Sdílet prostřednictvím


Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID

Aby lidé ve vaší organizaci mohli efektivně pracovat s vlastními atributy zabezpečení, musíte udělit odpovídající přístup. V závislosti na informacích, které plánujete zahrnout do vlastních atributů zabezpečení, můžete chtít omezit vlastní atributy zabezpečení nebo je chtít ve vaší organizaci zpřístupnit široce. Tento článek popisuje, jak spravovat přístup k vlastním atributům zabezpečení.

Požadavky

Pokud chcete spravovat přístup k vlastním atributům zabezpečení, musíte mít:

Důležité

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.

Krok 1: Určení způsobu uspořádání atributů

Každá definice atributu vlastního zabezpečení musí být součástí sady atributů. Sada atributů je způsob, jak seskupit a spravovat související vlastní atributy zabezpečení. Budete muset určit, jak chcete přidat sady atributů pro vaši organizaci. Můžete například chtít přidat sady atributů na základě oddělení, týmů nebo projektů. Vaše schopnost udělovat přístup k vlastním atributům zabezpečení závisí na způsobu uspořádání sad atributů.

Diagram znázorňující atribut nastavený podle oddělení

Krok 2: Určení potřebného oboru

Obor je sada prostředků, na které se vztahuje přístup. Pro vlastní atributy zabezpečení můžete přiřadit role v oboru tenanta nebo v oboru sady atributů. Pokud chcete přiřadit široký přístup, můžete přiřadit role v oboru tenanta. Pokud ale chcete omezit přístup k určitým sadám atributů, můžete přiřadit role v oboru sady atributů.

Diagram znázorňující obor tenanta a obor sady atributů

Přiřazení rolí Microsoft Entra jsou doplňkovým modelem, takže efektivní oprávnění představují součet přiřazení rolí. Pokud například přiřadíte uživateli roli v oboru tenanta a přiřadíte stejnému uživateli stejnou roli v oboru sady atributů, bude mít uživatel stále oprávnění v oboru tenanta.

Krok 3: Kontrola dostupných rolí

Potřebujete určit, kdo potřebuje přístup pro práci s vlastními atributy zabezpečení ve vaší organizaci. Pro usnadnění správy přístupu k vlastním atributům zabezpečení existují čtyři předdefinované role Microsoft Entra. V případě potřeby může tyto role přiřadit někdo s alespoň rolí správce privilegovaných rolí.

Následující tabulka obsahuje porovnání vlastních rolí atributů zabezpečení na vysoké úrovni.

Oprávnění Správce definic atributů Správce přiřazení atributů Čtečka definic atributů Čtenář přiřazení atributů
Čtení sad atributů
Čtení definic atributů
Čtení přiřazení atributů pro uživatele a aplikace (instanční objekty)
Přidání nebo úprava sad atributů
Přidání, úprava nebo deaktivace definic atributů
Přiřazení atributů uživatelům a aplikacím (instanční objekty)

Krok 4: Určení strategie delegování

Tento krok popisuje dva způsoby správy přístupu k vlastním atributům zabezpečení. První způsob, jak je spravovat centrálně, a druhým způsobem je delegovat správu na ostatní.

Centrální správa atributů

Správce, který má přiřazené role Správce definic atributů a Správce přiřazení atributů v oboru tenanta může spravovat všechny aspekty vlastních atributů zabezpečení. Následující diagram znázorňuje, jak jsou vlastní atributy zabezpečení definované a přiřazené jedním správcem.

Diagram vlastních atributů zabezpečení spravovaných centrálně

  1. Správce (Xia) má přiřazené role Správce definic atributů i Správce přiřazení atributů v oboru tenanta. Správce přidá sady atributů a definuje atributy.
  2. Správce přiřadí atributy k objektům Microsoft Entra.

Správa atributů má centrálně výhodu, kterou může spravovat jeden nebo dva správci. Nevýhodou je, že správce může získat několik požadavků na definování nebo přiřazení vlastních atributů zabezpečení. V takovém případě můžete chtít delegovat správu.

Správa atributů pomocí delegování

Správce nemusí znát všechny situace, kdy by se měly definovat a přiřazovat vlastní atributy zabezpečení. Obvykle se jedná o uživatele v příslušných odděleních, týmech nebo projektech, kteří o jejich oblasti nejvíce vědí. Místo přiřazení jednoho nebo dvou správců ke správě všech vlastních atributů zabezpečení můžete místo toho delegovat správu v oboru sady atributů. To se také řídí osvědčeným postupem nejnižšího oprávnění, aby udělili jenom oprávnění, která potřebují jiní správci, aby mohli provádět svou úlohu a vyhnout se zbytečnému přístupu. Následující diagram znázorňuje, jak lze správu vlastních atributů zabezpečení delegovat více správcům.

Diagram vlastních atributů zabezpečení spravovaných pomocí delegování

  1. Správce (Xia) s rolí Správce definic atributů přiřazenou v oboru tenanta přidává sady atributů. Správce má také oprávnění k přiřazování rolí ostatním (správce privilegovaných rolí) a delegátům, kteří mohou číst, definovat nebo přiřazovat vlastní atributy zabezpečení pro každou sadu atributů.
  2. Delegovaní správci definic atributů (Alice a Bob) definují atributy v sadách atributů, ke kterým mají udělený přístup.
  3. Delegovaní správci přiřazení atributů (Chandra a Bob) přiřazují atributy z jejich sad atributů k objektům Microsoft Entra.

Krok 5: Výběr odpovídajících rolí a oboru

Jakmile lépe pochopíte, jak budou atributy uspořádány a kdo potřebuje přístup, můžete vybrat příslušné vlastní role a obor atributů zabezpečení. Následující tabulka vám může pomoct s výběrem.

Chci udělit tento přístup Přiřadit tuto roli Obor
Správce definic atributů Ikona oboru tenanta
Tenant
Správce definic atributů Ikona pro obor sady atributů
Sada atributů
Správce přiřazení atributů Ikona oboru tenanta
Tenant
Správce přiřazení atributů Ikona pro obor sady atributů
Sada atributů
  • Čtení všech sad atributů v tenantovi
  • Čtení všech definic atributů v tenantovi
Čtečka definic atributů Ikona oboru tenanta
Tenant
  • Čtení definic atributů v sadě atributů s vymezeným oborem
  • Nelze číst jiné sady atributů
Čtečka definic atributů Ikona pro obor sady atributů
Sada atributů
  • Čtení všech sad atributů v tenantovi
  • Čtení všech definic atributů v tenantovi
  • Čtení všech přiřazení atributů v tenantovi pro uživatele
  • Čtení všech přiřazení atributů v tenantovi pro aplikace (instanční objekty)
Čtenář přiřazení atributů Ikona oboru tenanta
Tenant
  • Čtení definic atributů v sadě atributů s vymezeným oborem
  • Čtení přiřazení atributů, která používají atributy v sadě atributů s vymezeným oborem pro uživatele
  • Čtení přiřazení atributů, která používají atributy v sadě atributů s vymezeným oborem pro aplikace (instanční objekty)
  • Nelze číst atributy v jiných sadách atributů.
  • Nelze číst přiřazení atributů, která používají atributy v jiných sadách atributů.
Čtenář přiřazení atributů Ikona pro obor sady atributů
Sada atributů

Krok 6: Přiřazení rolí

Pokud chcete udělit přístup příslušným lidem, přiřaďte podle těchto kroků jednu z vlastních rolí atributů zabezpečení.

Přiřazení rolí v oboru sady atributů

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Následující příklady ukazují, jak přiřadit roli atributu vlastního zabezpečení objektu objektu v oboru sady atributů s názvem Engineering.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.

  2. Přejděte k vlastním atributům zabezpečení ochrany>.

  3. Vyberte sadu atributů, ke které chcete udělit přístup.

  4. Vyberte položku Role a správci.

    Snímek obrazovky s přiřazením rolí atributů v oboru sady atributů

  5. Přidejte přiřazení pro vlastní role atributů zabezpečení.

    Poznámka:

    Pokud používáte Microsoft Entra Privileged Identity Management (PIM), oprávnění přiřazení rolí v oboru sady atributů se v současné době nepodporují. Podporují se trvalá přiřazení rolí v oboru sady atributů.

Přiřazení rolí v oboru tenanta

Následující příklady ukazují, jak přiřadit vlastní roli atributu zabezpečení k objektu zabezpečení v oboru tenanta.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.

  2. Přejděte k rolím identit>a správcům>a správcům.

    Snímek obrazovky s přiřazením rolí atributů v oboru tenanta

  3. Přidejte přiřazení pro vlastní role atributů zabezpečení.

Protokoly auditu vlastních atributů zabezpečení

Někdy potřebujete informace o změnách vlastních atributů zabezpečení pro účely auditování nebo řešení potíží. Kdykoli někdo provede změny definic nebo přiřazení, aktivity se zaprotokolují.

Protokoly auditu vlastních atributů zabezpečení poskytují historii aktivit souvisejících s vlastními atributy zabezpečení, jako je přidání nové definice nebo přiřazení hodnoty atributu uživateli. Tady jsou vlastní aktivity související s atributy zabezpečení, které jsou protokolovány:

  • Přidání sady atributů
  • Přidání definice vlastního atributu zabezpečení do sady atributů
  • Aktualizace sady atributů
  • Aktualizace hodnot atributů přiřazených k servicePrincipal
  • Aktualizace hodnot atributů přiřazených uživateli
  • Aktualizace definice atributu vlastního zabezpečení v sadě atributů

Zobrazení protokolů auditu pro změny atributů

Pokud chcete zobrazit protokoly auditu vlastních atributů zabezpečení, přihlaste se do Centra pro správu Microsoft Entra, přejděte do protokolů auditu a vyberte Vlastní zabezpečení. Pokud chcete zobrazit protokoly auditu vlastních atributů zabezpečení, musíte mít přiřazenou jednu z následujících rolí. V případě potřeby může tyto role přiřadit někdo s alespoň rolí správce privilegovaných rolí.

Snímek obrazovky s protokoly auditu a vybranou kartou Vlastní zabezpečení

Informace o získání protokolů auditu vlastních atributů zabezpečení pomocí rozhraní Microsoft Graph API najdete v customSecurityAttributeAudit typu prostředku. Další informace naleznete v protokolech auditu Microsoft Entra.

Nastavení diagnostiky

Pokud chcete exportovat vlastní protokoly auditu atributů zabezpečení do různých cílů pro další zpracování, použijte nastavení diagnostiky. Pokud chcete vytvořit a nakonfigurovat nastavení diagnostiky pro vlastní atributy zabezpečení, musíte mít přiřazenou roli Správce protokolu atributů.

Tip

Microsoft doporučuje zachovat vlastní protokoly auditu atributů zabezpečení odděleně od protokolů auditu adresáře, aby přiřazení atributů nebyla neúmyslně odhalena.

Následující snímek obrazovky ukazuje nastavení diagnostiky pro vlastní atributy zabezpečení. Další informace naleznete v tématu Konfigurace nastavení diagnostiky.

Snímek obrazovky s nastavením diagnostiky s vybranou kartou Vlastní atributy zabezpečení

Změny chování protokolů auditu

Byly provedeny změny v protokolech auditu vlastních atributů zabezpečení pro obecnou dostupnost, které můžou ovlivnit vaše každodenní operace. Pokud jste během verze Preview používali protokoly auditu atributů vlastního zabezpečení, tady jsou akce, které musíte provést, abyste zajistili, že se operace protokolu auditu nenaruší.

  • Použití nového umístění protokolů auditu
  • Přiřazení rolí protokolu atributů k zobrazení protokolů auditu
  • Vytvoření nového nastavení diagnostiky pro export protokolů auditu

Použití nového umístění protokolů auditu

Během období Preview byly do koncového bodu protokolů auditu adresáře zapsány protokoly auditu vlastního atributu zabezpečení. V říjnu 2023 byl nový koncový bod přidán výhradně pro vlastní protokoly auditu atributů zabezpečení. Následující snímek obrazovky ukazuje protokoly auditu adresáře a nové umístění protokolů auditu atributů zabezpečení. Pokud chcete získat protokoly auditu vlastních atributů zabezpečení pomocí rozhraní Microsoft Graph API, podívejte se na customSecurityAttributeAudit typ prostředku.

Snímek obrazovky s protokoly auditu, které zobrazují karty Adresář a Vlastní zabezpečení

Existuje přechodné období, kdy se vlastní protokoly auditu zabezpečení zapisují do koncových bodů protokolu auditu adresáře i vlastních atributů zabezpečení. V budoucnu musíte použít koncový bod protokolu auditu vlastních atributů zabezpečení k vyhledání vlastních protokolů auditu atributů zabezpečení.

Následující tabulka uvádí koncový bod, kde můžete během přechodného období najít vlastní protokoly auditu atributů zabezpečení.

Datum události Koncový bod adresáře Koncový bod vlastních atributů zabezpečení
Října 2023
Únor 2024

Přiřazení rolí protokolu atributů k zobrazení protokolů auditu

Ve verzi Preview můžou protokoly auditu vlastního atributu zabezpečení zobrazit uživatelé s alespoň rolí Správce zabezpečení v protokolech auditu adresáře. Tyto role už nemůžete používat k zobrazení protokolů auditu vlastních atributů zabezpečení pomocí nového koncového bodu. Pokud chcete zobrazit vlastní protokoly auditu atributů zabezpečení, musíte mít přiřazenou roli Čtenář protokolu atributů nebo Správce protokolu atributů.

Vytvoření nového nastavení diagnostiky pro export protokolů auditu

Pokud jste během období Preview nakonfigurovali export protokolů auditu, byly do aktuálního nastavení diagnostiky odeslány vlastní protokoly auditu auditu zabezpečení. Pokud chcete dál přijímat vlastní protokoly auditu auditu zabezpečení, musíte vytvořit nová nastavení diagnostiky, jak je popsáno v předchozí části Nastavení diagnostiky.

Další kroky