Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы сотрудники вашей организации могли эффективно работать с настраиваемыми атрибутами безопасности, им необходимо предоставить соответствующий доступ. В зависимости от сведений, которые планируется включить в настраиваемые атрибуты, вам может потребоваться ограничить доступ к ним или сделать их доступными многим пользователям организации. В этой статье описывается, как управлять доступом к настраиваемым атрибутам безопасности.
Предварительные требования
Для управления доступом к настраиваемым атрибутам безопасности в Azure AD вам понадобятся:
- Администратор назначения атрибутов
- Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Шаг 1. Определение организации атрибутов
Каждое определение настраиваемого атрибута безопасности должно быть частью набора атрибутов. С помощью набора атрибутов можно группировать связанные настраиваемые атрибуты безопасности и управлять ими. Вам потребуется определить, как добавить наборы атрибутов для вашей организации. Например, можно создать наборы атрибутов на основе отделов, команд или проектов. Возможность предоставления доступа к пользовательским атрибутам безопасности зависит от того, как упорядочить наборы атрибутов.
Шаг 2. Определение необходимой области
Область — это набор ресурсов, к которым предоставляется доступ. Для настраиваемых атрибутов безопасности роли можно назначать на уровне арендатора или на уровне набора атрибутов. If you want to assign broad access, you can assign roles at tenant scope. Однако если вам требуется ограничить доступ к определенным наборам атрибутов, назначайте роли в области набора атрибутов.
Microsoft Entra role assignments are an additive model, so your effective permissions are the sum of your role assignments. Например, если присвоить пользователю роль на уровне арендатора и присвоить ту же роль на уровне набора атрибутов, у пользователя все равно останутся разрешения на уровне арендатора.
Шаг 3. Анализ доступных ролей
Вы должны определить, кому необходим доступ для работы с настраиваемыми атрибутами безопасности в организации. Для управления доступом к пользовательским атрибутам безопасности существует четыре встроенные роли Microsoft Entra. При необходимости, человек, имеющий по крайней мере роль администратора привилегированных ролей, может назначить эти роли.
- Администратор определения атрибутов
- Администратор назначения атрибутов
- Читатель определения атрибутов
- Читатель назначения атрибутов
В таблице ниже представлено обобщенное сравнение ролей настраиваемых атрибутов безопасности.
| Разрешение | Администратор определения атрибутов | Attribute Assignment Admin | Читатель определения атрибутов | Attribute Assignment Reader |
|---|---|---|---|---|
| Read attribute sets | ✅ | ✅ | ✅ | ✅ |
| Чтение определений атрибутов | ✅ | ✅ | ✅ | ✅ |
| Read attribute assignments for users and applications (service principals) | ✅ | ✅ | ||
| Добавление и изменение наборов атрибутов | ✅ | |||
| Добавление, изменение и деактивация определений атрибутов | ✅ | |||
| Назначение атрибутов пользователям и приложениям (основным службам) | ✅ |
Шаг 4. Определение стратегии делегирования
Этот шаг описывает два способа управления доступом к настраиваемым атрибутам безопасности. Первый способ — управлять ими централизованно, второй — делегировать управление другим пользователям.
Централизованное управление атрибутами
Администратор, которому назначены роли администратора определения атрибутов и администратора назначения атрибутов в области арендатора, может управлять всеми аспектами настраиваемых атрибутов безопасности. На схеме ниже показано, как настраиваемые атрибуты безопасности определяются и назначаются одним администратором.
- The administrator (Xia) has both the Attribute Definition Administrator and Attribute Assignment Administrator roles assigned at tenant scope. Администратор добавляет наборы атрибутов и определяет атрибуты.
- Администратор назначает атрибуты объектам Microsoft Entra.
Преимущество централизованного управления атрибутами в том, что управление может осуществляться одним или двумя администраторами. Недостаток заключается в том, что администратор может получать много запросов на определение или назначение настраиваемых атрибутов безопасности. В этом случае вы можете делегировать управление.
Управление атрибутами путем делегирования
Администратор может не знать все ситуации, когда пользовательские атрибуты безопасности должны быть определены и назначены. Обычно пользователи в соответствующих отделах, командах и проектах лучше знакомы со своими областями. Вместо того чтобы назначать одного или двух администраторов для управления всеми настраиваемыми атрибутами безопасности, можно делегировать управление в области набора атрибутов. Это также соответствует рекомендациям в отношении минимальных привилегий, согласно которым следует предоставить только разрешения, необходимые другим администраторам для выполнения своей работы, предотвращая при этом ненужный доступ. На схеме ниже показано, как управление настраиваемыми атрибутами безопасности можно делегировать нескольким администраторам.
- The administrator (Xia) with the Attribute Definition Administrator role assigned at tenant scope adds attribute sets. У администратора также есть разрешения на назначение ролей другим пользователям (администратор привилегированной роли) и делегатов, которые могут считывать, определять и назначать настраиваемые атрибуты безопасности для каждого набора.
- Делегированные администраторы определений атрибутов (Alice и Bob) определяют атрибуты в наборах атрибутов, к которым им предоставлен доступ.
- Администраторы делегированного назначения атрибутов (Chandra и Bob) назначают атрибуты из наборов атрибутов объектам Microsoft Entra.
Шаг 5. Выбор подходящей роли и области
Когда вы поймете, как будут организованы ваши атрибуты и кому нужен доступ, можно выбрать соответствующие роли и область настраиваемых атрибутов безопасности. Следующая таблица поможет вам выбрать нужный вариант.
| Я хочу предоставить этот доступ | Назначьте эту роль | Область |
|---|---|---|
|
Администратор определения атрибутов |
Арендатор |
|
Администратор определения атрибутов |
Attribute set |
|
Администратор назначения атрибутов |
Арендатор |
|
Администратор назначения атрибутов |
Attribute set |
|
Читатель определения атрибутов |
Арендатор |
|
Читатель определения атрибутов |
Attribute set |
|
Читатель назначения атрибутов |
Арендатор |
|
Читатель назначения атрибутов |
Attribute set |
Шаг 6. Назначение ролей
Чтобы предоставить доступ соответствующим пользователям, выполните указанные ниже действия для назначения ролей настраиваемых атрибутов безопасности.
Assign roles at attribute set scope
The following examples show how to assign a custom security attribute role to a principal at an attribute set scope named Engineering.
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Перейдите к Защита>Пользовательские атрибуты безопасности.
Выберите набор атрибутов, к которому требуется предоставить доступ.
Выберите элемент Роли и администраторы.
Add assignments for the custom security attribute roles.
Примечание.
If you are using Microsoft Entra Privileged Identity Management (PIM), eligible role assignments at attribute set scope currently aren't supported. Permanent role assignments at attribute set scope are supported.
Assign roles at tenant scope
The following examples show how to assign a custom security attribute role to a principal at tenant scope.
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Browse to Identity>Roles & admins>Roles & admins.
Add assignments for the custom security attribute roles.
Журналы аудита настраиваемых атрибутов безопасности
Иногда требуется информация об изменениях настраиваемых атрибутов безопасности для аудита или устранения неполадок. Каждый раз, когда кто-то вносит изменения в определения или назначения, действия регистрируются.
Пользовательские журналы аудита атрибутов безопасности предоставляют журнал действий, связанных с пользовательскими атрибутами безопасности, например добавление нового определения или назначение значения атрибута пользователю. Ниже перечислены связанные с атрибутами безопасности действия, которые регистрируются в журнале.
- Добавление набора атрибутов
- Добавление определения настраиваемого атрибута безопасности в набор атрибутов
- Обновление набора атрибутов
- Update attribute values assigned to a servicePrincipal
- Обновление значений атрибутов, назначенных пользователю
- Обновление определения настраиваемого атрибута безопасности в наборе атрибутов
Просмотр журналов аудита на предмет изменений атрибутов
Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, войдите в Центр администрирования Microsoft Entra, перейдите к журналам аудита и выберите "Настраиваемая безопасность". Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, необходимо назначить одну из следующих ролей. При необходимости, человек, имеющий по крайней мере роль администратора привилегированных ролей, может назначить эти роли.
Сведения о том, как получить журналы аудита настраиваемых атрибутов безопасности с помощью API Microsoft Graph, см. в типе ресурса customSecurityAttributeAudit. Дополнительные сведения см. в журналах аудита Microsoft Entra.
Параметры диагностики
Чтобы экспортировать журналы аудита настраиваемых атрибутов безопасности в разные места назначения для дополнительной обработки, используйте параметры диагностики. Чтобы создать и настроить параметры диагностики для пользовательских атрибутов безопасности, вы должны иметь назначенную роль Attribute Log Administrator.
Tip
Корпорация Майкрософт рекомендует хранить журналы аудита настраиваемых атрибутов безопасности отдельно от журналов аудита каталога, чтобы назначения атрибутов не отображались непреднамеренно.
На следующем снимке экрана показаны параметры диагностики для пользовательских атрибутов безопасности. Дополнительные сведения см. в разделе "Настройка параметров диагностики".
Изменение поведения журналов аудита
Changes have been made to custom security attribute audit logs for general availability that might affect your daily operations. Если вы использовали журналы аудита настраиваемых атрибутов безопасности во время предварительной версии, выполните действия, которые необходимо предпринять, чтобы убедиться, что операции журнала аудита не нарушаются.
- Использование нового расположения журналов аудита
- Назначьте роли журнала атрибутов для просмотра журнала аудита
- Создание новых параметров диагностики для экспорта журналов аудита
Использование нового расположения журналов аудита
During the preview, custom security attribute audit logs were written to the directory audit logs endpoint. В октябре 2023 года новая конечная точка была добавлена исключительно для журналов аудита настраиваемых атрибутов безопасности. На следующем снимках экрана показаны журналы аудита каталога и новое расположение журналов аудита настраиваемых атрибутов безопасности. Чтобы получить журналы аудита настраиваемых атрибутов безопасности с помощью API Microsoft Graph, см. тип ресурса customSecurityAttributeAudit.
There is a transition period where custom security audit logs are written to both the directory and custom security attributes audit log endpoints. Going forward, you must use the custom security attributes audit log endpoint to find custom security attribute audit logs.
В следующей таблице перечислены конечные точки, где можно найти пользовательские журналы аудита атрибутов безопасности в течение переходного периода.
| Дата события | Конечная точка каталога | Конечная точка настраиваемых атрибутов безопасности |
|---|---|---|
| Октябрь 2023 г. | ✅ | ✅ |
| Февраль 2024 г. | ✅ |
Назначьте роли журнала атрибутов для просмотра журнала аудита
Во время предварительной версии журналы аудита настраиваемых атрибутов безопасности могут просматриваться пользователями, обладающими по крайней мере ролью администратора безопасности, в журналах аудита каталога. You are no longer able to use these roles to view custom security attribute audit logs using the new endpoint. Чтобы просмотреть журналы аудита настраиваемых атрибутов безопасности, необходимо назначить роль читателя журналов атрибутов или администратора журнала атрибутов.
Создание новых параметров диагностики для экспорта журналов аудита
During the preview, if you configured to export audit logs, custom security audit attribute audit logs were sent to your current diagnostic settings. Чтобы продолжить получение журналов аудита настраиваемых атрибутов аудита безопасности, необходимо создать новые параметры диагностики, как описано в предыдущем разделе параметров диагностики .
Следующие шаги
- Добавление или отключение определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
- Назначение, обновление, перечисление или удаление пользовательских атрибутов безопасности для пользователя
- Устранение неполадок настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra