Visão geral dos atributos de segurança personalizados usando o Microsoft API do Graph
Atributos de segurança personalizados em Microsoft Entra ID são atributos específicos do negócio (pares de valor-chave) que você pode definir e atribuir a objetos Microsoft Entra. Você pode usar esses atributos para armazenar informações, categorizar objetos ou impor controle de acesso refinado sobre recursos específicos do Azure. Atributos de segurança personalizados podem ser usados com o controle de acesso baseado em atributo do Azure (Azure ABAC).
Este artigo fornece uma visão geral de como usar o Microsoft API do Graph para definir e atribuir programaticamente seus próprios atributos de segurança personalizados.
Principais tipos de recursos
A seguir estão os blocos de construção de atributos de segurança personalizados.
Conjuntos de atributos
Um conjunto de atributos é um grupo de atributos de segurança personalizados relacionados. A seguir estão as características gerais dos conjuntos de atributos:
- O nome não pode incluir espaços ou caracteres especiais.
- Não é possível renomear ou excluir.
- Pode ser delegado a outros usuários para definir e atribuir atributos de segurança personalizados.
Para configurar conjuntos de atributos, use o tipo de recurso attributeSet.
Definições de atributo de segurança personalizadas
Uma definição de atributo de segurança personalizada é o esquema de um atributo de segurança personalizado ou par de valor-chave. Por exemplo, o nome do atributo de segurança personalizado, a descrição, o tipo de dados e os valores predefinidos. A seguir estão as características gerais das definições de atributos de segurança personalizados:
- O nome não pode incluir espaços ou caracteres especiais.
- Não pode ser renomeado ou excluído, mas pode ser desativado.
- Deve fazer parte de um conjunto de atributos.
Para configurar definições de atributo de segurança personalizadas, use o tipo de recurso customSecurityAttributeDefinition.
Valores permitidos
Os valores permitidos representam os valores predefinidos de um atributo de segurança personalizado. A seguir estão as características gerais dos valores permitidos:
- Os valores podem incluir espaços, mas alguns caracteres especiais não são permitidos.
- Não pode ser renomeado ou excluído, mas pode ser desativado.
- Mais valores predefinidos podem ser adicionados posteriormente.
- Pode ser de tipos de dados Boolean, Integer ou String.
Para configurar valores permitidos, use o tipo de recurso allowedValue.
Quais objetos de diretório dão suporte a atributos de segurança personalizados?
Atributos de segurança personalizados podem ser atribuídos aos seguintes objetos usando a propriedade customSecurityAttributes . Usuários sincronizados de diretório de um Active Directory local também podem receber atributos de segurança personalizados.
Para obter exemplos de atribuições de atributo de segurança personalizadas, consulte Exemplos: Atribuir, atualizar, listar ou remover atribuições de atributo de segurança personalizadas usando o microsoft API do Graph.
Limites e restrições
Para obter uma lista dos limites e restrições para atributos de segurança personalizados, consulte Limites e restrições.
Permissões
Para gerenciar atributos de segurança personalizados, a entidade de chamada deve receber uma das seguintes funções de Microsoft Entra. Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
- Leitor de Definição de Atributo
- Administrador de definição de atributo
- Leitor de Atribuição de Atributo
- Administrador de atribuição de atributo
Além disso, a entidade de chamada deve receber as permissões de atributos de segurança personalizadas apropriadas.