Partilhar via


Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID

Para que as pessoas em sua organização trabalhem efetivamente com atributos de segurança personalizados, você deve conceder o acesso apropriado. Dependendo das informações que você planeja incluir em atributos de segurança personalizados, convém restringir atributos de segurança personalizados ou torná-los amplamente acessíveis em sua organização. Este artigo descreve como gerenciar o acesso a atributos de segurança personalizados.

Pré-requisitos

Para gerenciar o acesso a atributos de segurança personalizados, você deve ter:

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Etapa 1: Determinar como organizar seus atributos

Cada definição de atributo de segurança personalizada deve fazer parte de um conjunto de atributos. Um conjunto de atributos é uma maneira de agrupar e gerenciar atributos de segurança personalizados relacionados. Você precisará determinar como deseja adicionar conjuntos de atributos para sua organização. Por exemplo, talvez você queira adicionar conjuntos de atributos com base em departamentos, equipes ou projetos. Sua capacidade de conceder acesso a atributos de segurança personalizados depende de como você organiza seus conjuntos de atributos.

Diagrama mostrando um atributo definido por departamento.

Etapa 2: Identificar o escopo necessário

O âmbito é o conjunto de recursos ao qual o acesso se aplica. Para atributos de segurança personalizados, você pode atribuir funções no escopo do locatário ou no escopo do conjunto de atributos. Se quiser atribuir acesso amplo, você pode atribuir funções no escopo do locatário. No entanto, se quiser limitar o acesso a conjuntos de atributos específicos, você pode atribuir funções no escopo do conjunto de atributos.

Diagrama mostrando o escopo do locatário e o escopo do conjunto de atributos.

As atribuições de função do Microsoft Entra são um modelo aditivo, portanto, suas permissões efetivas são a soma de suas atribuições de função. Por exemplo, se você atribuir a um usuário uma função no escopo do locatário e atribuir ao mesmo usuário a mesma função no escopo do conjunto de atributos, o usuário ainda terá permissões no escopo do locatário.

Etapa 3: revisar as funções disponíveis

Você precisa determinar quem precisa de acesso para trabalhar com atributos de segurança personalizados em sua organização. Para ajudá-lo a gerenciar o acesso a atributos de segurança personalizados, há quatro funções internas do Microsoft Entra. Se necessário, alguém com pelo menos a função de Administrador de Função Privilegiada pode atribuir essas funções.

A tabela a seguir fornece uma comparação de alto nível das funções de atributos de segurança personalizados.

Permissão Administrador de Definição de Atributo Administrador de Atribuição de Atributos Leitor de definição de atributo Leitor de atribuição de atributos
Ler conjuntos de atributos
Ler definições de atributos
Ler atribuições de atributos para usuários e aplicativos (entidades de serviço)
Adicionar ou editar conjuntos de atributos
Adicionar, editar ou desativar definições de atributos
Atribuir atributos a usuários e aplicativos (entidades de serviço)

Etapa 4: Determinar sua estratégia de delegação

Esta etapa descreve duas maneiras de gerenciar o acesso a atributos de segurança personalizados. A primeira maneira é gerenciá-los centralmente e a segunda maneira é delegar a gestão a outros.

Gerencie atributos centralmente

Um administrador ao qual tenham sido atribuídas as funções de Administrador de Definição de Atributos e Administrador de Atribuição de Atributos no escopo do locatário pode gerenciar todos os aspetos dos atributos de segurança personalizados. O diagrama a seguir mostra como os atributos de segurança personalizados são definidos e atribuídos por um único administrador.

Diagrama de atributos de segurança personalizados gerenciados centralmente.

  1. O administrador (Xia) tem as funções de Administrador de Definição de Atributo e Administrador de Atribuição de Atributo atribuídas no escopo do locatário. O administrador adiciona conjuntos de atributos e define atributos.
  2. O administrador atribui atributos aos objetos do Microsoft Entra.

O gerenciamento de atributos centralmente tem a vantagem de poder ser gerenciado por um ou dois administradores. A desvantagem é que o administrador pode receber várias solicitações para definir ou atribuir atributos de segurança personalizados. Nesse caso, talvez você queira delegar o gerenciamento.

Gerenciar atributos com delegação

Um administrador pode não saber todas as situações de como os atributos de segurança personalizados devem ser definidos e atribuídos. Normalmente, são os usuários dentro dos respetivos departamentos, equipes ou projetos que sabem mais sobre sua área. Em vez de atribuir um ou dois administradores para gerenciar todos os atributos de segurança personalizados, você pode delegar o gerenciamento no escopo do conjunto de atributos. Isso também segue a prática recomendada de privilégios mínimos para conceder apenas as permissões que outros administradores precisam para fazer seu trabalho e evitar acessos desnecessários. O diagrama a seguir mostra como o gerenciamento de atributos de segurança personalizados pode ser delegado a vários administradores.

Diagrama de atributos de segurança personalizados gerenciados com delegação.

  1. O administrador (Xia) com a função de Administrador de Definição de Atributo atribuída no escopo do locatário adiciona conjuntos de atributos. O administrador também tem permissões para atribuir funções a outras pessoas (Administrador de Função Privilegiada) e delegados que podem ler, definir ou atribuir atributos de segurança personalizados para cada conjunto de atributos.
  2. Os Administradores de Definição de Atributos delegados (Alice e Bob) definem atributos nos conjuntos de atributos aos quais lhes foi concedido acesso.
  3. Os Administradores de Atribuição de Atributos delegados (Chandra e Bob) atribuem atributos de seus conjuntos de atributos a objetos do Microsoft Entra.

Etapa 5: Selecione as funções e o escopo apropriados

Depois de entender melhor como seus atributos serão organizados e quem precisa de acesso, você pode selecionar as funções e o escopo de atributos de segurança personalizados apropriados. A tabela a seguir pode ajudá-lo com a seleção.

Quero conceder este acesso Atribuir esta função Âmbito
Administrador de Definição de Atributo Ícone para o escopo do locatário.
Inquilino
Administrador de Definição de Atributo Ícone para o escopo do conjunto de atributos.
Conjunto de atributos
Administrador de Atribuição de Atributos Ícone para o escopo do locatário.
Inquilino
Administrador de Atribuição de Atributos Ícone para o escopo do conjunto de atributos.
Conjunto de atributos
  • Ler todos os conjuntos de atributos em um locatário
  • Ler todas as definições de atributos em um locatário
Leitor de definição de atributo Ícone para o escopo do locatário.
Inquilino
  • Ler definições de atributo em um conjunto de atributos com escopo
  • Não é possível ler outros conjuntos de atributos
Leitor de definição de atributo Ícone para o escopo do conjunto de atributos.
Conjunto de atributos
  • Ler todos os conjuntos de atributos em um locatário
  • Ler todas as definições de atributos em um locatário
  • Ler todas as atribuições de atributos em um locatário para usuários
  • Ler todas as atribuições de atributos em um locatário para aplicativos (entidades de serviço)
Leitor de atribuição de atributos Ícone para o escopo do locatário.
Inquilino
  • Ler definições de atributo em um conjunto de atributos com escopo
  • Ler atribuições de atributos que usam atributos em um conjunto de atributos com escopo para usuários
  • Ler atribuições de atributos que usam atributos em um conjunto de atributos com escopo para aplicativos (entidades de serviço)
  • Não é possível ler atributos em outros conjuntos de atributos
  • Não é possível ler atribuições de atributos que usam atributos em outros conjuntos de atributos
Leitor de atribuição de atributos Ícone para o escopo do conjunto de atributos.
Conjunto de atributos

Etapa 6: Atribuir funções

Para conceder acesso às pessoas apropriadas, siga estas etapas para atribuir uma das funções de atributo de segurança personalizadas.

Atribuir funções no escopo do conjunto de atributos

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Os exemplos a seguir mostram como atribuir uma função de atributo de segurança personalizada a uma entidade em um escopo de conjunto de atributos chamado Engineering.

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.

  2. Navegue até Atributos de segurança personalizados de proteção>.

  3. Selecione o conjunto de atributos ao qual deseja conceder acesso.

  4. Selecione Funções e administradores.

    Captura de tela da atribuição de funções de atributo no escopo do conjunto de atributos.

  5. Adicione atribuições para as funções de atributo de segurança personalizadas.

    Nota

    Se você estiver usando o Microsoft Entra Privileged Identity Management (PIM), as atribuições de função qualificadas no escopo do conjunto de atributos atualmente não são suportadas. Há suporte para atribuições de funções permanentes no escopo do conjunto de atributos.

Atribuir funções no escopo do locatário

Os exemplos a seguir mostram como atribuir uma função de atributo de segurança personalizada a uma entidade no escopo do locatário.

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.

  2. Navegue até Identity>Roles & admins>Roles & admins.

    Captura de tela da atribuição de funções de atributo no escopo do locatário.

  3. Adicione atribuições para as funções de atributo de segurança personalizadas.

Logs de auditoria de atributos de segurança personalizados

Às vezes, você precisa de informações sobre alterações de atributos de segurança personalizados para fins de auditoria ou solução de problemas. Sempre que alguém faz alterações em definições ou atribuições, as atividades são registradas.

Os logs de auditoria de atributos de segurança personalizados fornecem o histórico de atividades relacionadas a atributos de segurança personalizados, como adicionar uma nova definição ou atribuir um valor de atributo a um usuário. Aqui estão as atividades personalizadas relacionadas a atributos de segurança que são registradas:

  • Adicionar um conjunto de atributos
  • Adicionar definição de atributo de segurança personalizada em um conjunto de atributos
  • Atualizar um conjunto de atributos
  • Atualizar valores de atributo atribuídos a um servicePrincipal
  • Atualizar valores de atributo atribuídos a um usuário
  • Atualizar a definição de atributo de segurança personalizada em um conjunto de atributos

Exibir logs de auditoria para alterações de atributos

Para exibir os logs de auditoria de atributos de segurança personalizados, entre no centro de administração do Microsoft Entra, navegue até Logs de auditoria e selecione Segurança personalizada. Para exibir logs de auditoria de atributos de segurança personalizados, você deve receber uma das seguintes funções. Se necessário, alguém com pelo menos a função de Administrador de Função Privilegiada pode atribuir essas funções.

Captura de ecrã dos registos de auditoria com o separador Segurança Personalizada selecionado.

Para obter informações sobre como obter os logs de auditoria de atributos de segurança personalizados usando a API do Microsoft Graph, consulte o customSecurityAttributeAudit tipo de recurso. Para obter mais informações, consulte Logs de auditoria do Microsoft Entra.

Definições de diagnóstico

Para exportar logs de auditoria de atributos de segurança personalizados para destinos diferentes para processamento adicional, use as configurações de diagnóstico. Para criar e definir configurações de diagnóstico para atributos de segurança personalizados, você deve receber a função de Administrador de Log de Atributos .

Gorjeta

A Microsoft recomenda que você mantenha seus logs de auditoria de atributos de segurança personalizados separados dos logs de auditoria de diretório para que as atribuições de atributos não sejam reveladas inadvertidamente.

A captura de tela a seguir mostra as configurações de diagnóstico para atributos de segurança personalizados. Para obter mais informações, consulte Como definir configurações de diagnóstico.

Captura de ecrã das definições de diagnóstico com o separador Atributos de segurança personalizados selecionado.

Alterações no comportamento dos logs de auditoria

Foram feitas alterações nos logs de auditoria de atributos de segurança personalizados para disponibilidade geral que podem afetar suas operações diárias. Se você estiver usando logs de auditoria de atributos de segurança personalizados durante a visualização, aqui estão as ações que você deve tomar para garantir que suas operações de log de auditoria não sejam interrompidas.

  • Usar novo local de logs de auditoria
  • Atribuir funções de Log de Atributos para exibir logs de auditoria
  • Criar novas configurações de diagnóstico para exportar logs de auditoria

Usar novo local de logs de auditoria

Durante a visualização, os logs de auditoria de atributos de segurança personalizados foram gravados no ponto de extremidade de logs de auditoria de diretório. Em outubro de 2023, um novo ponto de extremidade foi adicionado exclusivamente para logs de auditoria de atributos de segurança personalizados. A captura de tela a seguir mostra os logs de auditoria de diretório e o novo local de logs de auditoria de atributo de segurança personalizado. Para obter os logs de auditoria de atributos de segurança personalizados usando a API do Microsoft Graph, consulte o tipo de customSecurityAttributeAudit recurso.

Captura de ecrã dos registos de auditoria que mostra os separadores Diretório e Segurança Personalizada.

Há um período de transição em que os logs de auditoria de segurança personalizados são gravados no diretório e nos pontos de extremidade do log de auditoria de atributos de segurança personalizados. No futuro, você deve usar o ponto de extremidade de log de auditoria de atributos de segurança personalizados para localizar logs de auditoria de atributos de segurança personalizados.

A tabela a seguir lista o ponto de extremidade onde você pode encontrar logs de auditoria de atributos de segurança personalizados durante o período de transição.

Data do evento Ponto de extremidade do diretório Ponto de extremidade de atributos de segurança personalizados
Outubro de 2023
Fev 2024

Atribuir funções de Log de Atributos para exibir logs de auditoria

Durante a visualização, os logs de auditoria de atributos de segurança personalizados podem ser exibidos por aqueles com pelo menos a função de Administrador de Segurança nos logs de auditoria de diretório. Você não pode mais usar essas funções para exibir logs de auditoria de atributos de segurança personalizados usando o novo ponto de extremidade. Para exibir os logs de auditoria de atributos de segurança personalizados, você deve receber a função Leitor de Log de Atributos ou Administrador de Log de Atributos.

Criar novas configurações de diagnóstico para exportar logs de auditoria

Durante a visualização, se você configurou para exportar logs de auditoria, os logs de auditoria de atributos de auditoria de segurança personalizados foram enviados para suas configurações de diagnóstico atuais. Para continuar a receber logs de auditoria de atributos de auditoria de segurança personalizados, você deve criar novas configurações de diagnóstico conforme descrito na seção Configurações de diagnóstico anterior.

Próximos passos