Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID
Per consentire agli utenti dell'organizzazione di lavorare efficacemente con attributi di sicurezza personalizzati, è necessario concedere l'accesso appropriato. A seconda delle informazioni che si prevede di includere negli attributi di sicurezza personalizzati, è possibile limitare gli attributi di sicurezza personalizzati o renderli facilmente accessibili nell'organizzazione. Questo articolo descrive come gestire l'accesso agli attributi di sicurezza personalizzati.
Prerequisiti
Per gestire l'accesso agli attributi di sicurezza personalizzati, è necessario disporre di:
- Amministratore assegnazione di attributi
- Modulo Microsoft.Graph quando si usa PowerShell di Microsoft Graph
Importante
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.
Passaggio 1: Determinare come organizzare gli attributi
Ogni definizione di attributo di sicurezza personalizzata deve far parte di un set di attributi. Un set di attributi è un modo per raggruppare e gestire gli attributi di sicurezza personalizzati correlati. È necessario determinare come aggiungere set di attributi per l'organizzazione. Ad esempio, è possibile aggiungere set di attributi in base a reparti, team o progetti. La possibilità di concedere l'accesso agli attributi di sicurezza personalizzati dipende dalla modalità di organizzazione dei set di attributi.
Passaggio 2: Identificare l'ambito necessario
Con ambito si intende il set di risorse a cui si applica l'accesso. Per gli attributi di sicurezza personalizzati, è possibile assegnare ruoli nell'ambito del tenant o nell'ambito del set di attributi. Se si vuole assegnare un accesso ampio, è possibile assegnare ruoli nell'ambito del tenant. Tuttavia, se si vuole limitare l'accesso a determinati set di attributi, è possibile assegnare ruoli nell'ambito del set di attributi.
Le assegnazioni di ruolo di Microsoft Entra sono un modello aggiuntivo, quindi le autorizzazioni valide sono la somma delle assegnazioni di ruolo. Ad esempio, se si assegna un ruolo a un utente nell'ambito del tenant e si assegna allo stesso utente lo stesso ruolo nell'ambito del set di attributi, l'utente avrà comunque le autorizzazioni nell'ambito del tenant.
Passaggio 3: Esaminare i ruoli disponibili
È necessario determinare chi deve accedere per lavorare con attributi di sicurezza personalizzati nell'organizzazione. Per gestire l'accesso agli attributi di sicurezza personalizzati, sono disponibili quattro ruoli predefiniti di Microsoft Entra. Se necessario, un utente con almeno il ruolo di amministratore ruolo con privilegi può assegnare questi ruoli.
- Amministratore definizione di attributi
- Amministratore assegnazione di attributi
- Lettore definizione di attributi
- Lettore assegnazione attributi
Nella tabella seguente viene fornito un confronto generale dei ruoli degli attributi di sicurezza personalizzati.
Autorizzazione | Amministratore definizione attributi | Amministratore assegnazione attributi | Lettore definizione di attributi | Lettore assegnazione attributi |
---|---|---|---|---|
Leggere i set di attributi | ✅ | ✅ | ✅ | ✅ |
Leggere le definizioni degli attributi | ✅ | ✅ | ✅ | ✅ |
Leggere le assegnazioni di attributi per utenti e applicazioni (entità servizio) | ✅ | ✅ | ||
Aggiungere o modificare set di attributi | ✅ | |||
Aggiungere, modificare o disattivare definizioni di attributi | ✅ | |||
Assegnare attributi a utenti e applicazioni (entità servizio) | ✅ |
Passaggio 4: Determinare la strategia di delega
Questo passaggio descrive due modi in cui è possibile gestire l'accesso agli attributi di sicurezza personalizzati. Il primo consiste nel gestirli centralmente e il secondo consiste nel delegare la gestione ad altri utenti.
Gestire gli attributi centralmente
Un amministratore a cui sono stati assegnati i ruoli Amministratore definizione attributi e Amministratore assegnazione attributi nell'ambito del tenant può gestire tutti gli aspetti degli attributi di sicurezza personalizzati. Il diagramma seguente mostra come vengono definiti e assegnati attributi di sicurezza personalizzati da un singolo amministratore.
- L'amministratore (Xia) ha entrambi i ruoli Amministratore definizione attributi e Amministratore assegnazione attributi assegnati nell'ambito del tenant. L'amministratore aggiunge set di attributi e definisce gli attributi.
- L'amministratore assegna gli attributi agli oggetti Microsoft Entra.
La gestione degli attributi offre centralmente il vantaggio che può essere gestito da uno o due amministratori. Lo svantaggio è che l'amministratore potrebbe ricevere diverse richieste per definire o assegnare attributi di sicurezza personalizzati. In questo caso, potrebbe essere necessario delegare la gestione.
Gestire gli attributi con delega
Un amministratore potrebbe non conoscere tutte le situazioni in cui gli attributi di sicurezza personalizzati devono essere definiti e assegnati. In genere si tratta di utenti all'interno dei rispettivi reparti, team o progetti che conoscono meglio la loro area. Anziché assegnare uno o due amministratori per gestire tutti gli attributi di sicurezza personalizzati, è invece possibile delegare la gestione nell'ambito del set di attributi. Ciò segue anche la procedura consigliata di privilegi minimi per concedere solo le autorizzazioni necessarie agli altri amministratori per svolgere il proprio lavoro ed evitare l'accesso non necessario. Il diagramma seguente illustra come delegare la gestione degli attributi di sicurezza personalizzati a più amministratori.
- L'amministratore (Xia) con il ruolo Amministratore definizione attributi assegnato nell'ambito del tenant aggiunge set di attributi. L'amministratore ha anche le autorizzazioni per assegnare ruoli ad altri utenti (amministratore ruolo con privilegi) e delegati che possono leggere, definire o assegnare attributi di sicurezza personalizzati per ogni set di attributi.
- Gli amministratori delle definizioni degli attributi delegati (Alice e Bob) definiscono gli attributi nei set di attributi a cui sono stati concessi l'accesso.
- Gli amministratori dell'assegnazione di attributi delegati (Chandra e Bob) assegnano attributi dai relativi set di attributi agli oggetti Microsoft Entra.
Passaggio 5: Selezionare i ruoli e l'ambito appropriati
Dopo aver compreso meglio il modo in cui gli attributi verranno organizzati e chi deve accedere, è possibile selezionare i ruoli e l'ambito appropriati per gli attributi di sicurezza personalizzati. La tabella seguente può essere utile per la selezione.
Si vuole concedere l'accesso | Assegnare questo ruolo | Ambito |
---|---|---|
|
Amministratore definizione di attributi | Tenant |
|
Amministratore definizione di attributi | Set di attributi |
|
Amministratore assegnazione di attributi | Tenant |
|
Amministratore assegnazione di attributi | Set di attributi |
|
Lettore definizione di attributi | Tenant |
|
Lettore definizione di attributi | Set di attributi |
|
Lettore assegnazione attributi | Tenant |
|
Lettore assegnazione attributi | Set di attributi |
Passaggio 6: Assegnare ruoli
Per concedere l'accesso alle persone appropriate, seguire questa procedura per assegnare uno dei ruoli degli attributi di sicurezza personalizzati.
Assegnare ruoli nell'ambito del set di attributi
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Negli esempi seguenti viene illustrato come assegnare un ruolo attributo di sicurezza personalizzato a un'entità in un ambito set di attributi denominato Engineering.
Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.
Passare a Protezione>attributi di sicurezza personalizzati.
Selezionare il set di attributi a cui si vuole concedere l'accesso.
Selezionare Ruoli e amministratori.
Aggiungere assegnazioni per i ruoli degli attributi di sicurezza personalizzati.
Nota
Se si usa Microsoft Entra Privileged Identity Management (PIM), le assegnazioni di ruolo idonee nell'ambito del set di attributi non sono attualmente supportate. Sono supportate le assegnazioni di ruolo permanenti nell'ambito del set di attributi.
Assegnare ruoli nell'ambito del tenant
Gli esempi seguenti illustrano come assegnare un ruolo attributo di sicurezza personalizzato a un'entità nell'ambito del tenant.
Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.
Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.
Aggiungere assegnazioni per i ruoli degli attributi di sicurezza personalizzati.
Log di controllo degli attributi di sicurezza personalizzati
In alcuni casi sono necessarie informazioni sulle modifiche personalizzate degli attributi di sicurezza per scopi di controllo o risoluzione dei problemi. Ogni volta che un utente apporta modifiche alle definizioni o alle assegnazioni, le attività vengono registrate.
I log di controllo degli attributi di sicurezza personalizzati forniscono la cronologia delle attività correlate agli attributi di sicurezza personalizzati, ad esempio l'aggiunta di una nuova definizione o l'assegnazione di un valore di attributo a un utente. Ecco le attività personalizzate correlate agli attributi di sicurezza registrate:
- Aggiungere un set di attributi
- Aggiungere una definizione di attributo di sicurezza personalizzata in un set di attributi
- Aggiornare un set di attributi
- Aggiornare i valori degli attributi assegnati a un’entità servizio
- Aggiornare i valori degli attributi assegnati a un utente
- Aggiornare la definizione dell'attributo di sicurezza personalizzata in un set di attributi
Visualizzare i log di controllo per le modifiche degli attributi
Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, accedere all'interfaccia di amministrazione di Microsoft Entra, passare a Log di controllo e selezionare Sicurezza personalizzata. Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli seguenti. Se necessario, un utente con almeno il ruolo di amministratore ruolo con privilegi può assegnare questi ruoli.
Per informazioni su come ottenere i log di controllo degli attributi di sicurezza personalizzati usando l'API Microsoft Graph, vedere il customSecurityAttributeAudit
tipo di risorsa. Per altre informazioni, vedere Log di controllo di Microsoft Entra.
Impostazioni di diagnostica
Per esportare log di controllo degli attributi di sicurezza personalizzati in destinazioni diverse per un'elaborazione aggiuntiva, usare le impostazioni di diagnostica. Per creare e configurare le impostazioni di diagnostica per gli attributi di sicurezza personalizzati, è necessario assegnare il ruolo Di amministratore log attributi.
Suggerimento
Microsoft consiglia di mantenere i log di audit degli attributi di sicurezza personalizzati separati dai log di audit della directory in modo che le assegnazioni di attributi non vengano rivelate inavvertitamente.
Lo screenshot seguente mostra le impostazioni di diagnostica per gli attributi di sicurezza personalizzati. Per altre informazioni, vedere Come configurare le impostazioni di diagnostica.
Modifiche al comportamento dei log di controllo
Sono state apportate modifiche ai log di controllo degli attributi di sicurezza personalizzati per la disponibilità generale che potrebbero influire sulle operazioni quotidiane. Se si usano log di controllo degli attributi di sicurezza personalizzati durante l'anteprima, ecco le azioni da eseguire per assicurarsi che le operazioni del log di controllo non vengano interrotte.
- Usare il nuovo percorso dei log di controllo
- Assegnare ruoli log attributi per visualizzare i log di controllo
- Creare nuove impostazioni di diagnostica per esportare i log di controllo
Usare il nuovo percorso dei log di controllo
Durante l'anteprima, i log di controllo degli attributi di sicurezza personalizzati sono stati scritti nell'endpoint dei log di controllo della directory. Nell'ottobre 2023 è stato aggiunto un nuovo endpoint esclusivamente per i log di controllo degli attributi di sicurezza personalizzati. Lo screenshot seguente mostra i log di controllo della directory e il nuovo percorso dei log di controllo degli attributi di sicurezza personalizzati. Per ottenere i log di controllo degli attributi di sicurezza personalizzati usando l'API Microsoft Graph, vedere il customSecurityAttributeAudit
tipo di risorsa.
Esiste un periodo di transizione in cui i log di controllo della sicurezza personalizzati vengono scritti sia nella directory che negli endpoint del log di controllo degli attributi di sicurezza personalizzati. In futuro, è necessario usare l'endpoint del log di controllo degli attributi di sicurezza personalizzati per trovare i log di controllo degli attributi di sicurezza personalizzati.
La tabella seguente elenca l'endpoint in cui è possibile trovare log di controllo degli attributi di sicurezza personalizzati durante il periodo di transizione.
Data evento | Endpoint della directory | Endpoint degli attributi di sicurezza personalizzati |
---|---|---|
Ott. 2023 | ✅ | ✅ |
febbr. 2024 | ✅ |
Assegnare ruoli log attributi per visualizzare i log di controllo
Durante l'anteprima, i log di controllo degli attributi di sicurezza personalizzati possono essere visualizzati da quelli con almeno il ruolo Amministratore della sicurezza nei log di controllo della directory. Non è più possibile usare questi ruoli per visualizzare i log di controllo degli attributi di sicurezza personalizzati usando il nuovo endpoint. Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, è necessario assegnare il ruolo Di lettura log attributi o Amministratore log attributi.
Creare nuove impostazioni di diagnostica per esportare i log di controllo
Durante l'anteprima, se è stato configurato per esportare i log di controllo di controllo, i log di controllo della sicurezza personalizzati sono stati inviati alle impostazioni di diagnostica correnti. Per continuare a ricevere log di controllo degli attributi di controllo della sicurezza personalizzati, è necessario creare nuove impostazioni di diagnostica come descritto nella sezione Impostazioni di diagnostica precedente.