Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID
Per consentire agli utenti dell'organizzazione di lavorare efficacemente con attributi di sicurezza personalizzati, è necessario concedere l'accesso appropriato. A seconda delle informazioni che si prevede di includere negli attributi di sicurezza personalizzati, è possibile limitare gli attributi di sicurezza personalizzati o renderli facilmente accessibili nell'organizzazione. Questo articolo descrive come gestire l'accesso agli attributi di sicurezza personalizzati.
Prerequisiti
Per gestire l'accesso agli attributi di sicurezza personalizzati, è necessario disporre di:
- Assegnazione di attributi Amministrazione istrator
- Modulo Microsoft.Graph quando si usa Microsoft Graph PowerShell
Importante
Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati.
Passaggio 1: Determinare come organizzare gli attributi
Ogni definizione di attributo di sicurezza personalizzata deve far parte di un set di attributi. Un set di attributi è un modo per raggruppare e gestire gli attributi di sicurezza personalizzati correlati. È necessario determinare come aggiungere set di attributi per l'organizzazione. Ad esempio, è possibile aggiungere set di attributi in base a reparti, team o progetti. La possibilità di concedere l'accesso agli attributi di sicurezza personalizzati dipende dalla modalità di organizzazione dei set di attributi.
Passaggio 2: Identificare l'ambito necessario
Ambito è il set di risorse a cui si applica l'accesso. Per gli attributi di sicurezza personalizzati, è possibile assegnare ruoli nell'ambito del tenant o nell'ambito del set di attributi. Se si vuole assegnare un accesso ampio, è possibile assegnare ruoli nell'ambito del tenant. Tuttavia, se si vuole limitare l'accesso a determinati set di attributi, è possibile assegnare ruoli nell'ambito del set di attributi.
Le assegnazioni di ruolo di Microsoft Entra sono un modello aggiuntivo, quindi le autorizzazioni valide sono la somma delle assegnazioni di ruolo. Ad esempio, se si assegna un ruolo a un utente nell'ambito del tenant e si assegna allo stesso utente lo stesso ruolo nell'ambito del set di attributi, l'utente avrà comunque le autorizzazioni nell'ambito del tenant.
Passaggio 3: Esaminare i ruoli disponibili
È necessario determinare chi deve accedere per lavorare con attributi di sicurezza personalizzati nell'organizzazione. Per gestire l'accesso agli attributi di sicurezza personalizzati, sono disponibili quattro ruoli predefiniti di Microsoft Entra. Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non hanno le autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Se necessario, un Amministrazione istrator globale può assegnare questi ruoli a se stessi.
- Definizione dell'attributo Amministrazione istrator
- Assegnazione di attributi Amministrazione istrator
- Lettore di definizioni di attributi
- Lettore assegnazione attributi
Nella tabella seguente viene fornito un confronto generale dei ruoli degli attributi di sicurezza personalizzati.
| Autorizzazione | Amministratore globale | Amministrazione di definizione degli attributi | Assegnazione di attributi Amministrazione | Lettore di definizioni di attributi | Lettore assegnazione di attributi |
|---|---|---|---|---|---|
| Leggere i set di attributi | ✅ | ✅ | ✅ | ✅ | |
| Leggere le definizioni degli attributi | ✅ | ✅ | ✅ | ✅ | |
| Leggere le assegnazioni di attributi per utenti e applicazioni (entità servizio) | ✅ | ✅ | |||
| Aggiungere o modificare set di attributi | ✅ | ||||
| Aggiungere, modificare o disattivare definizioni di attributi | ✅ | ||||
| Assegnare attributi a utenti e applicazioni (entità servizio) | ✅ |
Passaggio 4: Determinare la strategia di delega
Questo passaggio descrive due modi in cui è possibile gestire l'accesso agli attributi di sicurezza personalizzati. Il primo consiste nel gestirli centralmente e il secondo consiste nel delegare la gestione ad altri utenti.
Gestire gli attributi centralmente
Un amministratore a cui è stata assegnata la definizione dell'attributo Amministrazione istrator e l'assegnazione di attributi Amministrazione istrator nell'ambito del tenant può gestire tutti gli aspetti degli attributi di sicurezza personalizzati. Il diagramma seguente mostra come vengono definiti e assegnati attributi di sicurezza personalizzati da un singolo amministratore.
- L'amministratore (Xia) ha sia i ruoli Attribute Definition Amministrazione istrator che Attribute Assignment Amministrazione istrator assegnati nell'ambito del tenant. L'amministratore aggiunge set di attributi e definisce gli attributi.
- L'amministratore assegna gli attributi agli oggetti Microsoft Entra.
La gestione degli attributi offre centralmente il vantaggio che può essere gestito da uno o due amministratori. Lo svantaggio è che l'amministratore potrebbe ricevere diverse richieste per definire o assegnare attributi di sicurezza personalizzati. In questo caso, potrebbe essere necessario delegare la gestione.
Gestire gli attributi con delega
Un amministratore potrebbe non conoscere tutte le situazioni in cui gli attributi di sicurezza personalizzati devono essere definiti e assegnati. In genere si tratta di utenti all'interno dei rispettivi reparti, team o progetti che conoscono meglio la loro area. Anziché assegnare uno o due amministratori per gestire tutti gli attributi di sicurezza personalizzati, è invece possibile delegare la gestione nell'ambito del set di attributi. Ciò segue anche la procedura consigliata di privilegi minimi per concedere solo le autorizzazioni necessarie agli altri amministratori per svolgere il proprio lavoro ed evitare l'accesso non necessario. Il diagramma seguente illustra come delegare la gestione degli attributi di sicurezza personalizzati a più amministratori.
- L'amministratore (Xia) con il ruolo Attribute Definition Amministrazione istrator assegnato nell'ambito del tenant aggiunge set di attributi. L'amministratore ha anche le autorizzazioni per assegnare ruoli ad altri (ruolo con privilegi Amministrazione istrator) e delegati che possono leggere, definire o assegnare attributi di sicurezza personalizzati per ogni set di attributi.
- La definizione dell'attributo delegata Amministrazione istrators (Alice e Bob) definisce gli attributi nei set di attributi a cui è stato concesso l'accesso.
- L'assegnazione di attributi delegati Amministrazione istrators (Chandra e Bob) assegna gli attributi dai relativi set di attributi agli oggetti Microsoft Entra.
Passaggio 5: Selezionare i ruoli e l'ambito appropriati
Dopo aver compreso meglio il modo in cui gli attributi verranno organizzati e chi deve accedere, è possibile selezionare i ruoli e l'ambito appropriati per gli attributi di sicurezza personalizzati. La tabella seguente può essere utile per la selezione.
| Si vuole concedere l'accesso | Assegnare questo ruolo | Ambito |
|---|---|---|
|
Definizione dell'attributo Amministrazione istrator |  Tenant |
|
Definizione dell'attributo Amministrazione istrator |  Set di attributi |
|
Assegnazione di attributi Amministrazione istrator | Tenant |
|
Assegnazione di attributi Amministrazione istrator | Set di attributi |
|
Lettore di definizioni di attributi | Tenant |
|
Lettore di definizioni di attributi | Set di attributi |
|
Lettore assegnazione attributi | Tenant |
|
Lettore assegnazione attributi | Set di attributi |
Passaggio 6: Assegnare ruoli
Per concedere l'accesso alle persone appropriate, seguire questa procedura per assegnare uno dei ruoli degli attributi di sicurezza personalizzati.
Assegnare ruoli nell'ambito del set di attributi
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Negli esempi seguenti viene illustrato come assegnare un ruolo attributo di sicurezza personalizzato a un'entità in un ambito set di attributi denominato Engineering.
Accedere all'interfaccia di amministrazione di Microsoft Entra come assegnazione di attributi Amministrazione istrator.
Passare a Protezione>attributi di sicurezza personalizzati.
Selezionare il set di attributi a cui si vuole concedere l'accesso.
Selezionare Ruoli e amministratori.
Aggiungere assegnazioni per i ruoli degli attributi di sicurezza personalizzati.
Nota
Se si usa Microsoft Entra Privileged Identity Management (PIM), le assegnazioni di ruolo idonee nell'ambito del set di attributi non sono attualmente supportate. Sono supportate le assegnazioni di ruolo permanenti nell'ambito del set di attributi.
Assegnare ruoli nell'ambito del tenant
Gli esempi seguenti illustrano come assegnare un ruolo attributo di sicurezza personalizzato a un'entità nell'ambito del tenant.
Accedere all'interfaccia di amministrazione di Microsoft Entra come assegnazione di attributi Amministrazione istrator.
Passare a Ruoli di identità>e ruoli amministratori e amministratori.>
Aggiungere assegnazioni per i ruoli degli attributi di sicurezza personalizzati.
Log di controllo degli attributi di sicurezza personalizzati
In alcuni casi sono necessarie informazioni sulle modifiche personalizzate degli attributi di sicurezza per scopi di controllo o risoluzione dei problemi. Ogni volta che un utente apporta modifiche alle definizioni o alle assegnazioni, le attività vengono registrate.
I log di controllo degli attributi di sicurezza personalizzati forniscono la cronologia delle attività correlate agli attributi di sicurezza personalizzati, ad esempio l'aggiunta di una nuova definizione o l'assegnazione di un valore di attributo a un utente. Ecco le attività personalizzate correlate agli attributi di sicurezza registrate:
- Aggiungere un set di attributi
- Aggiungere una definizione di attributo di sicurezza personalizzata in un set di attributi
- Aggiornare un set di attributi
- Aggiornare i valori degli attributi assegnati a un servicePrincipal
- Aggiornare i valori degli attributi assegnati a un utente
- Aggiornare la definizione dell'attributo di sicurezza personalizzata in un set di attributi
Visualizzare i log di controllo per le modifiche degli attributi
Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, accedere all'interfaccia di amministrazione di Microsoft Entra, passare a Log di controllo e selezionare Sicurezza personalizzata. Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli seguenti. Per impostazione predefinita, un Amministrazione istrator globale non ha accesso a questi log di controllo.
Per informazioni su come ottenere i log di controllo degli attributi di sicurezza personalizzati usando l'API Microsoft Graph, vedere il customSecurityAttributeAudit tipo di risorsa. Per altre informazioni, vedere Log di controllo di Microsoft Entra.
Impostazioni di diagnostica
Per esportare log di controllo degli attributi di sicurezza personalizzati in destinazioni diverse per un'elaborazione aggiuntiva, usare le impostazioni di diagnostica. Per creare e configurare le impostazioni di diagnostica per gli attributi di sicurezza personalizzati, è necessario assegnare il ruolo Log attributi Amministrazione istrator.
Suggerimento
Microsoft consiglia di mantenere i log di controllo degli attributi di sicurezza personalizzati separati dai log di controllo della directory in modo che le assegnazioni di attributi non vengano rivelate inavvertitamente.
Lo screenshot seguente mostra le impostazioni di diagnostica per gli attributi di sicurezza personalizzati. Per altre informazioni, vedere Come configurare le impostazioni di diagnostica.
Modifiche al comportamento dei log di controllo
Sono state apportate modifiche ai log di controllo degli attributi di sicurezza personalizzati per la disponibilità generale che potrebbero influire sulle operazioni quotidiane. Se si usano log di controllo degli attributi di sicurezza personalizzati durante l'anteprima, ecco le azioni da eseguire per assicurarsi che le operazioni del log di controllo non vengano interrotte.
- Usare il nuovo percorso dei log di controllo
- Assegnare ruoli log attributi per visualizzare i log di controllo
- Creare nuove impostazioni di diagnostica per esportare i log di controllo
Usare il nuovo percorso dei log di controllo
Durante l'anteprima, i log di controllo degli attributi di sicurezza personalizzati sono stati scritti nell'endpoint dei log di controllo della directory. Nell'ottobre 2023 è stato aggiunto un nuovo endpoint esclusivamente per i log di controllo degli attributi di sicurezza personalizzati. Lo screenshot seguente mostra i log di controllo della directory e il nuovo percorso dei log di controllo degli attributi di sicurezza personalizzati. Per ottenere i log di controllo degli attributi di sicurezza personalizzati usando l'API Microsoft Graph, vedere il customSecurityAttributeAudit tipo di risorsa.
Esiste un periodo di transizione in cui i log di controllo della sicurezza personalizzati vengono scritti sia nella directory che negli endpoint del log di controllo degli attributi di sicurezza personalizzati. In futuro, è necessario usare l'endpoint del log di controllo degli attributi di sicurezza personalizzati per trovare i log di controllo degli attributi di sicurezza personalizzati.
La tabella seguente elenca l'endpoint in cui è possibile trovare log di controllo degli attributi di sicurezza personalizzati durante il periodo di transizione.
| Data evento | Endpoint della directory | Endpoint degli attributi di sicurezza personalizzati |
|---|---|---|
| Ott. 2023 | ✅ | ✅ |
| febbr. 2024 | ✅ |
Assegnare ruoli log attributi per visualizzare i log di controllo
Durante l'anteprima, i log di controllo degli attributi di sicurezza personalizzati possono essere visualizzati usando i ruoli Amministrazione istrator globale o security Amministrazione istrator nei log di controllo della directory. Non è più possibile usare questi ruoli per visualizzare i log di controllo degli attributi di sicurezza personalizzati usando il nuovo endpoint. Per visualizzare i log di controllo degli attributi di sicurezza personalizzati, è necessario assegnare il ruolo Di lettura log attributi o Log attributi Amministrazione istrator.
Creare nuove impostazioni di diagnostica per esportare i log di controllo
Durante l'anteprima, se è stato configurato per esportare i log di controllo di controllo, i log di controllo della sicurezza personalizzati sono stati inviati alle impostazioni di diagnostica correnti. Per continuare a ricevere log di controllo degli attributi di controllo della sicurezza personalizzati, è necessario creare nuove impostazioni di diagnostica come descritto nella sezione Impostazioni di diagnostica precedente.