Co jsou vlastní atributy zabezpečení v Microsoft Entra ID?
Vlastní atributy zabezpečení v Microsoft Entra ID jsou atributy specifické pro firmu (páry klíč-hodnota), které můžete definovat a přiřadit k objektům Microsoft Entra. Tyto atributy lze použít k ukládání informací, kategorizaci objektů nebo k vynucení podrobného řízení přístupu u konkrétních prostředků Azure. Vlastní atributy zabezpečení je možné použít s řízením přístupu na základě atributů Azure (ABAC).
Proč používat vlastní atributy zabezpečení?
Tady je několik scénářů, ve kterých můžete použít vlastní atributy zabezpečení:
- Rozšiřte profily uživatelů, například přidat hodinový plat všem zaměstnancům.
- Ujistěte se, že atribut Hourly Salary (Hodinový plat) uvidí jenom správci v profilech mých zaměstnanců.
- Kategorizace stovek nebo tisíců aplikací za účelem snadného vytvoření filtrovatelného inventáře pro auditování
- Udělte uživatelům přístup k objektům blob služby Azure Storage patřícím do projektu.
Co můžu dělat s vlastními atributy zabezpečení?
Mezi vlastní atributy zabezpečení patří tyto možnosti:
- Definujte informace (atributy) specifické pro firmu pro vašeho tenanta.
- Přidejte sadu vlastních atributů zabezpečení pro uživatele a aplikace.
- Správa objektů Microsoft Entra pomocí vlastních atributů zabezpečení s dotazy a filtry
- Zadejte zásady správného řízení atributů, aby atributy určily, kdo má přístup.
Vlastní atributy zabezpečení nejsou podporovány v následujících oblastech:
Funkce vlastních atributů zabezpečení
Mezi vlastní atributy zabezpečení patří tyto funkce:
- Dostupné pro celého tenanta
- Zahrnout popis
- Podpora různých datových typů: Logická hodnota, celé číslo, řetězec
- Podpora jedné nebo více hodnot
- Podpora uživatelem definovaných hodnot volného formuláře nebo předdefinovaných hodnot
- Přiřazení vlastních atributů zabezpečení synchronizovaným uživatelům adresáře z místní Active Directory
Následující příklad ukazuje několik vlastních atributů zabezpečení přiřazených uživateli. Vlastní atributy zabezpečení jsou různé datové typy a mají hodnoty, které jsou jednoduché, více, volného formuláře nebo předdefinované.
Objekty, které podporují vlastní atributy zabezpečení
Můžete přidat vlastní atributy zabezpečení pro následující objekty Microsoft Entra:
- Uživatelé Microsoft Entra
- Podnikové aplikace Microsoft Entra (instanční objekty)
Jak se vlastní atributy zabezpečení porovnávají s rozšířeními?
I když rozšíření i vlastní atributy zabezpečení je možné použít k rozšíření objektů v Microsoft Entra ID a Microsoftu 365, jsou vhodné pro základní různé vlastní datové scénáře. Tady je několik způsobů, jak se vlastní atributy zabezpečení porovnávají s rozšířeními:
| Schopnost | Rozšíření | Vlastní atributy zabezpečení |
|---|---|---|
| Rozšíření ID Microsoft Entra a objektů Microsoft 365 | Ano | Ano |
| Podporované objekty | Závisí na typu rozšíření. | Uživatelé a instanční objekty |
| Omezený přístup | Ne. Každý, kdo má oprávnění ke čtení objektu, může číst data rozšíření. | Ano. Přístup pro čtení a zápis je omezený prostřednictvím samostatné sady oprávnění a řízení přístupu na základě role (RBAC). |
| Vhodné použití služby | Ukládání dat používaných aplikací Ukládání necitlivých dat |
Ukládání citlivých dat Použití pro scénáře autorizace |
| Požadavky na licenci | K dispozici ve všech edicích Microsoft Entra ID | K dispozici ve všech edicích Microsoft Entra ID |
Další informace o práci s rozšířeními najdete v tématu Přidání vlastních dat do prostředků pomocí rozšíření.
Postup použití vlastních atributů zabezpečení
Kontrola oprávnění
Zkontrolujte, že máte přiřazené role Správce definic atributů nebo Správce přiřazení atributů. V případě potřeby může tyto role přiřadit někdo s alespoň rolí správce privilegovaných rolí.
Přidání sad atributů
Přidejte sady atributů pro seskupení a správu souvisejících vlastních atributů zabezpečení. Další informace
Správa sad atributů
Určete, kdo může číst, definovat nebo přiřazovat vlastní atributy zabezpečení v sadě atributů. Další informace
Definování atributů
Přidejte do adresáře vlastní atributy zabezpečení. Můžete zadat typ data (boolean, integer nebo řetězec) a zda jsou hodnoty předdefinované, volné, jednoduché nebo více. Další informace
Přiřazení atributů
Přiřaďte vlastní atributy zabezpečení k objektům Microsoft Entra pro vaše obchodní scénáře. Další informace
Použití atributů
Filtrujte uživatele a aplikace, které používají vlastní atributy zabezpečení. Další informace
Přidejte do přiřazení rolí Azure podmínky, které používají vlastní atributy zabezpečení pro jemně odstupňované řízení přístupu. Další informace
Terminologie
Pokud chcete lépe porozumět vlastním atributům zabezpečení, můžete se vrátit k následujícímu seznamu termínů.
| Pojem | definice |
|---|---|
| definice atributu | Schéma vlastního atributu zabezpečení nebo páru klíč-hodnota Například název vlastního atributu zabezpečení, popis, datový typ a předdefinované hodnoty. |
| sada atributů | Kolekce souvisejících vlastních atributů zabezpečení. Sady atributů lze delegovat jiným uživatelům za účelem definování a přiřazení vlastních atributů zabezpečení. |
| název atributu | Jedinečný název vlastního atributu zabezpečení v rámci sady atributů. Kombinace sady atributů a názvu atributu tvoří jedinečný atribut pro vašeho tenanta. |
| přiřazení atributu | Přiřazení vlastního atributu zabezpečení k objektu Microsoft Entra, jako jsou uživatelé a podnikové aplikace (instanční objekty). |
| předdefinovaná hodnota | Hodnota, která je povolena pro vlastní atribut zabezpečení. |
Vlastní vlastnosti atributu zabezpečení
Následující tabulka uvádí vlastnosti, které můžete zadat pro sady atributů a vlastní atributy zabezpečení. Některé vlastnosti jsou neměnné a nelze je později změnit.
| Vlastnost | Požaduje se | Můžete ho později změnit. | Popis |
|---|---|---|---|
| Název sady atributů | ✅ | Název sady atributů Musí být v rámci tenanta jedinečný. Nesmí obsahovat mezery ani speciální znaky. | |
| Popis sady atributů | ✅ | Popis sady atributů | |
| Maximální počet atributů | ✅ | Maximální počet vlastních atributů zabezpečení, které lze definovat v sadě atributů. Výchozí hodnota je null. Pokud není zadaný, může správce přidat maximálně 500 aktivních atributů na tenanta. |
|
| Sada atributů | ✅ | Kolekce souvisejících vlastních atributů zabezpečení. Každý vlastní atribut zabezpečení musí být součástí sady atributů. | |
| Attribute name | ✅ | Název vlastního atributu zabezpečení Musí být jedinečný v rámci sady atributů. Nesmí obsahovat mezery ani speciální znaky. | |
| Popis atributu | ✅ | Popis vlastního atributu zabezpečení | |
| Datový typ | ✅ | Datový typ pro hodnoty vlastních atributů zabezpečení. Podporované typy jsou Boolean, Integera String. |
|
| Povolit přiřazení více hodnot | ✅ | Určuje, zda lze k vlastnímu atributu zabezpečení přiřadit více hodnot. Pokud je datový typ nastavený na Booleanhodnotu , nelze nastavit na ano. |
|
| Povolit přiřazení pouze předdefinovaných hodnot | ✅ | Určuje, zda lze k atributu vlastního zabezpečení přiřadit pouze předdefinované hodnoty. Pokud je nastavená hodnota Ne, jsou povoleny hodnoty volného tvaru. Lze později změnit z ano na ne, ale nelze ho změnit z ne na Ano. Pokud je datový typ nastavený na Booleanhodnotu , nelze nastavit na ano. |
|
| Předdefinované hodnoty | Předdefinované hodnoty pro vlastní atribut zabezpečení vybraného datového typu Další předdefinované hodnoty je možné přidat později. Hodnoty můžou obsahovat mezery, ale některé speciální znaky nejsou povolené. | ||
| Předdefinovaná hodnota je aktivní | ✅ | Určuje, zda je předdefinovaná hodnota aktivní nebo deaktivovaná. Pokud je nastavená hodnota false, předdefinovaná hodnota se nedá přiřadit k žádným dalším podporovaným objektům adresáře. | |
| Atribut je aktivní. | ✅ | Určuje, zda je vlastní atribut zabezpečení aktivní nebo deaktivovaný. |
Limity a omezení
Tady jsou některé limity a omezení pro vlastní atributy zabezpečení.
| Prostředek | Omezení | Notes |
|---|---|---|
| Definice atributů na tenanta | 500 | Platí pouze pro aktivní atributy v tenantovi. |
| Sady atributů na tenanta | 500 | |
| Délka názvu sady atributů | 32 | Znaky Unicode a malá a velká písmena |
| Délka popisu sady atributů | 128 | Znaky Unicode |
| Délka názvu atributu | 32 | Znaky Unicode a malá a velká písmena |
| Délka popisu atributu | 128 | Znaky Unicode |
| Předdefinované hodnoty | Znaky Unicode a malá a velká písmena | |
| Předdefinované hodnoty na definici atributu | 100 | |
| Délka hodnoty atributu | 64 | Znaky Unicode |
| Hodnoty atributů přiřazené pro objekt | 50 | Hodnoty je možné distribuovat mezi atributy s jednou a více hodnotami. Příklad: 5 atributů s 10 hodnotami každý nebo 50 atributů s 1 hodnotou |
| Speciální znaky nejsou povoleny pro: Název sady atributů Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Název sady atributů a název atributu nemůže začínat číslem. |
| Speciální znaky povolené pro hodnoty atributů | Všechny speciální znaky | |
| Speciální znaky povolené pro hodnoty atributů při použití se značkami indexu objektů blob | <space> + - . : = _ / |
Pokud plánujete používat hodnoty atributů se značkami indexu objektů blob, jsou to jediné speciální znaky povolené pro značky indexu objektů blob. Další informace najdete v tématu Nastavení značek indexu objektů blob. |
Vlastní role atributů zabezpečení
Id Microsoft Entra poskytuje předdefinované role pro práci s vlastními atributy zabezpečení. Role Správce definic atributů je minimální role, kterou potřebujete ke správě vlastních atributů zabezpečení. Role Správce přiřazení atributů je minimální role, kterou potřebujete přiřadit vlastní hodnoty atributů zabezpečení pro objekty Microsoft Entra, jako jsou uživatelé a aplikace. Tyto role můžete přiřadit v oboru tenanta nebo v oboru sady atributů.
| Role | Oprávnění |
|---|---|
| Čtečka definic atributů | Čtení sad atributů Čtení vlastních definic atributů zabezpečení |
| Správce definic atributů | Správa všech aspektů sad atributů Správa všech aspektů definic vlastních atributů zabezpečení |
| Čtenář přiřazení atributů | Čtení sad atributů Čtení vlastních definic atributů zabezpečení Čtení vlastních klíčů a hodnot atributů zabezpečení pro uživatele a instanční objekty |
| Správce přiřazení atributů | Čtení sad atributů Čtení vlastních definic atributů zabezpečení Čtení a aktualizace klíčů a hodnot vlastních atributů zabezpečení pro uživatele a instanční objekty |
| Čtenář protokolu atributů | Čtení protokolů auditu pro vlastní atributy zabezpečení |
| Správce protokolu atributů | Čtení protokolů auditu pro vlastní atributy zabezpečení Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení |
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Microsoft Graph API
Vlastní atributy zabezpečení můžete spravovat programově pomocí rozhraní Microsoft Graph API. Další informace najdete v tématu Přehled vlastních atributů zabezpečení pomocí rozhraní Microsoft Graph API.
Pomocí klienta rozhraní API, jako je Graph Explorer , můžete snadněji vyzkoušet rozhraní Microsoft Graph API pro vlastní atributy zabezpečení.
Požadavky na licenci
Tato funkce je bezplatná a součástí předplatného Azure.
Další kroky
- Přidání nebo deaktivace vlastních definic atributů zabezpečení v MICROSOFT Entra ID
- Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID
- Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů zabezpečení pro uživatele
- Zřízení vlastních atributů zabezpečení ze zdrojů hr (Preview)