Übersicht über benutzerdefinierte Sicherheitsattribute mithilfe des Microsoft-Graph-API
Benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID sind geschäftsspezifische Attribute (Schlüssel-Wert-Paare), die Sie definieren und Microsoft Entra Objekten zuweisen können. Sie können diese Attribute verwenden, um Informationen zu speichern, Objekte zu kategorisieren oder eine differenzierte Zugriffssteuerung für bestimmte Azure-Ressourcen zu erzwingen. Benutzerdefinierte Sicherheitsattribute können mit der attributbasierten Zugriffssteuerung in Azure (Azure ABAC) verwendet werden.
Dieser Artikel bietet eine Übersicht über die Verwendung des Microsoft Graph-API zum programmgesteuerten Definieren und Zuweisen eigener benutzerdefinierter Sicherheitsattribute.
Schlüsselressourcentypen
Im Folgenden sind die Bausteine benutzerdefinierter Sicherheitsattribute aufgeführt.
Attributsätze
Ein Attributsatz ist eine Gruppe verwandter benutzerdefinierter Sicherheitsattribute. Im Folgenden sind die allgemeinen Merkmale von Attributsätzen aufgeführt:
- Der Name darf keine Leerzeichen oder Sonderzeichen enthalten.
- Kann nicht umbenannt oder gelöscht werden.
- Kann an andere Benutzer delegiert werden, um benutzerdefinierte Sicherheitsattribute zu definieren und zuzuweisen.
Verwenden Sie zum Konfigurieren von Attributsätzen den Ressourcentyp attributeSet.
Benutzerdefinierte Sicherheitsattributedefinitionen
Eine benutzerdefinierte Sicherheitsattributedefinition ist das Schema eines benutzerdefinierten Sicherheitsattributes oder Schlüssel-Wert-Paars. Beispiel: Name des benutzerdefinierten Sicherheitsattributes, Beschreibung, Datentyp und vordefinierte Werte. Im Folgenden sind die allgemeinen Merkmale der Definitionen von benutzerdefinierten Sicherheitsattributen aufgeführt:
- Der Name darf keine Leerzeichen oder Sonderzeichen enthalten.
- Kann nicht umbenannt oder gelöscht werden, kann aber deaktiviert werden.
- Muss Teil eines Attributsatzes sein.
Verwenden Sie zum Konfigurieren benutzerdefinierter Sicherheitsattributdefinitionen den Ressourcentyp customSecurityAttributeDefinition.
Zulässige Werte
Zulässige Werte stellen die vordefinierten Werte eines benutzerdefinierten Sicherheitsattributes dar. Im Folgenden sind die allgemeinen Merkmale zulässiger Werte aufgeführt:
- Werte können Leerzeichen enthalten, aber einige Sonderzeichen sind nicht zulässig.
- Kann nicht umbenannt oder gelöscht werden, kann aber deaktiviert werden.
- Weitere vordefinierte Werte können später hinzugefügt werden.
- Kann vom Datentyp Boolean, Integer oder String sein.
Verwenden Sie zum Konfigurieren zulässiger Werte den Ressourcentyp allowedValue.
Welche Verzeichnisobjekte unterstützen benutzerdefinierte Sicherheitsattribute?
Benutzerdefinierte Sicherheitsattribute können den folgenden Objekten mithilfe der customSecurityAttributes-Eigenschaft zugewiesen werden. Verzeichnissynchrone Benutzer aus einem lokales Active Directory können auch benutzerdefinierte Sicherheitsattribute zugewiesen werden.
Beispiele für benutzerdefinierte Sicherheitsattributezuweisungen finden Sie unter Beispiele: Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen mithilfe des Microsoft Graph-API.
Grenzwerte und Einschränkungen
Eine Liste der Grenzwerte und Einschränkungen für benutzerdefinierte Sicherheitsattribute finden Sie unter Grenzwerte und Einschränkungen.
Berechtigungen
Zum Verwalten benutzerdefinierter Sicherheitsattribute muss dem aufrufenden Prinzipal eine der folgenden Microsoft Entra Rollen zugewiesen werden. Standardmäßig verfügen der globale Administrator und andere Administratorrollen nicht über berechtigungen zum Lesen, Definieren oder Zuweisen benutzerdefinierter Sicherheitsattribute.
- Attributdefinitionsleser
- Attributdefinitionsadministrator
- Attributzuweisungsleser
- Attributzuweisungsadministrator
Außerdem müssen dem aufrufenden Prinzipal die entsprechenden berechtigungen für benutzerdefinierte Sicherheitsattribute erteilt werden.