Использование настраиваемых атрибутов безопасности для определения границ рабочего процесса

Рабочие процессы, созданные с помощью рабочих процессов жизненного цикла, могут быть ограничены на основе атрибутов, включая настраиваемые атрибуты безопасности, настроенные для пользователя. Вы можете использовать существующие настраиваемые атрибуты безопасности, настроенные для арендатора, которые содержат конфиденциальные данные о пользователе для дальнейшего управления пользователями, для которых должен выполняться рабочий процесс. Дополнительные сведения о пользовательских атрибутах безопасности и их вариантах использования см. в статье " Что такое настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra ID?".

Предварительные условия

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, воспользуйтесь материалом Основы лицензирования Microsoft Entra ID Governance.

Чтобы задать область рабочего процесса с использованием настраиваемого атрибута безопасности, у вас должен быть настраиваемый атрибут безопасности и его определения должны быть созданы в вашем арендаторе. Руководство по добавлению настраиваемого набора атрибутов безопасности и настройке его определений см. в статье "Добавление или отключение определений настраиваемых атрибутов безопасности" в идентификаторе Microsoft Entra ID. При создании настраиваемого атрибута набора и задании его определений необходимо также назначить этот атрибут пользователю. Руководство по назначению пользовательских атрибутов безопасности пользователю см. в статье "Назначение пользовательских атрибутов безопасности пользователю".

Примечание.

Необходимые действия по созданию, определению и назначению настраиваемого атрибута безопасности должны выполняться с помощью роли администратора назначения атрибутов. Роль администратора рабочих процессов жизненного цикла не может создавать, обновлять или назначать пользовательские атрибуты безопасности.

Добавление настраиваемого атрибута безопасности в область рабочего процесса с помощью Центра администрирования Microsoft Entra

Рабочие процессы можно создавать или изменять, чтобы включить настраиваемый атрибут безопасности в качестве сферы. Ниже описано, как изменить существующий рабочий процесс, чтобы использовать настраиваемый атрибут безопасности в качестве области. Руководство по созданию рабочего процесса с нуля, с помощью которого можно ограничить рабочий процесс с помощью настраиваемых атрибутов безопасности, см. в статье "Создание рабочего процесса жизненного цикла". Чтобы изменить рабочий процесс, чтобы включить настраиваемый атрибут безопасности в область действия, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум Администратором рабочих процессов жизненного цикла и Администратором назначения атрибутов.

2. Перейдите к управлению удостоверениями>рабочим процессам жизненного цикла>Рабочие процессы.

3. На странице "Рабочие процессы" выберите рабочий процесс, для которого требуется использовать настраиваемый атрибут безопасности в рамках области.

4. На определенной странице рабочего процесса выберите условия выполнения.

5. На странице условий выполнения выберите Подробности области.

6. На странице сведений о области выберите "Добавить выражение" и в раскрывающемся списке найдите настраиваемые атрибуты безопасности, а затем задайте его значение.

   Примечание.

   Деактивированные настраиваемые атрибуты безопасности не будут отображаться в этом списке.

7. После задания значения настраиваемого атрибута безопасности нажмите кнопку "Сохранить".

Добавление настраиваемого атрибута безопасности в область рабочего процесса с помощью Microsoft Graph

При добавлении настраиваемого атрибута безопасности в область рабочего процесса обновляется его условия выполнения, вы создадите новую версию рабочего процесса. Сведения о создании новой версии рабочего процесса с помощью API с помощью Microsoft Graph см. в статье "Рабочий процесс: createNewVersion".

Просмотр настраиваемого атрибута безопасности, используемого в качестве области действия рабочего процесса

После того как вы обозначили рабочий процесс, используя настраиваемый атрибут безопасности, вы можете просмотреть эту информацию в журналах аудита данного рабочего процесса. Чтобы просмотреть эти сведения, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора рабочих процессов жизненного цикла и Администратора назначения атрибутов.

2. Перейдите к управление удостоверениями>рабочие процессы жизненного цикла>Рабочие процессы.

3. На странице рабочих процессов выберите журналы аудита.

   Совет

   Сведения о пользовательском атрибуте безопасности рабочего процесса также доступны для просмотра с соответствующими разрешениями на странице версии определенного рабочего процесса.

4. Выберите событие, в котором настраиваемый атрибут безопасности использовался для области рабочего процесса во время создания или добавлен в обновленный рабочий процесс и выберите "Изменить свойства".

5. На странице сведений о версии в разделе "Настройка" в качестве правила должен отображаться настраиваемый атрибут безопасности.

6. В зависимости от ролей определяется, можно ли просмотреть полные сведения об используемых настраиваемых атрибутах безопасности. Если вы пытаетесь просмотреть сведения о настраиваемых атрибутах безопасности, не имея ролей "Администратор назначения атрибутов" или "Читатель атрибутов", вы увидите, что информация скрыта.

Примечание.

Дополнительные сведения о скрытых настраиваемых атрибутах безопасности см. в статье " Почему не удается просмотреть настраиваемые атрибуты безопасности в списке свойств?".

Следующий шаг

Управление версиями рабочего процесса