Was sind benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID?
Benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID sind geschäftsspezifische Attribute (Schlüssel-Wert-Paare), die Sie definieren und Microsoft Entra-Objekten zuweisen können. Diese Attribute können verwendet werden, um Informationen zu speichern, Objekte zu kategorisieren oder eine differenzierte Zugriffssteuerung für bestimmte Azure-Ressourcen zu erzwingen. Benutzerdefinierte Sicherheitsattribute können mit der attributbasierten Zugriffssteuerung in Azure (ABAC) verwendet werden.
Gründe für die Verwendung benutzerdefinierter Sicherheitsattribute
Hier sind einige Szenarien, in denen Sie benutzerdefinierte Sicherheitsattribute verwenden können:
- Erweitern von Benutzerprofilen (beispielsweise durch Hinzufügen des Stundenlohns zu allen Mitarbeitern)
- Sicherstellen, dass das Stundenlohnattribut in den Profilen der Mitarbeiter nur für Administratoren sichtbar ist
- Kategorisieren hunderter oder tausender Anwendungen zur mühelosen Erstellung eines filterbaren Bestands für die Überwachung
- Gewähren von Benutzerzugriff auf die Azure Storage-Blobs eines Projekts
Verwendungsmöglichkeiten von benutzerdefinierten Sicherheitsattributen
Zu den benutzerdefinierten Sicherheitsattributen gehören unter anderem folgende Funktionen:
- Definieren geschäftsspezifischer Informationen (Attribute) für Ihren Mandanten
- Hinzufügen benutzerdefinierter Sicherheitsattribute für Benutzer und Anwendungen.
- Verwalten Sie Microsoft Entra-Objekte mithilfe von benutzerdefinierten Sicherheitsattributen mit Abfragen und Filtern.
- Bereitstellen von Attributgovernance, damit durch Attribute gesteuert wird, wer zugreifen kann
Benutzerdefinierte Sicherheitsattribute werden in folgenden Bereichen nicht unterstützt:
Features benutzerdefinierter Sicherheitsattribute
Benutzerdefinierte Sicherheitsattribute umfassen unter anderem folgende Features:
- Mandantenweit verfügbar
- Enthalten eine Beschreibung
- Unterstützung verschiedener Datentypen: Boolean, Integer, String
- Unterstützung eines einzelnen Werts oder mehrerer Werte
- Unterstützung benutzerdefinierter Freiform- oder vordefinierter Werte
- Zuweisung benutzerdefinierter Sicherheitsattribute zu Benutzern mit Verzeichnissynchronisierung aus dem lokalen Active Directory
Das folgende Beispiel zeigt mehrere benutzerdefinierte Sicherheitsattribute, die einem Benutzer zugewiesen sind. Die benutzerdefinierten Sicherheitsattribute sind unterschiedliche Datentypen und weisen Werte auf, die einmalig, mehrfach, in freiem Format oder vordefiniert sind.
Objekte, die benutzerdefinierte Sicherheitsattribute unterstützen
Benutzerdefinierte Sicherheitsattribute können für folgende Microsoft Entra-Objekte hinzugefügt werden:
- Microsoft Entra-Benutzer
- Microsoft Entra-Unternehmensanwendungen (Dienstprinzipale)
Vergleich von benutzerdefinierten Sicherheitsattributen und Erweiterungen
Obwohl sowohl Erweiterungen als auch benutzerdefinierte Sicherheitsattribute zum Erweitern von Objekten in Microsoft Entra ID und Microsoft 365 verwendet werden können, eignen sie sich für grundlegend unterschiedliche benutzerdefinierte Datenszenarien. Hier werden einige Aspekte der benutzerdefinierten Sicherheitsattribute mit Erweiterungen verglichen:
| Funktionalität | Erweiterungen | Benutzerdefinierte Sicherheitsattribute |
|---|---|---|
| Erweitern von Microsoft Entra ID und Microsoft 365-Objekten | Ja | Ja |
| Unterstützte Objekte | Abhängig vom Erweiterungstyp | Benutzer*innen und Dienstprinzipale |
| Eingeschränkter Zugriff | Nein. Jede*r Benutzer*in, der bzw. die zum Lesen des Objekts berechtigt ist, kann die Erweiterungsdaten lesen. | Ja. Der Lese- und Schreibzugriff wird über separate Berechtigungen und die rollenbasierte Zugriffssteuerung (RBAC) eingeschränkt. |
| Verwendung | Speichern von Daten, die von einer Anwendung verwendet werden sollen Speichern nicht vertraulicher Daten |
Speichern vertraulicher Daten Verwenden für Autorisierungsszenarien |
| Lizenzanforderungen | Verfügbar in allen Editionen von Microsoft Entra ID | Verfügbar in allen Editionen von Microsoft Entra ID |
Weitere Informationen zur Verwendung von Erweiterungen finden Sie unter Hinzufügen von benutzerdefinierten Daten zu Ressourcen mithilfe von Erweiterungen.
Schritte für die Verwendung benutzerdefinierter Sicherheitsattribute
Überprüfen Sie die Berechtigungen.
Vergewissern Sie sich, dass Ihnen die Rolle Administrator für Attributdefinitionen oder Administrator für Attributzuweisungen zugewiesen ist. Falls nicht, bitten Sie Ihren Administrator, Ihnen die passende Rolle auf Mandantenebene oder auf Attributsatzebene zuzuweisen. Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Bei Bedarf kann sich ein globaler Administrator diese Rollen selbst zuweisen.
Hinzufügen von Attributsätzen
Fügen Sie Attributsätze hinzu, um verwandte benutzerdefinierte Sicherheitsattribute zu gruppieren und zu verwalten. Weitere Informationen
Verwalten von Attributsätzen
Geben Sie an, wer benutzerdefinierte Sicherheitsattribute in einem Attributsatz lesen, definieren oder zuweisen kann. Weitere Informationen
Definieren von Attributen
Fügen Sie Ihrem Verzeichnis benutzerdefinierte Sicherheitsattribute hinzu. Neben dem Datentyp (boolescher Wert, ganze Zahl oder Zeichenfolge) können Sie angeben, ob es sich um vordefinierte Werte, um Freiformwerte, um einen einzelnen Wert oder um mehrere Werte handelt. Weitere Informationen
Zuweisen von Attributen
Weisen Sie Microsoft Entra-Objekten benutzerdefinierte Sicherheitsattribute für Ihre Geschäftsszenarien zu. Weitere Informationen
Verwenden von Attributen
Filtern Sie Benutzer und Anwendungen, die benutzerdefinierte Sicherheitsattribute verwenden. Weitere Informationen
Fügen Sie Azure-Rollenzuweisungen Bedingungen mit benutzerdefinierten Sicherheitsattributen hinzu, um eine differenzierte Zugriffssteuerung zu erreichen. Weitere Informationen
Begriff
Zum besseren Verständnis von benutzerdefinierten Sicherheitsattributen können Sie sich bei Bedarf die folgende Begriffsliste ansehen:
| Begriff | Definition |
|---|---|
| Attributdefinition | Das Schema eines benutzerdefinierten Sicherheitsattributs oder Schlüssel-Wert-Paars – beispielsweise der Name, die Beschreibung, der Datentyp und die vordefinierten Werte des benutzerdefinierten Sicherheitsattributs. |
| Attributsatz | Eine Sammlung verwandter benutzerdefinierter Sicherheitsattribute. Attributsätze können an andere Benutzer delegiert werden, um benutzerdefinierte Sicherheitsattribute zu definieren und zuzuweisen. |
| Attributname | Ein eindeutiger Name eines benutzerdefinierten Sicherheitsattributs innerhalb eines Attributsatzes. Die Kombination aus Attributsatz und Attributname bildet ein eindeutiges Attribut für Ihren Mandanten. |
| Attributzuweisung | Die Zuweisung eines benutzerdefinierten Sicherheitsattributs zu einem Microsoft Entra-Objekt – beispielsweise zu Benutzer*innen und Unternehmensanwendungen (Dienstprinzipalen). |
| Vordefinierter Wert | Ein zulässiger Wert für ein benutzerdefiniertes Sicherheitsattribut. |
Eigenschaften benutzerdefinierter Sicherheitsattribute
Die folgende Tabelle enthält die Eigenschaften, die Sie für Attributsätze und benutzerdefinierte Sicherheitsattribute angeben können. Einige Eigenschaften sind unveränderlich und können später nicht mehr geändert werden.
| Eigenschaft | Erforderlich | Nachträglich änderbar | Beschreibung |
|---|---|---|---|
| Name des Attributsatzes | ✅ | Der Name des Attributsatzes. Muss innerhalb eines Mandanten eindeutig sein. Darf keine Leerzeichen oder Sonderzeichen enthalten. | |
| „Attribute set description“ (Beschreibung des Attributsatzes) | ✅ | Die Beschreibung des Attributsatzes. | |
| Maximale Anzahl von Attributen | ✅ | Die maximale Anzahl benutzerdefinierter Sicherheitsattribute, die in einem Attributsatz definiert werden können. Der Standardwert ist null. Ohne Angabe kann der Administrator maximal 500 aktive Attribute pro Mandant hinzufügen. |
|
| Attributsatz | ✅ | Eine Sammlung verwandter benutzerdefinierter Sicherheitsattribute. Jedes benutzerdefinierte Sicherheitsattribut muss Teil eines Attributsatzes sein. | |
| Attributname | ✅ | Der Name des benutzerdefinierten Sicherheitsattributs. Muss innerhalb eines Attributsatzes eindeutig sein. Darf keine Leerzeichen oder Sonderzeichen enthalten. | |
| Attributbeschreibung | ✅ | Die Beschreibung des benutzerdefinierten Sicherheitsattributs. | |
| Datentyp | ✅ | Der Datentyp für die Werte des benutzerdefinierten Sicherheitsattributs. Unterstützte Typen: Boolean, Integer und String. |
|
| „Allow multiple values to be assigned“ (Zuweisen mehrerer Werte zulassen) | ✅ | Gibt an, ob dem benutzerdefinierten Sicherheitsattribut mehrere Werte zugewiesen werden können. Wenn der Datentyp auf festgelegt Boolean ist, kann diese Eigenschaft nicht auf „Ja“ festgelegt werden. |
|
| Nur die Zuweisung vordefinierter Werte zulassen | ✅ | Gibt an, ob dem benutzerdefinierten Sicherheitsattribut nur vordefinierte zugewiesen werden können. Ist diese Eigenschaft auf „Nein“ festgelegt, sind Freiformwerte zulässig. Kann später von „Ja“ in „Nein“, aber nicht von „Nein“ in „Ja“ geändert werden. Wenn der Datentyp auf festgelegt Boolean ist, kann diese Eigenschaft nicht auf „Ja“ festgelegt werden. |
|
| „Predefined values“ (Vordefinierte Werte) | Vordefinierte Werte für das benutzerdefinierte Sicherheitsattribut des ausgewählten Datentyps. Weitere vordefinierte Werte können später hinzugefügt werden. Die Werte können Leerzeichen enthalten, es sind jedoch nicht alle Sonderzeichen zulässig. | ||
| „Predefined value is active“ (Vordefinierter Wert ist aktiv) | ✅ | Gibt an, ob der vordefinierte Wert aktiv oder deaktiviert ist. Ist diese Eigenschaft auf „False“ festgelegt, kann der vordefinierte Wert keinen weiteren unterstützten Verzeichnisobjekten zugewiesen werden. | |
| Attribut ist aktiv | ✅ | Gibt an, ob das benutzerdefinierte Sicherheitsattribut aktiv oder deaktiviert ist. |
Grenzen und Einschränkungen
Hier finden Sie einige der Grenzwerte und Einschränkungen für benutzerdefinierte Sicherheitsattribute:
| Resource | Begrenzung | Notizen |
|---|---|---|
| Attributdefinitionen pro Mandant | 500 | Gilt nur für aktive Attribute im Mandanten |
| Attributsätze pro Mandant | 500 | |
| Länge des Attributsatznamens | 32 | Unicode-Zeichen ohne Beachtung der Groß-/Kleinschreibung |
| Länge der Attributsatzbeschreibung | 128 | Unicode-Zeichen |
| Länge des Attributnamens | 32 | Unicode-Zeichen ohne Beachtung der Groß-/Kleinschreibung |
| Länge der Attributbeschreibung | 128 | Unicode-Zeichen |
| „Predefined values“ (Vordefinierte Werte) | Unicode-Zeichen mit Beachtung der Groß-/Kleinschreibung | |
| Vordefinierte Werte pro Attributdefinition | 100 | |
| Länge des Attributwerts | 64 | Unicode-Zeichen |
| Pro Objekt zugewiesene Attributwerte | 50 | Werte können auf ein- und mehrwertige Attribute verteilt werden. Beispiel: Fünf Attribute mit jeweils zehn Werten oder 50 Attribute mit jeweils einem Wert |
| Sonderzeichen sind nicht zulässig für: Name des Attributsatzes Attributname |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Der Name des Attributsatzes und der Attributname dürfen nicht mit einer Zahl beginnen. |
| Sonderzeichen, die für Attributwerte zulässig sind | Alle Sonderzeichen | |
| Sonderzeichen, die für Attributwerte zulässig sind, wenn sie mit Blobindextags verwendet werden | <space> + - . : = _ / |
Wenn Sie Attributwerte mit Blobindextags verwenden möchten, sind nur diese Sonderzeichen für Blobindextags zulässig. Weitere Informationen finden Sie unter Festlegen von Blobindextags. |
Rollen für benutzerdefinierte Sicherheitsattribute
Microsoft Entra ID bietet integrierte Rollen für die Arbeit mit benutzerdefinierten Sicherheitsattributen. Für die Verwaltung benutzerdefinierter Sicherheitsattribute wird mindestens die Rolle „Administrator für Attributdefinitionen“ benötigt. Benutzer, die benutzerdefinierte Sicherheitsattributwerte für Microsoft Entra-Objekte wie Benutzer und Anwendungen zuweisen möchten, benötigen mindestens die Rolle „Administrator für Attributzuweisungen“. Diese Rollen können auf Mandantenebene oder auf Attributsatzebene zugewiesen werden.
| Role | Berechtigungen |
|---|---|
| Leser für Attributdefinitionen | Attributsätze lesen Definitionen benutzerdefinierter Sicherheitsattribute lesen |
| Administrator für Attributdefinitionen | Alle Aspekte von Attributsätzen verwalten Alle Aspekte der Definitionen benutzerdefinierter Sicherheitsattribute verwalten |
| Leser für Attributzuweisungen | Attributsätze lesen Definitionen benutzerdefinierter Sicherheitsattribute lesen Schlüssel und Werte benutzerdefinierter Sicherheitsattribute für Benutzer und Dienstprinzipale lesen |
| Administrator für Attributzuweisungen | Attributsätze lesen Definitionen benutzerdefinierter Sicherheitsattribute lesen Schlüssel und Werte benutzerdefinierter Sicherheitsattribute für Benutzer und Dienstprinzipale lesen und aktualisieren |
| Attributprotokollleser | Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute |
| Attributprotokolladministrator | Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute |
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Microsoft Graph-API
Benutzerdefinierte Sicherheitsattribute können Sie programmgesteuert mithilfe der Microsoft Graph-API verwalten. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mithilfe der Microsoft Graph-API.
Sie können einen API-Client wie Graph-Tester oder Postman verwenden, um die Microsoft Graph-API für benutzerdefinierte Sicherheitsattribute einfacher zu testen.
Lizenzanforderungen
Die Nutzung dieses Features ist kostenlos und in Ihrem Azure-Abonnement enthalten.
Nächste Schritte
- Hinzufügen oder Deaktivieren von Definitionen benutzerdefinierter Sicherheitsattribute in Microsoft Entra ID
- Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID
- Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen für einen Benutzer