使用自定义安全属性限定工作流的范围

可以根据各种属性(包括为用户配置的自定义安全属性)来限定使用生命周期工作流创建的工作流的范围。 可以使用为租户配置的现有自定义安全属性(其中包含用户的敏感数据)来进一步控制执行工作流的用户集。 有关自定义安全属性及其用例的详细信息,请参阅:Microsoft Entra ID 中的自定义安全属性是什么?

先决条件

使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

若要使用自定义安全属性限定工作流的范围,必须在租户中创建自定义安全属性集及其定义。 有关添加自定义安全属性集和设置其定义的指南,请参阅:在 Microsoft Entra ID 中添加或停用自定义安全属性定义。 创建自定义集属性并设置其定义后,还必须将此属性分配到用户。 有关向用户分配自定义安全属性的指南,请参阅:向用户分配自定义安全属性

注意

必须使用属性分配管理员角色执行创建、定义和分配自定义安全属性的必备步骤。 仅凭生命周期工作流管理员角色无法创建、更新或分配自定义安全属性。

使用 Microsoft Entra 管理中心将自定义安全属性添加到工作流范围

可以使用自定义安全属性来创建或编辑工作流,以将该属性包含为范围。 以下步骤指导你编辑现有工作流以使用自定义安全属性作为范围。 有关从头开始创建工作流(可以使用自定义安全属性限定工作流范围)的指南,请参阅:创建生命周期工作流。 若要编辑工作流以将自定义安全属性作为其范围,请完成以下步骤。

  1. 至少以生命周期工作流管理员属性分配管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“生命周期工作流”>“工作流”

  3. 在“工作流”页面上,选择要使用自定义安全属性作为其范围一部分的工作流。

  4. 在特定工作流页面上,选择“执行条件”

  5. 在“执行条件”页面上,选择“范围详细信息”

  6. 在“范围详细信息”页面上选择“添加表达式”,从下拉列表中找到你的自定义安全属性,然后设置其值范围屏幕上的自定义安全属性列表的屏幕截图。

    注意

    已停用的自定义安全属性不会出现在此列表中。

  7. 设置自定义安全属性的值后,选择“保存”

使用 Microsoft Graph 将自定义安全属性添加到工作流范围

由于将自定义安全属性添加到工作流范围会更新其执行条件,因此会创建工作流的新版本。 若要使用 Microsoft Graph 通过 API 创建新版本的工作流,请参阅:工作流:createNewVersion

查看用作工作流范围的自定义安全属性

使用自定义安全属性限定工作流范围后,可以在工作流审核日志中查看此信息。 若要查看这些详细信息,请执行以下步骤:

  1. 至少以生命周期工作流管理员属性分配管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识治理”>“生命周期工作流”>“工作流”

  3. 在工作流页面上,选择“审核日志”

    提示

    还可以使用适当的权限,从特定工作流的版本页面查看工作流的自定义安全属性信息。

  4. 选择一个在创建过程中使用自定义安全属性限定工作流范围或者将自定义安全属性添加到已更新工作流的事件,然后选择“已修改的属性”

  5. 在版本信息页面上的“配置”下,你应会看到该自定义安全属性用作规则自定义安全属性用作范围的屏幕截图。

  6. 根据你的角色确定你是否可以查看所用自定义安全属性的完整详细信息。 如果在未设置特性分配管理员特性分配读取者角色的情况下尝试查看自定义安全特性信息,你会发现该信息已隐藏。 隐藏属性信息的屏幕截图。

注意

有关隐藏的自定义安全属性的详细信息,请参阅:为何我在“属性”列表中看不到任何自定义安全属性?

下一步