Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft

Aby użytkownicy w organizacji skutecznie pracować z niestandardowymi atrybutami zabezpieczeń, należy udzielić odpowiedniego dostępu. W zależności od informacji, które mają zostać uwzględnione w niestandardowych atrybutach zabezpieczeń, możesz ograniczyć niestandardowe atrybuty zabezpieczeń lub udostępnić je w organizacji w szerszym zakresie. W tym artykule opisano sposób zarządzania dostępem do niestandardowych atrybutów zabezpieczeń.

Wymagania wstępne

Aby zarządzać dostępem do niestandardowych atrybutów zabezpieczeń, musisz mieć następujące elementy:

• Administracja istrator przypisania atrybutów
• Moduł Microsoft.Graph podczas korzystania z programu Microsoft Graph PowerShell

Ważne

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Krok 1. Określanie sposobu organizowania atrybutów

Każda niestandardowa definicja atrybutu zabezpieczeń musi być częścią zestawu atrybutów. Zestaw atrybutów to sposób grupowania powiązanych atrybutów zabezpieczeń i zarządzania nimi. Musisz określić, jak chcesz dodać zestawy atrybutów dla organizacji. Na przykład możesz dodać zestawy atrybutów na podstawie działów, zespołów lub projektów. Możliwość udzielenia dostępu do niestandardowych atrybutów zabezpieczeń zależy od sposobu organizowania zestawów atrybutów.

Krok 2. Identyfikowanie wymaganego zakresu

Zakres to zestaw zasobów, w ramach którego jest przydzielany dostęp. W przypadku niestandardowych atrybutów zabezpieczeń można przypisywać role w zakresie dzierżawy lub w zakresie zestawu atrybutów. Jeśli chcesz przypisać szeroki dostęp, możesz przypisać role w zakresie dzierżawy. Jeśli jednak chcesz ograniczyć dostęp do określonych zestawów atrybutów, możesz przypisać role w zakresie zestawu atrybutów.

Przypisania ról firmy Microsoft Entra są modelem dodawania, więc skuteczne uprawnienia są sumą przypisań ról. Jeśli na przykład przypiszesz użytkownikowi rolę w zakresie dzierżawy i przypiszesz użytkownikowi tę samą rolę w zakresie zestawu atrybutów, użytkownik nadal będzie miał uprawnienia w zakresie dzierżawy.

Krok 3. Przegląd dostępnych ról

Musisz określić, kto potrzebuje dostępu do pracy z niestandardowymi atrybutami zabezpieczeń w organizacji. Aby ułatwić zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń, istnieją cztery wbudowane role firmy Microsoft Entra. W razie potrzeby osoba z co najmniej rolą uprzywilejowaną Administracja istrator może przypisać te role.

• Administracja istrator definicji atrybutu
• Administracja istrator przypisania atrybutów
• Czytelnik definicji atrybutów
• Czytelnik przypisań atrybutów

Poniższa tabela zawiera ogólne porównanie niestandardowych ról atrybutów zabezpieczeń.

Uprawnienie	Administracja definicji atrybutu	Administracja przypisywania atrybutów	Czytelnik definicji atrybutów	Czytelnik przypisań atrybutów
Odczyt zestawów atrybutów	✅	✅	✅	✅
Odczytywanie definicji atrybutów	✅	✅	✅	✅
Odczytywanie przypisań atrybutów dla użytkowników i aplikacji (jednostki usługi)		✅		✅
Dodawanie lub edytowanie zestawów atrybutów	✅
Dodawanie, edytowanie lub dezaktywowanie definicji atrybutów	✅
Przypisywanie atrybutów do użytkowników i aplikacji (jednostki usługi)		✅

Krok 4. Określanie strategii delegowania

W tym kroku opisano dwa sposoby zarządzania dostępem do niestandardowych atrybutów zabezpieczeń. Pierwszym sposobem jest centralne zarządzanie nimi, a drugim sposobem jest delegowanie zarządzania do innych.

Centralne zarządzanie atrybutami

Administrator, któremu przypisano definicję atrybutu Administracja istrator i role przypisywania atrybutów Administracja istrator w zakresie dzierżawy, mogą zarządzać wszystkimi aspektami atrybutów zabezpieczeń niestandardowych. Na poniższym diagramie pokazano, jak niestandardowe atrybuty zabezpieczeń są definiowane i przypisywane przez jednego administratora.

1. Administrator (Xia) ma zarówno Administracja istrator definicji atrybutu, jak i role przypisania atrybutu Administracja istrator przypisane w zakresie dzierżawy. Administrator dodaje zestawy atrybutów i definiuje atrybuty.
2. Administrator przypisuje atrybuty do obiektów Entra firmy Microsoft.

Centralne zarządzanie atrybutami ma zaletę, że może być zarządzana przez jednego lub dwóch administratorów. Wadą jest to, że administrator może uzyskać kilka żądań definiowania lub przypisywania niestandardowych atrybutów zabezpieczeń. W takim przypadku możesz delegować zarządzanie.

Zarządzanie atrybutami przy użyciu delegowania

Administrator może nie znać wszystkich sytuacji, w jaki należy definiować i przypisywać niestandardowe atrybuty zabezpieczeń. Zazwyczaj jest to użytkownicy w odpowiednich działach, zespołach lub projektach, którzy wiedzą najbardziej o swoim obszarze. Zamiast przypisywać jednego lub dwóch administratorów do zarządzania wszystkimi niestandardowymi atrybutami zabezpieczeń, można zamiast tego delegować zarządzanie w zakresie zestawu atrybutów. Jest to również najlepsze rozwiązanie dotyczące najniższych uprawnień, aby przyznać tylko uprawnienia, które inni administratorzy muszą wykonać swoje zadanie i uniknąć niepotrzebnego dostępu. Na poniższym diagramie przedstawiono sposób delegowania zarządzania niestandardowymi atrybutami zabezpieczeń do wielu administratorów.

1. Administrator (Xia) z rolą Definicji atrybutu Administracja istrator przypisaną w zakresie dzierżawy dodaje zestawy atrybutów. Administrator ma również uprawnienia do przypisywania ról innym osobom (rola uprzywilejowana Administracja istrator) i delegatów, którzy mogą odczytywać, definiować lub przypisywać niestandardowe atrybuty zabezpieczeń dla każdego zestawu atrybutów.
2. Delegowane definicje atrybutów Administracja istratory (Alice i Bob) definiują atrybuty w zestawach atrybutów, do których udzielono im dostępu.
3. Delegowane atrybuty przypisania Administracja istratory (Chandra i Bob) przypisują atrybuty z ich zestawów atrybutów do obiektów Microsoft Entra.

Krok 5. Wybieranie odpowiednich ról i zakresu

Gdy lepiej zrozumiesz, w jaki sposób atrybuty będą zorganizowane i kto potrzebuje dostępu, możesz wybrać odpowiednie niestandardowe role atrybutów zabezpieczeń i zakres. Poniższa tabela może pomóc w wyborze.

Chcę udzielić tego dostępu	Przypisz tę rolę	Scope
Odczytywanie wszystkich zestawów atrybutów w dzierżawie Odczytywanie wszystkich definicji atrybutów w dzierżawie Dodawanie lub edytowanie wszystkich zestawów atrybutów w dzierżawie Dodawanie, edytowanie lub dezaktywowanie wszystkich definicji atrybutów w dzierżawie	Administracja istrator definicji atrybutu	Dzierżawa
Odczytywanie definicji atrybutów w zestawie atrybutów o określonym zakresie Dodawanie, edytowanie lub dezaktywowanie definicji atrybutów w zestawie atrybutów o określonym zakresie Nie można zaktualizować zestawu atrybutów o określonym zakresie Nie można odczytać, dodać ani zaktualizować innych zestawów atrybutów	Administracja istrator definicji atrybutu	Zestaw atrybutów
Odczytywanie wszystkich zestawów atrybutów w dzierżawie Odczytywanie wszystkich definicji atrybutów w dzierżawie Odczytywanie wszystkich przypisań atrybutów w dzierżawie dla użytkowników Odczytywanie wszystkich przypisań atrybutów w dzierżawie dla aplikacji (jednostek usługi) Przypisywanie wszystkich atrybutów w dzierżawie do użytkowników Przypisywanie wszystkich atrybutów w dzierżawie do aplikacji (jednostek usługi) Tworzenie warunków przypisywania ról platformy Azure, które używają atrybutu Principal dla wszystkich atrybutów w dzierżawie	Administracja istrator przypisania atrybutów	Dzierżawa
Odczytywanie definicji atrybutów w zestawie atrybutów o określonym zakresie Odczytywanie przypisań atrybutów, które używają atrybutów w zestawie atrybutów o określonym zakresie dla użytkowników Odczytywanie przypisań atrybutów, które używają atrybutów w zestawie atrybutów o określonym zakresie dla aplikacji (jednostek usługi) Przypisywanie atrybutów w atrybucie o określonym zakresie dla użytkowników Przypisywanie atrybutów w atrybucie o określonym zakresie do aplikacji (jednostek usługi) Tworzenie warunków przypisywania ról platformy Azure, które używają atrybutu Principal dla wszystkich atrybutów w zestawie atrybutów o określonym zakresie Nie można odczytać atrybutów w innych zestawach atrybutów Nie można odczytać przypisań atrybutów, które używają atrybutów w innych zestawach atrybutów	Administracja istrator przypisania atrybutów	Zestaw atrybutów
Odczytywanie wszystkich zestawów atrybutów w dzierżawie Odczytywanie wszystkich definicji atrybutów w dzierżawie	Czytelnik definicji atrybutów	Dzierżawa
Odczytywanie definicji atrybutów w zestawie atrybutów o określonym zakresie Nie można odczytać innych zestawów atrybutów	Czytelnik definicji atrybutów	Zestaw atrybutów
Odczytywanie wszystkich zestawów atrybutów w dzierżawie Odczytywanie wszystkich definicji atrybutów w dzierżawie Odczytywanie wszystkich przypisań atrybutów w dzierżawie dla użytkowników Odczytywanie wszystkich przypisań atrybutów w dzierżawie dla aplikacji (jednostek usługi)	Czytelnik przypisań atrybutów	Dzierżawa
Odczytywanie definicji atrybutów w zestawie atrybutów o określonym zakresie Odczytywanie przypisań atrybutów, które używają atrybutów w zestawie atrybutów o określonym zakresie dla użytkowników Odczytywanie przypisań atrybutów, które używają atrybutów w zestawie atrybutów o określonym zakresie dla aplikacji (jednostek usługi) Nie można odczytać atrybutów w innych zestawach atrybutów Nie można odczytać przypisań atrybutów, które używają atrybutów w innych zestawach atrybutów	Czytelnik przypisań atrybutów	Zestaw atrybutów

Krok 6. Przypisywanie ról

Aby udzielić dostępu odpowiednim osobom, wykonaj następujące kroki, aby przypisać jedną z niestandardowych ról atrybutów zabezpieczeń.

Przypisywanie ról w zakresie zestawu atrybutów

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

W poniższych przykładach pokazano, jak przypisać niestandardową rolę atrybutu zabezpieczeń do podmiotu zabezpieczeń w zakresie zestawu atrybutów o nazwie Engineering.

Centrum administracyjne

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator przypisania atrybutu.

2. Przejdź do opcji Ochrona>atrybutów zabezpieczeń niestandardowych.

3. Wybierz zestaw atrybutów, do którego chcesz udzielić dostępu.

4. Wybierz pozycję Role i administratorzy.

   

5. Dodaj przypisania dla niestandardowych ról atrybutów zabezpieczeń.

   Uwaga

   Jeśli używasz usługi Microsoft Entra Privileged Identity Management (PIM), kwalifikujące się przypisania ról w zakresie zestawu atrybutów nie są obecnie obsługiwane. Obsługiwane są stałe przypisania ról w zakresie zestawu atrybutów.

Program PowerShell

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScopeId = "/attributeSets/Engineering"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

Microsoft Graph

Tworzenie elementu unifiedRoleAssignment

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "directoryScopeId": "/attributeSets/Engineering"
}

Azure AD PowerShell

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScope = "/attributeSets/Engineering"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Przypisywanie ról w zakresie dzierżawy

W poniższych przykładach pokazano, jak przypisać niestandardową rolę atrybutu zabezpieczeń do podmiotu zabezpieczeń w zakresie dzierżawy.

Centrum administracyjne

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator przypisania atrybutu.

2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

   

3. Dodaj przypisania dla niestandardowych ról atrybutów zabezpieczeń.

Program PowerShell

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScopeId = "/"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

Microsoft Graph

Tworzenie elementu unifiedRoleAssignment

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "directoryScopeId": "/"
}

Azure AD PowerShell

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScope = "/"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Niestandardowe dzienniki inspekcji atrybutów zabezpieczeń

Czasami potrzebne są informacje o niestandardowych zmianach atrybutów zabezpieczeń na potrzeby inspekcji lub rozwiązywania problemów. Za każdym razem, gdy ktoś wprowadza zmiany w definicjach lub przydziałach, działania są rejestrowane.

Niestandardowe dzienniki inspekcji atrybutów zabezpieczeń zapewniają historię działań związanych z niestandardowymi atrybutami zabezpieczeń, takimi jak dodanie nowej definicji lub przypisanie wartości atrybutu do użytkownika. Poniżej przedstawiono niestandardowe działania związane z atrybutami zabezpieczeń, które są rejestrowane:

• Dodawanie zestawu atrybutów
• Dodawanie niestandardowej definicji atrybutu zabezpieczeń w zestawie atrybutów
• Aktualizowanie zestawu atrybutów
• Aktualizowanie wartości atrybutów przypisanych do elementu servicePrincipal
• Aktualizowanie wartości atrybutów przypisanych do użytkownika
• Aktualizowanie niestandardowej definicji atrybutu zabezpieczeń w zestawie atrybutów

Wyświetlanie dzienników inspekcji pod kątem zmian atrybutów

Aby wyświetlić niestandardowe dzienniki inspekcji atrybutów zabezpieczeń, zaloguj się do centrum administracyjnego firmy Microsoft Entra, przejdź do obszaru Dzienniki inspekcji i wybierz pozycję Zabezpieczenia niestandardowe. Aby wyświetlić niestandardowe dzienniki inspekcji atrybutów zabezpieczeń, należy przypisać jedną z następujących ról. W razie potrzeby osoba z co najmniej rolą uprzywilejowaną Administracja istrator może przypisać te role.

• Czytelnik dziennika atrybutów
• Administracja istrator dziennika atrybutów

Aby uzyskać informacje o sposobie uzyskiwania niestandardowych dzienników inspekcji atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph, zobacz customSecurityAttributeAudit typ zasobu. Aby uzyskać więcej informacji, zobacz Dzienniki inspekcji firmy Microsoft Entra.

Ustawienia diagnostyczne

Aby wyeksportować niestandardowe dzienniki inspekcji atrybutów zabezpieczeń do różnych miejsc docelowych na potrzeby dodatkowego przetwarzania, należy użyć ustawień diagnostycznych. Aby utworzyć i skonfigurować ustawienia diagnostyczne dla niestandardowych atrybutów zabezpieczeń, należy przypisać rolę Administracja istratora dziennika atrybutów.

Napiwek

Firma Microsoft zaleca, aby niestandardowe dzienniki inspekcji atrybutów zabezpieczeń były oddzielone od dzienników inspekcji katalogu, aby przypisania atrybutów nie były przypadkowo ujawniane.

Poniższy zrzut ekranu przedstawia ustawienia diagnostyczne niestandardowych atrybutów zabezpieczeń. Aby uzyskać więcej informacji, zobacz Jak skonfigurować ustawienia diagnostyczne.

Zmiany zachowania dzienników inspekcji

Wprowadzono zmiany w niestandardowych dziennikach inspekcji atrybutów zabezpieczeń w celu zapewnienia ogólnej dostępności, które mogą mieć wpływ na codzienne operacje. Jeśli używasz niestandardowych dzienników inspekcji atrybutów zabezpieczeń w wersji zapoznawczej, poniżej przedstawiono akcje, które należy wykonać, aby upewnić się, że operacje dziennika inspekcji nie są zakłócane.

• Użyj nowej lokalizacji dzienników inspekcji
• Przypisywanie ról dziennika atrybutów do wyświetlania dzienników inspekcji
• Tworzenie nowych ustawień diagnostycznych w celu wyeksportowania dzienników inspekcji

Użyj nowej lokalizacji dzienników inspekcji

W wersji zapoznawczej niestandardowe dzienniki inspekcji atrybutów zabezpieczeń zostały zapisane w punkcie końcowym dzienników inspekcji katalogu. W październiku 2023 r. nowy punkt końcowy został dodany wyłącznie dla niestandardowych dzienników inspekcji atrybutów zabezpieczeń. Poniższy zrzut ekranu przedstawia dzienniki inspekcji katalogu i nową niestandardową lokalizację dzienników inspekcji atrybutów zabezpieczeń. Aby uzyskać niestandardowe dzienniki inspekcji atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph, zobacz customSecurityAttributeAudit typ zasobu.

Istnieje okres przejściowy, w którym niestandardowe dzienniki inspekcji zabezpieczeń są zapisywane zarówno w katalogu, jak i w niestandardowych punktach końcowych dziennika inspekcji atrybutów zabezpieczeń. W przyszłości należy użyć niestandardowego punktu końcowego dziennika inspekcji atrybutów zabezpieczeń, aby znaleźć niestandardowe dzienniki inspekcji atrybutów zabezpieczeń.

W poniższej tabeli wymieniono punkt końcowy, w którym można znaleźć niestandardowe dzienniki inspekcji atrybutów zabezpieczeń w okresie przejściowym.

Data zdarzenia	Punkt końcowy katalogu	Punkt końcowy atrybutów zabezpieczeń niestandardowych
Październik 2023 r.	✅	✅
Luty 2024 r.		✅

Przypisywanie ról dziennika atrybutów do wyświetlania dzienników inspekcji

W wersji zapoznawczej dzienniki inspekcji atrybutów zabezpieczeń niestandardowych mogą być wyświetlane przez osoby z co najmniej rolą Administracja istrator zabezpieczeń w dziennikach inspekcji katalogu. Nie możesz już używać tych ról do wyświetlania niestandardowych dzienników inspekcji atrybutów zabezpieczeń przy użyciu nowego punktu końcowego. Aby wyświetlić niestandardowe dzienniki inspekcji atrybutów zabezpieczeń, należy przypisać rolę Czytelnik dziennika atrybutów lub Dziennik atrybutów Administracja istrator.

Tworzenie nowych ustawień diagnostycznych w celu wyeksportowania dzienników inspekcji

Jeśli w wersji zapoznawczej skonfigurowano eksportowanie dzienników inspekcji, niestandardowe dzienniki inspekcji atrybutów inspekcji zabezpieczeń zostały wysłane do bieżących ustawień diagnostycznych. Aby nadal otrzymywać niestandardowe dzienniki inspekcji atrybutów inspekcji zabezpieczeń, należy utworzyć nowe ustawienia diagnostyczne zgodnie z opisem w poprzedniej sekcji Ustawienia diagnostyczne.

Następne kroki

• Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft
• Przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych atrybutów zabezpieczeń dla użytkownika
• Rozwiązywanie problemów z niestandardowymi atrybutami zabezpieczeń w identyfikatorze Entra firmy Microsoft