Управление доступом к пользовательским атрибутам безопасности в идентификаторе Microsoft Entra

Статья
02/01/2024

Чтобы сотрудники вашей организации могли эффективно работать с настраиваемыми атрибутами безопасности, им необходимо предоставить соответствующий доступ. В зависимости от сведений, которые планируется включить в настраиваемые атрибуты, вам может потребоваться ограничить доступ к ним или сделать их доступными многим пользователям организации. В этой статье рассматривается доступом к настраиваемым атрибутам безопасности.

Необходимые компоненты

Для управления доступом к настраиваемым атрибутам безопасности в Azure AD вам понадобятся:

Администратор назначения атрибутов
Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell

Внимание

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.

Шаг 1. Определение организации атрибутов

Каждое определение настраиваемого атрибута безопасности должно быть частью набора атрибутов. С помощью набора атрибутов можно группировать связанные настраиваемые атрибуты безопасности и управлять ими. Вам потребуется определить, как добавить наборы атрибутов для вашей организации. Например, можно создать наборы атрибутов на основе отделов, команд или проектов. Возможность предоставления доступа к пользовательским атрибутам безопасности зависит от того, как упорядочить наборы атрибутов.

Diagram showing an attribute set by department.

Шаг 2. Определение необходимой области

Область — это набор ресурсов, к которым предоставляется доступ. Для настраиваемых атрибутов безопасности роли можно назначать в области арендатора или в области набора атрибутов. Если вы хотите назначить широкие права доступа, вы можете назначить роли в области арендатора. Однако если вам требуется ограничить доступ к определенным наборам атрибутов, назначайте роли в области набора атрибутов.

Diagram showing tenant scope and attribute set scope.

Назначения ролей Microsoft Entra — это аддитивная модель, поэтому действующие разрешения — это сумма назначений ролей. Например, если назначить пользователю роль в области арендатора и назначить ту же роль в области набора атрибутов, пользователь сохранит разрешения в области арендатора.

Шаг 3. Анализ доступных ролей

Вы должны определить, кому необходим доступ для работы с настраиваемыми атрибутами безопасности в организации. Для управления доступом к пользовательским атрибутам безопасности существует четыре встроенные роли Microsoft Entra. По умолчанию глобальный Администратор istrator и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности. При необходимости глобальный администратор может назначить эти роли самому себе.

В таблице ниже представлено обобщенное сравнение ролей настраиваемых атрибутов безопасности.

Разрешение	Администратор определения атрибутов	Администратор назначения атрибутов	Читатель определения атрибутов	Читатель назначения атрибутов
Чтение наборов атрибутов	✅	✅	✅	✅
Чтение определений атрибутов	✅	✅	✅	✅
Чтение назначений атрибутов для пользователей и приложений (субъектов-служб)		✅		✅
Добавление и изменение наборов атрибутов	✅
Добавление, изменение и деактивация определений атрибутов	✅
Назначение атрибутов пользователям и приложениям (субъектам-службам)		✅

Шаг 4. Определение стратегии делегирования

Этот шаг описывает два способа управления доступом к настраиваемым атрибутам безопасности. Первый способ — управлять ими централизованно, второй — делегировать управление другим пользователям.

Централизованное управление атрибутами

Администратор, которому назначены роли администратора определения атрибутов и администратора назначения атрибутов в области арендатора, может управлять всеми аспектами настраиваемых атрибутов безопасности. На схеме ниже показано, как настраиваемые атрибуты безопасности определяются и назначаются одним администратором.

У администратора (Xia) роли администратора определения атрибутов и администратора назначения атрибутов, назначенные в области арендатора. Администратор добавляет наборы атрибутов и определяет атрибуты.
Администратор назначает атрибуты объектам Microsoft Entra.

Преимущество централизованного управления атрибутами в том, что управление может осуществляться одним или двумя администраторами. Недостаток заключается в том, что администратор может получать много запросов на определение или назначение настраиваемых атрибутов безопасности. В этом случае может потребоваться делегирование управление.

Управление атрибутами путем делегирования

Администратор может не знать все ситуации, когда пользовательские атрибуты безопасности должны быть определены и назначены. Обычно пользователи в соответствующих отделах, командах и проектах лучше знакомы со своими областями. Вместо того чтобы назначать одного или двух администраторов для управления всеми настраиваемыми атрибутами безопасности, можно делегировать управление в области набора атрибутов. Это также соответствует рекомендациям в отношении минимальных привилегий, согласно которым следует предоставить только разрешения, необходимые другим администраторам для выполнения своей работы, предотвращая при этом ненужный доступ. На схеме ниже показано, как управление настраиваемыми атрибутами безопасности можно делегировать нескольким администраторам.

Администратор (Xia) с ролью администратора определения атрибутов, назначенной в области арендатора, добавляет наборы атрибутов. У администратора также есть разрешения на назначение ролей другим пользователям (администратор привилегированной роли) и делегатов, которые могут считывать, определять и назначать настраиваемые атрибуты безопасности для каждого набора.
Делегированные администраторы определений атрибутов (Alice и Bob) определяют атрибуты в наборах атрибутов, к которым им предоставлен доступ.
Делегированное назначение атрибутов Администратор istrators (Chandra и Bob) назначает атрибуты из наборов атрибутов объектам Microsoft Entra.

Шаг 5. Выбор подходящей роли и области

Когда вы поймете, как будут организованы ваши атрибуты и кому нужен доступ, можно выбрать соответствующие роли и область настраиваемых атрибутов безопасности. Следующая таблица поможет вам выбрать нужный вариант.

Доступ, который нужно предоставить	Роль, которую следует назначить	Область
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе Добавление и изменение всех наборов атрибутов в арендаторе Добавление, изменение и деактивация всех определений атрибутов в арендаторе	Администратор определения атрибутов	Клиент
Чтение определений атрибутов в наборе атрибутов с определенной областью Добавление, изменение и деактивация определений атрибутов в наборе атрибутов с определенной областью Не может обновлять наборы атрибутов с определенной областью Не может читать, добавлять и обновлять другие наборы атрибутов	Администратор определения атрибутов	Набор атрибутов
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе Чтение всех назначений атрибутов в арендаторе для пользователей Чтение всех назначений атрибутов в арендаторе для приложений (субъектов-служб) Назначение всех атрибутов в арендаторе пользователям Назначение всех атрибутов в арендаторе приложениям (субъектам-службам) Создание условий назначения ролей Azure, использующих главный (Principal) атрибут для всех атрибутов в арендаторе	Администратор назначения атрибутов	Клиент
Чтение определений атрибутов в наборе атрибутов с определенной областью Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для пользователей Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для пользователей (субъектов-служб) Назначение атрибутов в наборе атрибутов с определенной областью для пользователей Назначение атрибутов в наборе атрибутов с определенной областью для приложений (субъектов-служб) Создание условий назначения ролей Azure, использующих главный (Principal) атрибут для всех атрибутов в наборе атрибутов с определенной областью Не может читать атрибуты в других наборах атрибутов Не может читать назначения атрибутов, которые используют атрибуты из других наборов	Администратор назначения атрибутов	Набор атрибутов
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе	Читатель определения атрибутов	Клиент
Чтение определений атрибутов в наборе атрибутов с определенной областью Не удается считать другие наборы атрибутов	Читатель определения атрибутов	Набор атрибутов
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе Чтение всех назначений атрибутов в арендаторе для пользователей Чтение всех назначений атрибутов в арендаторе для приложений (субъектов-служб)	Читатель назначения атрибутов	Клиент
Чтение определений атрибутов в наборе атрибутов с определенной областью Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для пользователей Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для пользователей (субъектов-служб) Не может читать атрибуты в других наборах атрибутов Не может читать назначения атрибутов, которые используют атрибуты из других наборов	Читатель назначения атрибутов	Набор атрибутов

Шаг 6. Назначение ролей

Чтобы предоставить доступ соответствующим пользователям, выполните указанные ниже действия для назначения ролей настраиваемых атрибутов безопасности.

Назначение ролей в области набора атрибутов

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

В следующих примерах показано, как назначить настраиваемую роль атрибута безопасности субъекту в наборе атрибутов область с именем Engineering.

Войдите в Центр администрирования Microsoft Entra в качестве атрибута Администратор istrator.
Перейдите к атрибутам пользовательской безопасности защиты>.
Выберите набор атрибутов, к которому требуется предоставить доступ.
Выберите элемент Роли и администраторы.
Добавьте назначения ролей настраиваемых атрибутов безопасности.

Примечание.

Если вы используете Microsoft Entra управление привилегированными пользователями (PIM), соответствующие назначения ролей в наборе атрибутов область в настоящее время не поддерживаются. Поддерживаются постоянные назначения ролей в наборе атрибутов область.

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScopeId = "/attributeSets/Engineering"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

Создание unifiedRoleAssignment

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/attributeSets/Engineering"
}

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScope = "/attributeSets/Engineering"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Назначение ролей в области арендатора

В следующих примерах показано, как назначить настраиваемую роль атрибута безопасности субъекту в область клиента.

Войдите в Центр администрирования Microsoft Entra в качестве атрибута Администратор istrator.
Перейдите к ролям удостоверений>и администраторам.>
Добавьте назначения ролей настраиваемых атрибутов безопасности.

New-MgRoleManagementDirectoryRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScopeId = "/"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

Создание unifiedRoleAssignment

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

New-AzureADMSRoleAssignment

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$directoryScope = "/"
$roleAssignment = New-AzureADMSRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScope

Журналы аудита настраиваемых атрибутов безопасности

Иногда требуется информация об изменениях настраиваемых атрибутов безопасности для аудита или устранения неполадок. Каждый раз, когда кто-то вносит изменения в определения или назначения, действия регистрируются.

Пользовательские журналы аудита атрибутов безопасности предоставляют журнал действий, связанных с пользовательскими атрибутами безопасности, например добавление нового определения или назначение значения атрибута пользователю. Ниже перечислены связанные с атрибутами безопасности действия, которые регистрируются в журнале.

Добавление набора атрибутов
Добавление определения настраиваемого атрибута безопасности в набор атрибутов
Обновление набора атрибутов
Обновление значений атрибутов, назначенных servicePrincipal
Обновление значений атрибутов, назначенных пользователю
Обновление определения настраиваемого атрибута безопасности в наборе атрибутов

Просмотр журналов аудита на предмет изменений атрибутов

Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, войдите в Центр администрирования Microsoft Entra, перейдите к журналам аудита и выберите "Настраиваемая безопасность". Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, необходимо назначить одну из следующих ролей. По умолчанию глобальный Администратор istrator не имеет доступа к этим журналам аудита.

Сведения о том, как получить журналы аудита настраиваемых атрибутов безопасности с помощью API Microsoft Graph, см. в типе customSecurityAttributeAuditресурса. Дополнительные сведения см . в журналах аудита Microsoft Entra.

Параметры диагностики

Чтобы экспортировать журналы аудита настраиваемых атрибутов безопасности в разные места назначения для дополнительной обработки, используйте параметры диагностики. Чтобы создать и настроить параметры диагностики для пользовательских атрибутов безопасности, необходимо назначить роль Администратор istrator журнала атрибутов.

Совет

Корпорация Майкрософт рекомендует хранить журналы аудита настраиваемых атрибутов безопасности отдельно от журналов аудита каталога, чтобы назначения атрибутов не отображались непреднамеренно.

На следующем снимках экрана показаны параметры диагностики для пользовательских атрибутов безопасности. Дополнительные сведения см. в разделе "Настройка параметров диагностики".

Изменение поведения журналов аудита

Изменения были внесены в пользовательские журналы аудита атрибутов безопасности для общедоступной доступности, которые могут повлиять на ежедневные операции. Если вы использовали журналы аудита настраиваемых атрибутов безопасности во время предварительной версии, выполните действия, которые необходимо предпринять, чтобы убедиться, что операции журнала аудита не нарушаются.

Использование нового расположения журналов аудита
Назначение ролей журнала атрибутов для просмотра журналов аудита
Создание новых параметров диагностики для экспорта журналов аудита

Использование нового расположения журналов аудита

Во время предварительной версии журналы аудита настраиваемых атрибутов безопасности записываются в конечную точку журналов аудита каталога. В октябре 2023 года новая конечная точка была добавлена исключительно для журналов аудита настраиваемых атрибутов безопасности. На следующем снимках экрана показаны журналы аудита каталога и новое расположение журналов аудита настраиваемых атрибутов безопасности. Чтобы получить журналы аудита настраиваемых атрибутов безопасности с помощью API Microsoft Graph, см customSecurityAttributeAudit . тип ресурса.

Существует переходный период, когда пользовательские журналы аудита безопасности записываются в каталог и пользовательские конечные точки журнала аудита атрибутов безопасности. В будущем необходимо использовать конечную точку журнала аудита настраиваемых атрибутов безопасности, чтобы найти пользовательские журналы аудита атрибутов безопасности.

В следующей таблице перечислены конечные точки, где можно найти пользовательские журналы аудита атрибутов безопасности в течение переходного периода.

Дата события	Конечная точка каталога	Конечная точка настраиваемых атрибутов безопасности
Октябрь 2023 г.	✅	✅
Февраль 2024 г.		✅

Назначение ролей журнала атрибутов для просмотра журналов аудита

Во время предварительной версии журналы аудита настраиваемых атрибутов безопасности можно просматривать с помощью ролей глобального Администратор istrator или Администратор istrator в журналах аудита каталога. Эти роли больше не могут использовать для просмотра журналов аудита настраиваемых атрибутов безопасности с помощью новой конечной точки. Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, необходимо назначить роль читателя журналов атрибутов или журнала атрибутов Администратор istrator.

Создание новых параметров диагностики для экспорта журналов аудита

Во время предварительной версии, если вы настроили экспорт журналов аудита, пользовательские журналы аудита аудита безопасности были отправлены в текущие параметры диагностики. Чтобы продолжить получение журналов аудита настраиваемых атрибутов аудита безопасности, необходимо создать новые параметры диагностики, как описано в предыдущем разделе параметров диагностики .