Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID

För att personer i din organisation effektivt ska kunna arbeta med anpassade säkerhetsattribut måste du bevilja lämplig åtkomst. Beroende på vilken information du planerar att ta med i anpassade säkerhetsattribut kanske du vill begränsa anpassade säkerhetsattribut eller göra dem allmänt tillgängliga i din organisation. Den här artikeln beskriver hur du hanterar åtkomst till anpassade säkerhetsattribut.

Förutsättningar

Om du vill hantera åtkomst till anpassade säkerhetsattribut måste du ha:

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Steg 1: Bestämma hur du ska organisera dina attribut

Varje definition av anpassade säkerhetsattribut måste ingå i en attributuppsättning. En attributuppsättning är ett sätt att gruppera och hantera relaterade anpassade säkerhetsattribut. Du måste bestämma hur du vill lägga till attributuppsättningar för din organisation. Du kanske till exempel vill lägga till attributuppsättningar baserat på avdelningar, team eller projekt. Din möjlighet att bevilja åtkomst till anpassade säkerhetsattribut beror på hur du organiserar dina attributuppsättningar.

Diagram showing an attribute set by department.

Steg 2: Identifiera det nödvändiga omfånget

Omfång är den uppsättning resurser som åtkomsten som gäller för. För anpassade säkerhetsattribut kan du tilldela roller i klientomfånget eller i attributuppsättningsomfånget. Om du vill tilldela bred åtkomst kan du tilldela roller i klientomfånget. Men om du vill begränsa åtkomsten till vissa attributuppsättningar kan du tilldela roller i attributuppsättningsomfånget.

Diagram showing tenant scope and attribute set scope.

Microsoft Entra-rolltilldelningar är en additiv modell, så dina gällande behörigheter är summan av dina rolltilldelningar. Om du till exempel tilldelar en användare en roll i klientomfånget och tilldelar samma användare samma roll i attributuppsättningsomfånget, har användaren fortfarande behörigheter i klientomfånget.

Steg 3: Granska de tillgängliga rollerna

Du måste avgöra vem som behöver åtkomst för att arbeta med anpassade säkerhetsattribut i din organisation. För att hjälpa dig att hantera åtkomst till anpassade säkerhetsattribut finns det fyra inbyggda Microsoft Entra-roller. Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Vid behov kan en global administratör tilldela dessa roller till sig själva.

Följande tabell innehåller en jämförelse på hög nivå av rollerna för anpassade säkerhetsattribut.

Behörighet Global administratör för Attributdefinitionsadministratör Attributtilldelningsadministratör Attributdefinitionsläsare Attributtilldelningsläsare
Läs attributuppsättningar
Läsa attributdefinitioner
Läs attributtilldelningar för användare och program (tjänstens huvudnamn)
Lägga till eller redigera attributuppsättningar
Lägga till, redigera eller inaktivera attributdefinitioner
Tilldela attribut till användare och program (tjänstens huvudnamn)

Steg 4: Fastställa din delegeringsstrategi

Det här steget beskriver två sätt att hantera åtkomst till anpassade säkerhetsattribut. Det första sättet är att hantera dem centralt och det andra sättet är att delegera hantering till andra.

Hantera attribut centralt

En administratör som har tilldelats rollerna Attributdefinitionsadministratör och Tilldelningsadministratör för attribut i klientomfånget kan hantera alla aspekter av anpassade säkerhetsattribut. Följande diagram visar hur anpassade säkerhetsattribut definieras och tilldelas av en enda administratör.

Diagram of custom security attributes managed centrally.

  1. Administratören (Xia) har både rollerna Attributdefinitionsadministratör och Attributtilldelningsadministratör tilldelad i klientomfånget. Administratören lägger till attributuppsättningar och definierar attribut.
  2. Administratören tilldelar attribut till Microsoft Entra-objekt.

Att hantera attribut centralt har fördelen att det kan hanteras av en eller två administratörer. Nackdelen är att administratören kan få flera begäranden om att definiera eller tilldela anpassade säkerhetsattribut. I det här fallet kanske du vill delegera hantering.

Hantera attribut med delegering

En administratör kanske inte känner till alla situationer när det gäller hur anpassade säkerhetsattribut ska definieras och tilldelas. Vanligtvis är det användare inom respektive avdelningar, team eller projekt som vet mest om sitt område. I stället för att tilldela en eller två administratörer för att hantera alla anpassade säkerhetsattribut kan du i stället delegera hanteringen i attributuppsättningsomfånget. Detta följer också bästa praxis för minsta behörighet att bevilja bara de behörigheter som andra administratörer behöver för att utföra sitt jobb och undvika onödig åtkomst. Följande diagram visar hur hanteringen av anpassade säkerhetsattribut kan delegeras till flera administratörer.

Diagram of custom security attributes managed with delegation.

  1. Administratören (Xia) med rollen Attributdefinitionsadministratör tilldelad i klientomfånget lägger till attributuppsättningar. Administratören har också behörighet att tilldela roller till andra (privilegierad rolladministratör) och ombud som kan läsa, definiera eller tilldela anpassade säkerhetsattribut för varje attributuppsättning.
  2. De delegerade attributdefinitionsadministratörerna (Alice och Bob) definierar attribut i de attributuppsättningar som de har beviljats åtkomst till.
  3. De delegerade attributtilldelningsadministratörerna (Chandra och Bob) tilldelar attribut från sina attributuppsättningar till Microsoft Entra-objekt.

Steg 5: Välj lämpliga roller och omfång

När du har en bättre förståelse för hur dina attribut ska organiseras och vem som behöver åtkomst kan du välja lämpliga anpassade säkerhetsattributroller och omfång. Följande tabell kan hjälpa dig med valet.

Jag vill bevilja den här åtkomsten Tilldela den här rollen Omfattning
Attributdefinitionsadministratör Icon for tenant scope.
Klientorganisation
Attributdefinitionsadministratör Icon for attribute set scope.
Attributuppsättning
Attributtilldelningsadministratör Icon for tenant scope.
Klientorganisation
Attributtilldelningsadministratör Icon for attribute set scope.
Attributuppsättning
  • Läsa alla attributuppsättningar i en klientorganisation
  • Läsa alla attributdefinitioner i en klientorganisation
Attributdefinitionsläsare Icon for tenant scope.
Klientorganisation
  • Läsa attributdefinitioner i en begränsad attributuppsättning
  • Det går inte att läsa andra attributuppsättningar
Attributdefinitionsläsare Icon for attribute set scope.
Attributuppsättning
  • Läsa alla attributuppsättningar i en klientorganisation
  • Läsa alla attributdefinitioner i en klientorganisation
  • Läsa alla attributtilldelningar i en klientorganisation för användare
  • Läs alla attributtilldelningar i en klientorganisation för program (tjänstens huvudnamn)
Attributtilldelningsläsare Icon for tenant scope.
Klientorganisation
  • Läsa attributdefinitioner i en begränsad attributuppsättning
  • Läsa attributtilldelningar som använder attribut i en begränsad attributuppsättning för användare
  • Läsa attributtilldelningar som använder attribut i en begränsad attributuppsättning för program (tjänstens huvudnamn)
  • Det går inte att läsa attribut i andra attributuppsättningar
  • Det går inte att läsa attributtilldelningar som använder attribut i andra attributuppsättningar
Attributtilldelningsläsare Icon for attribute set scope.
Attributuppsättning

Steg 6: Tilldela roller

Om du vill bevilja åtkomst till lämpliga personer följer du de här stegen för att tilldela en av de anpassade rollerna för säkerhetsattribut.

Tilldela roller vid attributuppsättningsomfång

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

I följande exempel visas hur du tilldelar en roll för anpassade säkerhetsattribut till ett huvudnamn i ett attributuppsättningsomfång med namnet Engineering.

  1. Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.

  2. Bläddra till Anpassade säkerhetsattribut för skydd>.

  3. Välj den attributuppsättning som du vill bevilja åtkomst till.

  4. Välj Roller och administratörer.

    Screenshot of assigning attribute roles at attribute set scope.

  5. Lägg till tilldelningar för rollerna för anpassade säkerhetsattribut.

    Kommentar

    Om du använder Microsoft Entra Privileged Identity Management (PIM) stöds för närvarande inte berättigade rolltilldelningar i attributuppsättningsomfånget. Permanenta rolltilldelningar i attributuppsättningsomfånget stöds.

Tilldela roller i klientomfånget

I följande exempel visas hur du tilldelar en roll för anpassade säkerhetsattribut till ett huvudnamn i klientomfånget.

  1. Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.

  2. Bläddra till Identitetsroller>och administratörsroller>och administratörer.

    Screenshot of assigning attribute roles at tenant scope.

  3. Lägg till tilldelningar för rollerna för anpassade säkerhetsattribut.

Granskningsloggar för anpassade säkerhetsattribut

Ibland behöver du information om ändringar av anpassade säkerhetsattribut för gransknings- eller felsökningsändamål. När någon gör ändringar i definitioner eller tilldelningar loggas aktiviteterna.

Granskningsloggar för anpassade säkerhetsattribut ger dig historiken för aktiviteter relaterade till anpassade säkerhetsattribut, till exempel att lägga till en ny definition eller tilldela ett attributvärde till en användare. Här är de anpassade säkerhetsattributrelaterade aktiviteterna som loggas:

  • Lägga till en attributuppsättning
  • Lägga till anpassad definition av säkerhetsattribut i en attributuppsättning
  • Uppdatera en attributuppsättning
  • Uppdatera attributvärden som tilldelats till en servicePrincipal
  • Uppdatera attributvärden som tilldelats en användare
  • Uppdatera definition av anpassade säkerhetsattribut i en attributuppsättning

Visa granskningsloggar för attributändringar

Om du vill visa granskningsloggarna för anpassade säkerhetsattribut loggar loggar du in på administrationscentret för Microsoft Entra, bläddrar till Granskningsloggar och väljer Anpassad säkerhet. Om du vill visa granskningsloggar för anpassade säkerhetsattribut måste du tilldelas någon av följande roller. Som standard har en global administratör inte åtkomst till dessa granskningsloggar.

Screenshot of audit logs with Custom Security tab selected.

Information om hur du hämtar granskningsloggar för anpassade säkerhetsattribut med hjälp av Microsoft Graph API finns i customSecurityAttributeAudit resurstypen. Mer information finns i Microsoft Entra-granskningsloggar.

Diagnostikinställningar

Om du vill exportera granskningsloggar för anpassade säkerhetsattribut till olika mål för ytterligare bearbetning använder du diagnostikinställningar. Om du vill skapa och konfigurera diagnostikinställningar för anpassade säkerhetsattribut måste du tilldelas rollen Administratör för attributlogg.

Dricks

Microsoft rekommenderar att du håller granskningsloggarna för anpassade säkerhetsattribut åtskilda från kataloggranskningsloggarna så att attributtilldelningar inte avslöjas oavsiktligt.

Följande skärmbild visar diagnostikinställningarna för anpassade säkerhetsattribut. Mer information finns i Konfigurera diagnostikinställningar.

Screenshot of diagnostic settings with Custom security attributes tab selected.

Ändringar i granskningsloggarnas beteende

Ändringar har gjorts i granskningsloggar för anpassade säkerhetsattribut för allmän tillgänglighet som kan påverka dina dagliga åtgärder. Om du har använt granskningsloggar för anpassade säkerhetsattribut under förhandsversionen måste du vidta följande åtgärder för att säkerställa att granskningsloggåtgärderna inte störs.

  • Använda ny plats för granskningsloggar
  • Tilldela attributloggroller för att visa granskningsloggar
  • Skapa nya diagnostikinställningar för att exportera granskningsloggar

Använda ny plats för granskningsloggar

Under förhandsversionen skrevs granskningsloggar för anpassade säkerhetsattribut till slutpunkten för kataloggranskningsloggar. I oktober 2023 lades en ny slutpunkt till exklusivt för granskningsloggar för anpassade säkerhetsattribut. Följande skärmbild visar kataloggranskningsloggarna och den nya platsen för granskningsloggar för anpassade säkerhetsattribut. Information om hur du hämtar granskningsloggar för anpassade säkerhetsattribut med hjälp av Microsoft Graph-API:et finns i customSecurityAttributeAudit resurstypen.

Screenshot of audit logs that shows Directory and Custom Security tabs.

Det finns en övergångsperiod där anpassade säkerhetsgranskningsloggar skrivs till både katalog- och anpassade säkerhetsattribut granskningsloggslutpunkter. Framöver måste du använda slutpunkten för granskningsloggen för anpassade säkerhetsattribut för att hitta granskningsloggar för anpassade säkerhetsattribut.

I följande tabell visas slutpunkten där du kan hitta granskningsloggar för anpassade säkerhetsattribut under övergångsperioden.

Händelsedatum Katalogslutpunkt Slutpunkt för anpassade säkerhetsattribut
Okt 2023
Febr. 2024

Tilldela attributloggroller för att visa granskningsloggar

Under förhandsversionen kunde granskningsloggar för anpassade säkerhetsattribut visas med hjälp av rollerna Global administratör eller Säkerhetsadministratör i kataloggranskningsloggarna. Du kan inte längre använda dessa roller för att visa granskningsloggar för anpassade säkerhetsattribut med hjälp av den nya slutpunkten. Om du vill visa granskningsloggarna för anpassade säkerhetsattribut måste du tilldelas rollen Attributloggläsare eller Administratör för attributlogg.

Skapa nya diagnostikinställningar för att exportera granskningsloggar

Om du har konfigurerat att exportera granskningsloggar i förhandsversionen skickades granskningsloggarna för anpassade säkerhetsgranskningsattribut till dina aktuella diagnostikinställningar. Om du vill fortsätta att ta emot granskningsloggar för anpassade säkerhetsgranskningsattribut måste du skapa nya diagnostikinställningar enligt beskrivningen i föregående avsnitt Diagnostikinställningar .

Nästa steg