Kelola akses ke atribut keamanan kustom di Microsoft Azure Active Directory (Pratinjau)

  • Artikel
  • 8 menit untuk membaca

Penting

Atribut keamanan kustom saat ini dalam mode PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Agar orang-orang di organisasi Anda dapat bekerja secara efektif dengan atribut keamanan khusus,Anda harus memberikan akses yang sesuai. Bergantung pada informasi yang Anda rencanakan untuk disertakan dalam atribut keamanan khusus, Anda mungkin ingin membatasi atribut keamanan khusus atau Anda mungkin ingin membuatnya dapat diakses secara luas di organisasi Anda. Artikel ini menjelaskan cara mengelola akses ke atribut keamanan kustom.

Prasyarat

Untuk mengelola akses ke atribut keamanan khusus, Anda harus memiliki:

Penting

Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom.

Langkah 1: Cari tahu cara mengatur atribut Anda

Semua atribut keamanan kustom harus menjadi bagian dari satu set atribut. Tambahkan set atribut ke grup dan kelola atribut keamanan kustom terkait. Anda harus mencari tahu bagaimana Anda ingin menambahkan set atribut untuk organisasi Anda. Misalnya, Anda mungkin ingin menambahkan set atribut berdasarkan departemen, tim, atau proyek. Kemampuan Anda untuk memberikan akses ke atribut keamanan khusus akan tergantung pada bagaimana Anda mengatur set atribut Anda.

Diagram yang menunjukkan atribut yang ditetapkan oleh departemen.

Langkah 2: Mengidentifikasi cakupan yang dibutuhkan

Cakupan: Cakupan adalah sekumpulan sumber daya tempat akses tersebut berlaku. Untuk atribut keamanan kustom, Anda dapat menetapkan peran di lingkup penyewa atau pada lingkup set atribut. Jika Anda ingin menetapkan akses yang luas, Anda dapat menetapkan peran di lingkup penyewa. Namun, jika Anda ingin membatasi akses ke set atribut tertentu, Anda dapat menetapkan peran pada lingkup set atribut.

Diagram yang menunjukkan cakupan penyewa dan cakupan set atribut.

Microsoft Azure Active Directory merupakan model aditif, sehingga izin efektif Anda adalah jumlah penetapan peran Anda. Misalnya, jika Anda menetapkan peran pengguna di lingkup penyewa dan menetapkan pengguna yang sama peran yang sama pada lingkup set atribut, pengguna masih akan memiliki izin pada lingkup penyewa.

Langkah 3: Tinjau peran yang tersedia

Anda perlu menentukan siapa yang membutuhkan akses untuk bekerja dengan atribut keamanan khusus di organisasi Anda. Untuk membantu Anda mengelola akses ke atribut keamanan kustom, ada empat peran bawaan Microsoft Azure Active Directory. Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Jika perlu, Administrator Global dapat menetapkan peran ini bagi diri mereka sendiri.

Tabel berikut memberikan perbandingan tingkat tinggi dari peran atribut keamanan kustom.

Izin Admin global Administrator Definisi Atribut Administrator Tugas Atribut Pembaca Definisi Atribut Pembaca Tugas Atribut
Tambahkan set atribut ✔️ ✔️ ✔️ ✔️
Baca definisi atribut ✔️ ✔️ ✔️
Baca tugas atribut untuk pengguna dan aplikasi (prinsip layanan) ✔️ ✔️
Menambahkan atau mengedit kumpulan atribut ✔️
Menambahkan, mengedit, atau menonaktifkan definisi atribut ✔️
Menetapkan atribut untuk pengguna dan aplikasi (prinsip layanan) ✔️

Langkah 4: Tentukan strategi delegasi Anda

Langkah ini menjelaskan dua cara Anda dapat mengelola akses ke atribut keamanan khusus. Cara pertama adalah mengelolanya secara terpusat dan cara kedua adalah mendelegasikan manajemen kepada orang lain.

Mengelola atribut secara terpusat

Administrator yang telah diberi peran Administrator Definisi Atribut dan Administrator Penugasan Atribut di lingkup penyewa dapat mengelola semua aspek atribut keamanan khusus. Diagram berikut menunjukkan bagaimana atribut keamanan kustom didefinisikan dan ditetapkan oleh administrator tunggal.

Diagram yang menunjukkan atribut yang dikelola secara terpusat.

  1. Administrator (Xia) memiliki peran Administrator Definisi Atribut dan Administrator Penugasan Atribut yang ditugaskan di lingkup penyewa. Administrator menambahkan set atribut dan mendefinisikan atribut.
  2. Administrator menetapkan atribut ke objek Microsoft Azure Active Directory.

Mengelola atribut secara terpusat memiliki keuntungan bahwa hal itu dapat dikelola oleh satu atau dua administrator. Kerugiannya adalah administrator mungkin mendapatkan beberapa permintaan untuk menentukan atau menetapkan atribut keamanan khusus. Dalam hal ini, Anda mungkin ingin mendelegasikan manajemen.

Mengelola atribut dengan delegasi

Administrator mungkin tidak tahu semua situasi tentang bagaimana atribut keamanan kustom harus didefinisikan dan ditetapkan. Biasanya pengguna dalam departemen, tim, atau proyek masing-masing yang paling tahu tentang daerah mereka. Alih-alih menugaskan satu atau dua administrator untuk mengelola semua atribut keamanan khusus, Anda malah dapat mendelegasikan manajemen pada lingkup yang ditetapkan atribut. Ini juga mengikuti praktik terbaik yang paling tidak istimewa untuk memberikan hanya izin yang dibutuhkan administrator lain untuk melakukan pekerjaan mereka dan menghindari akses yang tidak perlu. Diagram berikut menunjukkan bagaimana pengelolaan atribut keamanan kustom dapat didelegasikan ke beberapa administrator.

Diagram yang menunjukkan atribut yang dikelola secara terpusat.

  1. Administrator (Xia) dengan peran Administrator Definisi Atribut yang ditugaskan di lingkup penyewa menambahkan set atribut. Administrator juga memiliki izin untuk menetapkan peran kepada orang lain (Administrator Peran Istimewa) dan delegasi yang dapat membaca, mendefinisikan, atau menetapkan atribut keamanan khusus untuk setiap set atribut.
  2. Administrator Definisi Atribut yang didelegasikan (Alice dan Bob) mendefinisikan atribut dalam set atribut yang telah diberikan akses kepada mereka.
  3. Administrator Penugasan Atribut yang didelegasikan (Chandra dan Bob) menetapkan atribut dari set atribut mereka ke objek Microsoft Azure Active Directory.

Langkah 5: Memilih peran yang sesuai

Setelah Anda memiliki pemahaman yang lebih baik tentang bagaimana atribut Anda akan diatur dan siapa yang membutuhkan akses, Anda dapat memilih peran dan ruang lingkup atribut keamanan khusus yang sesuai. Tabel berikut dapat membantu Anda dengan pilihan.

Saya ingin memberikan akses ini Tetapkan peran ini Lingkup
Administrator Definisi Atribut Ikon untuk cakupan penyewa.
Penyewa
Administrator Definisi Atribut Ikon untuk cakupan kumpulan atribut.
Set atribut
Administrator Tugas Atribut Ikon untuk cakupan penyewa.
Penyewa
Administrator Tugas Atribut Ikon untuk cakupan kumpulan atribut.
Set atribut
  • Membaca semua set atribut di penyewa
  • Membaca semua definisi atribut di penyewa
 Pembaca Definisi Atribut Ikon untuk cakupan penyewa.
Penyewa
  • Membaca definisi atribut dalam kumpulan atribut dengan ruang lingkup
  • Tak bisa membaca set atribut lain
 Pembaca Definisi Atribut Ikon untuk cakupan kumpulan atribut.
Set atribut
  • Membaca semua set atribut di penyewa
  • Membaca semua tugas atribut di penyewa untuk pengguna
  • Baca semua tugas atribut di penyewa untuk aplikasi (prinsip layanan)
 Pembaca Tugas Atribut Ikon untuk cakupan penyewa.
Penyewa
  • Baca tugas atribut yang menggunakan atribut dalam kumpulan atribut lingkup untuk pengguna
  • Baca penetapan atribut yang menggunakan atribut dalam kumpulan atribut cakupan untuk aplikasi (prinsip layanan)
  • Tidak dapat membaca penetapan atribut yang menggunakan atribut di kumpulan atribut lain
 Pembaca Tugas Atribut Ikon untuk cakupan kumpulan atribut.
Set atribut

Langkah 6: Tetapkan peran

Untuk memberikan akses ke orang yang sesuai, ikuti langkah-langkah ini untuk menetapkan salah satu peran atribut keamanan khusus.

Menetapkan peran pada lingkup kumpulan atribut

Portal Azure

  1. Masuk ke portal Microsoft Azure atau pusat admin Microsoft Azure Active Directory.

  2. Klik Azure Active Directory.

  3. Di menu navigasi kiri, klik Atribut keamanan kustom (Pratinjau).

  4. Klik set atribut yang ingin Anda akses.

  5. Klik Peran dan administrator.

    Screenshot penetapan peran atribut pada cakupan set atribut.

  6. Mendapatkan penetapan atribut keamanan kustom untuk pengguna.

    Catatan

    Jika Anda menggunakan Microsoft Azure Active Directory Privileged Identity Management (PIM), tugas peran yang memenuhi syarat pada lingkup set atribut saat ini tidak didukung. Tugas peran permanen pada lingkup set atribut didukung, tetapi halaman peran yang ditetapkan untuk pengguna tidak mencantumkan tugas peran.

    Catatan

    Pengguna dengan tugas peran set-level atribut dapat melihat set atribut lain dan definisi atribut keamanan kustom.

PowerShell

Gunakan Baru-AzRoleAssignment untuk menetapkan peran. Contoh berikut menetapkan peran Administrator Penugasan Atribut ke prinsipal dengan cakupan set atribut bernama Engineering.

$roleDefinitionId = "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d"
$directoryScope = "/attributeSets/Engineering"
$principalId = "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId $directoryScope -RoleDefinitionId $roleDefinitionId -PrincipalId $principalId

Microsoft Graph API

Gunakan API Buat Penetapan Peran Terpadu untuk menetapkan peran tersebut. Contoh berikut menetapkan peran Administrator Penugasan Atribut ke prinsipal dengan cakupan set atribut bernama Engineering.

POST https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/attributeSets/Engineering"
}

Menetapkan peran di lingkup penyewa

Portal Azure

  1. Masuk ke portal Microsoft Azure atau pusat admin Microsoft Azure Active Directory.

  2. Klik Azure Active Directory.

  3. Di menu sebelah kiri, klik Peran dan administrator.

    Screenshot penetapan peran atribut pada cakupan set atribut.

  4. Mendapatkan penetapan atribut keamanan kustom untuk pengguna.

PowerShell

Gunakan Baru-AzRoleAssignment untuk menetapkan peran. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Azure AD di cakupan yang berbeda.

Microsoft Graph API

Gunakan API Buat Penetapan Peran Terpadu untuk menetapkan peran tersebut. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Azure AD di cakupan yang berbeda.

Menampilkan log audit untuk perubahan atribut

Terkadang Anda memerlukan informasi tentang perubahan atribut keamanan khusus, seperti untuk tujuan audit atau pemecahan masalah. Setiap kali seseorang membuat perubahan pada definisi atau tugas, perubahan masuk ke log audit Microsoft Azure Active Directory.

Berikut adalah aktivitas terkait atribut keamanan khusus yang dicatat:

  • Tambahkan set atribut
  • Pembaruan set atribut
  • Tambahkan definisi atribut keamanan khusus
  • Pembaruan definisi atribut keamanan khusus
  • Menetapkan atribut keamanan kustom
  • Hapus atribut keamanan kustom

Cuplikan layar berikut menunjukkan contoh peringatan ini. Untuk memfilter log untuk aktivitas terkait atribut keamanan kustom, pilih filter Kategori lalu pilih Pengaturan Atribut.

Screenshot log audit dengan filter kategori AttributeManagement.

Langkah berikutnya