Compartir vía


¿Qué son los atributos de seguridad personalizados en Microsoft Entra ID?

Los atributos de seguridad personalizados de Microsoft Entra ID son atributos específicos de la empresa (pares clave-valor) que puede definir y asignar a objetos de Microsoft Entra. Estos atributos se pueden usar para almacenar información, clasificar objetos o aplicar un control de acceso detallado para recursos específicos de Azure. Los atributos de seguridad personalizados se pueden usar con control de acceso basado en atributos (ABAC) de Azure.

¿Por qué usar atributos de seguridad personalizados?

Estos son algunos escenarios en los que podría usar atributos de seguridad personalizados:

  • Amplíe los perfiles de usuario, añada por ejemplo el salario por hora de todos los empleados.
  • Asegúrese de que solo los administradores pueden ver el atributo de salario por hora en los perfiles de los empleados.
  • Clasifique cientos o miles de aplicaciones para crear fácilmente un inventario filtrable para la auditoría.
  • Conceda a los usuarios acceso a blobs de Azure Storage que pertenecen a un proyecto.

¿Qué puedo hacer con los atributos de seguridad personalizados?

Los atributos de seguridad personalizados incluyen estas funcionalidades:

  • Defina información específica del negocio (atributos) para el inquilino.
  • Agregue un conjunto de atributos de seguridad personalizados en usuarios y aplicaciones.
  • Administre objetos de Microsoft Entra mediante atributos de seguridad personalizados con consultas y filtros.
  • Proporcione gobernanza de atributos para que los atributos determinen quién puede obtener acceso.

Los atributos de seguridad personalizados no se admiten en las siguientes áreas:

Características de los atributos de seguridad personalizados

Los atributos de seguridad personalizados incluyen estas características:

  • Están disponibles para todo el inquilino
  • Permiten incluir una descripción.
  • Admiten distintos tipos de datos: booleanos, enteros, cadenas
  • Admiten un valor único o varios valores.
  • Admiten valores de formato libre definidos por el usuario o valores predefinidos
  • Permiten asignar atributos de seguridad a los usuarios con sincronización de directorios desde un entorno local de Active Directory.

En el siguiente ejemplo se muestran varios atributos de seguridad personalizados asignados a un usuario. Los atributos de seguridad personalizados son tipos de datos diferentes y tienen valores únicos, múltiples, de forma libre o predefinidos.

Captura de pantalla de ejemplos de atributos de seguridad personalizados asignados a un usuario.

Objetos que admiten atributos de seguridad personalizados

Puede agregar atributos de seguridad personalizados para los siguientes objetos de Microsoft Entra:

  • Usuarios de Microsoft Entra
  • Aplicaciones empresariales de Microsoft Entra (entidades de servicio)

¿Qué tienen en común los atributos de seguridad personalizados con las extensiones?

Aunque tanto las extensiones como los atributos de seguridad personalizados se pueden usar para extender objetos en Microsoft Entra ID y Microsoft 365, son adecuados para escenarios de datos personalizados fundamentalmente diferentes. A continuación se incluyen algunos puntos en común de los atributos de seguridad personalizados con las extensiones:

Capacidad Extensiones Atributos de seguridad personalizados
Extender el identificador de Microsoft Entra ID y los objetos de Microsoft 365
Objetos admitidos Depende del tipo de extensión Usuarios y entidades de servicio
Acceso restringido No. Cualquier usuario con permisos para leer el objeto puede leer los datos de la extensión. Sí. El acceso de lectura y escritura está restringido a través de un conjunto independiente de permisos y control de acceso basado en rol (RBAC).
Cuándo se usa Almacenamiento de datos que va a usar una aplicación
Almacenamiento de datos no confidenciales
Almacenamiento de datos confidenciales
Uso para escenarios de autorización
Requisitos de licencia Disponible en todas las ediciones de Microsoft Entra ID Disponible en todas las ediciones de Microsoft Entra ID

Para obtener más información sobre cómo trabajar con extensiones, consulte Agregar datos personalizados a los recursos mediante extensiones.

Pasos para usar atributos de seguridad personalizados

  1. Compruebe los permisos.

    Compruebe que tiene asignado el rol de administrador de definición de atributos o administrador de asignación de atributos. Si fuera necesario, alguien que tenga al menos el rol Administrador de roles con privilegios puede asignar estos roles.

    Diagrama que muestra la comprobación de permisos para agregar atributos de seguridad personalizados en Microsoft Entra ID.

  2. Agregar conjuntos de atributos

    Agregue conjuntos de atributos para agrupar y administrar los atributos de seguridad personalizados relacionados. Más información

    Diagrama que muestra cómo agregar varios conjuntos de atributos.

  3. Administrar conjuntos de atributos

    Especifique quién puede leer, definir o asignar atributos de seguridad personalizados en un conjunto de atributos. Más información

    Diagrama que muestra la asignación de administradores de definición de atributos y de asignación de atributos a conjuntos de atributos.

  4. Definir atributos

    Agregar atributos de seguridad personalizados al directorio. Puede especificar el tipo de fecha (booleano, entero o cadena) y si los valores son predefinidos, de forma libre, únicos o múltiples. Más información

    Diagrama que muestra administradores delegados que definen atributos de seguridad personalizados.

  5. Asignar atributos

    Asigne atributos de seguridad personalizados a objetos de Microsoft Entra para sus escenarios empresariales. Más información

    Diagrama que muestra administradores delegados que asignan atributos de seguridad personalizados a objetos de Microsoft Entra.

  6. Usar atributos

    Filtre usuarios y aplicaciones que usan atributos de seguridad personalizados. Más información

    Agregue condiciones que usen atributos de seguridad personalizados a las asignaciones de roles de Azure para obtener un control de acceso detallado. Más información

Terminología

Para comprender mejor los atributos de seguridad personalizados, puede consultar la siguiente lista de términos.

Término Definición
definición de atributo Esquema de un atributo de seguridad personalizado o par clave-valor. Por ejemplo, el nombre del atributo de seguridad personalizado, la descripción, el tipo de datos y los valores predefinidos.
conjunto de atributos Colección de atributos de seguridad personalizados relacionados. Los conjuntos de atributos se pueden delegar en otros usuarios para definir y asignar atributos de seguridad personalizados.
nombre del atributo Nombre único de un atributo de seguridad personalizado dentro de un conjunto de atributos. La combinación de conjunto de atributos y nombre de atributo constituye un atributo único para el inquilino.
asignación de atributos Asignación de un atributo de seguridad personalizado a un objeto de Microsoft Entra, como usuarios y aplicaciones empresariales (entidades de servicio).
valor predefinido Valor permitido para un atributo de seguridad personalizado.

Propiedades de atributo de seguridad personalizadas

En la tabla siguiente se enumeran las propiedades que puede especificar para los conjuntos de atributos y los atributos de seguridad personalizados. Algunas propiedades son inmutables y no se pueden cambiar más tarde.

Propiedad Obligatorio Se puede cambiar más tarde Descripción
Nombre de conjunto de atributos Nombre del conjunto de atributos. Debe ser único dentro de un inquilino. No puede incluir espacios ni caracteres especiales.
Descripción del conjunto de atributos Descripción del conjunto de atributos.
Número máximo de atributos Número máximo de atributos de seguridad personalizados que se pueden definir en un conjunto de atributos. El valor predeterminado es null. Si no se especifica, el administrador puede agregar hasta 500 atributos activos por inquilino.
Conjunto de atributos Colección de atributos de seguridad personalizados relacionados. Todos los atributos de seguridad personalizados deben formar parte de un conjunto de atributos.
Nombre del atributo Nombre del atributo de seguridad personalizado. Debe ser único dentro de un conjunto de atributos. No puede incluir espacios ni caracteres especiales.
La descripción del atributo. Descripción del atributo de seguridad personalizado.
Tipo de datos Tipo de datos para los valores de atributo de seguridad personalizado. Los tipos compatibles son Boolean, Integer y String.
Permitir que se asignen varios valores Indica si se pueden asignar varios valores al atributo de seguridad personalizado. Si el tipo de datos se establece en Boolean, no se puede establecer en Sí.
Permitir que solo se asignen valores predefinidos Indica si solo se pueden asignar valores predefinidos al atributo de seguridad personalizado. Si se establece en No, se permiten valores de forma libre. Más adelante se puede cambiar de Sí a No, pero no se puede cambiar de No a Sí. Si el tipo de datos se establece en Boolean, no se puede establecer en Sí.
Valores predefinidos Valores predefinidos para el atributo de seguridad personalizado del tipo de datos seleccionado. Más adelante se pueden agregar más valores predefinidos. Los valores pueden incluir espacios, pero no se permiten algunos caracteres especiales.
El valor predefinido está activo Especifica si el valor predefinido está activo o desactivado. Si se establece en false, el valor predefinido no se puede asignar a ningún objeto de directorio compatible adicional.
Atributo activo Especifica si el atributo de seguridad personalizado está activo o desactivado.

Límites y restricciones

Estos son algunos de los límites y restricciones de los atributos de seguridad personalizados.

Resource Límite Notas
Definiciones de atributos por inquilino 500 Solo se aplica a los atributos activos del inquilino.
Conjuntos de atributos por inquilino 500
Longitud del nombre del conjunto de atributos 32 Caracteres Unicode y con distinción de mayúsculas y minúsculas
Longitud de la descripción del conjunto de atributos 128 Caracteres Unicode
Longitud del nombre del atributo 32 Caracteres Unicode y con distinción de mayúsculas y minúsculas
Longitud de la descripción del atributo 128 Caracteres Unicode
Valores predefinidos Caracteres Unicode y con distinción de mayúsculas y minúsculas
Valores predefinidos por definición de atributo 100
Longitud del valor del atributo 64 Caracteres Unicode
Valores de atributo asignados por objeto 50 Los valores se pueden distribuir entre atributos únicos y multivalor.
Ejemplo: 5 atributos con 10 valores cada uno o 50 atributos con 1 valor cada uno
Caracteres especiales no permitidos para:
Nombre del conjunto de atributos
Nombre del atributo
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / El nombre del conjunto de atributos y el nombre del atributo no pueden comenzar con un número
Caracteres especiales permitidos para valores de atributos Todos los caracteres especiales
Caracteres especiales permitidos para valores de atributos cuando se usan con etiquetas de índice de blobs <space> + - . : = _ / Si tiene previsto usar valores de atributos con etiquetas de índice de blobs, estos son los únicos caracteres especiales permitidos para ellas. Para más información, vea Configuración de etiquetas de índice de blobs.

Roles de los atributos de seguridad personalizados

Microsoft Entra ID proporciona roles integrados para trabajar con atributos de seguridad personalizados. El rol de administrador de definición de atributos es el rol mínimo que necesita para administrar atributos de seguridad personalizados. El rol Administrador de asignación de atributos es el rol mínimo que necesita para asignar valores de atributo de seguridad personalizados para objetos de Microsoft Entra como usuarios y aplicaciones. Puede asignar estos roles en el ámbito del inquilino o el del conjunto de atributos.

Role Permisos
Lector de definiciones de atributos Leer conjuntos de atributos
Leer definiciones de atributos de seguridad personalizados
Administrador de definiciones de atributos Administrar todos los aspectos de los conjuntos de atributos
Administrar todos los aspectos de las definiciones de atributos de seguridad personalizados
Lector de asignaciones de atributos Leer conjuntos de atributos
Leer definiciones de atributos de seguridad personalizados
Leer claves y valores de atributos de seguridad personalizados para usuarios y entidades de servicio
Administrador de asignaciones de atributos Leer conjuntos de atributos
Leer definiciones de atributos de seguridad personalizados
Leer y actualizar claves y valores de atributos de seguridad personalizados para usuarios y entidades de servicio
Lector de registro de atributos Lectura de registros de auditoría para atributos de seguridad personalizados
Administrador del registro de atributos Lectura de registros de auditoría para atributos de seguridad personalizados
Configuración de opciones de diagnóstico para atributos de seguridad personalizados

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Microsoft Graph API

Puede administrar atributos de seguridad personalizados mediante programación mediante Microsoft Graph API. Para más información, consulte Introducción a los atributos de seguridad personalizados mediante Microsoft Graph API.

Puede usar un cliente de API como Graph Explorer para probar más fácilmente Microsoft Graph API para atributos de seguridad personalizados.

Captura de pantalla que muestra una llamada de Microsoft Graph API para atributos de seguridad personalizados.

Requisitos de licencia

El uso de esta característica es gratis y está incluido en su suscripción de Azure.

Pasos siguientes