管理對 Microsoft Entra ID 中自訂安全性屬性的存取
您組織中的人員若要有效使用自訂安全性屬性,您必須授與適當的存取權。 根據您計畫要包含在自訂安全性屬性中的資訊,您可能會想要限制自訂安全性屬性,或可能想要讓其在您的組織中廣泛可供存取。 本文描述如何管理自訂安全性屬性的存取權。
必要條件
若要管理自訂安全性屬性的存取權,您必須具有:
- 屬性指派系統管理員
- 使用 Microsoft Graph PowerShell 時的 Microsoft.Graph 模組
重要
依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。
步驟 1:決定如何組織您的屬性
每個自訂安全性屬性定義都必須屬於屬性集。 屬性集是一種將相關自訂安全性屬性分組和管理這些屬性的方式。 您必須決定如何為您的組織新增屬性集。 例如,您可能會想要根據部門、小組或專案新增屬性集。 您是否能夠授與自訂安全性屬性的存取權,取決於您組織屬性集的方式。
步驟 2:識別所需的範圍
「範圍」是要套用存取權的一組資源。 針對自訂安全性屬性,您可以在租用戶範圍或屬性集範圍內指派角色。 如果您想要指派廣泛的存取權,則可以在租用戶範圍內指派角色。 不過,如果您想要限制特定屬性集的存取權,則可以在屬性集範圍內指派角色。
Microsoft Entra 角色指派是加法模型,因此,您的有效權限就是角色指派的總和。 例如,如果您在租用戶範圍內將一個角色指派給使用者,並在屬性集範圍內將相同的角色指派給相同的使用者,則使用者仍會擁有租用戶範圍內的權限。
步驟 3:檢閱可用的角色
您必須判斷誰需要存取權,才能在您的組織中使用自訂安全性屬性。 為了協助您管理自訂安全性屬性的存取權,有四個 Microsoft Entra 內建角色。 如有必要,至少有 特殊權限角色管理員 角色的人員可以指派這些角色。
下表提供自訂安全性屬性角色的高階比較。
| 權限 | 屬性定義管理員 | 屬性指派管理員 | 屬性定義讀取者 | 屬性指派讀取者 |
|---|---|---|---|---|
| 讀取屬性集 | ✅ | ✅ | ✅ | ✅ |
| 讀取屬性定義 | ✅ | ✅ | ✅ | ✅ |
| 讀取使用者和應用程式的屬性指派 (服務主體) | ✅ | ✅ | ||
| 新增或編輯屬性頁面 | ✅ | |||
| 新增、編輯或停用屬性定義 | ✅ | |||
| 將屬性指派給使用者和應用程式 (服務主體) | ✅ |
步驟 4:決定您的委派策略
此步驟描述兩種方式,您可以用來管理自訂安全性屬性的存取權。 第一種方式是集中管理它們,而第二種方式是將管理委派給其他人。
集中管理屬性
在租用戶範圍內已獲指派屬性定義管理員和屬性指派管理員角色的管理員,可以管理自訂安全性屬性的所有層面。 下圖顯示單一管理員如何定義和指派自訂安全性屬性。
- 管理員 (Xia) 同時已在租用戶範圍內獲指派屬性定義管理員和屬性指派管理員角色。 管理員可新增屬性集和定義屬性。
- 管理員可將屬性指派給 Microsoft Entra 物件。
集中管理屬性的優點是屬性可以由一或兩個管理員來管理。 缺點是管理員可能會收到數個定義或指派自訂安全性屬性的要求。 在此情況下,您可能會想要委派管理。
使用委派管理屬性
管理員可能不知道應該如何定義和指派自訂安全性屬性的所有狀況。 通常,個別部門、小組或專案中內的使用者最了解他們的領域。 您可以在屬性集範圍內委派管理,而不是指派一或兩個管理員來管理所有的自訂安全性屬性。 此舉也遵循最低權限的最佳做法,只授與其他管理員執行其工作所需的權限,並避免不必要的存取。 下圖顯示如何將自訂安全性屬性的管理委派給多個管理員。
- 在租用戶範圍內獲指派屬性定義管理員角色的管理員 (Xia) 可新增屬性集。 管理員也有權限可將角色指派給其他人 (特殊權限角色管理員),以及委派誰可以讀取、定義或指派每個屬性集的自訂安全性屬性。
- 委派的屬性定義管理員 (Alice 和 Bob) 可在其獲授與存取權的屬性集中定義屬性。
- 委派的屬性指派管理員 (Chandra 和 Bob) 可將其屬性集中的屬性指派給 Microsoft Entra 物件。
步驟 5:選取適當的角色和範圍
一旦您更加了解屬性的組織方式,以及需要存取權的人員,就可以選取適當的自訂安全性屬性角色和範圍。 下表可協助您進行選取。
| 我想要授與此存取權 | 指派此角色 | 範圍 |
|---|---|---|
|
屬性定義管理員 |  租用戶 |
|
屬性定義管理員 |  屬性集 |
|
屬性指派系統管理員 | 租用戶 |
|
屬性指派系統管理員 | 屬性集 |
|
屬性定義讀者 | 租用戶 |
|
屬性定義讀者 | 屬性集 |
|
屬性指派讀者 | 租用戶 |
|
屬性指派讀者 | 屬性集 |
步驟 6:指派角色
若要將存取權授與適當的人員,請遵循下列步驟,來指派其中一個自訂安全性屬性角色。
在屬性集範圍內指派角色
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
下列範例示範如何在名為 Engineering 的屬性集範圍,將自訂安全性屬性角色指派給主體。
以 屬性指派系統管理員 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 Protection>自訂安全性屬性。
選擇您要授與存取權的屬性集。
選取 [角色和系統管理員]。
新增自訂安全性屬性角色的指派。
注意
如果您使用的是 Microsoft Entra Privileged Identity Management (PIM),則目前不支援屬性集範圍內合格的角色指派。 支援屬性集範圍的永久角色指派。
在租用戶範圍內指派角色
下列範例示範如何在租用戶範圍,將自訂安全性屬性角色指派給主體。
以 屬性指派系統管理員 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [角色與系統管理員]> [角色與系統管理員]。
新增自訂安全性屬性角色的指派。
自訂安全性屬性稽核記錄
有時,您需要自訂安全性屬性變更的相關資訊,用於進行稽核或疑難排解。 每當有人對定義或指派進行變更時,就會記錄這些活動。
自訂安全性屬性稽核記錄為您提供與自訂安全性屬性相關的活動歷程記錄,例如新增定義或指派屬性值給使用者。 以下是記錄的自訂安全性屬性相關活動:
- 新增屬性集
- 在屬性集中新增自訂安全性屬性定義
- 更新屬性集
- 更新指派給 servicePrincipal 的屬性值
- 更新指派給使用者的屬性值
- 更新屬性集中的自訂安全性屬性定義
檢視屬性變更的稽核記錄
若要檢視自訂安全性屬性稽核記錄,請登入 Microsoft Entra 系統管理中心,瀏覽至 [稽核記錄 ],然後選取 [自訂安全性]。 若要檢視自訂安全性屬性稽核記錄,您必須獲指派下列其中一個角色。 如有必要,至少有 特殊權限角色管理員 角色的人員可以指派這些角色。
![已選取 [自訂安全性] 索引標籤的稽核記錄螢幕擷取畫面。](media/custom-security-attributes-manage/audit-logs-custom-security.png#lightbox)
如需如何使用 Microsoft Graph API 取得自訂安全性屬性稽核記錄的詳細資訊,請參閱 customSecurityAttributeAudit 資源類型。 如需詳細資訊,請參閱 Microsoft Entra 稽核記錄。
診斷設定
若要將自訂安全性屬性稽核記錄匯出至不同的目的地以進行其他處理,請使用診斷設定。 若要建立及設定自訂安全性屬性的診斷設定,您必須獲指派 屬性記錄管理員 角色。
提示
Microsoft 建議您將自訂安全性屬性稽核記錄與目錄稽核記錄分開,以免不小心洩漏屬性指派。
下列螢幕擷取畫面顯示自訂安全性屬性的診斷設定。 如需詳細資訊,請參閱 如何設定診斷設定。
![已選取 [自訂安全性屬性] 索引標籤的診斷設定螢幕擷取畫面。](media/custom-security-attributes-manage/diagnostic-settings-attributes.png#lightbox)
稽核記錄行為的變更
已對自訂安全性屬性稽核記錄進行變更,以取得可能會影響日常作業的正式發行。 如果您已在預覽期間使用自訂安全性屬性稽核記錄,以下是您必須採取的動作,以確保稽核記錄作業不會中斷。
- 使用新的稽核記錄位置
- 指派屬性記錄角色以檢視稽核記錄
- 建立新的診斷設定以匯出稽核記錄
使用新的稽核記錄位置
在預覽期間,自訂安全性屬性稽核記錄會寫入目錄稽核記錄端點。 在 2023 年 10 月,已針對自訂安全性屬性稽核記錄專門新增端點。 下列螢幕擷取畫面顯示目錄稽核記錄和新的自定義安全性屬性稽核記錄位置。 若要使用 Microsoft Graph API 取得自訂安全性屬性稽核記錄,請參閱 customSecurityAttributeAudit 資源類型。
![顯示 [目錄] 和 [自訂安全性] 索引標籤的稽核記錄螢幕擷取畫面。](media/custom-security-attributes-manage/audit-logs-directory-custom-security.png#lightbox)
有一個轉換期間,自訂安全性稽核記錄會同時寫入目錄和自訂安全性屬性稽核記錄端點。 接下來,您必須使用自訂安全性屬性稽核記錄端點來尋找自訂安全性屬性稽核記錄。
下表列出您可以在轉換期間找到自訂安全性屬性稽核記錄的端點。
| 事件日期 | 目錄端點 | 自訂安全性屬性端點 |
|---|---|---|
| 2023 年 10 月 | ✅ | ✅ |
| 2024 年 2 月 | ✅ |
指派屬性記錄角色以檢視稽核記錄
在預覽期間,目錄稽核記錄中至少有 安全性系統管理員 角色的人員可以檢視自訂安全性屬性稽核記錄。 您無法再使用這些角色來檢視使用新端點的自訂安全性屬性稽核記錄。 若要檢視自訂安全性屬性稽核記錄,您必須指派 屬性記錄讀取器 或 屬性記錄管理員 角色。
建立新的診斷設定以匯出稽核記錄
在預覽期間,如果您設定為匯出稽核記錄,自訂安全性稽核屬性稽核記錄會傳送至目前的診斷設定。 若要繼續接收自訂安全性稽核屬性稽核記錄,您必須建立新的診斷設定,如上一個 診斷設定 章節所述。