Udostępnij za pośrednictwem


Co to są niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy Microsoft?

Niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy microsoft to atrybuty specyficzne dla firmy (pary klucz-wartość), które można definiować i przypisywać do obiektów entra firmy Microsoft. Te atrybuty mogą służyć do przechowywania informacji, kategoryzowania obiektów lub wymuszania szczegółowej kontroli dostępu nad określonymi zasobami platformy Azure. Niestandardowe atrybuty zabezpieczeń mogą być używane z kontrolą dostępu opartą na atrybutach (ABAC) platformy Azure.

Dlaczego warto używać niestandardowych atrybutów zabezpieczeń?

Poniżej przedstawiono kilka scenariuszy, w których można użyć niestandardowych atrybutów zabezpieczeń:

  • Rozszerzanie profilów użytkowników, takich jak dodawanie wynagrodzenia godzinowego do wszystkich moich pracowników.
  • Upewnij się, że tylko administratorzy mogą zobaczyć atrybut Godzinowe wynagrodzenie w profilach moich pracowników.
  • Kategoryzuj setki lub tysiące aplikacji, aby łatwo utworzyć filtrowalny spis na potrzeby inspekcji.
  • Udziel użytkownikom dostępu do obiektów blob usługi Azure Storage należących do projektu.

Co mogę zrobić z niestandardowymi atrybutami zabezpieczeń?

Niestandardowe atrybuty zabezpieczeń obejmują następujące możliwości:

  • Zdefiniuj informacje specyficzne dla firmy (atrybuty) dla dzierżawy.
  • Dodaj zestaw niestandardowych atrybutów zabezpieczeń dla użytkowników i aplikacji.
  • Zarządzanie obiektami entra firmy Microsoft przy użyciu niestandardowych atrybutów zabezpieczeń z zapytaniami i filtrami.
  • Podaj ład atrybutów, aby atrybuty określały, kto może uzyskać dostęp.

Niestandardowe atrybuty zabezpieczeń nie są obsługiwane w następujących obszarach:

Funkcje niestandardowych atrybutów zabezpieczeń

Niestandardowe atrybuty zabezpieczeń obejmują następujące funkcje:

  • Dostępna dla całej dzierżawy
  • Dołącz opis
  • Obsługa różnych typów danych: wartość logiczna, liczba całkowita, ciąg
  • Obsługa pojedynczej wartości lub wielu wartości
  • Obsługa zdefiniowanych przez użytkownika wartości dowolnych lub wstępnie zdefiniowanych wartości
  • Przypisywanie niestandardowych atrybutów zabezpieczeń do synchronizowanych użytkowników z katalogu z lokalna usługa Active Directory

W poniższym przykładzie pokazano kilka niestandardowych atrybutów zabezpieczeń przypisanych do użytkownika. Niestandardowe atrybuty zabezpieczeń są różnymi typami danych i mają wartości, które są pojedyncze, wielokrotne, wolne lub wstępnie zdefiniowane.

Zrzut ekranu przedstawiający niestandardowe przykłady atrybutów zabezpieczeń przypisanych do użytkownika.

Obiekty obsługujące niestandardowe atrybuty zabezpieczeń

Możesz dodać niestandardowe atrybuty zabezpieczeń dla następujących obiektów firmy Microsoft Entra:

  • Użytkownicy firmy Microsoft Entra
  • Microsoft Entra Enterprise Applications (jednostki usługi)

Jak porównać niestandardowe atrybuty zabezpieczeń z rozszerzeniami?

Chociaż rozszerzenia i niestandardowe atrybuty zabezpieczeń mogą służyć do rozszerzania obiektów w microsoft Entra ID i Microsoft 365, są one odpowiednie dla zasadniczo różnych niestandardowych scenariuszy danych. Poniżej przedstawiono kilka sposobów porównywania niestandardowych atrybutów zabezpieczeń z rozszerzeniami:

Możliwość Rozszerzenia Niestandardowe atrybuty zabezpieczeń
Rozszerzanie obiektów Microsoft Entra ID i Microsoft 365 Tak Tak
Obsługiwane obiekty Zależy od typu rozszerzenia Użytkownicy i jednostki usługi
Dostęp ograniczony L.p. Każda osoba mająca uprawnienia do odczytu obiektu może odczytywać dane rozszerzenia. Tak. Dostęp do odczytu i zapisu jest ograniczony za pośrednictwem oddzielnego zestawu uprawnień i kontroli dostępu opartej na rolach (RBAC).
Kiedy używać Przechowywanie danych do użycia przez aplikację
Przechowywanie danych niewrażliwych
Przechowywanie poufnych danych
Używanie w scenariuszach autoryzacji
Wymagania dotyczące licencji Dostępne we wszystkich wersjach identyfikatora Entra firmy Microsoft Dostępne we wszystkich wersjach identyfikatora Entra firmy Microsoft

Aby uzyskać więcej informacji na temat pracy z rozszerzeniami, zobacz Dodawanie danych niestandardowych do zasobów przy użyciu rozszerzeń.

Kroki używania niestandardowych atrybutów zabezpieczeń

  1. Sprawdzanie uprawnień

    Sprawdź, czy przypisano role administratora definicji atrybutu lub administratora przypisania atrybutu. W razie potrzeby ktoś z co najmniej rolą Administrator ról uprzywilejowanych może przypisać te role.

    Diagram przedstawiający sprawdzanie uprawnień do dodawania niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

  2. Dodawanie zestawów atrybutów

    Dodaj zestawy atrybutów do grupowania i zarządzania powiązanymi niestandardowymi atrybutami zabezpieczeń. Dowiedz się więcej

    Diagram przedstawiający dodawanie wielu zestawów atrybutów.

  3. Zarządzanie zestawami atrybutów

    Określ, kto może odczytywać, definiować lub przypisywać niestandardowe atrybuty zabezpieczeń w zestawie atrybutów. Dowiedz się więcej

    Diagram przedstawiający przypisywanie administratorów definicji atrybutów i administratorów przypisań atrybutów do zestawów atrybutów.

  4. Definiowanie atrybutów

    Dodaj niestandardowe atrybuty zabezpieczeń do katalogu. Można określić typ daty (wartość logiczna, liczba całkowita lub ciąg) oraz określać, czy wartości są wstępnie zdefiniowane, wolne, pojedyncze lub wielokrotne. Dowiedz się więcej

    Diagram przedstawiający delegowanych administratorów definiujących niestandardowe atrybuty zabezpieczeń.

  5. Przypisywanie atrybutów

    Przypisz niestandardowe atrybuty zabezpieczeń do obiektów entra firmy Microsoft dla Twoich scenariuszy biznesowych. Dowiedz się więcej

    Diagram przedstawiający delegowanych administratorów przypisujących niestandardowe atrybuty zabezpieczeń do obiektów Firmy Microsoft Entra.

  6. Używanie atrybutów

    Filtruj użytkowników i aplikacje korzystające z niestandardowych atrybutów zabezpieczeń. Dowiedz się więcej

    Dodaj warunki, które używają niestandardowych atrybutów zabezpieczeń do przypisań ról platformy Azure w celu precyzyjnej kontroli dostępu. Dowiedz się więcej

Terminologia

Aby lepiej zrozumieć niestandardowe atrybuty zabezpieczeń, możesz wrócić do poniższej listy terminów.

Termin Definicja
definicja atrybutu Schemat niestandardowego atrybutu zabezpieczeń lub pary klucz-wartość. Na przykład niestandardowa nazwa atrybutu zabezpieczeń, opis, typ danych i wstępnie zdefiniowane wartości.
zestaw atrybutów Kolekcja powiązanych atrybutów zabezpieczeń niestandardowych. Zestawy atrybutów można delegować innym użytkownikom do definiowania i przypisywania niestandardowych atrybutów zabezpieczeń.
nazwa atrybutu Unikatowa nazwa niestandardowego atrybutu zabezpieczeń w zestawie atrybutów. Kombinacja zestawu atrybutów i nazwy atrybutów tworzy unikatowy atrybut dla dzierżawy.
przypisanie atrybutu Przypisanie niestandardowego atrybutu zabezpieczeń do obiektu Entra firmy Microsoft, takiego jak użytkownicy i aplikacje dla przedsiębiorstw (jednostki usługi).
wstępnie zdefiniowana wartość Wartość dozwolona dla niestandardowego atrybutu zabezpieczeń.

Niestandardowe właściwości atrybutów zabezpieczeń

W poniższej tabeli wymieniono właściwości, które można określić dla zestawów atrybutów i atrybutów zabezpieczeń niestandardowych. Niektóre właściwości są niezmienne i nie można ich później zmienić.

Właściwości Wymagania Później można zmienić opis
Nazwa zestawu atrybutów Nazwa zestawu atrybutów. Musi być unikatowa w ramach dzierżawy. Nie można uwzględnić spacji ani znaków specjalnych.
Opis zestawu atrybutów Opis zestawu atrybutów.
Maksymalna liczba atrybutów Maksymalna liczba atrybutów zabezpieczeń niestandardowych, które można zdefiniować w zestawie atrybutów. Wartość domyślna to null. Jeśli nie zostanie określony, administrator może dodać maksymalnie 500 aktywnych atrybutów na dzierżawę.
Zestaw atrybutów Kolekcja powiązanych atrybutów zabezpieczeń niestandardowych. Każdy atrybut zabezpieczeń niestandardowych musi być częścią zestawu atrybutów.
Attribute name Nazwa niestandardowego atrybutu zabezpieczeń. Musi być unikatowa w zestawie atrybutów. Nie można uwzględnić spacji ani znaków specjalnych.
Opis atrybutu Opis niestandardowego atrybutu zabezpieczeń.
Typ danych Typ danych dla niestandardowych wartości atrybutów zabezpieczeń. Obsługiwane typy to Boolean, Integeri String.
Zezwalaj na przypisanie wielu wartości Wskazuje, czy można przypisać wiele wartości do niestandardowego atrybutu zabezpieczeń. Jeśli typ danych jest ustawiony na Booleanwartość , nie można ustawić wartości Tak.
Zezwalaj na przypisywanie tylko wstępnie zdefiniowanych wartości Wskazuje, czy do niestandardowego atrybutu zabezpieczeń można przypisać tylko wstępnie zdefiniowane wartości. Jeśli ustawiono wartość Nie, dozwolone są wartości w postaci bezpłatnej. Później można zmienić wartość z Tak na Nie, ale nie można jej zmienić z Nie na Tak. Jeśli typ danych jest ustawiony na Booleanwartość , nie można ustawić wartości Tak.
Wstępnie zdefiniowane wartości Wstępnie zdefiniowane wartości niestandardowego atrybutu zabezpieczeń wybranego typu danych. Więcej wstępnie zdefiniowanych wartości można dodać później. Wartości mogą zawierać spacje, ale niektóre znaki specjalne nie są dozwolone.
Wstępnie zdefiniowana wartość jest aktywna Określa, czy wstępnie zdefiniowana wartość jest aktywna, czy dezaktywowana. Jeśli ustawiono wartość false, wstępnie zdefiniowana wartość nie może być przypisana do żadnych dodatkowych obsługiwanych obiektów katalogu.
Atrybut jest aktywny Określa, czy niestandardowy atrybut zabezpieczeń jest aktywny, czy dezaktywowany.

Limity i ograniczenia

Poniżej przedstawiono niektóre limity i ograniczenia dotyczące niestandardowych atrybutów zabezpieczeń.

Zasób Limit Uwagi
Definicje atrybutów na dzierżawę 500 Dotyczy tylko aktywnych atrybutów w dzierżawie
Zestawy atrybutów na dzierżawę 500
Długość nazwy zestawu atrybutów 32 Znaki Unicode i wielkość liter są uwzględniane
Długość opisu zestawu atrybutów 128 Znaki Unicode
Długość nazwy atrybutu 32 Znaki Unicode i wielkość liter są uwzględniane
Długość opisu atrybutu 128 Znaki Unicode
Wstępnie zdefiniowane wartości Znaki Unicode i wielkość liter są uwzględniane
Wstępnie zdefiniowane wartości na definicję atrybutu 100
Długość wartości atrybutu 64 Znaki Unicode
Przypisane wartości atrybutów na obiekt 50 Wartości mogą być dystrybuowane między atrybuty pojedyncze i wielowartościowe.
Przykład: 5 atrybutów z 10 wartościami każdy lub 50 atrybutów z 1 wartością
Niedozwolone znaki specjalne:
Nazwa zestawu atrybutów
Attribute name
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / Nazwa zestawu atrybutów i nazwa atrybutu nie mogą zaczynać się od liczby
Znaki specjalne dozwolone dla wartości atrybutów Wszystkie znaki specjalne
Znaki specjalne dozwolone dla wartości atrybutów w przypadku użycia z tagami indeksu obiektów blob <space> + - . : = _ / Jeśli planujesz używać wartości atrybutów z tagami indeksu obiektów blob, są to jedyne znaki specjalne dozwolone dla tagów indeksu obiektów blob. Aby uzyskać więcej informacji, zobacz Ustawianie tagów indeksu obiektów blob.

Niestandardowe role atrybutów zabezpieczeń

Identyfikator Entra firmy Microsoft udostępnia wbudowane role do pracy z niestandardowymi atrybutami zabezpieczeń. Rola Administrator definicji atrybutów jest minimalną rolą, którą należy zarządzać niestandardowymi atrybutami zabezpieczeń. Rola Administrator przypisania atrybutów jest minimalną rolą, którą należy przypisać do obiektów entra firmy Microsoft, takich jak użytkownicy i aplikacje. Te role można przypisać w zakresie dzierżawy lub w zakresie zestawu atrybutów.

Rola Uprawnienia
Czytelnik definicji atrybutów Odczyt zestawów atrybutów
Odczytywanie niestandardowych definicji atrybutów zabezpieczeń
Administrator definicji atrybutu Zarządzanie wszystkimi aspektami zestawów atrybutów
Zarządzanie wszystkimi aspektami niestandardowych definicji atrybutów zabezpieczeń
Czytelnik przypisań atrybutów Odczyt zestawów atrybutów
Odczytywanie niestandardowych definicji atrybutów zabezpieczeń
Odczytywanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla użytkowników i jednostek usługi
Administrator przypisania atrybutu Odczyt zestawów atrybutów
Odczytywanie niestandardowych definicji atrybutów zabezpieczeń
Odczytywanie i aktualizowanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla użytkowników i jednostek usługi
Czytelnik dziennika atrybutów Odczytywanie dzienników inspekcji niestandardowych atrybutów zabezpieczeń
Administrator dziennika atrybutów Odczytywanie dzienników inspekcji niestandardowych atrybutów zabezpieczeń
Konfigurowanie ustawień diagnostycznych dla niestandardowych atrybutów zabezpieczeń

Ważne

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Interfejsu API programu Microsoft Graph

Niestandardowe atrybuty zabezpieczeń można zarządzać programowo przy użyciu interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji, zobacz Omówienie niestandardowych atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph.

Możesz użyć klienta interfejsu API, takiego jak Eksplorator programu Graph, aby łatwiej wypróbować interfejs API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń.

Zrzut ekranu przedstawiający wywołanie interfejsu API programu Microsoft Graph dla atrybutów zabezpieczeń niestandardowych.

Wymagania dotyczące licencji

Korzystanie z tej funkcji jest bezpłatne i uwzględnione w subskrypcji platformy Azure.

Następne kroki