Compartilhar via


Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID

Para que as pessoas em sua organização trabalhem de maneira eficaz com os atributos de segurança personalizados, você precisa conceder a elas o acesso apropriado. Dependendo das informações que você planeja incluir nos atributos de segurança personalizados, é possível restringi-los ou torná-los amplamente acessíveis na organização. Este artigo descreve como gerenciar o acesso aos atributos de segurança personalizados.

Pré-requisitos

Para gerenciar o acesso aos atributos de segurança personalizados, você precisa ter o seguinte:

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.

Etapa 1: determinar como organizar atributos

Todas as definições dos atributos de segurança personalizados precisam fazer parte de um conjunto de atributos. Um conjunto de atributos é uma forma de agrupar e gerenciar atributos de segurança personalizados que são relacionados. Você precisará determinar como deseja adicionar os conjuntos de atributos para a sua organização. Por exemplo, é possível que você queira adicioná-los com base em departamentos, equipes ou projetos. Sua capacidade de conceder acesso a atributos de segurança personalizados depende de como você organiza seus conjuntos de atributos.

Diagrama mostrando um conjunto de atributos por departamento.

Etapa 2: identificar o escopo necessário

Escopo é o conjunto de recursos ao qual o acesso se aplica. Para atributos de segurança personalizados, é possível designar funções no escopo do locatário ou do conjunto de atributos. Para designar um acesso amplo, atribua as funções no escopo do locatário. No entanto, para limitar o acesso a conjuntos de atributos específicos, atribua as funções no escopo do conjunto de atributos.

Diagrama mostrando o escopo do locatário e o escopo do conjunto de atributos.

As atribuições de funções do Microsoft Entra são um modelo aditivo. Isso significa que suas permissões efetivas são a soma de suas atribuições de funções. Por exemplo, se você designar a um usuário uma função no escopo do locatário e a mesma função no escopo do conjunto de atributos, ele ainda terá permissões no escopo do locatário.

Etapa 3: analisar as funções disponíveis

É necessário determinar quem precisa de acesso para trabalhar com os atributos de segurança personalizados em sua organização. Há quatro funções internas do Microsoft Entra para ajudar você a gerenciar o acesso a atributos de segurança personalizados. Se necessário, alguém com pelo menos a função Administrador de função com privilégios pode atribuir essas funções.

A tabela a seguir fornece uma comparação de alto nível das funções dos atributos de segurança personalizados.

Permissão Administrador de Definição de Atributos Administrador de Designação de Atributos Leitor de Definição de Atributos Leitor de Designação de Atributos
Leitura de conjuntos de atributos
Ler definições de atributos
Ler designações de atributos para usuários e aplicativos (entidades de serviço)
Adicionar ou editar conjuntos de atributos
Adicionar, editar ou desativar definições de atributos
Designar atributos a usuários e aplicativos (entidades de serviço)

Etapa 4: determinar sua estratégia de delegação

Esta etapa descreve duas maneiras de gerenciar o acesso aos atributos de segurança personalizados. A primeira é gerenciá-los centralmente e a segunda é delegar esse gerenciamento a outras partes.

Gerenciar atributos centralmente

Um administrador que recebeu as funções de Administrador de Definição de Atributos e Administrador de Designação de Atributos no escopo do locatário pode gerenciar todos os aspectos dos atributos de segurança personalizados. O diagrama a seguir mostra como os atributos de segurança personalizados são definidos e designados por um único administrador.

Diagrama de atributos de segurança personalizados gerenciados centralmente.

  1. O administrador (Xia) tem as funções de Administrador de Definição de Atributos e de Administrador de Designação de Atributos no escopo do locatário. O administrador adiciona conjuntos de atributos e define atributos.
  2. O administrador atribui atributos a objetos do Microsoft Entra.

O gerenciamento centralizado de atributos oferece a vantagem do poder ser realizado por um ou dois administradores. A desvantagem é que o administrador pode receber diversas solicitações para definir ou designar atributos de segurança personalizados. Nesse caso, recomenda-se delegar o gerenciamento.

Gerenciar atributos com delegação

Um administrador pode não compreender todas as situações de definição e designação dos atributos de segurança personalizados. Normalmente, quem sabe mais sobre isso são os usuários dos respectivos departamentos, equipes ou projetos. Em vez de designar um ou dois administradores para gerenciar todos os atributos de segurança personalizados, é possível delegar o gerenciamento no escopo do conjunto de atributos. Isso também segue a prática recomendada de privilégio mínimo, que concede somente as permissões necessárias ao trabalho dos outros administradores e evita acessos desnecessários. O diagrama a seguir mostra como o gerenciamento dos atributos de segurança personalizados pode ser delegado a diversos administradores.

Diagrama de atributos de segurança personalizados gerenciados com delegação.

  1. O administrador (Xia) com a função de Administrador de Definição de Atributos no escopo do locatário adiciona conjuntos de atributos. Ele também tem permissões para atribuir funções a outras pessoas (Administrador de Funções com Privilégios) e delega quem pode ler, definir ou designar atributos de segurança personalizados para cada conjunto de atributos.
  2. Os Administradores de Definição de Atributos delegados (Alice e Bob) definem os atributos nos conjuntos aos quais eles têm acesso.
  3. Os administradores de atribuição de atributos delegados (Chandra e Bob) designam atributos de seus conjuntos a objetos do Microsoft Entra.

Etapa 5: selecionar as funções e o escopo apropriados

Depois de entender melhor como seus atributos são organizados e quem precisa de acesso a eles, é possível selecionar as funções e o escopo apropriados dos atributo de segurança personalizados. A tabela a seguir pode ajudar você com a seleção.

Eu quero conceder este acesso Atribuir esta função Escopo
Administrador de Definição de Atributos Ícone para o escopo do locatário.
Locatário
Administrador de Definição de Atributos Ícone para o escopo do conjunto de atributos.
Conjunto de atributos
Administrador de Designação de Atributos Ícone para o escopo do locatário.
Locatário
Administrador de Designação de Atributos Ícone para o escopo do conjunto de atributos.
Conjunto de atributos
  • Ler todos os conjuntos de atributos em um locatário
  • Ler todas as definições de atributos em um locatário
Leitor de Definição de Atributos Ícone para o escopo do locatário.
Locatário
  • Ler as definições de atributo em um conjunto de atributos com escopo definido
  • Não é possível ler outros conjuntos de atributo
Leitor de Definição de Atributos Ícone para o escopo do conjunto de atributos.
Conjunto de atributos
  • Ler todos os conjuntos de atributos em um locatário
  • Ler todas as definições de atributos em um locatário
  • Ler todas as designações de atributos em um locatário para usuários
  • Ler todas as designações de atributos em um locatário para aplicativos (entidades de serviço)
Leitor de Designação de Atributos Ícone para o escopo do locatário.
Locatário
  • Ler as definições de atributo em um conjunto de atributos com escopo definido
  • Ler as designações de atributos que usam atributos em um conjunto de atributos com escopo definido para usuários
  • Ler as designações de atributos que usam atributos em um conjunto de atributos com escopo definido para aplicativos (entidades de serviço)
  • Não é possível ler atributos em outros conjuntos de atributos
  • Não é possível ler designações de atributos que usam atributos em outros conjuntos de atributos
Leitor de Designação de Atributos Ícone para o escopo do conjunto de atributos.
Conjunto de atributos

Etapa 6: atribuir funções

Para conceder acesso às pessoas apropriadas, siga estas etapas a fim de designar uma das funções de atributos de segurança personalizados.

Atribuir funções no escopo do conjunto de atributos

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Os exemplos a seguir mostram como atribuir uma função de atributo de segurança personalizado a uma entidade de segurança em um escopo de conjunto de atributos chamado Engenharia.

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.

  2. Navegue até Proteção>Atributos de segurança personalizados.

  3. Selecione o conjunto de atributos ao qual você deseja conceder acesso.

  4. Selecione Funções e administradores.

    Captura de tela da atribuição de funções de atributos no escopo do conjunto de atributos.

  5. Adicione atribuições para as funções de atributos de segurança personalizados.

    Observação

    No momento, ao usar o PIM (Privileged Identity Management) do Microsoft Entra, não há suporte para atribuições de funções qualificadas no escopo do conjunto de atributos. Há suporte para atribuições de função permanentes no escopo do conjunto de atributos.

Atribuir funções no escopo do locatário

Os exemplos a seguir mostram como atribuir uma função de atributo de segurança personalizado a uma entidade de segurança no escopo do locatário.

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.

  2. Navegue até Identidade>Funções e administradores>Funções e administradores.

    Captura de tela da atribuição de funções de atributo no escopo do locatário.

  3. Adicione atribuições para as funções de atributos de segurança personalizados.

Logs de auditoria de atributos de segurança personalizados

Às vezes, você precisa de informações sobre alterações personalizadas de atributo de segurança para fins de auditoria ou solução de problemas. Sempre que alguém faz alterações em definições ou atribuições, as atividades são registradas em log.

Os logs de auditoria de atributos de segurança personalizados fornecem o histórico de atividades relacionadas a atributos de segurança personalizados, como adicionar uma nova definição ou atribuir um valor de atributo a um usuário. Veja a seguir as atividades relacionadas aos atributos de segurança personalizados que são registradas:

  • Adicionar um atributo
  • Adicionar definição de atributo de segurança personalizada em um conjunto de atributos
  • Atualizar um conjunto de atributos
  • Atualizar valores de atributo atribuídos a um servicePrincipal
  • Atualizar valores de atributo atribuídos a um usuário
  • Atualizar a definição de atributo de segurança personalizada em um conjunto de atributos

Ver logs de auditoria com relação a alterações de atributos

Para exibir os logs de auditoria de atributos de segurança personalizados, entre no Centro de administração do Microsoft Entra, navegue até Logs de Auditoria e selecione Segurança Personalizada. Para exibir logs de auditoria de atributos de segurança personalizados, você deve receber uma das funções a seguir. Se necessário, alguém com pelo menos a função Administrador de função com privilégios pode atribuir essas funções.

Captura de tela dos logs de auditoria com a guia Segurança Personalizada selecionada.

Para obter informações sobre como obter os logs de auditoria de atributo de segurança personalizados usando a API do Microsoft Graph, consulte tipo de recursocustomSecurityAttributeAudit. Para obter mais informações, consulte os logs de auditoria do Microsoft Entra.

Configurações de Diagnóstico

Para exportar logs de auditoria de atributos de segurança personalizados para destinos diferentes para processamento adicional, use as configurações de diagnóstico. Para criar e definir configurações de diagnóstico para atributos de segurança personalizados, você deve receber a função administrador de log de atributos.

Dica

A Microsoft recomenda que você mantenha seus logs de auditoria de atributo de segurança personalizados separados dos logs de auditoria do diretório para que as atribuições de atributo não sejam reveladas inadvertidamente.

A captura de tela a seguir mostra as configurações de diagnóstico para atributos de segurança personalizados. Para obter mais informações, consulte Como definir configurações de diagnóstico.

Captura de tela das configurações de diagnóstico com a guia Atributos de segurança personalizados selecionada.

Alterações no comportamento dos logs de auditoria

Foram feitas alterações nos logs de auditoria de atributos de segurança personalizados para disponibilidade geral que podem afetar suas operações diárias. Se você estiver usando logs de auditoria de atributos de segurança personalizados durante a visualização, aqui estão as ações que você deve executar para garantir que suas operações de log de auditoria não sejam interrompidas.

  • Usar o novo local de logs de auditoria
  • Atribuir funções de Log de Atributos para exibir logs de auditoria
  • Criar novas configurações de diagnóstico para exportar logs de auditoria

Usar o novo local de logs de auditoria

Durante a visualização, os logs de auditoria de atributos de segurança personalizados foram gravados no ponto de extremidade de logs de auditoria do diretório. Em outubro de 2023, um novo ponto de extremidade foi adicionado exclusivamente para logs de auditoria de atributo de segurança personalizados. A captura de tela a seguir mostra os logs de auditoria do diretório e o novo local de logs de auditoria do atributo de segurança personalizado. Para obter os logs de auditoria de atributo de segurança personalizados usando a API do Microsoft Graph, consulte tipo de recursocustomSecurityAttributeAudit.

Captura de tela dos logs de auditoria que mostram as guias Diretório e Segurança Personalizada.

Há um período de transição em que os logs de auditoria de segurança personalizados são gravados nos pontos de extremidade de log de auditoria de atributos de segurança personalizados e do diretório. Daqui para frente, você deve usar o ponto de extremidade de log de auditoria de atributos de segurança personalizados para encontrar logs de auditoria de atributo de segurança personalizados.

A tabela a seguir lista o ponto de extremidade em que você pode encontrar logs de auditoria de atributos de segurança personalizados durante o período de transição.

Data do evento Ponto de extremidade do diretório Ponto de extremidade de atributos de segurança personalizados
Outubro de 2023
fev. de 2024

Atribuir funções de Log de Atributos para exibir logs de auditoria

Durante a versão prévia, os logs de auditoria de atributos de segurança personalizados podem ser exibidos por aqueles com pelo menos a função Administrador da segurança nos logs de auditoria do diretório. Você não pode mais usar essas funções para exibir logs de auditoria de atributos de segurança personalizados usando o novo ponto de extremidade. Para exibir os logs de auditoria de atributos de segurança personalizados, você deve receber a função do Leitor de Log de Atributos ou Administrador do Log de Atributos.

Criar novas configurações de diagnóstico para exportar logs de auditoria

Durante a visualização, se você configurou para exportar logs de auditoria, logs de auditoria de atributo de auditoria de segurança personalizados foram enviados para suas configurações de diagnóstico atuais. Para continuar a receber logs de auditoria de atributo de auditoria de segurança personalizados, você deve criar novas configurações de diagnóstico, conforme descrito na seção de configurações de diagnóstico anterior.

Próximas etapas