Управление доступом к пользовательским атрибутам безопасности в идентификаторе Microsoft Entra

Чтобы сотрудники вашей организации могли эффективно работать с настраиваемыми атрибутами безопасности, им необходимо предоставить соответствующий доступ. В зависимости от сведений, которые планируется включить в настраиваемые атрибуты, вам может потребоваться ограничить доступ к ним или сделать их доступными многим пользователям организации. В этой статье описывается, как управлять доступом к настраиваемым атрибутам безопасности.

Предварительные требования

Для управления доступом к настраиваемым атрибутам безопасности в Azure AD вам понадобятся:

• Администратор назначения атрибутов
• Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell

Шаг 1. Определение организации атрибутов

Каждое определение настраиваемого атрибута безопасности должно быть частью набора атрибутов. С помощью набора атрибутов можно группировать связанные настраиваемые атрибуты безопасности и управлять ими. Вам потребуется определить, как добавить наборы атрибутов для вашей организации. Например, можно создать наборы атрибутов на основе отделов, команд или проектов. Возможность предоставления доступа к пользовательским атрибутам безопасности зависит от того, как упорядочить наборы атрибутов.

Шаг 2. Определение необходимой области

Область — это набор ресурсов, к которым предоставляется доступ. Для настраиваемых атрибутов безопасности роли можно назначать на уровне арендатора или на уровне набора атрибутов. Если вы хотите назначить широкие права доступа, вы можете назначить роли на уровне арендатора. Однако если вам требуется ограничить доступ к определенным наборам атрибутов, назначайте роли в области набора атрибутов.

Назначения ролей Microsoft Entra — это аддитивная модель, поэтому ваши эффективные разрешения являются суммой назначений ваших ролей. Например, если присвоить пользователю роль на уровне арендатора и присвоить ту же роль на уровне набора атрибутов, у пользователя все равно останутся разрешения на уровне арендатора.

Шаг 3. Анализ доступных ролей

Вы должны определить, кому необходим доступ для работы с настраиваемыми атрибутами безопасности в организации. Для управления доступом к пользовательским атрибутам безопасности существует четыре встроенные роли Microsoft Entra. При необходимости, человек, имеющий по крайней мере роль администратора привилегированных ролей, может назначить эти роли.

• Администратор определения атрибутов
• Администратор назначения атрибутов
• Читатель определения атрибутов
• Читатель назначения атрибутов

В таблице ниже представлено обобщенное сравнение ролей настраиваемых атрибутов безопасности.

Шаг 4. Определение стратегии делегирования

Этот шаг описывает два способа управления доступом к настраиваемым атрибутам безопасности. Первый способ — управлять ими централизованно, второй — делегировать управление другим пользователям.

Централизованное управление атрибутами

Администратор, которому назначены роли администратора определения атрибутов и администратора назначения атрибутов в области арендатора, может управлять всеми аспектами настраиваемых атрибутов безопасности. На схеме ниже показано, как настраиваемые атрибуты безопасности определяются и назначаются одним администратором.

1. У администратора (Xia) есть роли: администратор определения атрибутов и администратор назначения атрибутов, которые назначены в области арендатора. Администратор добавляет наборы атрибутов и определяет атрибуты.
2. Администратор назначает атрибуты объектам Microsoft Entra.

Преимущество централизованного управления атрибутами в том, что управление может осуществляться одним или двумя администраторами. Недостаток заключается в том, что администратор может получать много запросов на определение или назначение настраиваемых атрибутов безопасности. В этом случае вы можете делегировать управление.

Управление атрибутами путем делегирования

Администратор может не знать все ситуации, когда пользовательские атрибуты безопасности должны быть определены и назначены. Обычно пользователи в соответствующих отделах, командах и проектах лучше знакомы со своими областями. Вместо того чтобы назначать одного или двух администраторов для управления всеми настраиваемыми атрибутами безопасности, можно делегировать управление в области набора атрибутов. Это также соответствует рекомендациям в отношении минимальных привилегий, согласно которым следует предоставить только разрешения, необходимые другим администраторам для выполнения своей работы, предотвращая при этом ненужный доступ. На схеме ниже показано, как управление настраиваемыми атрибутами безопасности можно делегировать нескольким администраторам.

1. Администратор (Xia) с ролью администратора управления атрибутами, назначенной в области арендатора, добавляет наборы атрибутов. У администратора также есть разрешения на назначение ролей другим пользователям (администратор привилегированной роли) и делегатов, которые могут считывать, определять и назначать настраиваемые атрибуты безопасности для каждого набора.
2. Делегированные администраторы определений атрибутов (Alice и Bob) определяют атрибуты в наборах атрибутов, к которым им предоставлен доступ.
3. Администраторы делегированного назначения атрибутов (Chandra и Bob) назначают атрибуты из наборов атрибутов объектам Microsoft Entra.

Шаг 5. Выбор подходящей роли и области

Когда вы поймете, как будут организованы ваши атрибуты и кому нужен доступ, можно выбрать соответствующие роли и область настраиваемых атрибутов безопасности. Следующая таблица поможет вам выбрать нужный вариант.

Я хочу предоставить этот доступ	Назначьте эту роль	Область
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе Добавление и изменение всех наборов атрибутов в арендаторе Добавление, изменение и деактивация всех определений атрибутов в арендаторе	Администратор определения атрибутов	Арендатор
Чтение определений атрибутов в наборе атрибутов с определенной областью Добавление, изменение и деактивация определений атрибутов в наборе атрибутов с определенной областью Не может обновлять наборы атрибутов с определенной областью Не может читать, добавлять и обновлять другие наборы атрибутов	Администратор определения атрибутов	Набор атрибутов
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе Чтение всех назначений атрибутов пользователей в тенанте Чтение всех назначений атрибутов в арендаторе для приложений (субъектов-служб) Назначьте все атрибуты в тенанте пользователям Назначение всех атрибутов арендатора приложениям (служебным принципам) Настроить условия назначения ролей Azure, использующие основной атрибут для всех атрибутов в арендаторе	Администратор назначения атрибутов	Арендатор
Чтение определений атрибутов в наборе атрибутов с определенной областью Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для пользователей Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для приложений (субъектов-служб) Назначение атрибутов из ограниченного набора атрибутов пользователям Назначение атрибутов в наборе атрибутов с определенной областью для приложений (субъектов-служб) Создание условий назначения ролей Azure, использующих атрибут Principal для всех атрибутов в наборе атрибутов, ограниченном областью Не может читать атрибуты в других наборах атрибутов Не может читать назначения атрибутов, которые используют атрибуты из других наборов	Администратор назначения атрибутов	Набор атрибутов
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе	Читатель определения атрибутов	Арендатор
Чтение определений атрибутов в наборе атрибутов с определенной областью Не удается считать другие наборы атрибутов	Читатель определения атрибутов	Набор атрибутов
Чтение всех наборов атрибутов в арендаторе Чтение всех определений атрибутов в арендаторе Чтение всех назначений атрибутов пользователей в тенанте Чтение всех назначений атрибутов в арендаторе для приложений (субъектов-служб)	Читатель назначения атрибутов	Арендатор
Чтение определений атрибутов в наборе атрибутов с определенной областью Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для пользователей Чтение назначений атрибутов, использующих атрибуты из набора атрибутов с определенной областью, заданного для приложений (субъектов-служб) Не может читать атрибуты в других наборах атрибутов Не может читать назначения атрибутов, которые используют атрибуты из других наборов	Читатель назначения атрибутов	Набор атрибутов

Шаг 6. Назначение ролей

Чтобы предоставить доступ соответствующим пользователям, выполните указанные ниже действия для назначения ролей настраиваемых атрибутов безопасности.

Назначение ролей на уровне набора атрибутов

В следующих примерах показано, как назначить настраиваемую роль атрибута безопасности субъекту в области применения наборов атрибутов под именем Engineering.

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScopeId = "/attributeSets/Engineering"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "directoryScopeId": "/attributeSets/Engineering"
}

Назначение ролей на уровне арендатора

В следующих примерах показано, как назначить настраиваемую роль атрибута безопасности субъекту в области клиента.

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$principalId = "aaaaaaaa-bbbb-cccc-1111-222222222222"
$directoryScopeId = "/"
$roleAssignment = New-MgRoleManagementDirectoryRoleAssignment -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId -DirectoryScopeId $directoryScopeId

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "directoryScopeId": "/"
}

Журналы аудита настраиваемых атрибутов безопасности

Иногда требуется информация об изменениях настраиваемых атрибутов безопасности для аудита или устранения неполадок. Каждый раз, когда кто-то вносит изменения в определения или назначения, действия регистрируются.

Пользовательские журналы аудита атрибутов безопасности предоставляют журнал действий, связанных с пользовательскими атрибутами безопасности, например добавление нового определения или назначение значения атрибута пользователю. Ниже перечислены связанные с атрибутами безопасности действия, которые регистрируются в журнале.

• Добавление набора атрибутов
• Добавление определения настраиваемого атрибута безопасности в набор атрибутов
• Обновление набора атрибутов
• Обновите значения атрибутов, назначенных служебному принципалу
• Обновление значений атрибутов, назначенных пользователю
• Обновление определения настраиваемого атрибута безопасности в наборе атрибутов

Просмотр журналов аудита на предмет изменений атрибутов

Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, войдите в Центр администрирования Microsoft Entra, перейдите к журналам аудита и выберите "Настраиваемая безопасность". Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, необходимо назначить одну из следующих ролей. При необходимости, человек, имеющий по крайней мере роль администратора привилегированных ролей, может назначить эти роли.

• Читатель журналов атрибутов
• Администратор журнала атрибутов

Сведения о том, как получить журналы аудита настраиваемых атрибутов безопасности с помощью API Microsoft Graph, см. в типе ресурса customSecurityAttributeAudit. Дополнительные сведения см. в журналах аудита Microsoft Entra.

Параметры диагностики

Чтобы экспортировать журналы аудита настраиваемых атрибутов безопасности в разные места назначения для дополнительной обработки, используйте параметры диагностики. Чтобы создать и настроить параметры диагностики для пользовательских атрибутов безопасности, вы должны иметь назначенную роль Attribute Log Administrator.

На следующем снимке экрана показаны параметры диагностики для пользовательских атрибутов безопасности. Дополнительные сведения см. в разделе "Настройка параметров диагностики".

Изменение поведения журналов аудита

Изменения были внесены в настраиваемые журналы аудита атрибутов безопасности для общего доступа, которые могут повлиять на ежедневные операции. Если вы использовали журналы аудита настраиваемых атрибутов безопасности во время предварительной версии, выполните действия, которые необходимо предпринять, чтобы убедиться, что операции журнала аудита не нарушаются.

• Использование нового расположения журналов аудита
• Назначьте роли журнала атрибутов для просмотра журнала аудита
• Создание новых параметров диагностики для экспорта журналов аудита

Использование нового расположения журналов аудита

Во время предварительной версии журналы аудита настраиваемых атрибутов безопасности записываются в конечную точку журналов аудита каталога. В октябре 2023 года новая конечная точка была добавлена исключительно для журналов аудита настраиваемых атрибутов безопасности. На следующем снимках экрана показаны журналы аудита каталога и новое расположение журналов аудита настраиваемых атрибутов безопасности. Чтобы получить журналы аудита настраиваемых атрибутов безопасности с помощью API Microsoft Graph, см. тип ресурса customSecurityAttributeAudit.

Существует переходный период, когда пользовательские журналы аудита безопасности записываются как в каталог, так и в конечные точки журнала аудита пользовательских атрибутов безопасности. В будущем вы должны использовать конечную точку журнала аудита настраиваемых атрибутов безопасности, чтобы найти эти журналы аудита.

В следующей таблице перечислены конечные точки, где можно найти пользовательские журналы аудита атрибутов безопасности в течение переходного периода.

Назначьте роли журнала атрибутов для просмотра журнала аудита

Во время предварительной версии журналы аудита настраиваемых атрибутов безопасности могут просматриваться пользователями, обладающими по крайней мере ролью администратора безопасности, в журналах аудита каталога. Вы больше не можете использовать эти роли для экспорта журналов аудита настраиваемых атрибутов безопасности через новый конечный узел. Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, необходимо назначить роль читателя журналов атрибутов или администратора журнала атрибутов.

Создание новых параметров диагностики для экспорта журналов аудита

Во время предварительной версии, если вы настроили экспорт журналов аудита, кастомные атрибуты аудита безопасности были отправлены в текущие параметры диагностики. Чтобы продолжить получение журналов аудита настраиваемых атрибутов аудита безопасности, необходимо создать новые параметры диагностики, как описано в предыдущем разделе параметров диагностики .

Следующие шаги

• Добавление или отключение определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
• Назначение, обновление, перечисление или удаление пользовательских атрибутов безопасности для пользователя
• Устранение неполадок настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra