Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID

Damit die Mitarbeiter in Ihrer Organisation effektiv mit benutzerdefinierten Sicherheitsattributen arbeiten können, müssen Sie den entsprechenden Zugriff erteilen. Abhängig von den Informationen, die in benutzerdefinierten Sicherheitsattributen enthalten sein sollen, können Sie benutzerdefinierte Sicherheitsattribute einschränken oder sie in Ihrer Organisation allgemein zugänglich machen. In diesem Artikel wird beschrieben, wie Sie den Zugriff auf benutzerdefinierte Sicherheitsattribute verwalten.

Voraussetzungen

Um den Zugriff auf benutzerdefinierte Sicherheitsattribute verwalten zu können, müssen Sie über Folgendes verfügen:

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Schritt 1: Bestimmen, wie Ihre Attribute organisiert werden sollen

Jede Definition benutzerdefinierter Sicherheitsattribute muss Teil eines Attributsatzes sein. Ein Attributsatz stellt eine Möglichkeit dar, verwandte benutzerdefinierte Sicherheitsattribute zu gruppieren und zu verwalten. Sie müssen bestimmen, wie Sie Attributsätze für Ihre Organisation hinzufügen möchten. Sie können beispielsweise Attributsätze basierend auf Abteilungen, Teams oder Projekten hinzufügen. Die Möglichkeit, Zugriff auf benutzerdefinierte Sicherheitsattribute zu erteilen, hängt davon ab, wie Sie Ihre Attributsätze organisieren.

Diagramm: Nach Abteilung organisierter Attributsatz.

Schritt 2: Identifizieren des erforderlichen Bereichs

Ein Bereich ist der für den Zugriff geltende Ressourcensatz. Für benutzerdefinierte Sicherheitsattribute können Sie Rollen im Mandantenbereich oder im Attributsatzbereich zuweisen. Wenn Sie umfassenden Zugriff zuweisen möchten, können Sie Rollen im Mandantenbereich zuweisen. Wenn Sie jedoch den Zugriff auf bestimmte Attributsätze einschränken möchten, können Sie Rollen im Attributsatzbereich zuweisen.

Diagramm: Mandantenbereich und Attributsatzbereich.

Microsoft Entra-Rollenzuweisungen sind ein additives Modell. Ihre effektiven Berechtigungen stellen also die Summe Ihrer Rollenzuweisungen dar. Beispiel: Wenn Sie einem Benutzer eine Rolle im Mandantenbereich zuweisen und demselben Benutzer dieselbe Rolle im Attributsatzbereich zuweisen, verfügt der Benutzer weiterhin über Berechtigungen im Mandantenbereich.

Schritt 3: Überprüfen der verfügbaren Rollen

Sie müssen bestimmen, wer Zugriff benötigt, um mit benutzerdefinierten Sicherheitsattributen in Ihrer Organisation arbeiten zu können. Es gibt vier in Microsoft Entra integrierte Rollen, mit denen Sie den Zugriff auf benutzerdefinierte Sicherheitsattribute verwalten können. Bei Bedarf kann eine Person mit mindestens der Rolle Administrator für privilegierte Rollen diese Rollen zuweisen.

In der folgenden Tabelle finden Sie einen allgemeinen Vergleich der Rollen für benutzerdefinierte Sicherheitsattribute.

Berechtigung Administrator für Attributdefinitionen Administrator für Attributzuweisungen Leser für Attributdefinitionen Leser für Attributzuweisungen
Attributsätze lesen
Attributdefinitionen lesen
Attributzuweisungen für Benutzer und Anwendungen (Dienstprinzipale) lesen
Attributsätze hinzufügen oder bearbeiten
Attributdefinitionen hinzufügen, bearbeiten oder deaktivieren
Benutzern und Anwendungen (Dienstprinzipalen) Attribute zuweisen

Schritt 4: Festlegen Ihrer Delegierungsstrategie

In diesem Schritt werden zwei Möglichkeiten zum Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute beschrieben. Die erste Möglichkeit besteht darin, die Attribute zentral zu verwalten, und die zweite Möglichkeit besteht darin, die Verwaltung an andere zu delegieren.

Zentrales Verwalten von Attributen

Ein Administrator, dem die Rollen „Administrator für Attributdefinitionen“ und „Administrator für Attributzuweisungen“ im Mandantenbereich zugewiesen wurden, kann alle Aspekte benutzerdefinierter Sicherheitsattribute verwalten. Im folgenden Diagramm wird dargestellt, wie benutzerdefinierte Sicherheitsattribute von einem einzigen Administrator definiert und zugewiesen werden.

Diagramm der zentral verwalteten benutzerdefinierten Sicherheitsattribute.

  1. Dem Administrator (Xia) sind im Mandantenbereich die Rollen „Administrator für Attributdefinitionen“ und „Administrator für Attributzuweisungen“ zugewiesen. Der Administrator fügt Attributsätze hinzu und definiert Attribute.
  2. Der Administrator weist Microsoft Entra-Objekten Attribute zu.

Die zentrale Verwaltung von Attributen hat den Vorteil, dass die Attribute von einem oder zwei Administratoren verwaltet werden können. Der Nachteil ist, dass der Administrator möglicherweise mehrere Anforderungen zum Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen erhält. In diesem Fall empfiehlt es sich, die Verwaltung zu delegieren.

Verwalten von Attributen mittels Delegierung

Ein Admin kennt möglicherweise nicht alle Situationen, in denen benutzerdefinierte Sicherheitsattribute definiert und zugewiesen werden sollten. In der Regel sind es die Benutzer innerhalb der jeweiligen Abteilungen, Teams oder Projekte, die sich in ihrem Bereich am besten auskennen. Statt einem oder zwei Administratoren die Aufgabe zuzuweisen, alle benutzerdefinierten Sicherheitsattribute zu verwalten, können Sie die Verwaltung im Attributsatzbereich delegieren. Dies entspricht auch der bewährten Methode der geringsten Rechte, um nur die Berechtigungen zu erteilen, die andere Administratoren zum Ausführen ihrer Aufgaben benötigen, und unnötigen Zugriff zu vermeiden. Im folgenden Diagramm wird dargestellt, wie die Verwaltung benutzerdefinierter Sicherheitsattribute an mehrere Administratoren delegiert werden kann.

Diagramm der benutzerdefinierten Sicherheitsattribute, die mit Delegierung verwaltet werden.

  1. Der Administrator (Xia), dem im Mandantenbereich die Rolle „Administrator für Attributdefinitionen“ zugewiesen ist, fügt Attributsätze hinzu. Der Administrator verfügt auch über Berechtigungen zum Zuweisen von Rollen zu anderen Benutzern (Administrator für privilegierte Rollen) und delegiert, wer benutzerdefinierte Sicherheitsattribute für jeden Attributsatz lesen, definieren oder zuweisen kann.
  2. Die delegierten Administratoren für Attributdefinitionen (Alice und Bob) definieren Attribute in den Attributsätzen, auf die sie Zugriff erhalten haben.
  3. Die delegierten Administratoren für Attributzuweisungen (Chandra und Bob) weisen Microsoft Entra-Objekten Attribute aus ihren Attributsätzen zu.

Schritt 5: Auswählen der geeigneten Rollen und des entsprechenden Bereichs

Sobald Sie ein besseres Verständnis davon haben, wie Ihre Attribute organisiert werden und wer Zugriff benötigt, können Sie die geeigneten Rollen für benutzerdefinierte Sicherheitsattribute und den entsprechenden Bereich auswählen. Die folgende Tabelle kann Sie bei der Auswahl unterstützen.

Ich möchte diesen Zugriff erteilen Diese Rolle zuweisen Bereich
Administrator für Attributdefinitionen Symbol für Mandantenbereich.
Tenant
Administrator für Attributdefinitionen Symbol für Attributsatzbereich.
Attributsatz
Administrator für Attributzuweisungen Symbol für Mandantenbereich.
Tenant
Administrator für Attributzuweisungen Symbol für Attributsatzbereich.
Attributsatz
  • Lesen aller Attributsätze in einem Mandanten
  • Lesen aller Attributdefinitionen in einem Mandanten
Leser für Attributdefinitionen Symbol für Mandantenbereich.
Tenant
  • Lesen von Attributdefinitionen in einem bereichsbezogenen Attributsatz
  • Kann keine anderen Attributsätze lesen
Leser für Attributdefinitionen Symbol für Attributsatzbereich.
Attributsatz
  • Lesen aller Attributsätze in einem Mandanten
  • Lesen aller Attributdefinitionen in einem Mandanten
  • Lesen aller Attributzuweisungen in einem Mandanten für Benutzer
  • Lesen aller Attributzuweisungen in einem Mandanten für Anwendungen (Dienstprinzipale)
Leser für Attributzuweisungen Symbol für Mandantenbereich.
Tenant
  • Lesen von Attributdefinitionen in einem bereichsbezogenen Attributsatz
  • Lesen von Attributzuweisungen, die Attribute in einem bereichsbezogenen Attributsatz für Benutzer verwenden
  • Lesen von Attributzuweisungen, die Attribute in einem bereichsbezogenen Attributsatz für Anwendungen (Dienstprinzipale) verwenden
  • Kann keine Attribute in anderen Attributsätzen lesen
  • Kann keine Attributzuweisungen lesen, die Attribute in anderen Attributsätzen verwenden
Leser für Attributzuweisungen Symbol für Attributsatzbereich.
Attributsatz

Schritt 6: Zuweisen von Rollen

Führen Sie die folgenden Schritte aus, um eine der Rollen für benutzerdefinierte Sicherheitsattribute zuzuweisen, damit den entsprechenden Benutzern Zugriff gewährt wird.

Zuweisen von Rollen im Attributsatzbereich

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Die folgenden Beispiele zeigen, wie einem Prinzipal im Attributsatzbereich „Engineering“ eine Rolle für benutzerdefinierte Sicherheitsattribute zugewiesen wird.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Administrator für Attributzuweisung an.

  2. Navigieren Sie zu Schutz>Benutzerdefinierte Sicherheitsattribute.

  3. Wählen Sie den Attributsatz aus, für den Sie Zugriff gewähren möchten.

  4. Klicken Sie auf Rollen und Administratoren.

    Screenshot: Zuweisen von Rollen für Attribute im Attributsatzbereich.

  5. Fügen Sie Zuweisungen für die Rollen für benutzerdefinierte Sicherheitsattribute hinzu.

    Hinweis

    Bei Verwendung von Microsoft Entra Privileged Identity Management (PIM) werden berechtigte Rollenzuweisungen im Attributsatzbereich derzeit nicht unterstützt. Dauerhafte Rollenzuweisungen auf Attributsatzebene werden unterstützt.

Zuweisen von Rollen im Mandantenbereich

Die folgenden Beispiele zeigen, wie einem Prinzipal im Mandantenbereich eine Rolle für benutzerdefinierte Sicherheitsattribute zugewiesen wird.

  1. Melden Sie sich beim Microsoft Entra-Admin Center als Administrator für Attributzuweisung an.

  2. Browsen Sie zu Identität>Rollen & Administratoren>Rollen & Administratoren.

    Screenshot: Zuweisen von Rollen für Attribute im Mandantenbereich.

  3. Fügen Sie Zuweisungen für die Rollen für benutzerdefinierte Sicherheitsattribute hinzu.

Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute

In einigen Fällen benötigen Sie Informationen zu Änderungen an benutzerdefinierten Sicherheitsattributen für die Überwachung oder Problembehandlung. Jedes Mal, wenn jemand Änderungen an Definitionen oder Zuweisungen vornimmt, werden die Aktivitäten protokolliert.

Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute bieten Ihnen den Verlauf von Aktivitäten im Zusammenhang mit benutzerdefinierten Sicherheitsattributen, z. B. das Hinzufügen einer neuen Definition oder das Zuweisen eines Attributwerts zu einem Benutzer. Nachfolgend finden Sie die Aktivitäten im Zusammenhang mit benutzerdefinierten Sicherheitsattributen, die protokolliert werden:

  • Hinzufügen eines Attributsatzes
  • Definition benutzerdefinierter Sicherheitsattribute zu Attributsatz hinzufügen
  • Aktualisierung eines Attributsatzes
  • Einem servicePrincipal zugewiesene Attributwerte aktualisieren
  • Einem Benutzer zugewiesene Attributwerte aktualisieren
  • Definition benutzerdefinierter Sicherheitsattribute in Attributsatz aktualisieren

Anzeigen von Überwachungsprotokollen für Attributänderungen

Um die Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute anzuzeigen, melden Sie sich beim Microsoft Entra Admin Center an, navigieren Sie zu Überwachungsprotokolle und wählen Sie Benutzerdefinierte Sicherheit aus. Zum Anzeigen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute müssen Sie einer der folgenden Rollen zugewiesen sein. Bei Bedarf kann eine Person mit mindestens der Rolle Administrator für privilegierte Rollen diese Rollen zuweisen.

Screenshot der Überwachungsprotokolle mit ausgewählter Registerkarte „Benutzerdefinierte Sicherheit“.

Informationen darüber, wie Sie die Überwachungsprotokolle der benutzerdefinierten Sicherheitsattribute über die Microsoft Graph API abrufen können, finden Sie unter dem customSecurityAttributeAudit-Ressourcentyp. Weitere Informationen finden Sie unter Microsoft Entra-Überwachungsprotokolle.

Diagnoseeinstellungen

Sie verwenden Diagnoseeinstellungen, um Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute in verschiedene Ziele für die zusätzliche Verarbeitung zu exportieren. Damit Sie Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erstellen und konfigurieren können, muss Ihnen die Rolle Attributprotokolladministrator zugewiesen sein.

Tipp

Microsoft empfiehlt, dass Sie Ihre Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute getrennt von Ihren Verzeichnisüberwachungsprotokollen aufbewahren, damit Attributzuweisungen nicht versehentlich angezeigt werden.

Der folgende Screenshot zeigt die Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute. Weitere Informationen finden Sie unter Konfigurieren der Diagnoseeinstellungen.

Screenshot der Diagnoseeinstellungen mit ausgewählter Registerkarte „Benutzerdefinierte Sicherheitsattribute“.

Änderungen am Verhalten von Überwachungsprotokollen

An Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute wurden Änderungen zur allgemeinen Verfügbarkeit vorgenommen, die sich auf Ihre täglichen Abläufe auswirken können. Wenn Sie während der Vorschau Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute verwendet haben, müssen Sie die folgenden Aktionen ausführen, um sicherzustellen, dass Ihre Überwachungsprotokollvorgänge nicht unterbrochen werden.

  • Neuen Speicherort für Überwachungsprotokolle verwenden
  • Attributprotokollrollen zum Anzeigen von Überwachungsprotokollen zuweisen
  • Neue Diagnoseeinstellungen zum Exportieren von Überwachungsprotokollen erstellen

Neuen Speicherort für Überwachungsprotokolle verwenden

Während der Vorschau wurden Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute in den Endpunkt der Verzeichnisüberwachungsprotokolle geschrieben. Im Oktober 2023 wurde ein neuer Endpunkt exklusiv für Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute hinzugefügt. Der folgende Screenshot zeigt die Verzeichnisüberwachungsprotokolle und den neuen Speicherort der Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute. Informationen zum Abrufen der benutzerdefinierten Sicherheitsattribute mithilfe der Microsoft Graph-API finden Sie im customSecurityAttributeAudit-Ressourcentyp.

Screenshot der Überwachungsprotokolle mit Registerkarten „Verzeichnis“ und „Benutzerdefinierte Sicherheit“.

Es gibt einen Übergangszeitraum, in dem Überwachungsprotokolle für benutzerdefinierte Sicherheit sowohl in das Verzeichnis als auch in Endpunkte für Überwachungsprotokolle benutzerdefinierter Sicherheitsattribute geschrieben werden. In Zukunft müssen Sie den Überwachungsprotokollendpunkt für benutzerdefinierte Sicherheitsattribute verwenden, um Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute zu finden.

In der folgenden Tabelle ist der Endpunkt aufgeführt, in dem Sie Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute während des Übergangszeitraums finden können.

Ereignisdatum Verzeichnisendpunkt Endpunkt für benutzerdefinierte Sicherheitsattribute
Oktober 2023
Feb. 2024

Attributprotokollrollen zum Anzeigen von Überwachungsprotokollen zuweisen

Während der Vorschau können benutzerdefinierte Sicherheitsattributeüberwachungsprotokolle von Personen mit mindestens der Rolle Sicherheitsadministrator in den Verzeichnisüberwachungsprotokollen angezeigt werden. Sie können diese Rollen nicht mehr verwenden, um Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute mithilfe des neuen Endpunkts anzuzeigen. Zum Anzeigen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute müssen Sie entweder der Rolle Attributprotokollleser oder Attributprotokolladministrator zugewiesen sein.

Neue Diagnoseeinstellungen zum Exportieren von Überwachungsprotokollen erstellen

Wenn Sie während der Vorschau konfiguriert haben, dass Überwachungsprotokolle exportiert werden, wurden Überwachungsprotokolle des benutzerdefinierten Sicherheitsüberwachungsattributs an Ihre aktuellen Diagnoseeinstellungen gesendet. Damit Sie weiterhin benutzerdefinierte Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute erhalten, müssen Sie neue Diagnoseeinstellungen erstellen, wie im vorherigen abschnitt Diagnoseeinstellungen beschrieben.

Nächste Schritte