Compartilhar via


O que são os atributos de segurança personalizados no Microsoft Entra ID?

Os Atributos de segurança personalizados no Microsoft Entra ID são atributos específicos da empresa (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Esses atributos podem ser usados para armazenar informações, categorizar objetos ou impor um controle de acesso refinado sobre recursos específicos do Azure. Atributos de segurança personalizados podem ser usados com ABAC (controle de acesso baseado em atributo) do Azure.

Por que usar atributos de segurança personalizados?

Aqui estão alguns cenários em que é possível usar atributos de segurança personalizados:

  • Estenda perfis de usuário, como adicionar Salário por hora a todos os meus funcionários.
  • Certifique-se de que somente os administradores possam ver o atributo de salário por hora nos perfis dos meus funcionários.
  • Categorizar centenas ou milhares de aplicativos para criar facilmente um inventário filtrável para auditoria.
  • Conceder aos usuários acesso aos blobs de Armazenamento do Azure que pertencem a um projeto.

O que posso fazer com atributos de segurança personalizados?

Os atributos de segurança personalizados incluem estes recursos:

  • Defina informações específicas do negócio (atributos) para seu locatário.
  • Adicione um conjunto de atributos de segurança personalizados aos usuários e aplicativos.
  • Gerencie objetos do Microsoft Entra usando atributos de segurança personalizados com consultas e filtros.
  • Forneça a governança de atributo para que os atributos determinem quem pode obter acesso.

Não há suporte para atributos de segurança personalizados nas seguintes áreas:

Recurso dos atributos de segurança personalizados

Os atributos de segurança personalizados incluem estes recursos:

  • Disponível em todo o locatário
  • Incluir uma descrição
  • Suporte a tipos de dados diferentes: booliano, inteiro, cadeia de caracteres
  • Dar suporte a um único valor ou a vários valores
  • Suporte a valores sem forma e definidos pelo usuário ou valores predefinidos
  • Atribuir atributos de segurança personalizados a usuários sincronizados com o diretório de um Active Directory local

O exemplo a seguir mostra vários atributos de segurança personalizados atribuídos a um usuário. Os atributos de segurança personalizados são tipos de dados diferentes e têm valores que são únicos, múltiplos, de forma livre ou predefinidos.

Captura de tela dos exemplos de atributo de segurança personalizado atribuídos a um usuário.

Objetos que dão suporte a atributos de segurança personalizados

É possível adicionar atributos de segurança personalizados para os seguintes objetos do Microsoft Entra:

  • Usuários do Microsoft Entra
  • Aplicativos empresariais do Microsoft Entra (entidades de serviço)

Qual a semelhança entre atributos de segurança personalizados e extensões?

Embora as extensões e os atributos de segurança personalizados possam ser usados para estender objetos no Microsoft Entra ID e no Microsoft 365, eles são adequados para cenários de dados personalizados fundamentalmente diferentes. Aqui estão algumas semelhanças entre atributos de segurança personalizados e extensões:

Funcionalidade Extensões Atributos de segurança personalizados
Estender objetos do Microsoft Entra ID e do Microsoft 365 Sim Sim
Objetos com suporte Depende do tipo de extensão Usuários e entidades de serviço
Acesso restrito Não. Qualquer pessoa com permissões para ler o objeto pode ler os dados da extensão. Sim. O acesso de leitura e gravação é restrito por meio de um conjunto separado de permissões e RBAC (controle de acesso baseado em função).
Quando usar Armazenar dados a serem usados por um aplicativo
Armazenar dados não confidenciais
Armazenar dados confidenciais
Usar para cenários de autorização
Requisitos de licença Disponível em todas as edições do Microsoft Entra ID Disponível em todas as edições do Microsoft Entra ID

Para obter mais informações, consulte Adicionar dados personalizados aos recursos por meio de extensões.

Passos para usar atributos de segurança personalizados

  1. Verificar permissões

    Verifique foram atribuídas as funções de Administrador de Definição de Atributo ou de Administrador de Atribuição de Atributo. Se necessário, alguém que tenha pelo menos a função de Administrador de Função com Privilégios pode atribuir essas funções.

    Diagrama mostrando as permissões de verificação para adicionar os atributos de segurança personalizados no Microsoft Entra ID.

  2. Adicionar conjuntos de atributos

    Inclua conjuntos de atributos para agrupar e gerenciar os atributos de segurança personalizados relacionados. Saiba mais

    Diagrama que mostra a adição de vários conjuntos de atributos.

  3. Gerenciar conjuntos de atributos

    Especifique quem pode ler, definir ou atribuir atributos de segurança personalizados em um conjunto de atributos. Saiba mais

    Diagrama que mostra a atribuição de administradores de definição de atributos e administradores de atribuição de atributos a conjuntos de atributos.

  4. Definir atributos

    Adicione seus atributos de segurança personalizados para seu diretório. É possível especificar o tipo de data (booliano, inteiro ou cadeia de caracteres) e se os valores são predefinidos, de forma livre, única ou múltipla. Saiba mais

    Diagrama que mostra administradores delegados definindo atributos de segurança personalizados.

  5. Atribuir atributos

    Atribua atributos de segurança personalizados aos objetos do Microsoft Entra para seus cenários de negócios. Saiba mais

    Diagrama que mostra administradores delegados definindo atributos de segurança personalizados aos objetos do Microsoft Entra.

  6. Usar atributos

    Filtre usuários e aplicativos que usam atributos de segurança personalizados. Saiba mais

    Adicione condições que usam atributos de segurança personalizados às atribuições de funções do Azure para controle de acesso refinado. Saiba mais

Terminologia

Para entender melhor os atributos de segurança personalizados, você pode consultar novamente a lista de termos a seguir.

Termo Definição
definição de atributo O esquema de um atributo de segurança personalizado ou par chave-valor. Por exemplo, o nome do atributo de segurança personalizado, a descrição, o tipo de dados e os valores predefinidos.
conjunto de atributos Uma coleção de atributos de segurança personalizados relacionados. Os conjuntos de atributos podem ser delegados a outros usuários para definir e atribuir atributos de segurança personalizados.
nome do atributo Um nome exclusivo de um atributo de segurança personalizado dentro de um conjunto de atributos. A combinação do conjunto de atributos e do nome do atributo forma um atributo exclusivo para seu locatário.
atribuição de atributos A atribuição de um atributo de segurança personalizado a um objeto do Microsoft Entra, como usuários e aplicativos empresariais (entidades de serviço).
valor predefinido Um valor que é permitido para um atributo de segurança personalizado.

Propriedades de atributo de segurança personalizadas

A tabela a seguir lista as propriedades que é possível especificar para conjuntos de atributos e atributos de segurança personalizados. Algumas propriedades são imutáveis e não podem ser alteradas posteriormente.

Propriedade Obrigatório Pode ser alterado posteriormente Descrição
Nome do conjunto de atributos Nome do conjunto de atributos. Deve ser exclusivo dentro de um locatário. Não é possível incluir espaços ou caracteres especiais.
Descrição do conjunto de atributos Descrição do conjunto de atributos.
Número máximo de atributos Número máximo de atributos de segurança personalizados que podem ser definidos em um conjunto de atributos. O valor padrão é null. Se não for especificado, o administrador poderá adicionar até o máximo de 500 atributos ativos por locatário.
Conjunto de atributos Uma coleção de atributos de segurança personalizados relacionados. Cada atributo de segurança personalizado deve fazer parte de um conjunto de atributos.
Nome do atributo Nome do atributo de segurança personalizado. Deve ser exclusivo em um conjunto de atributos. Não é possível incluir espaços ou caracteres especiais.
Descrição do atributo Descrição do atributo de segurança personalizado.
Tipo de dados Tipo de dados para os valores de atributo de segurança personalizados. Os tipos com suporte são Boolean, Integer, e String.
Permitir que vários valores sejam atribuídos Indica se vários valores podem ser atribuídos ao atributo de segurança personalizado. Se o tipo de dados for definido como Boolean, não poderá ser definido como Sim.
Permitir que apenas valores predefinidos sejam atribuídos Indica se apenas valores predefinidos podem ser atribuídos ao atributo de segurança personalizado. Se definido como Não, os valores de forma livre serão permitidos. Posteriormente, pode ser alterado de Sim para não, mas não pode ser alterado de Não para Sim. Se o tipo de dados for definido como Boolean, não poderá ser definido como Sim.
Valores predefinidos Valores predefinidos para o atributo de segurança personalizado do tipo de dados selecionado. Mais valores predefinidos podem ser adicionados posteriormente. Os valores podem incluir espaços, mas alguns caracteres especiais não são permitidos.
O valor predefinido está ativo Especifica se o valor predefinido está ativo ou desativado. Se definido como false, o valor predefinido não poderá ser atribuído a nenhum objeto de diretório adicional com suporte.
O atributo está ativo Especifica se o atributo de segurança personalizado está ativo ou desativado.

Limites e restrições

Aqui estão alguns dos limites e restrições para atributos de segurança personalizados.

Recurso Limite Observações
Definições de atributo por locatário 500 Aplica-se somente a atributos ativos no locatário
Conjuntos de atributos por locatário 500
Tamanho do nome do conjunto de atributos 32 Caracteres Unicode e diferencia maiúsculas de minúsculas
Tamanho da descrição do conjunto de atributos 128 Caracteres Unicode
Tamanho do nome do atributo 32 Caracteres Unicode e diferencia maiúsculas de minúsculas
Tamanho da descrição do atributo 128 Caracteres Unicode
Valores predefinidos Caracteres Unicode e diferencia maiúsculas de minúsculas
Valores predefinidos por definição de atributo 100
Tamanho do valor do atributo 64 Caracteres Unicode
Valores de atributo atribuídos por objeto 50 Os valores podem ser distribuídos entre atributos únicos e multivalorizados.
Exemplo: 5 atributos com 10 valores cada ou 50 atributos com 1 valor cada
Caracteres especiais não são permitidos em:
Nome do conjunto de atributos
Nome do atributo
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / O nome do conjunto de atributos e o nome do atributo não podem começar com um número
Caracteres especiais permitidos para valores de atributo Todos os caracteres especiais
Caracteres especiais permitidos para valores de atributo quando usados com marcas de índice de blob <space> + - . : = _ / Se você planeja usar valores de atributo com marcas de índice de blob, esses são os únicos caracteres especiais permitidos para marcas de índice de blob. Para obter mais informações, consulte Configuração de marcas de índice de blob.

Funções de atributo de segurança personalizadas

O Microsoft Entra ID fornece funções internas para trabalhar com atributos de segurança personalizados. A função de administrador de definição de atributo é a função mínima que você precisa para gerenciar atributos de segurança personalizados. A função Administrador de atribuição de atributo é a função mínima que você precisa para atribuir valores de atributo de segurança personalizados para os objetos do Microsoft Entra, como usuários e aplicativos. É possível atribuir essas funções no escopo do locatário ou no escopo do conjunto de atributos.

Função Permissões
Leitor de definição de atributos Leitura de conjuntos de atributos
Leitura das definições de atributo de segurança personalizadas
Administrador de Definição de Atributo Gerenciar todos os aspectos dos conjuntos de atributos
Gerenciar todos os aspectos das definições de atributo de segurança personalizadas
Leitor de atribuição de atributos Leitura de conjuntos de atributos
Leitura das definições de atributo de segurança personalizadas
Leitura de valores e chaves de atributo de segurança personalizados para usuários e entidades de serviço
Administrador de Atribuição de Atributo Leitura de conjuntos de atributos
Leitura das definições de atributo de segurança personalizadas
Leitura de valores, atualização e chaves de atributo de segurança personalizados para usuários e entidades de serviço
Leitor de Log de Atributos Ler logs de auditoria para atributos de segurança personalizados
Administrador de Log de Atributos Ler logs de auditoria para atributos de segurança personalizados
Definir configurações de diagnóstico para atributos de segurança personalizados

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.

API do Microsoft Graph

Você pode gerenciar atributos de segurança personalizados programaticamente usando a API do Microsoft Graph. Para saber mais, confira Visão geral dos atributos de segurança personalizados usando a API do Microsoft Graph.

Você pode usar um cliente de API, como o Explorador do Graph, para experimentar com mais facilidade a API do Microsoft Graph para atributos de segurança personalizados.

Captura de tela que mostra uma chamada à API do Microsoft Graph para atributos de segurança personalizados.

Requisitos de licença

O uso desse recurso é gratuito e está incluído em sua assinatura do Azure.

Próximas etapas