Che cosa sono gli attributi di sicurezza personalizzati in Microsoft Entra ID?
Gli attributi di sicurezza personalizzati in Microsoft Entra ID sono attributi specifici dell'azienda (coppie chiave-valore) che è possibile definire e assegnare agli oggetti Microsoft Entra. Questi attributi possono essere usati per archiviare informazioni, categorizzare oggetti o applicare un controllo di accesso con granularità fine a risorse di Azure specifiche. Gli attributi di sicurezza personalizzati possono essere usati con il controllo degli accessi in base all'attributo di Azure.
Perché usare attributi di sicurezza personalizzati?
Ecco alcuni scenari in cui è possibile usare attributi di sicurezza personalizzati:
- Estendere i profili utente, ad esempio aggiungere Stipendio orario a tutti i miei dipendenti.
- Assicurarsi che solo gli amministratori possano vedere l'attributo dello stipendio orario nei profili dei dipendenti.
- Categorizzare centinaia o migliaia di applicazioni per creare facilmente un inventario filtrabile a scopo di controllo.
- Concedere agli utenti l'accesso ai BLOB di Archiviazione di Azure appartenenti a un progetto.
Cosa si può fare con gli attributi di sicurezza personalizzati?
Gli attributi di sicurezza personalizzati includono queste funzionalità:
- Definire informazioni specifiche dell'azienda (attributi) per il tenant.
- Aggiungere un set di attributi di sicurezza personalizzati per utenti e applicazioni.
- Gestire gli oggetti di Microsoft Entra usando attributi di sicurezza personalizzati con query e filtri.
- Fornire la governance degli attributi in modo che gli attributi determinino chi può ottenere l'accesso.
Gli attributi di sicurezza personalizzati non sono supportati nelle aree seguenti:
Caratteristiche degli attributi di sicurezza personalizzati
Gli attributi di sicurezza personalizzati includono queste funzionalità:
- Disponibili a livello di tenant
- Includono una descrizione
- Supportano tipi di dati diversi: booleano, intero, stringa
- Supportano valori singoli o multipli
- Supportano valori in formato libero definiti dall'utente o valori predefiniti
- Assegnano attributi di sicurezza personalizzati agli utenti sincronizzati con la directory da un servizio Active Directory locale
Nell'esempio seguente vengono illustrati diversi attributi di sicurezza personalizzati assegnati a un utente. Gli attributi di sicurezza personalizzati sono tipi di dati diversi e hanno valori singoli, multipli, in formato libero o predefiniti.
Oggetti che supportano attributi di sicurezza personalizzati
È possibile aggiungere attributi di sicurezza personalizzati per gli oggetti Microsoft Entra seguenti:
- Utenti di Microsoft Entra
- Applicazioni aziendali Microsoft Entra (entità servizio)
In che modo gli attributi di sicurezza personalizzati vengono confrontati con le estensioni?
Sebbene sia le estensioni che gli attributi di sicurezza personalizzati possano essere usati per estendere gli oggetti in Microsoft Entra ID e Microsoft 365, sono adatti per scenari di dati personalizzati fondamentalmente diversi. Ecco alcuni modi in cui gli attributi di sicurezza personalizzati vengono confrontati con le estensioni:
| Funzionalità | Estensioni | Attributi di sicurezza personalizzati |
|---|---|---|
| Estendere gli oggetti Microsoft Entra ID e Microsoft 365 | Sì | Sì |
| Oggetti supportati | Dipende dal tipo di estensione | Utenti ed entità servizio |
| Accesso con restrizioni | No. Chiunque disponga delle autorizzazioni per leggere l'oggetto può leggere i dati dell'estensione. | Sì. L'accesso in lettura e scrittura è limitato tramite un set separato di autorizzazioni e controllo degli accessi in base al ruolo. |
| Quando utilizzare | Archiviare i dati da usare da un'applicazione Archiviare dati non sensibili |
Archiviare dati sensibili Uso per scenari di autorizzazione |
| Requisiti di licenza | Disponibile in tutte le edizioni di Microsoft Entra ID | Disponibile in tutte le edizioni di Microsoft Entra ID |
Per altre informazioni sull'uso delle estensioni, vedere Aggiungere dati personalizzati alle risorse usando le estensioni.
Passaggi per l'uso di attributi di sicurezza personalizzati
Controllare le autorizzazioni
Verificare di aver assegnato i ruoli Amministratore definizione attributi o Amministratore assegnazione attributi. Se necessario, un utente con almeno il ruolo di amministratore ruolo con privilegi può assegnare questi ruoli.
Aggiungere set di attributi
Aggiungere set di attributi per raggruppare e gestire gli attributi di sicurezza personalizzati correlati. Ulteriori informazioni
Gestire i set di attributi
Specificare chi può leggere, definire o assegnare attributi di sicurezza personalizzati in un set di attributi. Ulteriori informazioni
Definire gli attributi
Aggiungere gli attributi di sicurezza personalizzati alla directory. È possibile specificare il tipo di data (booleano, integer o stringa) e se i valori sono predefiniti, in formato libero, singolo o multiplo. Ulteriori informazioni
Assegnare attributi
Assegnare attributi di sicurezza personalizzati agli oggetti Microsoft Entra per gli scenari aziendali. Ulteriori informazioni
Usare gli attributi
Filtrare utenti e applicazioni che usano attributi di sicurezza personalizzati. Ulteriori informazioni
Aggiungere condizioni che usano attributi di sicurezza personalizzati alle assegnazioni di ruolo di Azure per il controllo di accesso con granularità fine. Ulteriori informazioni
Terminologia
Per comprendere meglio gli attributi di sicurezza personalizzati, è possibile fare riferimento all'elenco seguente di termini.
| Termine | Definizione |
|---|---|
| definizione dell'attributo | Schema di un attributo di sicurezza personalizzato o di una coppia chiave-valore. Ad esempio, il nome dell'attributo di sicurezza personalizzato, la descrizione, il tipo di dati e i valori predefiniti. |
| set di attributi | Raccolta di attributi di sicurezza personalizzati correlati. I set di attributi possono essere delegati ad altri utenti per la definizione e l'assegnazione di attributi di sicurezza personalizzati. |
| nome attributo | Nome univoco di un attributo di sicurezza personalizzato all'interno di un set di attributi. La combinazione di set di attributi e nome attributo costituisce un attributo univoco per il tenant. |
| assegnazione di attributi | Assegnazione di un attributo di sicurezza personalizzato a un oggetto Microsoft Entra, ad esempio utenti e applicazioni aziendali (entità servizio). |
| valore predefinito | Valore consentito per un attributo di sicurezza personalizzato. |
Proprietà degli attributi di sicurezza personalizzate
Nella tabella seguente sono elencate le proprietà che è possibile specificare per i set di attributi e gli attributi di sicurezza personalizzati. Alcune proprietà non sono modificabili e non possono essere modificate in un secondo momento.
| Proprietà | Richiesto | Può essere modificato in un secondo momento | Descrizione |
|---|---|---|---|
| Nome set di attributi | ✅ | Nome del set di attributi. Deve essere univoco all'interno di un tenant. Impossibile includere spazi o caratteri speciali. | |
| Descrizione del set di attributi | ✅ | Descrizione del set di attributi. | |
| Numero massimo di attributi | ✅ | Numero massimo di attributi di sicurezza personalizzati che possono essere definiti in un set di attributi. Il valore predefinito è null. Se non specificato, l'amministratore può aggiungere fino a un massimo di 500 attributi attivi per ogni tenant. |
|
| Set di attributi | ✅ | Raccolta di attributi di sicurezza personalizzati correlati. Ogni attributo di sicurezza personalizzato deve far parte di un set di attributi. | |
| Attribute name | ✅ | Nome dell'attributo di sicurezza personalizzato. Deve essere univoco all'interno di un set di attributi. Impossibile includere spazi o caratteri speciali. | |
| Descrizione dell'attributo | ✅ | Descrizione dell'attributo di sicurezza personalizzato. | |
| Tipo di dati | ✅ | Tipo di dati per i valori degli attributi di sicurezza personalizzati. I tipi supportati sono Boolean, Integere String. |
|
| Consenti l'assegnazione di più valori | ✅ | Indica se è possibile assegnare più valori all'attributo di sicurezza personalizzato. Se il tipo di dati è impostato su , non può essere impostato Booleansu Sì. |
|
| Consenti solo l'assegnazione di valori predefiniti | ✅ | Indica se è possibile assegnare solo valori predefiniti all'attributo di sicurezza personalizzato. Se è impostato su No, sono consentiti valori in formato libero. In seguito è possibile passare da Sì a No, ma non è possibile passare da No a Sì. Se il tipo di dati è impostato su , non può essere impostato Booleansu Sì. |
|
| Valori predefiniti | Valori predefiniti per l'attributo di sicurezza personalizzato del tipo di dati selezionato. Più valori predefiniti possono essere aggiunti in un secondo momento. I valori possono includere spazi, ma alcuni caratteri speciali non sono consentiti. | ||
| Il valore predefinito è attivo | ✅ | Specifica se il valore predefinito è attivo o disattivato. Se impostato su false, il valore predefinito non può essere assegnato ad altri oggetti directory supportati. | |
| Attributo attivo | ✅ | Specifica se l'attributo di sicurezza personalizzato è attivo o disattivato. |
Limiti e vincoli
Ecco alcuni dei limiti e dei vincoli per gli attributi di sicurezza personalizzati.
| Conto risorse | Limite | Note |
|---|---|---|
| Definizioni di attributi per tenant | 500 | Si applica solo agli attributi attivi nel tenant |
| Set di attributi per tenant | 500 | |
| Lunghezza del nome del set di attributi | 32 | Caratteri Unicode e distinzione tra maiuscole e minuscole |
| Lunghezza della descrizione del set di attributi | 128 | Caratteri Unicode |
| Lunghezza del nome dell'attributo | 32 | Caratteri Unicode e distinzione tra maiuscole e minuscole |
| Lunghezza descrizione attributo | 128 | Caratteri Unicode |
| Valori predefiniti | Caratteri Unicode e distinzione tra maiuscole e minuscole | |
| Valori predefiniti per definizione di attributo | 100 | |
| Lunghezza valore attributo | 64 | Caratteri Unicode |
| Valori di attributo assegnati per oggetto | 50 | I valori possono essere distribuiti tra attributi singoli e multivalore. Esempio: 5 attributi con 10 valori ciascuno o 50 attributi con 1 valore ciascuno |
| Caratteri speciali non consentiti per: Nome set di attributi Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Il nome del set di attributi e il nome dell'attributo non possono iniziare con un numero |
| Caratteri speciali consentiti per i valori degli attributi | Tutti i caratteri speciali | |
| Caratteri speciali consentiti per i valori degli attributi quando vengono usati con i tag di indice BLOB | <space> + - . : = _ / |
Se si prevede di usare valori di attributo con tag di indice BLOB, questi sono gli unici caratteri speciali consentiti per i tag di indice BLOB. Per altre informazioni, vedere Impostazione dei tag di indice BLOB. |
Ruoli degli attributi di sicurezza personalizzati
Microsoft Entra ID fornisce ruoli predefiniti per lavorare con attributi di sicurezza personalizzati. Il ruolo Amministratore definizione attributi è il ruolo minimo necessario per gestire gli attributi di sicurezza personalizzati. Il ruolo Amministratore assegnazione attributi è il ruolo minimo necessario per assegnare valori di attributo di sicurezza personalizzati per gli oggetti Microsoft Entra, ad esempio utenti e applicazioni. È possibile assegnare questi ruoli nell'ambito del tenant o nell'ambito del set di attributi.
| Ruolo | Autorizzazioni |
|---|---|
| Lettore definizione di attributi | Leggere i set di attributi Leggere definizioni di attributi di sicurezza personalizzati |
| Amministratore definizione di attributi | Gestione di tutti gli aspetti dei set di attributi Gestione di tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati |
| Lettore assegnazione attributi | Leggere i set di attributi Leggere definizioni di attributi di sicurezza personalizzati Leggere chiavi e valori di attributi di sicurezza personalizzati per utenti ed entità servizio |
| Amministratore assegnazione di attributi | Leggere i set di attributi Leggere definizioni di attributi di sicurezza personalizzati Leggere e aggiornare chiavi e valori personalizzati degli attributi di sicurezza per utenti ed entità servizio |
| Lettore log attributi | Leggere i log di controllo per gli attributi di sicurezza personalizzati |
| Amministratore log attributi | Leggere i log di controllo per gli attributi di sicurezza personalizzati Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati |
Importante
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.
API di Microsoft Graph
È possibile gestire gli attributi di sicurezza personalizzati a livello di codice usando l'API Microsoft Graph. Per altre informazioni, vedere Panoramica degli attributi di sicurezza personalizzati con l'API Microsoft Graph.
È possibile usare un client API come Graph Explorer per provare più facilmente l'API Microsoft Graph per gli attributi di sicurezza personalizzati.
Requisiti di licenza
L'uso di questa funzionalità è gratuito ed è incluso nella sottoscrizione di Azure.