Delen via


Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id

Als personen in uw organisatie effectief willen werken met aangepaste beveiligingskenmerken, moet u de juiste toegang verlenen. Afhankelijk van de informatie die u wilt opnemen in aangepaste beveiligingskenmerken, wilt u mogelijk aangepaste beveiligingskenmerken beperken of wilt u deze mogelijk breed toegankelijk maken in uw organisatie. In dit artikel wordt beschreven hoe u de toegang tot aangepaste beveiligingskenmerken beheert.

Vereisten

Als u de toegang tot aangepaste beveiligingskenmerken wilt beheren, moet u het volgende hebben:

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.

Stap 1: Bepalen hoe u uw kenmerken ordent

Elke definitie van een aangepast beveiligingskenmerk moet deel uitmaken van een kenmerkenset. Een kenmerkenset is een manier om gerelateerde aangepaste beveiligingskenmerken te groeperen en te beheren. U moet bepalen hoe u kenmerkensets voor uw organisatie wilt toevoegen. U kunt bijvoorbeeld kenmerksets toevoegen op basis van afdelingen, teams of projecten. Uw mogelijkheid om toegang te verlenen tot aangepaste beveiligingskenmerken, is afhankelijk van hoe u uw kenmerksets ordent.

Diagram van een kenmerkset op afdeling.

Stap 2: Het benodigde bereik identificeren

Bereik is de set resources waarop de toegang van toepassing is. Voor aangepaste beveiligingskenmerken kunt u rollen toewijzen op tenantbereik of op kenmerksetbereik. Als u brede toegang wilt toewijzen, kunt u rollen toewijzen op tenantbereik. Als u echter de toegang tot bepaalde kenmerksets wilt beperken, kunt u rollen toewijzen aan het bereik van de kenmerkset.

Diagram met tenantbereik en kenmerksetbereik.

Microsoft Entra-roltoewijzingen zijn een additief model, dus uw effectieve machtigingen zijn de som van uw roltoewijzingen. Als u bijvoorbeeld een gebruiker een rol toewijst in het tenantbereik en dezelfde gebruiker dezelfde rol toewijst op het kenmerksetbereik, heeft de gebruiker nog steeds machtigingen voor het tenantbereik.

Stap 3: De beschikbare rollen controleren

U moet bepalen wie toegang nodig heeft om te werken met aangepaste beveiligingskenmerken in uw organisatie. Om u te helpen de toegang tot aangepaste beveiligingskenmerken te beheren, zijn er vier ingebouwde Microsoft Entra-rollen. Indien nodig kan iemand met ten minste de rol Beheerder van bevoorrechte rol deze rollen toewijzen.

De volgende tabel bevat een vergelijking op hoog niveau van de aangepaste beveiligingskenmerkenrollen.

Machtiging Beheerder van kenmerkdefinitie Beheerder van kenmerktoewijzing Lezer van kenmerkdefinitie Lezer van kenmerktoewijzing
Kenmerkensets lezen
Kenmerkdefinities lezen
Kenmerktoewijzingen lezen voor gebruikers en toepassingen (service-principals)
Kenmerksets toevoegen of bewerken
Kenmerkdefinities toevoegen, bewerken of deactiveren
Kenmerken toewijzen aan gebruikers en toepassingen (service-principals)

Stap 4: Uw delegatiestrategie bepalen

In deze stap worden twee manieren beschreven waarop u de toegang tot aangepaste beveiligingskenmerken kunt beheren. De eerste manier is om ze centraal te beheren en de tweede manier is om het beheer aan anderen te delegeren.

Kenmerken centraal beheren

Een beheerder waaraan de rollen Beheerder van kenmerkdefinitie en Beheerder van kenmerktoewijzing op tenantbereik zijn toegewezen, kan alle aspecten van aangepaste beveiligingskenmerken beheren. In het volgende diagram ziet u hoe aangepaste beveiligingskenmerken worden gedefinieerd en toegewezen door één beheerder.

Diagram van aangepaste beveiligingskenmerken die centraal worden beheerd.

  1. De beheerder (Xia) heeft zowel de rollen Beheerder van kenmerkdefinitie als Beheerder van kenmerktoewijzing toegewezen op tenantbereik. De beheerder voegt kenmerksets toe en definieert kenmerken.
  2. De beheerder wijst kenmerken toe aan Microsoft Entra-objecten.

Het beheren van kenmerken heeft het voordeel dat het kan worden beheerd door een of twee beheerders. Het nadeel is dat de beheerder mogelijk verschillende aanvragen krijgt om aangepaste beveiligingskenmerken te definiëren of toe te wijzen. In dit geval wilt u mogelijk beheer delegeren.

Kenmerken beheren met delegering

Een beheerder weet mogelijk niet alle situaties waarin aangepaste beveiligingskenmerken moeten worden gedefinieerd en toegewezen. Meestal zijn het gebruikers binnen de respectieve afdelingen, teams of projecten die het meeste weten over hun gebied. In plaats van een of twee beheerders toe te wijzen voor het beheren van alle aangepaste beveiligingskenmerken, kunt u het beheer ook delegeren op kenmerksetbereik. Dit volgt ook de best practice van minimale bevoegdheden om alleen de machtigingen te verlenen die andere beheerders nodig hebben om hun taak uit te voeren en onnodige toegang te voorkomen. In het volgende diagram ziet u hoe het beheer van aangepaste beveiligingskenmerken kan worden gedelegeerd aan meerdere beheerders.

Diagram van aangepaste beveiligingskenmerken die worden beheerd met delegatie.

  1. De beheerder (Xia) met de rol Kenmerkdefinitiebeheerder die aan het tenantbereik is toegewezen, voegt kenmerksets toe. De beheerder heeft ook machtigingen om rollen toe te wijzen aan anderen (Beheerder met bevoorrechte rol) en gemachtigden die aangepaste beveiligingskenmerken voor elke kenmerkenset kunnen lezen, definiëren of toewijzen.
  2. De gedelegeerde Beheerders van kenmerkdefinities (Alice en Bob) definiëren kenmerken in de kenmerkensets waarvoor ze toegang hebben gekregen.
  3. De gedelegeerde beheerders van kenmerktoewijzingen (Chandra en Bob) wijzen kenmerken van hun kenmerksets toe aan Microsoft Entra-objecten.

Stap 5: Selecteer de juiste rollen en het juiste bereik

Zodra u meer inzicht hebt in de manier waarop uw kenmerken worden ingedeeld en wie toegang nodig heeft, kunt u de juiste aangepaste beveiligingskenmerkrollen en het bijbehorende bereik selecteren. De volgende tabel kan u helpen bij de selectie.

Ik wil deze toegang verlenen Deze rol toewijzen Bereik
Kenmerkdefinitiebeheerder Pictogram voor tenantbereik.
Tenant
Kenmerkdefinitiebeheerder Pictogram voor bereik van kenmerkset.
Kenmerkset
Kenmerktoewijzingsbeheerder Pictogram voor tenantbereik.
Tenant
Kenmerktoewijzingsbeheerder Pictogram voor bereik van kenmerkset.
Kenmerkset
  • Alle kenmerksets in een tenant lezen
  • Alle kenmerkdefinities in een tenant lezen
Kenmerkdefinitielezer Pictogram voor tenantbereik.
Tenant
  • Kenmerkdefinities lezen in een set met scoped kenmerken
  • Kan andere kenmerksets niet lezen
Kenmerkdefinitielezer Pictogram voor bereik van kenmerkset.
Kenmerkset
  • Alle kenmerksets in een tenant lezen
  • Alle kenmerkdefinities in een tenant lezen
  • Alle kenmerktoewijzingen in een tenant lezen voor gebruikers
  • Alle kenmerktoewijzingen in een tenant lezen voor toepassingen (service-principals)
Lezer van kenmerktoewijzing Pictogram voor tenantbereik.
Tenant
  • Kenmerkdefinities lezen in een set met scoped kenmerken
  • Kenmerktoewijzingen lezen die gebruikmaken van kenmerken in een set met scoped kenmerken voor gebruikers
  • Kenmerktoewijzingen lezen die gebruikmaken van kenmerken in een set met scoped kenmerken voor toepassingen (service-principals)
  • Kan kenmerken in andere kenmerksets niet lezen
  • Kan kenmerktoewijzingen die gebruikmaken van kenmerken in andere kenmerksets niet lezen
Lezer van kenmerktoewijzing Pictogram voor bereik van kenmerkset.
Kenmerkset

Stap 6: Rollen toewijzen

Als u toegang wilt verlenen aan de juiste personen, volgt u deze stappen om een van de aangepaste beveiligingskenmerkrollen toe te wijzen.

Rollen toewijzen aan set met scoped kenmerken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

In de volgende voorbeelden ziet u hoe u een aangepaste beveiligingskenmerkrol toewijst aan een principal in een kenmerksetbereik met de naam Engineering.

  1. Meld u als beheerder van kenmerktoewijzing aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar aangepaste beveiligingskenmerken voor beveiliging>.

  3. Selecteer de kenmerkenet waaraan u toegang wilt verlenen.

  4. Selecteer Rollen en beheerders.

    Schermopname van het toewijzen van kenmerkrollen binnen het bereik van de kenmerkset.

  5. Toewijzingen toevoegen voor de aangepaste beveiligingskenmerkrollen.

    Notitie

    Als u Microsoft Entra Privileged Identity Management (PIM) gebruikt, worden in aanmerking komende roltoewijzingen op kenmerksetbereik momenteel niet ondersteund. Permanente roltoewijzingen op het bereik van de kenmerkset worden ondersteund.

Rollen toewijzen op tenantbereik

In de volgende voorbeelden ziet u hoe u een aangepaste beveiligingskenmerkrol toewijst aan een principal binnen het tenantbereik.

  1. Meld u als beheerder van kenmerktoewijzing aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar identiteitsrollen>en beheerdersrollen>en beheerders.

    Schermopname van het toewijzen van kenmerkrollen binnen het tenantbereik.

  3. Toewijzingen toevoegen voor de aangepaste beveiligingskenmerkrollen.

Auditlogboeken voor aangepaste beveiligingskenmerken

Soms hebt u informatie nodig over wijzigingen in aangepaste beveiligingskenmerken voor controle- of probleemoplossingsdoeleinden. Wanneer iemand wijzigingen aanbrengt in definities of toewijzingen, worden de activiteiten geregistreerd.

Auditlogboeken voor aangepaste beveiligingskenmerken bieden u de geschiedenis van activiteiten met betrekking tot aangepaste beveiligingskenmerken, zoals het toevoegen van een nieuwe definitie of het toewijzen van een kenmerkwaarde aan een gebruiker. Hier volgen de aangepaste activiteiten met betrekking tot beveiligingskenmerken die zijn vastgelegd:

  • Kenmerkset toevoegen
  • Aangepaste definitie van beveiligingskenmerk toevoegen in een kenmerkenset
  • Kenmerkset bijwerken
  • Kenmerkwaarden bijwerken die zijn toegewezen aan een servicePrincipal
  • Kenmerkwaarden bijwerken die zijn toegewezen aan een gebruiker
  • Aangepaste definitie van beveiligingskenmerk bijwerken in een kenmerkenset

Auditlogboeken weergeven voor kenmerkwijzigingen

Als u de auditlogboeken van het aangepaste beveiligingskenmerk wilt bekijken, meldt u zich aan bij het Microsoft Entra-beheercentrum, bladert u naar auditlogboeken en selecteert u Aangepaste beveiliging. Als u auditlogboeken voor aangepaste beveiligingskenmerken wilt weergeven, moet u een van de volgende rollen toegewezen krijgen. Indien nodig kan iemand met ten minste de rol Beheerder van bevoorrechte rol deze rollen toewijzen.

Schermopname van auditlogboeken met het tabblad Aangepaste beveiliging geselecteerd.

Zie het resourcetype voor informatie over het ophalen van de auditlogboeken van het aangepaste beveiligingskenmerk met behulp van de Microsoft Graph API.customSecurityAttributeAudit Zie Auditlogboeken van Microsoft Entra voor meer informatie.

Diagnostische instellingen

Als u auditlogboeken voor aangepaste beveiligingskenmerken wilt exporteren naar verschillende bestemmingen voor aanvullende verwerking, gebruikt u diagnostische instellingen. Als u diagnostische instellingen voor aangepaste beveiligingskenmerken wilt maken en configureren, moet u de rol Beheerder van het kenmerklogboek krijgen toegewezen.

Tip

Microsoft raadt u aan om de auditlogboeken van uw aangepaste beveiligingskenmerk gescheiden te houden van uw directory-auditlogboeken, zodat kenmerktoewijzingen niet per ongeluk worden weergegeven.

In de volgende schermopname ziet u de diagnostische instellingen voor aangepaste beveiligingskenmerken. Zie Diagnostische instellingen configureren voor meer informatie.

Schermopname van diagnostische instellingen met het tabblad Aangepaste beveiligingskenmerken geselecteerd.

Wijzigingen in het gedrag van auditlogboeken

Er zijn wijzigingen aangebracht in auditlogboeken voor aangepaste beveiligingskenmerken voor algemene beschikbaarheid die van invloed kunnen zijn op uw dagelijkse bewerkingen. Als u auditlogboeken voor aangepaste beveiligingskenmerken tijdens de preview-versie hebt gebruikt, zijn dit de acties die u moet uitvoeren om ervoor te zorgen dat uw auditlogboekbewerkingen niet worden onderbroken.

  • Nieuwe locatie van auditlogboeken gebruiken
  • Kenmerklogboekrollen toewijzen om auditlogboeken weer te geven
  • Nieuwe diagnostische instellingen maken om auditlogboeken te exporteren

Nieuwe locatie van auditlogboeken gebruiken

Tijdens de preview zijn auditlogboeken van aangepaste beveiligingskenmerken naar het eindpunt van de directorycontrolelogboeken geschreven. In oktober 2023 is er exclusief een nieuw eindpunt toegevoegd voor auditlogboeken voor aangepaste beveiligingskenmerken. In de volgende schermopname ziet u de auditlogboeken van de map en de nieuwe locatie van de auditlogboeken voor aangepaste beveiligingskenmerken. Zie customSecurityAttributeAudit het resourcetype om de auditlogboeken van het aangepaste beveiligingskenmerk op te halen met behulp van de Microsoft Graph API.

Schermopname van auditlogboeken met tabbladen Directory en Aangepaste beveiliging.

Er is een overgangsperiode waarin aangepaste beveiligingscontrolelogboeken worden geschreven naar zowel de directory- als aangepaste beveiligingskenmerken, auditlogboekeindpunten. In de toekomst moet u het auditlogboekeindpunt voor aangepaste beveiligingskenmerken gebruiken om auditlogboeken voor aangepaste beveiligingskenmerken te vinden.

De volgende tabel bevat het eindpunt waar u auditlogboeken voor aangepaste beveiligingskenmerken kunt vinden tijdens de overgangsperiode.

Gebeurtenisdatum Mapeindpunt Eindpunt voor aangepaste beveiligingskenmerken
Oktober 2023
feb. 2024

Kenmerklogboekrollen toewijzen om auditlogboeken weer te geven

Tijdens de preview kunnen auditlogboeken van aangepaste beveiligingskenmerken worden weergegeven door personen met ten minste de rol Beveiligingsbeheerder in de directorycontrolelogboeken. U kunt deze rollen niet meer gebruiken om auditlogboeken voor aangepaste beveiligingskenmerken weer te geven met behulp van het nieuwe eindpunt. Als u de auditlogboeken van het aangepaste beveiligingskenmerk wilt weergeven, moet u de rol Kenmerklogboeklezer of Kenmerklogboekbeheerder hebben.

Nieuwe diagnostische instellingen maken om auditlogboeken te exporteren

Als u tijdens de preview hebt geconfigureerd voor het exporteren van auditlogboeken, zijn auditlogboeken voor aangepaste beveiligingscontrolekenmerken verzonden naar uw huidige diagnostische instellingen. Als u aangepaste auditkenmerkcontrolelogboeken wilt blijven ontvangen, moet u nieuwe diagnostische instellingen maken, zoals beschreven in de vorige sectie Diagnostische instellingen .

Volgende stappen