Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID
Para que as pessoas em sua organização trabalhem de maneira eficaz com os atributos de segurança personalizados, você precisa conceder a elas o acesso apropriado. Dependendo das informações que você planeja incluir nos atributos de segurança personalizados, é possível restringi-los ou torná-los amplamente acessíveis na organização. Este artigo descreve como gerenciar o acesso aos atributos de segurança personalizados.
Pré-requisitos
Para gerenciar o acesso aos atributos de segurança personalizados, você precisa ter o seguinte:
- Administrador de Designação de Atributos
- Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.
Etapa 1: determinar como organizar atributos
Todas as definições dos atributos de segurança personalizados precisam fazer parte de um conjunto de atributos. Um conjunto de atributos é uma forma de agrupar e gerenciar atributos de segurança personalizados que são relacionados. Você precisará determinar como deseja adicionar os conjuntos de atributos para a sua organização. Por exemplo, é possível que você queira adicioná-los com base em departamentos, equipes ou projetos. Sua capacidade de conceder acesso a atributos de segurança personalizados depende de como você organiza seus conjuntos de atributos.
Etapa 2: identificar o escopo necessário
Escopo é o conjunto de recursos ao qual o acesso se aplica. Para atributos de segurança personalizados, é possível designar funções no escopo do locatário ou do conjunto de atributos. Para designar um acesso amplo, atribua as funções no escopo do locatário. No entanto, para limitar o acesso a conjuntos de atributos específicos, atribua as funções no escopo do conjunto de atributos.
As atribuições de funções do Microsoft Entra são um modelo aditivo. Isso significa que suas permissões efetivas são a soma de suas atribuições de funções. Por exemplo, se você designar a um usuário uma função no escopo do locatário e a mesma função no escopo do conjunto de atributos, ele ainda terá permissões no escopo do locatário.
Etapa 3: analisar as funções disponíveis
É necessário determinar quem precisa de acesso para trabalhar com os atributos de segurança personalizados em sua organização. Há quatro funções internas do Microsoft Entra para ajudar você a gerenciar o acesso a atributos de segurança personalizados. Se necessário, alguém com pelo menos a função Administrador de função com privilégios pode atribuir essas funções.
- Administrador de Definição de Atributos
- Administrador de Designação de Atributos
- Leitor de Definição de Atributos
- Leitor de Designação de Atributos
A tabela a seguir fornece uma comparação de alto nível das funções dos atributos de segurança personalizados.
| Permissão | Administrador de Definição de Atributos | Administrador de Designação de Atributos | Leitor de Definição de Atributos | Leitor de Designação de Atributos |
|---|---|---|---|---|
| Leitura de conjuntos de atributos | ✅ | ✅ | ✅ | ✅ |
| Ler definições de atributos | ✅ | ✅ | ✅ | ✅ |
| Ler designações de atributos para usuários e aplicativos (entidades de serviço) | ✅ | ✅ | ||
| Adicionar ou editar conjuntos de atributos | ✅ | |||
| Adicionar, editar ou desativar definições de atributos | ✅ | |||
| Designar atributos a usuários e aplicativos (entidades de serviço) | ✅ |
Etapa 4: determinar sua estratégia de delegação
Esta etapa descreve duas maneiras de gerenciar o acesso aos atributos de segurança personalizados. A primeira é gerenciá-los centralmente e a segunda é delegar esse gerenciamento a outras partes.
Gerenciar atributos centralmente
Um administrador que recebeu as funções de Administrador de Definição de Atributos e Administrador de Designação de Atributos no escopo do locatário pode gerenciar todos os aspectos dos atributos de segurança personalizados. O diagrama a seguir mostra como os atributos de segurança personalizados são definidos e designados por um único administrador.
- O administrador (Xia) tem as funções de Administrador de Definição de Atributos e de Administrador de Designação de Atributos no escopo do locatário. O administrador adiciona conjuntos de atributos e define atributos.
- O administrador atribui atributos a objetos do Microsoft Entra.
O gerenciamento centralizado de atributos oferece a vantagem do poder ser realizado por um ou dois administradores. A desvantagem é que o administrador pode receber diversas solicitações para definir ou designar atributos de segurança personalizados. Nesse caso, recomenda-se delegar o gerenciamento.
Gerenciar atributos com delegação
Um administrador pode não compreender todas as situações de definição e designação dos atributos de segurança personalizados. Normalmente, quem sabe mais sobre isso são os usuários dos respectivos departamentos, equipes ou projetos. Em vez de designar um ou dois administradores para gerenciar todos os atributos de segurança personalizados, é possível delegar o gerenciamento no escopo do conjunto de atributos. Isso também segue a prática recomendada de privilégio mínimo, que concede somente as permissões necessárias ao trabalho dos outros administradores e evita acessos desnecessários. O diagrama a seguir mostra como o gerenciamento dos atributos de segurança personalizados pode ser delegado a diversos administradores.
- O administrador (Xia) com a função de Administrador de Definição de Atributos no escopo do locatário adiciona conjuntos de atributos. Ele também tem permissões para atribuir funções a outras pessoas (Administrador de Funções com Privilégios) e delega quem pode ler, definir ou designar atributos de segurança personalizados para cada conjunto de atributos.
- Os Administradores de Definição de Atributos delegados (Alice e Bob) definem os atributos nos conjuntos aos quais eles têm acesso.
- Os administradores de atribuição de atributos delegados (Chandra e Bob) designam atributos de seus conjuntos a objetos do Microsoft Entra.
Etapa 5: selecionar as funções e o escopo apropriados
Depois de entender melhor como seus atributos são organizados e quem precisa de acesso a eles, é possível selecionar as funções e o escopo apropriados dos atributo de segurança personalizados. A tabela a seguir pode ajudar você com a seleção.
| Eu quero conceder este acesso | Atribuir esta função | Escopo |
|---|---|---|
|
Administrador de Definição de Atributos |  Locatário |
|
Administrador de Definição de Atributos |  Conjunto de atributos |
|
Administrador de Designação de Atributos | Locatário |
|
Administrador de Designação de Atributos | Conjunto de atributos |
|
Leitor de Definição de Atributos | Locatário |
|
Leitor de Definição de Atributos | Conjunto de atributos |
|
Leitor de Designação de Atributos | Locatário |
|
Leitor de Designação de Atributos | Conjunto de atributos |
Etapa 6: atribuir funções
Para conceder acesso às pessoas apropriadas, siga estas etapas a fim de designar uma das funções de atributos de segurança personalizados.
Atribuir funções no escopo do conjunto de atributos
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Os exemplos a seguir mostram como atribuir uma função de atributo de segurança personalizado a uma entidade de segurança em um escopo de conjunto de atributos chamado Engenharia.
Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Selecione o conjunto de atributos ao qual você deseja conceder acesso.
Selecione Funções e administradores.
Adicione atribuições para as funções de atributos de segurança personalizados.
Observação
No momento, ao usar o PIM (Privileged Identity Management) do Microsoft Entra, não há suporte para atribuições de funções qualificadas no escopo do conjunto de atributos. Há suporte para atribuições de função permanentes no escopo do conjunto de atributos.
Atribuir funções no escopo do locatário
Os exemplos a seguir mostram como atribuir uma função de atributo de segurança personalizado a uma entidade de segurança no escopo do locatário.
Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Identidade>Funções e administradores>Funções e administradores.
Adicione atribuições para as funções de atributos de segurança personalizados.
Logs de auditoria de atributos de segurança personalizados
Às vezes, você precisa de informações sobre alterações personalizadas de atributo de segurança para fins de auditoria ou solução de problemas. Sempre que alguém faz alterações em definições ou atribuições, as atividades são registradas em log.
Os logs de auditoria de atributos de segurança personalizados fornecem o histórico de atividades relacionadas a atributos de segurança personalizados, como adicionar uma nova definição ou atribuir um valor de atributo a um usuário. Veja a seguir as atividades relacionadas aos atributos de segurança personalizados que são registradas:
- Adicionar um atributo
- Adicionar definição de atributo de segurança personalizada em um conjunto de atributos
- Atualizar um conjunto de atributos
- Atualizar valores de atributo atribuídos a um servicePrincipal
- Atualizar valores de atributo atribuídos a um usuário
- Atualizar a definição de atributo de segurança personalizada em um conjunto de atributos
Ver logs de auditoria com relação a alterações de atributos
Para exibir os logs de auditoria de atributos de segurança personalizados, entre no Centro de administração do Microsoft Entra, navegue até Logs de Auditoria e selecione Segurança Personalizada. Para exibir logs de auditoria de atributos de segurança personalizados, você deve receber uma das funções a seguir. Se necessário, alguém com pelo menos a função Administrador de função com privilégios pode atribuir essas funções.
Para obter informações sobre como obter os logs de auditoria de atributo de segurança personalizados usando a API do Microsoft Graph, consulte tipo de recursocustomSecurityAttributeAudit. Para obter mais informações, consulte os logs de auditoria do Microsoft Entra.
Configurações de Diagnóstico
Para exportar logs de auditoria de atributos de segurança personalizados para destinos diferentes para processamento adicional, use as configurações de diagnóstico. Para criar e definir configurações de diagnóstico para atributos de segurança personalizados, você deve receber a função administrador de log de atributos.
Dica
A Microsoft recomenda que você mantenha seus logs de auditoria de atributo de segurança personalizados separados dos logs de auditoria do diretório para que as atribuições de atributo não sejam reveladas inadvertidamente.
A captura de tela a seguir mostra as configurações de diagnóstico para atributos de segurança personalizados. Para obter mais informações, consulte Como definir configurações de diagnóstico.
Alterações no comportamento dos logs de auditoria
Foram feitas alterações nos logs de auditoria de atributos de segurança personalizados para disponibilidade geral que podem afetar suas operações diárias. Se você estiver usando logs de auditoria de atributos de segurança personalizados durante a visualização, aqui estão as ações que você deve executar para garantir que suas operações de log de auditoria não sejam interrompidas.
- Usar o novo local de logs de auditoria
- Atribuir funções de Log de Atributos para exibir logs de auditoria
- Criar novas configurações de diagnóstico para exportar logs de auditoria
Usar o novo local de logs de auditoria
Durante a visualização, os logs de auditoria de atributos de segurança personalizados foram gravados no ponto de extremidade de logs de auditoria do diretório. Em outubro de 2023, um novo ponto de extremidade foi adicionado exclusivamente para logs de auditoria de atributo de segurança personalizados. A captura de tela a seguir mostra os logs de auditoria do diretório e o novo local de logs de auditoria do atributo de segurança personalizado. Para obter os logs de auditoria de atributo de segurança personalizados usando a API do Microsoft Graph, consulte tipo de recursocustomSecurityAttributeAudit.
Há um período de transição em que os logs de auditoria de segurança personalizados são gravados nos pontos de extremidade de log de auditoria de atributos de segurança personalizados e do diretório. Daqui para frente, você deve usar o ponto de extremidade de log de auditoria de atributos de segurança personalizados para encontrar logs de auditoria de atributo de segurança personalizados.
A tabela a seguir lista o ponto de extremidade em que você pode encontrar logs de auditoria de atributos de segurança personalizados durante o período de transição.
| Data do evento | Ponto de extremidade do diretório | Ponto de extremidade de atributos de segurança personalizados |
|---|---|---|
| Outubro de 2023 | ✅ | ✅ |
| fev. de 2024 | ✅ |
Atribuir funções de Log de Atributos para exibir logs de auditoria
Durante a versão prévia, os logs de auditoria de atributos de segurança personalizados podem ser exibidos por aqueles com pelo menos a função Administrador da segurança nos logs de auditoria do diretório. Você não pode mais usar essas funções para exibir logs de auditoria de atributos de segurança personalizados usando o novo ponto de extremidade. Para exibir os logs de auditoria de atributos de segurança personalizados, você deve receber a função do Leitor de Log de Atributos ou Administrador do Log de Atributos.
Criar novas configurações de diagnóstico para exportar logs de auditoria
Durante a visualização, se você configurou para exportar logs de auditoria, logs de auditoria de atributo de auditoria de segurança personalizados foram enviados para suas configurações de diagnóstico atuais. Para continuar a receber logs de auditoria de atributo de auditoria de segurança personalizados, você deve criar novas configurações de diagnóstico, conforme descrito na seção de configurações de diagnóstico anterior.