Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id

Artikel
02/01/2024

Als personen in uw organisatie effectief willen werken met aangepaste beveiligingskenmerken, moet u de juiste toegang verlenen. Afhankelijk van de informatie die u wilt opnemen in aangepaste beveiligingskenmerken, wilt u mogelijk aangepaste beveiligingskenmerken beperken of wilt u deze mogelijk breed toegankelijk maken in uw organisatie. In dit artikel wordt beschreven hoe u de toegang tot aangepaste beveiligingskenmerken beheert.

Vereisten

Als u de toegang tot aangepaste beveiligingskenmerken wilt beheren, moet u het volgende hebben:

Kenmerktoewijzingsbeheerder
Microsoft.Graph-module bij gebruik van Microsoft Graph PowerShell

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Stap 1: Bepalen hoe u uw kenmerken ordent

Elke definitie van een aangepast beveiligingskenmerk moet deel uitmaken van een kenmerkenset. Een kenmerkenset is een manier om gerelateerde aangepaste beveiligingskenmerken te groeperen en te beheren. U moet bepalen hoe u kenmerkensets voor uw organisatie wilt toevoegen. U kunt bijvoorbeeld kenmerksets toevoegen op basis van afdelingen, teams of projecten. Uw mogelijkheid om toegang te verlenen tot aangepaste beveiligingskenmerken, is afhankelijk van hoe u uw kenmerksets ordent.

Diagram showing an attribute set by department.

Stap 2: Het benodigde bereik identificeren

Bereik is de set resources waarop de toegang van toepassing is. Voor aangepaste beveiligingskenmerken kunt u rollen toewijzen op tenantbereik of op kenmerksetbereik. Als u brede toegang wilt toewijzen, kunt u rollen toewijzen op tenantbereik. Als u echter de toegang tot bepaalde kenmerksets wilt beperken, kunt u rollen toewijzen aan het bereik van de kenmerkset.

Diagram showing tenant scope and attribute set scope.

Microsoft Entra-roltoewijzingen zijn een additief model, dus uw effectieve machtigingen zijn de som van uw roltoewijzingen. Als u bijvoorbeeld een gebruiker een rol toewijst in het tenantbereik en dezelfde gebruiker dezelfde rol toewijst op het kenmerksetbereik, heeft de gebruiker nog steeds machtigingen voor het tenantbereik.

Stap 3: De beschikbare rollen controleren

U moet bepalen wie toegang nodig heeft om te werken met aangepaste beveiligingskenmerken in uw organisatie. Om u te helpen de toegang tot aangepaste beveiligingskenmerken te beheren, zijn er vier ingebouwde Microsoft Entra-rollen. Globale Beheer istrator- en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen. Indien nodig kan een globale beheerder deze rollen aan zichzelf toewijzen.

De volgende tabel bevat een vergelijking op hoog niveau van de aangepaste beveiligingskenmerkenrollen.

Machtiging	Beheerder van kenmerkdefinitie	Beheerder van kenmerktoewijzing	Lezer van kenmerkdefinitie	Lezer van kenmerktoewijzing
Kenmerkensets lezen	✅	✅	✅	✅
Kenmerkdefinities lezen	✅	✅	✅	✅
Kenmerktoewijzingen lezen voor gebruikers en toepassingen (service-principals)		✅		✅
Kenmerksets toevoegen of bewerken	✅
Kenmerkdefinities toevoegen, bewerken of deactiveren	✅
Kenmerken toewijzen aan gebruikers en toepassingen (service-principals)		✅

Stap 4: Uw delegatiestrategie bepalen

In deze stap worden twee manieren beschreven waarop u de toegang tot aangepaste beveiligingskenmerken kunt beheren. De eerste manier is om ze centraal te beheren en de tweede manier is om het beheer aan anderen te delegeren.

Kenmerken centraal beheren

Een beheerder waaraan de rollen Beheerder van kenmerkdefinitie en Beheerder van kenmerktoewijzing op tenantbereik zijn toegewezen, kan alle aspecten van aangepaste beveiligingskenmerken beheren. In het volgende diagram ziet u hoe aangepaste beveiligingskenmerken worden gedefinieerd en toegewezen door één beheerder.

De beheerder (Xia) heeft zowel de rollen Beheerder van kenmerkdefinitie als Beheerder van kenmerktoewijzing toegewezen op tenantbereik. De beheerder voegt kenmerksets toe en definieert kenmerken.
De beheerder wijst kenmerken toe aan Microsoft Entra-objecten.

Het beheren van kenmerken heeft het voordeel dat het kan worden beheerd door een of twee beheerders. Het nadeel is dat de beheerder mogelijk verschillende aanvragen krijgt om aangepaste beveiligingskenmerken te definiëren of toe te wijzen. In dit geval wilt u mogelijk beheer delegeren.

Kenmerken beheren met delegering

Een beheerder weet mogelijk niet alle situaties waarin aangepaste beveiligingskenmerken moeten worden gedefinieerd en toegewezen. Meestal zijn het gebruikers binnen de respectieve afdelingen, teams of projecten die het meeste weten over hun gebied. In plaats van een of twee beheerders toe te wijzen voor het beheren van alle aangepaste beveiligingskenmerken, kunt u het beheer ook delegeren op kenmerksetbereik. Dit volgt ook de best practice van minimale bevoegdheden om alleen de machtigingen te verlenen die andere beheerders nodig hebben om hun taak uit te voeren en onnodige toegang te voorkomen. In het volgende diagram ziet u hoe het beheer van aangepaste beveiligingskenmerken kan worden gedelegeerd aan meerdere beheerders.

De beheerder (Xia) met de rol Kenmerkdefinitiebeheerder die aan het tenantbereik is toegewezen, voegt kenmerksets toe. De beheerder heeft ook machtigingen om rollen toe te wijzen aan anderen (Beheerder met bevoorrechte rol) en gemachtigden die aangepaste beveiligingskenmerken voor elke kenmerkenset kunnen lezen, definiëren of toewijzen.
De gedelegeerde Beheerders van kenmerkdefinities (Alice en Bob) definiëren kenmerken in de kenmerkensets waarvoor ze toegang hebben gekregen.
De gedelegeerde kenmerktoewijzing Beheer istrators (Chandra en Bob) wijzen kenmerken toe vanuit hun kenmerksets aan Microsoft Entra-objecten.

Stap 5: Selecteer de juiste rollen en het juiste bereik

Zodra u meer inzicht hebt in de manier waarop uw kenmerken worden ingedeeld en wie toegang nodig heeft, kunt u de juiste aangepaste beveiligingskenmerkrollen en het bijbehorende bereik selecteren. De volgende tabel kan u helpen bij de selectie.

Ik wil deze toegang verlenen	Deze rol toewijzen	Bereik
Alle kenmerksets in een tenant lezen Alle kenmerkdefinities in een tenant lezen Alle kenmerksets in een tenant toevoegen of bewerken Alle kenmerkdefinities in een tenant toevoegen, bewerken of deactiveren	Kenmerkdefinitiebeheerder	Tenant
Kenmerkdefinities lezen in een set met scoped kenmerken Kenmerkdefinities toevoegen, bewerken of deactiveren in een set met scoped kenmerken Kan de set met scoped kenmerken niet bijwerken Kan andere kenmerksets niet lezen, toevoegen of bijwerken	Kenmerkdefinitiebeheerder	Kenmerkset
Alle kenmerksets in een tenant lezen Alle kenmerkdefinities in een tenant lezen Alle kenmerktoewijzingen in een tenant lezen voor gebruikers Alle kenmerktoewijzingen in een tenant lezen voor toepassingen (service-principals) Alle kenmerken in een tenant toewijzen aan gebruikers Alle kenmerken in een tenant toewijzen aan toepassingen (service-principals) Voorwaarden voor Azure-roltoewijzing maken die gebruikmaken van het kenmerk Principal voor alle kenmerken in een tenant	Kenmerktoewijzingsbeheerder	Tenant
Kenmerkdefinities lezen in een set met scoped kenmerken Kenmerktoewijzingen lezen die gebruikmaken van kenmerken in een set met scoped kenmerken voor gebruikers Kenmerktoewijzingen lezen die gebruikmaken van kenmerken in een set met scoped kenmerken voor toepassingen (service-principals) Kenmerken toewijzen in een set met scoped kenmerken die is ingesteld op gebruikers Kenmerken toewijzen in een set met scoped kenmerken die is ingesteld op toepassingen (service-principals) Voorwaarden voor Azure-roltoewijzing maken die gebruikmaken van het principal-kenmerk voor alle kenmerken in een set met scoped kenmerken Kan kenmerken in andere kenmerksets niet lezen Kan kenmerktoewijzingen die gebruikmaken van kenmerken in andere kenmerksets niet lezen	Kenmerktoewijzingsbeheerder	Kenmerkset
Alle kenmerksets in een tenant lezen Alle kenmerkdefinities in een tenant lezen	Kenmerkdefinitielezer	Tenant
Kenmerkdefinities lezen in een set met scoped kenmerken Kan andere kenmerksets niet lezen	Kenmerkdefinitielezer	Kenmerkset
Alle kenmerksets in een tenant lezen Alle kenmerkdefinities in een tenant lezen Alle kenmerktoewijzingen in een tenant lezen voor gebruikers Alle kenmerktoewijzingen in een tenant lezen voor toepassingen (service-principals)	Lezer van kenmerktoewijzing	Tenant
Kenmerkdefinities lezen in een set met scoped kenmerken Kenmerktoewijzingen lezen die gebruikmaken van kenmerken in een set met scoped kenmerken voor gebruikers Kenmerktoewijzingen lezen die gebruikmaken van kenmerken in een set met scoped kenmerken voor toepassingen (service-principals) Kan kenmerken in andere kenmerksets niet lezen Kan kenmerktoewijzingen die gebruikmaken van kenmerken in andere kenmerksets niet lezen	Lezer van kenmerktoewijzing	Kenmerkset

Stap 6: Rollen toewijzen

Als u toegang wilt verlenen aan de juiste personen, volgt u deze stappen om een van de aangepaste beveiligingskenmerkrollen toe te wijzen.

Rollen toewijzen aan set met scoped kenmerken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

In de volgende voorbeelden ziet u hoe u een aangepaste beveiligingskenmerkrol toewijst aan een principal in een kenmerksetbereik met de naam Engineering.

Meld u aan bij het Microsoft Entra-beheercentrum als kenmerktoewijzing Beheer istrator.
Blader naar aangepaste beveiligingskenmerken voor beveiliging>.
Selecteer de kenmerkenet waaraan u toegang wilt verlenen.
Selecteer Rollen en beheerders.
Toewijzingen toevoegen voor de aangepaste beveiligingskenmerkrollen.

Notitie

Als u Microsoft Entra Privileged Identity Management (PIM) gebruikt, worden in aanmerking komende roltoewijzingen op kenmerksetbereik momenteel niet ondersteund. Permanente roltoewijzingen op het bereik van de kenmerkset worden ondersteund.

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScopeId = "/attributeSets/Engineering"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

UnifiedRoleAssignment maken

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/attributeSets/Engineering"
}

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScope = "/attributeSets/Engineering"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Rollen toewijzen op tenantbereik

In de volgende voorbeelden ziet u hoe u een aangepaste beveiligingskenmerkrol toewijst aan een principal binnen het tenantbereik.

Meld u aan bij het Microsoft Entra-beheercentrum als kenmerktoewijzing Beheer istrator.
Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.
Toewijzingen toevoegen voor de aangepaste beveiligingskenmerkrollen.

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScopeId = "/"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

UnifiedRoleAssignment maken

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScope = "/"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Auditlogboeken voor aangepaste beveiligingskenmerken

Soms hebt u informatie nodig over wijzigingen in aangepaste beveiligingskenmerken voor controle- of probleemoplossingsdoeleinden. Wanneer iemand wijzigingen aanbrengt in definities of toewijzingen, worden de activiteiten geregistreerd.

Auditlogboeken voor aangepaste beveiligingskenmerken bieden u de geschiedenis van activiteiten met betrekking tot aangepaste beveiligingskenmerken, zoals het toevoegen van een nieuwe definitie of het toewijzen van een kenmerkwaarde aan een gebruiker. Hier volgen de aangepaste activiteiten met betrekking tot beveiligingskenmerken die zijn vastgelegd:

Kenmerkset toevoegen
Aangepaste definitie van beveiligingskenmerk toevoegen in een kenmerkenset
Kenmerkset bijwerken
Kenmerkwaarden bijwerken die zijn toegewezen aan een servicePrincipal
Kenmerkwaarden bijwerken die zijn toegewezen aan een gebruiker
Aangepaste definitie van beveiligingskenmerk bijwerken in een kenmerkenset

Auditlogboeken weergeven voor kenmerkwijzigingen

Als u de auditlogboeken van het aangepaste beveiligingskenmerk wilt bekijken, meldt u zich aan bij het Microsoft Entra-beheercentrum, bladert u naar auditlogboeken en selecteert u Aangepaste beveiliging. Als u auditlogboeken voor aangepaste beveiligingskenmerken wilt weergeven, moet u een van de volgende rollen toegewezen krijgen. Een Global Beheer istrator heeft standaard geen toegang tot deze auditlogboeken.

Zie het resourcetype voor informatie over het ophalen van de auditlogboeken van het aangepaste beveiligingskenmerk met behulp van de Microsoft Graph API.customSecurityAttributeAudit Zie Auditlogboeken van Microsoft Entra voor meer informatie.

Diagnostische instellingen

Als u auditlogboeken voor aangepaste beveiligingskenmerken wilt exporteren naar verschillende bestemmingen voor aanvullende verwerking, gebruikt u diagnostische instellingen. Als u diagnostische instellingen voor aangepaste beveiligingskenmerken wilt maken en configureren, moet u de rol kenmerklogboek Beheer istrator toegewezen krijgen.

Tip

Microsoft raadt u aan om de auditlogboeken van uw aangepaste beveiligingskenmerk gescheiden te houden van uw directory-auditlogboeken, zodat kenmerktoewijzingen niet per ongeluk worden weergegeven.

In de volgende schermopname ziet u de diagnostische instellingen voor aangepaste beveiligingskenmerken. Zie Diagnostische instellingen configureren voor meer informatie.

Wijzigingen in het gedrag van auditlogboeken

Er zijn wijzigingen aangebracht in auditlogboeken voor aangepaste beveiligingskenmerken voor algemene beschikbaarheid die van invloed kunnen zijn op uw dagelijkse bewerkingen. Als u auditlogboeken voor aangepaste beveiligingskenmerken tijdens de preview-versie hebt gebruikt, zijn dit de acties die u moet uitvoeren om ervoor te zorgen dat uw auditlogboekbewerkingen niet worden onderbroken.

Nieuwe locatie van auditlogboeken gebruiken
Kenmerklogboekrollen toewijzen om auditlogboeken weer te geven
Nieuwe diagnostische instellingen maken om auditlogboeken te exporteren

Nieuwe locatie van auditlogboeken gebruiken

Tijdens de preview zijn auditlogboeken van aangepaste beveiligingskenmerken naar het eindpunt van de directorycontrolelogboeken geschreven. In oktober 2023 is er exclusief een nieuw eindpunt toegevoegd voor auditlogboeken voor aangepaste beveiligingskenmerken. In de volgende schermopname ziet u de auditlogboeken van de map en de nieuwe locatie van de auditlogboeken voor aangepaste beveiligingskenmerken. Zie customSecurityAttributeAudit het resourcetype om de auditlogboeken van het aangepaste beveiligingskenmerk op te halen met behulp van de Microsoft Graph API.

Er is een overgangsperiode waarin aangepaste beveiligingscontrolelogboeken worden geschreven naar zowel de directory- als aangepaste beveiligingskenmerken, auditlogboekeindpunten. In de toekomst moet u het auditlogboekeindpunt voor aangepaste beveiligingskenmerken gebruiken om auditlogboeken voor aangepaste beveiligingskenmerken te vinden.

De volgende tabel bevat het eindpunt waar u auditlogboeken voor aangepaste beveiligingskenmerken kunt vinden tijdens de overgangsperiode.

Gebeurtenisdatum	Mapeindpunt	Eindpunt voor aangepaste beveiligingskenmerken
Oktober 2023	✅	✅
feb. 2024		✅

Kenmerklogboekrollen toewijzen om auditlogboeken weer te geven

Tijdens de preview kunnen auditlogboeken voor aangepaste beveiligingskenmerken worden weergegeven met behulp van de rollen Global Beheer istrator of Security Beheer istrator in de directory-auditlogboeken. U kunt deze rollen niet meer gebruiken om auditlogboeken voor aangepaste beveiligingskenmerken weer te geven met behulp van het nieuwe eindpunt. Als u de auditlogboeken van het aangepaste beveiligingskenmerk wilt weergeven, moet u de rol Kenmerklogboeklezer of Kenmerklogboek hebben Beheer istrator.

Nieuwe diagnostische instellingen maken om auditlogboeken te exporteren

Als u tijdens de preview hebt geconfigureerd voor het exporteren van auditlogboeken, zijn auditlogboeken voor aangepaste beveiligingscontrolekenmerken verzonden naar uw huidige diagnostische instellingen. Als u aangepaste auditkenmerkcontrolelogboeken wilt blijven ontvangen, moet u nieuwe diagnostische instellingen maken, zoals beschreven in de vorige sectie Diagnostische instellingen .