Apa itu atribut keamanan kustom di ID Microsoft Entra?
Atribut keamanan kustom di MICROSOFT Entra ID adalah atribut khusus bisnis (pasangan kunci-nilai) yang dapat Anda tentukan dan tetapkan ke objek Microsoft Entra. Atribut ini dapat digunakan untuk menyimpan informasi, mengategorikan objek, atau memberlakukan kontrol akses terperinci atas sumber daya Azure tertentu. Atribut keamanan kustom dapat digunakan dengan kontrol akses berbasis atribut Azure (ABAC).
Mengapa menggunakan atribut keamanan kustom?
Berikut adalah beberapa skenario di mana Anda dapat menggunakan atribut keamanan kustom:
- Perpanjang profil pengguna, seperti tambahkan Gaji Per Jam ke semua karyawan saya.
- Pastikan hanya administrator yang dapat melihat atribut Gaji Per Jam di profil karyawan saya.
- Kategorikan ratusan atau ribuan aplikasi untuk dengan mudah membuat inventaris yang dapat difilter untuk pengauditan.
- Memberi pengguna akses ke blob Azure Storage milik proyek.
Apa yang dapat saya lakukan dengan atribut keamanan kustom?
Atribut keamanan kustom mencakup kemampuan ini:
- Tentukan informasi (atribut) khusus bisnis untuk penyewa Anda.
- Tambahkan sekumpulan atribut keamanan kustom pada pengguna dan aplikasi.
- Mengelola objek Microsoft Entra menggunakan atribut keamanan kustom dengan kueri dan filter.
- Berikan pengelolaan atribut sehingga atribut menentukan siapa yang bisa mendapatkan akses.
Atribut keamanan kustom tidak didukung di area berikut:
Fitur atribut keamanan kustom
Atribut keamanan kustom mencakup fitur-fitur ini:
- Tersedia untuk seluruh penyewa
- Menyertakan deskripsi
- Mendukung jenis data yang berbeda: Boolean, bilangan bulat, string
- Mendukung nilai tunggal atau beberapa nilai
- Mendukung nilai bentuk bebas yang ditentukan pengguna atau nilai yang sudah ditentukan sebelumnya
- Menetapkan atribut keamanan kustom ke pengguna yang disinkronkan direktori dari Active Directory lokal
Contoh berikut menunjukkan beberapa atribut keamanan kustom yang ditetapkan untuk pengguna. Atribut keamanan kustom adalah jenis data yang berbeda dan memiliki nilai yang tunggal, beberapa, bentuk bebas, atau yang telah ditentukan sebelumnya.
Objek yang mendukung atribut keamanan kustom
Anda dapat menambahkan atribut keamanan kustom untuk objek Microsoft Entra berikut:
- Pengguna Microsoft Entra
- Aplikasi perusahaan Microsoft Entra (perwakilan layanan)
Bagaimana perbandingan atribut keamanan kustom dengan ekstensi?
Meskipun ekstensi dan atribut keamanan kustom dapat digunakan untuk memperluas objek di ID Microsoft Entra dan Microsoft 365, ekstensi tersebut cocok untuk skenario data kustom yang pada dasarnya berbeda. Berikut adalah beberapa cara untuk membandingkan atribut keamanan kustom dengan ekstensi:
| Kemampuan | Ekstensi | Atribut keamanan kustom |
|---|---|---|
| Memperluas objek Microsoft Entra ID dan Microsoft 365 | Ya | Ya |
| Objek yang didukung | Tergantung pada jenis ekstensi | Pengguna dan perwakilan layanan |
| Akses terbatas | Tidak. Siapa pun yang memiliki izin untuk membaca objek dapat membaca data ekstensi. | Ya. Akses baca dan tulis dibatasi melalui serangkaian izin terpisah dan kontrol akses berbasis peran (RBAC). |
| Waktu menggunakan | Menyimpan data yang akan digunakan oleh aplikasi Menyimpan data yang tidak sensitif |
Menyimpan data sensitif Gunakan untuk skenario otorisasi |
| Persyaratan lisensi | Tersedia di semua edisi ID Microsoft Entra | Tersedia di semua edisi ID Microsoft Entra |
Untuk informasi selengkapnya tentang bekerja dengan ekstensi, lihat Menambahkan data kustom ke sumber daya menggunakan ekstensi.
Langkah-langkah untuk menggunakan atribut keamanan khusus
Periksa izin
Pastikan Anda diberi peran Attribute Definition Administrator atau Attribute Assignment Administrator. Jika perlu, seseorang dengan setidaknya peran Administrator Peran Istimewa dapat menetapkan peran ini.
Tambahkan set atribut
Tambahkan set atribut ke grup serta kelola atribut keamanan kustom terkait. Pelajari lebih lanjut
Kelola set atribut
Tentukan siapa yang dapat mendefinisikan serta menetapkan atribut keamanan kustom dalam set atribut. Pelajari lebih lanjut
Menentukan atribut
Tambahkan atribut keamanan kustom pada direktori Anda. Anda dapat menentukan tipe tanggal (Boolean, integer, atau string) serta apakah nilai telah ditentukan, bentuk bebas, tunggal, ataupun ganda. Pelajari lebih lanjut
Tetapkan atribut
Tetapkan atribut keamanan kustom ke objek Microsoft Entra untuk skenario bisnis Anda. Pelajari lebih lanjut
Atribut file
Filter pengguna serta aplikasi yang menggunakan atribut keamanan kustom. Pelajari lebih lanjut
Tambahkan kondisi yang menggunakan atribut keamanan kustom pada tugas peran Azure untuk kontrol akses mendetail. Pelajari lebih lanjut
Terminologi
Untuk lebih memahami atribut keamanan kustom, Anda dapat merujuk kembali pada daftar istilah berikut.
| Term | Definisi |
|---|---|
| definisi atribut | Skema atribut keamanan kustom ataupun pasangan nilai kunci. Misalnya, nama atribut keamanan kustom, deskripsi, jenis data, serta nilai yang telah ditentukan. |
| Set atribut | Kumpulan atribut keamanan kustom yang terkait. Set atribut dapat didelegasikan pada pengguna lain untuk mendefinisikan dan menetapkan atribut keamanan kustom. |
| Nama Atribut | Nama unik dari atribut keamanan kustom di dalam satu set atribut. Kombinasi set atribut serta nama atribut membentuk atribut unik untuk penyewa Anda. |
| tugas atribut | Penetapan atribut keamanan kustom ke objek Microsoft Entra, seperti pengguna dan aplikasi perusahaan (perwakilan layanan). |
| Nilai yang sudah ditentukan sebelumnya | Nilai yang diperbolehkan bagi atribut keamanan kustom. |
Properti atribut keamanan kustom
Tabel berikut mencantumkan properti yang dapat ditentukan untuk kumpulan atribut dan atribut keamanan kustom. Beberapa properti tidak berubah serta tidak dapat diubah.
| Properti | Wajib | Bisa diubah kemudian | Deskripsi |
|---|---|---|---|
| Nama set atribut | ✅ | Nama set atribut. Harus unik dalam sebuah pembaruan. Tidak dapat menyertakan spasi ataupun karakter khusus. | |
| Deskripsi kumpulan atribut | ✅ | Deskripsi set atribut. | |
| Jumlah maksimum atribut | ✅ | Jumlah maksimum atribut keamanan kustom yang dapat didefinisikan di dalam satu set atribut. Nilai default null. Jika tidak ditentukan, administrator bisa menambahkan hingga maksimum 500 atribut aktif per penyewa. |
|
| Set atribut | ✅ | Kumpulan atribut keamanan kustom yang terkait. Semua atribut keamanan kustom harus menjadi bagian dari satu set atribut. | |
| Nama atribut | ✅ | Nama atribut keamanan kustom. Harus unik dalam satu set atribut. Tidak dapat menyertakan spasi ataupun karakter khusus. | |
| Deskripsi atribut | ✅ | Deskripsi atribut keamanan kustom. | |
| Jenis Data | ✅ | Jenis data untuk nilai atribut keamanan kustom. Jenis yang didukung adalah Boolean, Integer, and String. |
|
| Izinkan beberapa nilai untuk ditetapkan | ✅ | Menunjukkan apakah beberapa nilai dapat ditetapkan pada atribut keamanan kustom. Jika tipe data diatur ke Boolean, tidak dapat diatur ke Ya. |
|
| Hanya izinkan nilai yang dibuat sistem untuk ditetapkan | ✅ | Menunjukkan apakah hanya nilai yang telah ditentukan dapat ditetapkan ke atribut keamanan kustom. Jika diatur ke Tidak, nilai bentuk bebas diperbolehkan. Bisa diubah dari Ya menjadi Tidak, tapi tidak dapat diubah dari Tidak menjadi Ya. Jika tipe data diatur ke Boolean, tidak dapat diatur ke Ya. |
|
| Nilai yang sudah ditentukan sebelumnya | Nilai yang telah ditentukan untuk atribut keamanan kustom dari jenis data yang dipilih. Nilai yang lebih ditentukan dapat ditambahkan nanti. Nilai dapat mencakup spasi, namun beberapa karakter khusus tidak diizinkan. | ||
| Nilai yang telah ditentukan aktif | ✅ | Menentukan apakah nilai yang telah ditentukan aktif ataupun dinonaktifkan. Jika diatur ke salah, nilai yang telah ditentukan tidak dapat ditetapkan ke objek direktori tambahan yang didukung. | |
| Atribut aktif | ✅ | Menentukan apakah atribut keamanan kustom aktif ataupun dinonaktifkan. |
Limit dan batasan
Berikut adalah beberapa batasan dan batasan bagi atribut keamanan khusus.
| Sumber daya | Batasan | Catatan |
|---|---|---|
| Definisi atribut per penyewa | 500 | Hanya berlaku untuk atribut aktif pada penyewa |
| Set atribut per penyewa | 500 | |
| Panjang nama kumpulan atribut | 32 | Karakter unicode dan sensitif terhadap huruf besar/kecil |
| Deskripsi kumpulan atribut | 128 | Karakter Unicode |
| Panjang nama atribut | 32 | Karakter unicode dan sensitif terhadap huruf besar/kecil |
| Deskripsi kumpulan atribut | 128 | Karakter Unicode |
| Nilai yang sudah ditentukan sebelumnya | Karakter unicode dan sensitif terhadap huruf besar/kecil | |
| Nilai yang telah ditentukan per definisi atribut | 100 | |
| Panjang nilai atribut | 64 | Karakter Unicode |
| Nilai atribut yang ditetapkan per objek | 50 | Nilai dapat didistribusikan di seluruh atribut tunggal dan multinilai. Contoh: 5 atribut dengan 10 nilai masing-masing ataupun 50 atribut dengan 1 nilai masing-masing |
| Karakter khusus tidak diperbolehkan untuk: Nama set atribut Nama atribut |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Nama set atribut dan nama atribut tidak dapat dimulai dengan angka |
| Karakter khusus yang diizinkan untuk nilai atribut | Semua karakter khusus | |
| Karakter khusus yang diizinkan untuk nilai atribut saat digunakan dengan tag indeks blob | <space> + - . : = _ / |
Jika Anda berencana menggunakan nilai atribut dengan tag indeks blob, ini adalah satu-satunya karakter khusus yang diizinkan untuk tag indeks blob. Untuk informasi selengkapnya, lihat Mengatur tag indeks blob. |
Atribut keamanan kustom
MICROSOFT Entra ID menyediakan peran bawaan untuk bekerja dengan atribut keamanan kustom. Peran Administrator Definisi Atribut adalah peran minimum yang dibutuhkan untuk mengelola atribut keamanan kustom. Peran Administrator Penugasan Atribut adalah peran minimum yang Anda butuhkan untuk menetapkan nilai atribut keamanan kustom untuk objek Microsoft Entra seperti pengguna dan aplikasi. Anda dapat menetapkan peran ini pada lingkup penyewa atau pada lingkup yang ditetapkan atribut.
| Peran | Izin |
|---|---|
| Pembaca Definisi Atribut | Tambahkan set atribut Baca definisi atribut keamanan khusus |
| Administrator Definisi Atribut | Mengelola semua aspek dari set atribut Mengelola semua aspek dari definisi atribut keamanan kustom |
| Pembaca Tugas Atribut | Tambahkan set atribut Baca definisi atribut keamanan khusus Baca kunci dan nilai atribut keamanan kustom untuk pengguna serta prinsipal layanan |
| Administrator Tugas Atribut | Tambahkan set atribut Baca definisi atribut keamanan khusus Baca kunci serta nilai atribut keamanan kustom untuk pengguna dan prinsipal layanan |
| Pembaca Log Atribut | Membaca log audit untuk atribut keamanan kustom |
| Administrator Log Atribut | Membaca log audit untuk atribut keamanan kustom Mengonfigurasi pengaturan diagnostik untuk atribut keamanan kustom |
Penting
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom.
API Microsoft Graph
Anda dapat mengelola atribut keamanan kustom secara terprogram menggunakan Microsoft Graph API. Untuk informasi selengkapnya, lihat Ringkasan atribut keamanan kustom menggunakan API Microsoft Graph.
Anda dapat menggunakan klien API seperti Graph Explorer untuk lebih mudah mencoba Microsoft Graph API untuk atribut keamanan kustom.
Persyaratan lisensi
Menggunakan fitur ini gratis dan disertakan dalam langganan Azure Anda.