Co to są niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy Microsoft?
Niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy microsoft to atrybuty specyficzne dla firmy (pary klucz-wartość), które można definiować i przypisywać do obiektów entra firmy Microsoft. Te atrybuty mogą służyć do przechowywania informacji, kategoryzowania obiektów lub wymuszania szczegółowej kontroli dostępu nad określonymi zasobami platformy Azure. Niestandardowe atrybuty zabezpieczeń mogą być używane z kontrolą dostępu opartą na atrybutach (ABAC) platformy Azure.
Dlaczego warto używać niestandardowych atrybutów zabezpieczeń?
Poniżej przedstawiono kilka scenariuszy, w których można użyć niestandardowych atrybutów zabezpieczeń:
- Rozszerzanie profilów użytkowników, takich jak dodawanie wynagrodzenia godzinowego do wszystkich moich pracowników.
- Upewnij się, że tylko administratorzy mogą zobaczyć atrybut Godzinowe wynagrodzenie w profilach moich pracowników.
- Kategoryzuj setki lub tysiące aplikacji, aby łatwo utworzyć filtrowalny spis na potrzeby inspekcji.
- Udziel użytkownikom dostępu do obiektów blob usługi Azure Storage należących do projektu.
Co mogę zrobić z niestandardowymi atrybutami zabezpieczeń?
Niestandardowe atrybuty zabezpieczeń obejmują następujące możliwości:
- Zdefiniuj informacje specyficzne dla firmy (atrybuty) dla dzierżawy.
- Dodaj zestaw niestandardowych atrybutów zabezpieczeń dla użytkowników i aplikacji.
- Zarządzanie obiektami entra firmy Microsoft przy użyciu niestandardowych atrybutów zabezpieczeń z zapytaniami i filtrami.
- Podaj ład atrybutów, aby atrybuty określały, kto może uzyskać dostęp.
Niestandardowe atrybuty zabezpieczeń nie są obsługiwane w następujących obszarach:
- Usługi domenowe Microsoft Entra
- Oświadczenia tokenów języka SAML (Security Assertion Markup Language)
Funkcje niestandardowych atrybutów zabezpieczeń
Niestandardowe atrybuty zabezpieczeń obejmują następujące funkcje:
- Dostępna dla całej dzierżawy
- Dołącz opis
- Obsługa różnych typów danych: wartość logiczna, liczba całkowita, ciąg
- Obsługa pojedynczej wartości lub wielu wartości
- Obsługa zdefiniowanych przez użytkownika wartości dowolnych lub wstępnie zdefiniowanych wartości
- Przypisywanie niestandardowych atrybutów zabezpieczeń do synchronizowanych użytkowników z katalogu z lokalna usługa Active Directory
W poniższym przykładzie pokazano kilka niestandardowych atrybutów zabezpieczeń przypisanych do użytkownika. Niestandardowe atrybuty zabezpieczeń są różnymi typami danych i mają wartości, które są pojedyncze, wielokrotne, wolne lub wstępnie zdefiniowane.
Obiekty obsługujące niestandardowe atrybuty zabezpieczeń
Możesz dodać niestandardowe atrybuty zabezpieczeń dla następujących obiektów firmy Microsoft Entra:
- Użytkownicy firmy Microsoft Entra
- Microsoft Entra Enterprise Applications (jednostki usługi)
Jak porównać niestandardowe atrybuty zabezpieczeń z rozszerzeniami?
Chociaż rozszerzenia i niestandardowe atrybuty zabezpieczeń mogą służyć do rozszerzania obiektów w microsoft Entra ID i Microsoft 365, są one odpowiednie dla zasadniczo różnych niestandardowych scenariuszy danych. Poniżej przedstawiono kilka sposobów porównywania niestandardowych atrybutów zabezpieczeń z rozszerzeniami:
| Możliwość | Rozszerzenia | Niestandardowe atrybuty zabezpieczeń |
|---|---|---|
| Rozszerzanie obiektów Microsoft Entra ID i Microsoft 365 | Tak | Tak |
| Obsługiwane obiekty | Zależy od typu rozszerzenia | Użytkownicy i jednostki usługi |
| Dostęp ograniczony | L.p. Każda osoba mająca uprawnienia do odczytu obiektu może odczytywać dane rozszerzenia. | Tak. Dostęp do odczytu i zapisu jest ograniczony za pośrednictwem oddzielnego zestawu uprawnień i kontroli dostępu opartej na rolach (RBAC). |
| Kiedy używać | Przechowywanie danych do użycia przez aplikację Przechowywanie danych niewrażliwych |
Przechowywanie poufnych danych Używanie w scenariuszach autoryzacji |
| Wymagania dotyczące licencji | Dostępne we wszystkich wersjach identyfikatora Entra firmy Microsoft | Dostępne we wszystkich wersjach identyfikatora Entra firmy Microsoft |
Aby uzyskać więcej informacji na temat pracy z rozszerzeniami, zobacz Dodawanie danych niestandardowych do zasobów przy użyciu rozszerzeń.
Kroki używania niestandardowych atrybutów zabezpieczeń
Sprawdzanie uprawnień
Sprawdź, czy przypisano role administratora definicji atrybutu lub administratora przypisania atrybutu. W razie potrzeby ktoś z co najmniej rolą Administrator ról uprzywilejowanych może przypisać te role.
Dodawanie zestawów atrybutów
Dodaj zestawy atrybutów do grupowania i zarządzania powiązanymi niestandardowymi atrybutami zabezpieczeń. Dowiedz się więcej
Zarządzanie zestawami atrybutów
Określ, kto może odczytywać, definiować lub przypisywać niestandardowe atrybuty zabezpieczeń w zestawie atrybutów. Dowiedz się więcej
Definiowanie atrybutów
Dodaj niestandardowe atrybuty zabezpieczeń do katalogu. Można określić typ daty (wartość logiczna, liczba całkowita lub ciąg) oraz określać, czy wartości są wstępnie zdefiniowane, wolne, pojedyncze lub wielokrotne. Dowiedz się więcej
Przypisywanie atrybutów
Przypisz niestandardowe atrybuty zabezpieczeń do obiektów entra firmy Microsoft dla Twoich scenariuszy biznesowych. Dowiedz się więcej
Używanie atrybutów
Filtruj użytkowników i aplikacje korzystające z niestandardowych atrybutów zabezpieczeń. Dowiedz się więcej
Dodaj warunki, które używają niestandardowych atrybutów zabezpieczeń do przypisań ról platformy Azure w celu precyzyjnej kontroli dostępu. Dowiedz się więcej
Terminologia
Aby lepiej zrozumieć niestandardowe atrybuty zabezpieczeń, możesz wrócić do poniższej listy terminów.
| Termin | Definicja |
|---|---|
| definicja atrybutu | Schemat niestandardowego atrybutu zabezpieczeń lub pary klucz-wartość. Na przykład niestandardowa nazwa atrybutu zabezpieczeń, opis, typ danych i wstępnie zdefiniowane wartości. |
| zestaw atrybutów | Kolekcja powiązanych atrybutów zabezpieczeń niestandardowych. Zestawy atrybutów można delegować innym użytkownikom do definiowania i przypisywania niestandardowych atrybutów zabezpieczeń. |
| nazwa atrybutu | Unikatowa nazwa niestandardowego atrybutu zabezpieczeń w zestawie atrybutów. Kombinacja zestawu atrybutów i nazwy atrybutów tworzy unikatowy atrybut dla dzierżawy. |
| przypisanie atrybutu | Przypisanie niestandardowego atrybutu zabezpieczeń do obiektu Entra firmy Microsoft, takiego jak użytkownicy i aplikacje dla przedsiębiorstw (jednostki usługi). |
| wstępnie zdefiniowana wartość | Wartość dozwolona dla niestandardowego atrybutu zabezpieczeń. |
Niestandardowe właściwości atrybutów zabezpieczeń
W poniższej tabeli wymieniono właściwości, które można określić dla zestawów atrybutów i atrybutów zabezpieczeń niestandardowych. Niektóre właściwości są niezmienne i nie można ich później zmienić.
| Właściwości | Wymagania | Później można zmienić | opis |
|---|---|---|---|
| Nazwa zestawu atrybutów | ✅ | Nazwa zestawu atrybutów. Musi być unikatowa w ramach dzierżawy. Nie można uwzględnić spacji ani znaków specjalnych. | |
| Opis zestawu atrybutów | ✅ | Opis zestawu atrybutów. | |
| Maksymalna liczba atrybutów | ✅ | Maksymalna liczba atrybutów zabezpieczeń niestandardowych, które można zdefiniować w zestawie atrybutów. Wartość domyślna to null. Jeśli nie zostanie określony, administrator może dodać maksymalnie 500 aktywnych atrybutów na dzierżawę. |
|
| Zestaw atrybutów | ✅ | Kolekcja powiązanych atrybutów zabezpieczeń niestandardowych. Każdy atrybut zabezpieczeń niestandardowych musi być częścią zestawu atrybutów. | |
| Attribute name | ✅ | Nazwa niestandardowego atrybutu zabezpieczeń. Musi być unikatowa w zestawie atrybutów. Nie można uwzględnić spacji ani znaków specjalnych. | |
| Opis atrybutu | ✅ | Opis niestandardowego atrybutu zabezpieczeń. | |
| Typ danych | ✅ | Typ danych dla niestandardowych wartości atrybutów zabezpieczeń. Obsługiwane typy to Boolean, Integeri String. |
|
| Zezwalaj na przypisanie wielu wartości | ✅ | Wskazuje, czy można przypisać wiele wartości do niestandardowego atrybutu zabezpieczeń. Jeśli typ danych jest ustawiony na Booleanwartość , nie można ustawić wartości Tak. |
|
| Zezwalaj na przypisywanie tylko wstępnie zdefiniowanych wartości | ✅ | Wskazuje, czy do niestandardowego atrybutu zabezpieczeń można przypisać tylko wstępnie zdefiniowane wartości. Jeśli ustawiono wartość Nie, dozwolone są wartości w postaci bezpłatnej. Później można zmienić wartość z Tak na Nie, ale nie można jej zmienić z Nie na Tak. Jeśli typ danych jest ustawiony na Booleanwartość , nie można ustawić wartości Tak. |
|
| Wstępnie zdefiniowane wartości | Wstępnie zdefiniowane wartości niestandardowego atrybutu zabezpieczeń wybranego typu danych. Więcej wstępnie zdefiniowanych wartości można dodać później. Wartości mogą zawierać spacje, ale niektóre znaki specjalne nie są dozwolone. | ||
| Wstępnie zdefiniowana wartość jest aktywna | ✅ | Określa, czy wstępnie zdefiniowana wartość jest aktywna, czy dezaktywowana. Jeśli ustawiono wartość false, wstępnie zdefiniowana wartość nie może być przypisana do żadnych dodatkowych obsługiwanych obiektów katalogu. | |
| Atrybut jest aktywny | ✅ | Określa, czy niestandardowy atrybut zabezpieczeń jest aktywny, czy dezaktywowany. |
Limity i ograniczenia
Poniżej przedstawiono niektóre limity i ograniczenia dotyczące niestandardowych atrybutów zabezpieczeń.
| Zasób | Limit | Uwagi |
|---|---|---|
| Definicje atrybutów na dzierżawę | 500 | Dotyczy tylko aktywnych atrybutów w dzierżawie |
| Zestawy atrybutów na dzierżawę | 500 | |
| Długość nazwy zestawu atrybutów | 32 | Znaki Unicode i wielkość liter są uwzględniane |
| Długość opisu zestawu atrybutów | 128 | Znaki Unicode |
| Długość nazwy atrybutu | 32 | Znaki Unicode i wielkość liter są uwzględniane |
| Długość opisu atrybutu | 128 | Znaki Unicode |
| Wstępnie zdefiniowane wartości | Znaki Unicode i wielkość liter są uwzględniane | |
| Wstępnie zdefiniowane wartości na definicję atrybutu | 100 | |
| Długość wartości atrybutu | 64 | Znaki Unicode |
| Przypisane wartości atrybutów na obiekt | 50 | Wartości mogą być dystrybuowane między atrybuty pojedyncze i wielowartościowe. Przykład: 5 atrybutów z 10 wartościami każdy lub 50 atrybutów z 1 wartością |
| Niedozwolone znaki specjalne: Nazwa zestawu atrybutów Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Nazwa zestawu atrybutów i nazwa atrybutu nie mogą zaczynać się od liczby |
| Znaki specjalne dozwolone dla wartości atrybutów | Wszystkie znaki specjalne | |
| Znaki specjalne dozwolone dla wartości atrybutów w przypadku użycia z tagami indeksu obiektów blob | <space> + - . : = _ / |
Jeśli planujesz używać wartości atrybutów z tagami indeksu obiektów blob, są to jedyne znaki specjalne dozwolone dla tagów indeksu obiektów blob. Aby uzyskać więcej informacji, zobacz Ustawianie tagów indeksu obiektów blob. |
Niestandardowe role atrybutów zabezpieczeń
Identyfikator Entra firmy Microsoft udostępnia wbudowane role do pracy z niestandardowymi atrybutami zabezpieczeń. Rola Administrator definicji atrybutów jest minimalną rolą, którą należy zarządzać niestandardowymi atrybutami zabezpieczeń. Rola Administrator przypisania atrybutów jest minimalną rolą, którą należy przypisać do obiektów entra firmy Microsoft, takich jak użytkownicy i aplikacje. Te role można przypisać w zakresie dzierżawy lub w zakresie zestawu atrybutów.
| Rola | Uprawnienia |
|---|---|
| Czytelnik definicji atrybutów | Odczyt zestawów atrybutów Odczytywanie niestandardowych definicji atrybutów zabezpieczeń |
| Administrator definicji atrybutu | Zarządzanie wszystkimi aspektami zestawów atrybutów Zarządzanie wszystkimi aspektami niestandardowych definicji atrybutów zabezpieczeń |
| Czytelnik przypisań atrybutów | Odczyt zestawów atrybutów Odczytywanie niestandardowych definicji atrybutów zabezpieczeń Odczytywanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla użytkowników i jednostek usługi |
| Administrator przypisania atrybutu | Odczyt zestawów atrybutów Odczytywanie niestandardowych definicji atrybutów zabezpieczeń Odczytywanie i aktualizowanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla użytkowników i jednostek usługi |
| Czytelnik dziennika atrybutów | Odczytywanie dzienników inspekcji niestandardowych atrybutów zabezpieczeń |
| Administrator dziennika atrybutów | Odczytywanie dzienników inspekcji niestandardowych atrybutów zabezpieczeń Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń |
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Interfejsu API programu Microsoft Graph
Niestandardowe atrybuty zabezpieczeń można zarządzać programowo przy użyciu interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Omówienie niestandardowych atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph.
Możesz użyć klienta interfejsu API, takiego jak Eksplorator programu Graph, aby łatwiej wypróbować interfejs API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń.
Wymagania dotyczące licencji
Korzystanie z tej funkcji jest bezpłatne i uwzględnione w subskrypcji platformy Azure.
Następne kroki
- Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft
- Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft
- Przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych atrybutów zabezpieczeń dla użytkownika