管理 Microsoft Entra 識別碼中自定義安全性屬性的存取權
若要讓組織中的人員有效地使用 自定義安全性屬性,您必須授與適當的存取權。 根據您計劃包含在自訂安全性屬性中的資訊,您可能會想要限制自定義安全性屬性,或者您可能想要讓自定義屬性在組織中廣泛存取。 本文說明如何管理自定義安全性屬性的存取權。
必要條件
若要管理自定義安全性屬性的存取權,您必須具備:
重要
根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。
步驟 1:決定如何組織屬性
每個自定義安全性屬性定義都必須是屬性集的一部分。 屬性集是分組和管理相關自定義安全性屬性的方法。 您必須決定要如何為組織新增屬性集。 例如,您可能想要根據部門、小組或專案新增屬性集。 授與自定義安全性屬性存取權的能力取決於您組織屬性集的方式。
步驟 2:識別所需的範圍
「範圍」是要套用存取權的一組資源。 針對自定義安全性屬性,您可以在租用戶範圍或屬性集範圍指派角色。 如果您想要指派廣泛的存取權,您可以在租用戶範圍指派角色。 不過,如果您想要限制對特定屬性集的存取,您可以在屬性集範圍指派角色。
Microsoft Entra 角色指派是加法模型,因此您的有效許可權是角色指派的總和。 例如,如果您在租用戶範圍指派角色,並在屬性集範圍指派相同使用者相同的角色,則使用者仍會有租使用者範圍的許可權。
步驟 3:檢閱可用的角色
您必須判斷誰需要存取權才能在組織中使用自定義安全性屬性。 為了協助您管理自定義安全性屬性的存取權,有四個 Microsoft Entra 內建角色。 根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 如有必要,Global 管理員 istrator 可以將這些角色指派給自己。
下表提供自定義安全性屬性角色的高階比較。
權限 | 全域管理員 | 屬性定義 管理員 | 屬性指派 管理員 | 屬性定義讀取器 | 屬性指派讀取者 |
---|---|---|---|---|---|
讀取屬性集 | ✅ | ✅ | ✅ | ✅ | |
讀取屬性定義 | ✅ | ✅ | ✅ | ✅ | |
讀取使用者和應用程式的屬性指派(服務主體) | ✅ | ✅ | |||
新增或編輯屬性集 | ✅ | ||||
新增、編輯或停用屬性定義 | ✅ | ||||
將屬性指定給使用者和應用程式(服務主體) | ✅ |
步驟 4:判斷委派策略
此步驟說明兩種方式,您可以管理自定義安全性屬性的存取權。 第一種方式是集中管理它們,第二種方式是將管理委派給其他人。
集中管理屬性
已在租用戶範圍指派屬性定義 管理員 istrator 和屬性指派 管理員 istrator 角色的系統管理員,可以管理自定義安全性屬性的所有層面。 下圖顯示單一系統管理員如何定義及指派自定義安全性屬性。
- 系統管理員 (Xia) 同時具有在租用戶範圍指派的屬性定義 管理員 istrator 和屬性指派 管理員 istrator 角色。 系統管理員新增屬性集並定義屬性。
- 系統管理員會將屬性指派給 Microsoft Entra 物件。
集中管理屬性的優點是,它可以由一或兩個系統管理員管理。 缺點是系統管理員可能會收到數個要求來定義或指派自定義安全性屬性。 在此情況下,您可能會想要委派管理。
使用委派管理屬性
系統管理員可能不知道應該如何定義和指派自定義安全性屬性的所有情況。 通常是各自部門、小組或專案的用戶,他們最瞭解其區域。 您可以改為在屬性集範圍委派管理管理,而不是指派一或兩個系統管理員來管理所有自定義安全性屬性。 這也遵循最低許可權的最佳做法,只授與其他系統管理員執行其工作並避免不必要的存取權的許可權。 下圖顯示如何將自定義安全性屬性的管理委派給多個系統管理員。
- 在租用戶範圍指派的屬性定義 管理員 istrator 角色的系統管理員 (Xia) 會新增屬性集。 系統管理員也有權將角色指派給其他人(Privileged Role 管理員 istrator),以及可讀取、定義或指派每個屬性集之自定義安全性屬性的委派。
- 委派的屬性定義 管理員 istrators (Alice 和 Bob) 定義屬性集合中已獲授與存取權的屬性集。
- 委派的屬性指派 管理員 istrators (Chandra 和 Bob) 會將屬性集合中的屬性指派給 Microsoft Entra 物件。
步驟 5:選取適當的角色和範圍
當您深入瞭解如何組織屬性,以及需要存取的人員之後,您可以選取適當的自定義安全性屬性角色和範圍。 下表可協助您進行選取。
我想要授與此存取權 | 指派此角色 | 範圍 |
---|---|---|
|
屬性定義 管理員 istrator | 租用戶 |
|
屬性定義 管理員 istrator | 屬性集 |
|
屬性指派 管理員 istrator | 租用戶 |
|
屬性指派 管理員 istrator | 屬性集 |
|
屬性定義讀取器 | 租用戶 |
|
屬性定義讀取器 | 屬性集 |
|
屬性指派讀取器 | 租用戶 |
|
屬性指派讀取器 | 屬性集 |
步驟 6:指派角色
若要授與適當人員的存取權,請遵循下列步驟來指派其中一個自定義安全性屬性角色。
在屬性集範圍指派角色
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
下列範例示範如何在名為 Engineering 的屬性集範圍,將自定義安全性屬性角色指派給主體。
以屬性指派 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>自定義安全性屬性]。
選取您要授與存取權的屬性集。
選取 [角色和系統管理員]。
新增自訂安全性屬性角色的指派。
注意
如果您使用 Microsoft Entra Privileged Identity Management (PIM),目前不支援屬性集範圍中的合格角色指派。 支援屬性集範圍中的永久角色指派。
在租用戶範圍指派角色
下列範例示範如何將自定義安全性屬性角色指派給租使用者範圍的主體。
以屬性指派 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別角色] 和 [系統管理員>角色] 和 [系統管理員]。
新增自訂安全性屬性角色的指派。
自訂安全性屬性稽核記錄
有時候,您需要自定義安全性屬性變更的相關信息,以進行稽核或疑難解答。 每當有人變更定義或指派時,就會記錄活動。
自定義安全性屬性稽核記錄為您提供與自定義安全性屬性相關的活動歷程記錄,例如新增定義或指派屬性值給使用者。 以下是記錄的自訂安全性屬性相關活動:
- 新增屬性集
- 在屬性集中新增自定義安全性屬性定義
- 更新屬性集
- 更新指派給 servicePrincipal 的屬性值
- 更新指派給用戶的屬性值
- 更新屬性集中的自定義安全性屬性定義
檢視屬性變更的稽核記錄
若要檢視自定義安全性屬性稽核記錄,請登入 Microsoft Entra 系統管理中心,流覽至 [稽核記錄],然後選取 [ 自定義安全性]。 若要檢視自定義安全性屬性稽核記錄,您必須獲指派下列其中一個角色。 根據預設,全域 管理員 istrator 無法存取這些稽核記錄。
如需如何使用 Microsoft Graph API 取得自定義安全性屬性稽核記錄的詳細資訊,請參閱 customSecurityAttributeAudit
資源類型。 如需詳細資訊,請參閱 Microsoft Entra 稽核記錄。
診斷設定
若要將自定義安全性屬性稽核記錄導出至不同的目的地以進行其他處理,請使用診斷設定。 若要建立和設定自定義安全性屬性的診斷設定,您必須獲指派屬性記錄檔 管理員 istrator 角色。
提示
Microsoft 建議您將自定義安全性屬性稽核記錄與目錄稽核記錄分開,以免不小心顯示屬性指派。
下列螢幕快照顯示自定義安全性屬性的診斷設定。 如需詳細資訊,請參閱 如何設定診斷設定。
稽核記錄行為的變更
已對自定義安全性屬性稽核記錄進行變更,以取得可能會影響每日作業的正式運作。 如果您已在預覽期間使用自定義安全性屬性稽核記錄,以下是您必須採取的動作,以確保稽核記錄作業不會中斷。
- 使用新的稽核記錄位置
- 指派屬性記錄角色以檢視稽核記錄
- 建立新的診斷設定以匯出稽核記錄
使用新的稽核記錄位置
在預覽期間,自定義安全性屬性稽核記錄會寫入目錄稽核記錄端點。 在 2023 年 10 月,已針對自定義安全性屬性稽核記錄專門新增端點。 下列螢幕快照顯示目錄稽核記錄和新的自定義安全性屬性稽核記錄位置。 若要使用 Microsoft Graph API 取得自定義安全性屬性稽核記錄,請參閱 customSecurityAttributeAudit
資源類型。
有一個轉換期間,自定義安全性稽核記錄會同時寫入目錄和自定義安全性屬性稽核記錄端點。 接下來,您必須使用自定義安全性屬性稽核記錄端點來尋找自定義安全性屬性稽核記錄。
下表列出您可以在轉換期間找到自定義安全性屬性稽核記錄的端點。
事件日期 | 目錄端點 | 自訂安全性屬性端點 |
---|---|---|
2023年10月 | ✅ | ✅ |
2024年2月 | ✅ |
指派屬性記錄角色以檢視稽核記錄
在預覽期間,您可以使用目錄稽核記錄中的全域 管理員 istrator 或 Security 管理員 istrator 角色來檢視自定義安全性屬性稽核記錄。 您無法再使用這些角色來檢視使用新端點的自訂安全性屬性稽核記錄。 若要檢視自定義安全性屬性稽核記錄,您必須獲指派屬性記錄讀取器或屬性記錄檔 管理員 istrator 角色。
建立新的診斷設定以匯出稽核記錄
在預覽期間,如果您設定為導出稽核記錄,自定義安全性稽核屬性稽核記錄會傳送至目前的診斷設定。 若要繼續接收自定義安全性稽核屬性稽核記錄,您必須建立新的診斷設定,如先前 的診斷設定 一節所述。