schede Directory e Sicurezza personalizzata.

Esiste un periodo di transizione in cui i log di controllo della sicurezza personalizzati vengono scritti sia nella directory che negli endpoint del log di controllo degli attributi di sicurezza personalizzati. In futuro, è necessario usare l'endpoint del log di controllo degli attributi di sicurezza personalizzati per trovare i log di controllo degli attributi di sicurezza personalizzati.

La tabella seguente elenca l'endpoint in cui è possibile trovare log di controllo degli attributi di sicurezza personalizzati durante il periodo di transizione.

Data evento Endpoint della directory Endpoint degli attributi di sicurezza personalizzati
Ott. 2023
febbr. 2024

Assegnare ruoli log attributi per visualizzare i log di controllo

Durante l'anteprima, i log di controllo degli attributi di sicurezza personalizzati possono essere visualizzati da quelli con almeno il ruolo Security Amministrazione istrator nei log di controllo della directory. Non è più possibile usare questi ruoli per visualizzare i log di controllo degli attributi di sicurezza personalizzati usando il nuovo endpoint. Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, è necessario assegnare il ruolo Di lettura log attributi o Log attributi Amministrazione istrator.

Creare nuove impostazioni di diagnostica per esportare i log di controllo

Durante l'anteprima, se è stato configurato per esportare i log di controllo di controllo, i log di controllo della sicurezza personalizzati sono stati inviati alle impostazioni di diagnostica correnti. Per continuare a ricevere log di controllo degli attributi di controllo della sicurezza personalizzati, è necessario creare nuove impostazioni di diagnostica come descritto nella sezione Impostazioni di diagnostica precedente.

Passaggi successivi