Mik az egyéni biztonsági attribútumok a Microsoft Entra ID-ban?
A Microsoft Entra ID egyéni biztonsági attribútumai olyan üzleti attribútumok (kulcs-érték párok), amelyeket definiálhat és hozzárendelhet a Microsoft Entra-objektumokhoz. Ezek az attribútumok felhasználhatók információk tárolására, objektumok kategorizálására vagy adott Azure-erőforrások részletes hozzáférés-vezérlésének kikényszerítésére. Az egyéni biztonsági attribútumok az Azure attribútumalapú hozzáférés-vezérléssel (ABAC) használhatók.
Miért érdemes egyéni biztonsági attribútumokat használni?
Íme néhány olyan eset, amikor egyéni biztonsági attribútumokat használhat:
- Bővítse ki a felhasználói profilokat, például óránkénti fizetést adjon hozzá az összes alkalmazottamhoz.
- Győződjön meg arról, hogy csak a rendszergazdák láthatják az Óránkénti fizetés attribútumot az alkalmazottak profiljában.
- Több száz vagy több ezer alkalmazás kategorizálásával egyszerűen létrehozhat egy szűrhető leltárt a naplózáshoz.
- Hozzáférést biztosíthat a felhasználóknak a projekthez tartozó Azure Storage-blobokhoz.
Mit tehetek az egyéni biztonsági attribútumokkal?
Az egyéni biztonsági attribútumok a következő képességeket tartalmazzák:
- Adjon meg üzleti információkat (attribútumokat) a bérlőhöz.
- Adjon hozzá egyéni biztonsági attribútumokat a felhasználókhoz és alkalmazásokhoz.
- A Microsoft Entra-objektumok kezelése egyéni biztonsági attribútumokkal lekérdezésekkel és szűrőkkel.
- Adjon meg attribútumszabályozást, így az attribútumok határozzák meg, hogy kik férhetnek hozzá.
Az egyéni biztonsági attribútumok nem támogatottak a következő területeken:
Az egyéni biztonsági attribútumok jellemzői
Az egyéni biztonsági attribútumok a következő funkciókat tartalmazzák:
- Elérhető bérlői szintű
- Leírás belefoglalása
- Különböző adattípusok támogatása: logikai, egész szám, sztring
- Egyetlen vagy több érték támogatása
- Felhasználó által definiált szabad űrlapértékek vagy előre definiált értékek támogatása
- Egyéni biztonsági attribútumok hozzárendelése címtár által szinkronizált felhasználókhoz egy helyi Active Directory
Az alábbi példa egy felhasználóhoz rendelt számos egyéni biztonsági attribútumot mutat be. Az egyéni biztonsági attribútumok különböző adattípusok, és egyetlen, több, szabad formátumú vagy előre definiált értékekkel rendelkeznek.
Egyéni biztonsági attribútumokat támogató objektumok
Az alábbi Microsoft Entra-objektumokhoz adhat hozzá egyéni biztonsági attribútumokat:
- Microsoft Entra-felhasználók
- Nagyvállalati Microsoft Entra-alkalmazások (szolgáltatásnevek)
Hogyan összehasonlítani az egyéni biztonsági attribútumokat a bővítményekkel?
Bár a bővítmények és az egyéni biztonsági attribútumok egyaránt használhatók a Microsoft Entra ID és a Microsoft 365 objektumainak kiterjesztésére, ezek alapvetően különböző egyéni adatforgatókönyvekhez használhatók. Az egyéni biztonsági attribútumok és a bővítmények összehasonlítása az alábbiakkal:
| Funkció | Bővítmények | Egyéni biztonsági attribútumok |
|---|---|---|
| A Microsoft Entra ID és a Microsoft 365-objektumok kiterjesztése | Igen | Igen |
| Támogatott objektumok | A bővítmény típusától függ | Felhasználók és szolgáltatásnevek |
| Erősen korlátozott hozzáférés | Szám Az objektum olvasására jogosult bárki elolvashatja a bővítményadatokat. | Igen. Az olvasási és írási hozzáférés egy külön engedélykészleten és szerepköralapú hozzáférés-vezérlésen (RBAC) keresztül korlátozott. |
| Mikor érdemes használni? | Alkalmazás által használandó adatok tárolása Nem bizalmas adatok tárolása |
Bizalmas adatok tárolása Engedélyezéshez használható forgatókönyvek |
| Licenckövetelmények | A Microsoft Entra ID minden kiadásában elérhető | A Microsoft Entra ID minden kiadásában elérhető |
A bővítmények használatáról további információt az Egyéni adatok hozzáadása bővítményekkel rendelkező erőforrásokhoz című témakörben talál.
Egyéni biztonsági attribútumok használatának lépései
Engedélyek ellenőrzése
Ellenőrizze, hogy az attribútumdefiníció Rendszergazda istrator vagy attribútum-hozzárendelés Rendszergazda istrator szerepkörhöz van-e hozzárendelve. Ha nem, kérje meg a rendszergazdát, hogy rendelje hozzá a megfelelő szerepkört a bérlői hatókörhöz vagy az attribútumkészlet hatóköréhez. Alapértelmezés szerint a globális Rendszergazda istrator és más rendszergazdai szerepkörök nem rendelkeznek egyéni biztonsági attribútumok olvasására, definiálására vagy hozzárendelésére vonatkozó engedélyekkel. Szükség esetén a globális Rendszergazda istrator hozzárendelheti ezeket a szerepköröket saját magukhoz.
Attribútumkészletek hozzáadása
Attribútumkészletek hozzáadása a kapcsolódó egyéni biztonsági attribútumok csoportosításához és kezeléséhez. További információ
Attribútumkészletek kezelése
Megadhatja, hogy ki olvashatja, definiálhatja vagy rendelheti hozzá az egyéni biztonsági attribútumokat egy attribútumkészletben. További információ
Attribútumok definiálása
Adja hozzá az egyéni biztonsági attribútumokat a címtárhoz. Megadhatja a dátumtípust (logikai, egész szám vagy sztring), valamint azt, hogy az értékek előre definiált, szabad formátumú, egy vagy több típusúak-e. További információ
Attribútumok hozzárendelése
Egyéni biztonsági attribútumokat rendelhet a Microsoft Entra-objektumokhoz üzleti forgatókönyveihez. További információ
Attribútumok használata
Egyéni biztonsági attribútumokat használó felhasználók és alkalmazások szűrése. További információ
Adjon hozzá olyan feltételeket, amelyek egyéni biztonsági attribútumokat használnak az Azure-szerepkör-hozzárendelésekhez a részletes hozzáférés-vezérléshez. További információ
Terminológia
Az egyéni biztonsági attribútumok jobb megértéséhez tekintse meg az alábbi kifejezések listáját.
| Időszak | Definíció |
|---|---|
| attribútumdefiníció | Egy egyéni biztonsági attribútum vagy kulcs-érték pár sémája. Például az egyéni biztonsági attribútum neve, leírása, adattípusa és előre definiált értékei. |
| attribútumkészlet | Kapcsolódó egyéni biztonsági attribútumok gyűjteménye. Az attribútumkészletek delegálhatók más felhasználókhoz egyéni biztonsági attribútumok definiálásához és hozzárendeléséhez. |
| attribútum neve | Egy egyéni biztonsági attribútum egyedi neve egy attribútumkészleten belül. Az attribútumkészlet és az attribútumnév kombinációja egyedi attribútumot képez a bérlő számára. |
| attribútum-hozzárendelés | Egyéni biztonsági attribútum hozzárendelése egy Microsoft Entra-objektumhoz, például felhasználókhoz és vállalati alkalmazásokhoz (szolgáltatásnevek). |
| előre definiált érték | Egyéni biztonsági attribútumhoz engedélyezett érték. |
Egyéni biztonsági attribútum tulajdonságai
Az alábbi táblázat az attribútumkészletekhez és az egyéni biztonsági attribútumokhoz megadható tulajdonságokat sorolja fel. Egyes tulajdonságok nem módosíthatók, és később nem módosíthatók.
| Tulajdonság | Kötelező | Később módosítható | Leírás |
|---|---|---|---|
| Attribútumkészlet neve | ✅ | Az attribútumkészlet neve. A bérlőn belül egyedinek kell lennie. Nem tartalmazhat szóközöket vagy speciális karaktereket. | |
| Attribútumkészlet leírása | ✅ | Az attribútumkészlet leírása. | |
| Attribútumok maximális száma | ✅ | Az attribútumkészletben definiálható egyéni biztonsági attribútumok maximális száma. Az alapértelmezett érték null. Ha nincs megadva, a rendszergazda bérlőnként legfeljebb 500 aktív attribútumot adhat hozzá. |
|
| Attribútumkészlet | ✅ | Kapcsolódó egyéni biztonsági attribútumok gyűjteménye. Minden egyéni biztonsági attribútumnak egy attribútumkészlet részét kell képeznie. | |
| Attribútum neve | ✅ | Az egyéni biztonsági attribútum neve. Az attribútumkészleten belül egyedinek kell lennie. Nem tartalmazhat szóközöket vagy speciális karaktereket. | |
| Attribútum leírása | ✅ | Az egyéni biztonsági attribútum leírása. | |
| Adattípus | ✅ | Az egyéni biztonsági attribútum értékeinek adattípusa. A támogatott típusok a következőkBoolean: ésStringInteger. |
|
| Több érték hozzárendelésének engedélyezése | ✅ | Azt jelzi, hogy több érték is hozzárendelhető-e az egyéni biztonsági attribútumhoz. Ha az adattípus értéke Booleanigen, akkor nem állítható igen értékre. |
|
| Csak előre definiált értékek hozzárendelésének engedélyezése | ✅ | Azt jelzi, hogy csak előre definiált értékek rendelhetők-e hozzá az egyéni biztonsági attribútumhoz. Ha Nem értékre van állítva, a szabad formátumú értékek engedélyezettek. Később igenről nemre módosítható, de nem módosítható Nemről Igenre. Ha az adattípus értéke Booleanigen, akkor nem állítható igen értékre. |
|
| Előre definiált értékek | A kiválasztott adattípus egyéni biztonsági attribútumának előre definiált értékei. Később további előre definiált értékek is hozzáadhatók. Az értékek tartalmazhatnak szóközöket, de néhány speciális karakter nem engedélyezett. | ||
| Az előre definiált érték aktív | ✅ | Megadja, hogy az előre definiált érték aktív vagy inaktivált-e. Ha hamis értékre van állítva, az előre definiált érték nem rendelhető hozzá további támogatott címtárobjektumokhoz. | |
| Az attribútum aktív | ✅ | Megadja, hogy az egyéni biztonsági attribútum aktív vagy inaktivált-e. |
Határétékek és korlátozások
Íme néhány, az egyéni biztonsági attribútumok korlátai és korlátozásai.
| Erőforrás | Korlát | Jegyzetek |
|---|---|---|
| Attribútumdefiníciók bérlőnként | 500 | Csak a bérlő aktív attribútumaira vonatkozik |
| Attribútumkészletek bérlőnként | 500 | |
| Attribútumkészlet névhossza | 32 | Unicode-karakterek és kis- és nagybetűk érzéketlenek |
| Attribútumkészlet leírásának hossza | 128 | Unicode-karakterek |
| Attribútumnév hossza | 32 | Unicode-karakterek és kis- és nagybetűk érzéketlenek |
| Attribútum leírásának hossza | 128 | Unicode-karakterek |
| Előre definiált értékek | Unicode-karakterek és kis- és nagybetűk megkülönböztetése | |
| Előre definiált értékek attribútumdefiníciónként | 100 | |
| Attribútumérték hossza | 64 | Unicode-karakterek |
| Objektumonként hozzárendelt attribútumértékek | 50 | Az értékek eloszthatók egyetlen és többértékű attribútumok között. Példa: 5 attribútum 10 értékkel, vagy 50 attribútum, egyenként 1 értékkel |
| Speciális karakterek nem engedélyezettek a következőhöz: Attribútumkészlet neve Attribútum neve |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Az attribútumkészlet neve és az attribútum neve nem kezdődhet számmal |
| Attribútumértékekhez engedélyezett speciális karakterek | Minden speciális karakter | |
| Attribútumértékekhez engedélyezett speciális karakterek blobindexcímkék használata esetén | <space> + - . : = _ / |
Ha attribútumértékeket szeretne használni blobindex-címkékkel, ezek az egyetlen speciális karakterek a blobindexcímkékhez. További információ: Blobindexcímkék beállítása. |
Egyéni biztonsági attribútumszerepkörök
A Microsoft Entra ID beépített szerepköröket biztosít az egyéni biztonsági attribútumok használatához. Az attribútumdefiníciós Rendszergazda istrator szerepkör az egyéni biztonsági attribútumok kezeléséhez szükséges minimális szerepkör. Az attribútum-hozzárendelési Rendszergazda istrator szerepkör az a minimális szerepkör, amelyhez egyéni biztonsági attribútumértékeket kell hozzárendelnie a Microsoft Entra-objektumokhoz, például a felhasználókhoz és alkalmazásokhoz. Ezeket a szerepköröket hozzárendelheti a bérlői hatókörhöz vagy az attribútumkészlet hatóköréhez.
| Szerepkör | Engedélyek |
|---|---|
| Attribútumdefiníció-olvasó | Attribútumkészletek olvasása Egyéni biztonsági attribútumdefiníciók olvasása |
| Attribútumdefiníciós Rendszergazda istrator | Az attribútumkészletek minden aspektusának kezelése Az egyéni biztonsági attribútumdefiníciók minden aspektusának kezelése |
| Attribútum-hozzárendelés-olvasó | Attribútumkészletek olvasása Egyéni biztonsági attribútumdefiníciók olvasása Egyéni biztonsági attribútumkulcsok és értékek olvasása felhasználók és szolgáltatásnevek számára |
| Attribútum-hozzárendelési Rendszergazda istrator | Attribútumkészletek olvasása Egyéni biztonsági attribútumdefiníciók olvasása Egyéni biztonsági attribútumkulcsok és -értékek olvasása és frissítése felhasználók és szolgáltatásnevek számára |
| Attribútumnapló-olvasó | Naplók olvasása egyéni biztonsági attribútumokhoz |
| Attribútumnapló Rendszergazda istrator | Naplók olvasása egyéni biztonsági attribútumokhoz Diagnosztikai beállítások konfigurálása egyéni biztonsági attribútumokhoz |
Fontos
Alapértelmezés szerint a globális Rendszergazda istrator és más rendszergazdai szerepkörök nem rendelkeznek egyéni biztonsági attribútumok olvasására, definiálására vagy hozzárendelésére vonatkozó engedélyekkel.
Microsoft Graph API
Az egyéni biztonsági attribútumokat programozott módon kezelheti a Microsoft Graph API használatával. További információ: Az egyéni biztonsági attribútumok áttekintése a Microsoft Graph API használatával.
Az API-ügyfél, például a Graph Explorer vagy a Postman használatával könnyebben kipróbálhatja a Microsoft Graph API-t az egyéni biztonsági attribútumokért.
Licenckövetelmények
A funkció használata ingyenes, és az Azure-előfizetés részét képezi.