管理對 Microsoft Entra ID 中自訂安全性屬性的存取

您組織中的人員若要有效使用自訂安全性屬性，您必須授與適當的存取權。根據您計畫要包含在自訂安全性屬性中的資訊，您可能會想要限制自訂安全性屬性，或可能想要讓其在您的組織中廣泛可供存取。本文描述如何管理自訂安全性屬性的存取權。

必要條件

若要管理自訂安全性屬性的存取權，您必須具有：

屬性指派系統管理員
使用 Microsoft Graph PowerShell 時的 Microsoft.Graph 模組

重要

依預設，全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。

步驟 1：決定如何組織您的屬性

每個自訂安全性屬性定義都必須屬於屬性集。屬性集是一種將相關自訂安全性屬性分組和管理這些屬性的方式。您必須決定如何為您的組織新增屬性集。例如，您可能會想要根據部門、小組或專案新增屬性集。您是否能夠授與自訂安全性屬性的存取權，取決於您組織屬性集的方式。

顯示按部門設定屬性的圖表。

步驟 2：識別所需的範圍

「範圍」是「存取」所適用的一組資源。針對自訂安全性屬性，您可以在租戶範圍或屬性集範圍內指派角色。如果您想要分配更廣泛的存取權限，則可以在租戶層級指派角色。不過，如果您想要限制特定屬性集的存取權，則可以在屬性集範圍內指派角色。

顯示租用戶範圍和屬性集範圍的圖表。

Microsoft Entra 角色指派是加法模型，因此，您的有效權限就是角色指派的總和。例如，如果您在租用戶範圍內將一個角色指派給使用者，並在屬性集範圍內將相同的角色指派給相同的使用者，則使用者仍會擁有租用戶範圍內的權限。

步驟 3：查看可用的角色

您必須判斷誰需要存取權，才能在您的組織中使用自訂安全性屬性。為了協助您管理自訂安全性屬性的存取權，有四個 Microsoft Entra 內建角色。如有必要，至少有特殊權限角色管理員角色的人員可以指派這些角色。

下表提供自訂安全性屬性角色的高階比較。

權限	屬性定義管理員	屬性指派管理員	屬性定義解析器	屬性指派查看器
讀取屬性集	✅	✅	✅	✅
讀取屬性定義	✅	✅	✅	✅
讀取用戶和應用程序（服務主體）的屬性指派		✅		✅
新增或編輯屬性集	✅
新增、編輯或停用屬性定義	✅
將屬性指派給使用者和應用程式 (服務主體)		✅

步驟 4：決定您的委派策略

此步驟描述兩種方式，您可以用來管理自訂安全性屬性的存取權。第一種方式是集中管理它們，而第二種方式是將管理委派給其他人。

集中管理屬性

在租用戶範圍內已獲指派「屬性定義管理員」和「屬性指派管理員」角色的管理員，可以管理自訂安全性屬性的所有層面。下圖顯示單一管理員如何定義和指派自訂安全性屬性。

管理員 (Xia) 已在租用戶範圍內同時被指派為「屬性定義管理員」和「屬性指派管理員」角色。管理員可新增屬性集和定義屬性。
管理員可將屬性指派給 Microsoft Entra 物件。

集中管理屬性的優點是屬性可以由一或兩個管理員來管理。缺點是管理員可能會收到數個定義或指派自訂安全性屬性的要求。在此情況下，您可能會想要委派管理。

使用委派來管理屬性

管理員可能不知道應該如何定義和指派自訂安全性屬性的所有狀況。通常，個別部門、小組或專案中內的使用者最了解他們的領域。您可以在屬性集範圍內委派管理，而不是指派一或兩個管理員來管理所有的自訂安全性屬性。此舉也遵循最低權限的最佳做法，只授與其他管理員執行其工作所需的權限，並避免不必要的存取。下圖顯示如何將自訂安全性屬性的管理委派給多個管理員。

在租用戶範圍內獲指派屬性定義管理員角色的管理員 (Xia) 可新增屬性集。管理員也有權限可將角色指派給其他人 (特殊權限角色管理員)，以及委派誰可以讀取、定義或指派每個屬性集的自訂安全性屬性。
委派的屬性定義管理員 (Alice 和 Bob) 可在其獲授與存取權的屬性集中定義屬性。
委派的屬性指派管理員 (Chandra 和 Bob) 可將其屬性集中的屬性指派給 Microsoft Entra 物件。

步驟 5：選取適當的角色和範圍

一旦您更加了解屬性的組織方式，以及需要存取權的人員，就可以選取適當的自訂安全性屬性角色和範圍。下表可協助您進行選取。

我想要授與此存取權	指派此角色	範圍
讀取租戶中的所有屬性集讀取租戶中的所有屬性定義新增或編輯租用戶中的所有屬性集新增、編輯或停用租用戶中的所有屬性定義	屬性定義管理員	租客
讀取在範圍限定的屬性集中的屬性定義新增、編輯或停用範圍屬性集中的屬性定義無法更新範圍屬性集無法讀取、新增或更新其他屬性集	屬性定義管理員	屬性集
讀取租戶中的所有屬性集讀取租戶中的所有屬性定義在租戶中讀取所有使用者屬性指派讀取租戶中用於應用程式的所有屬性指派（服務主體）將租戶中的所有屬性設定指派給使用者將租戶中的所有屬性指派給應用程式（服務主體）設定 Azure 角色指派條件，使用租用戶中所有屬性的「Principal」屬性	屬性指派系統管理員	租客
讀取在範圍限定的屬性集中的屬性定義讀取屬性指派，這些屬性指派會使用範圍屬性集中針對使用者的屬性讀取在範圍屬性集內使用屬性的屬性指派，適用於應用程式（服務主體）將範圍屬性集合中的屬性指派給使用者將具範圍定義的屬性集合中的屬性分配給應用程式 (服務實體) 撰寫使用主體屬性作為範圍屬性集中所有屬性的 Azure 角色指派條件無法讀取其他屬性集中的屬性無法讀取使用其他屬性集中的屬性的屬性分配	屬性指派系統管理員	屬性集
讀取租戶中的所有屬性集讀取租戶中的所有屬性定義	屬性定義查看器	租客
讀取在範圍限定的屬性集中的屬性定義無法讀取其他屬性集	屬性定義查看器	屬性集
讀取租戶中的所有屬性集讀取租戶中的所有屬性定義在租戶中讀取所有使用者屬性指派讀取租戶中用於應用程式的所有屬性指派（服務主體）	屬性分配讀取器	租客
讀取在範圍限定的屬性集中的屬性定義讀取屬性指派，這些屬性指派會使用範圍屬性集中針對使用者的屬性讀取在範圍屬性集內使用屬性的屬性指派，適用於應用程式（服務主體）無法讀取其他屬性集中的屬性無法讀取使用其他屬性集中的屬性的屬性分配	屬性分配讀取器	屬性集

步驟 6：指派角色

若要將存取權授與適當的人員，請遵循下列步驟，來指派其中一個自訂安全性屬性角色。

在屬性集範圍內指派角色

下列範例示範如何在名為 Engineering 的屬性集範圍，將自訂安全性屬性角色指派給主體。

以屬性指派系統管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>自定義安全性屬性。
選擇您要授與存取權的屬性集。
選取 [角色和系統管理員]。
新增自訂安全屬性角色的任務指派。

注意

如果您使用的是 Microsoft Entra Privileged Identity Management (PIM)，則目前不支援屬性集範圍內合格的角色指派。屬性集範圍的永久角色指派受到支援。

新-Mg角色管理目錄角色分配

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScopeId = "/attributeSets/Engineering"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

建立統一角色指派

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "directoryScopeId": "/attributeSets/Engineering"
}

於租用戶範圍內指派角色

下列範例示範如何在租用戶的層級上，將自訂的安全屬性角色指派給主體。

以屬性指派系統管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>角色與管理員。
新增自訂安全屬性角色的任務指派。

新-Mg角色管理目錄角色分配

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScopeId = "/"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

建立統一角色指派

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "directoryScopeId": "/"
}

自訂安全性屬性稽核記錄

有時，您需要自訂安全性屬性變更的相關資訊，用於進行稽核或疑難排解。每當有人對定義或指派進行變更時，就會記錄這些活動。

自訂安全性屬性稽核記錄為您提供與自訂安全性屬性相關的活動歷程記錄，例如新增定義或指派屬性值給使用者。以下是記錄的自訂安全性屬性相關活動：

新增屬性集
在屬性集中新增自訂安全性屬性定義
更新屬性集
更新指派給 servicePrincipal 的屬性值
更新指派給使用者的屬性值
更新屬性集中的自訂安全性屬性定義

檢視屬性變更的稽核記錄

若要檢視自訂安全性屬性稽核記錄，請登入 Microsoft Entra 系統管理中心，瀏覽至 [稽核記錄 ]，然後選取 [自訂安全性]。若要檢視自訂安全性屬性稽核記錄，您必須獲指派下列其中一個角色。如有必要，至少有特殊權限角色管理員角色的人員可以指派這些角色。

如需如何使用 Microsoft Graph API 取得自訂安全性屬性稽核記錄的詳細資訊，請參閱 customSecurityAttributeAudit 資源類型。如需詳細資訊，請參閱 Microsoft Entra 稽核記錄。

診斷設定

若要將自訂安全性屬性稽核記錄匯出至不同的目的地以進行其他處理，請使用診斷設定。若要建立及設定自訂安全性屬性的診斷設定，您必須獲指派屬性記錄管理員角色。

提示

Microsoft 建議您將自訂安全性屬性稽核記錄與目錄稽核記錄分開，以免不小心洩漏屬性指派。

下列螢幕擷取畫面顯示自訂安全性屬性的診斷設定。如需詳細資訊，請參閱如何設定診斷設定。

稽核記錄行為的變更

zh-TW: 已對自訂安全性屬性稽核記錄進行變更，這些變更隨著正式發行而可能會影響您的日常作業。如果您已在預覽期間使用自訂安全性屬性稽核記錄，以下是您必須採取的動作，以確保稽核記錄作業不會中斷。

使用新的稽核記錄位置
指派屬性記錄角色以檢視稽核記錄
建立新的診斷設定以匯出稽核記錄

使用新的稽核記錄位置

在預覽期間，自訂安全性屬性稽核記錄會寫入目錄稽核記錄端點。在 2023 年 10 月，已針對自訂安全性屬性稽核記錄專門新增端點。下列螢幕擷取畫面顯示目錄稽核記錄和新的自定義安全性屬性稽核記錄位置。若要使用 Microsoft Graph API 取得自訂安全性屬性稽核記錄，請參閱 customSecurityAttributeAudit 資源類型。

有一個過渡期間，自訂安全性稽核記錄會同時被寫入目錄和自訂安全性屬性稽核記錄的端點。接下來，您必須使用自訂安全性屬性稽核記錄端點來尋找自訂安全性屬性稽核記錄。

下表列出您可以在轉換期間找到自訂安全性屬性稽核記錄的端點。

事件日期	目錄端點	自訂安全性屬性端點
2023 年 10 月	✅	✅
2024 年 2 月		✅

指派屬性記錄角色以檢視稽核記錄

在預覽期間，目錄稽核記錄中至少有安全性系統管理員角色的人員可以檢視自訂安全性屬性稽核記錄。您無法再使用這些角色來檢視使用新端點的自訂安全性屬性稽核記錄。若要檢視自訂安全性屬性稽核記錄，您必須指派屬性記錄讀取器或屬性記錄管理員角色。

建立新的診斷設定以匯出稽核記錄

在預覽期間，如果您設定為匯出稽核記錄，自訂安全性稽核屬性稽核記錄會傳送至目前的診斷設定。若要繼續接收自訂安全性稽核屬性稽核記錄，您必須建立新的診斷設定，如上一個診斷設定章節所述。

下一步

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-04-06