Что такое настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra?
Настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это бизнес-атрибуты (пары "ключ-значение"), которые можно определить и назначить объектам Microsoft Entra. Эти атрибуты можно использовать для хранения информации, классификации объектов или обеспечения точного контроля доступа к определенным ресурсам Azure. Настраиваемые атрибуты безопасности можно использовать с помощью управления доступом на основе атрибутов Azure (ABAC).
Зачем нужны настраиваемые атрибуты безопасности?
Ниже приведены некоторые сценарии, в которых можно использовать настраиваемые атрибуты безопасности:
- Расширьте профили пользователей, например добавьте почасовую зарплату всем моим сотрудникам.
- Убедитесь, что только администраторы могут видеть атрибут "Почасовая ставка" в профилях сотрудников.
- Классифицируйте сотни или тысячи приложений, чтобы легко создавать фильтруемые данные инвентаризации для аудита.
- Предоставляйте пользователям доступ к BLOB-объектам службы хранилища Azure, принадлежащих проекту.
Что можно сделать с настраиваемыми атрибутами безопасности?
Настраиваемые атрибуты безопасности включают следующие возможности:
- Определяйте бизнес-информацию (атрибуты) для клиента.
- Добавьте набор настраиваемых атрибутов безопасности для пользователей и приложений.
- Управление объектами Microsoft Entra с помощью настраиваемых атрибутов безопасности с запросами и фильтрами.
- Предоставляйте управление атрибутами, чтобы атрибуты определяли, кто имеет доступ.
Настраиваемые атрибуты безопасности не поддерживаются в следующих областях:
- Доменные службы Microsoft Entra
- Утверждения маркера разметки утверждений на языке разметки утверждений безопасности (SAML)
Характеристики настраиваемых атрибутов безопасности
Настраиваемые атрибуты безопасности включают следующие функции:
- Доступны в масштабе всего клиента
- Включают описание
- Поддерживают различные типы данных: логическое, целое число, строка
- Поддерживают одно или несколько значений
- Поддерживают определяемые пользователем значения в произвольной форме или предварительно определенные значения
- Назначают настраиваемые атрибуты безопасности пользователям, синхронизированным с каталогом, из локальной службы Active Directory
В следующем примере показаны несколько настраиваемых атрибутов безопасности, назначенных пользователю. Настраиваемые атрибуты безопасности являются разными типами данных и имеют значения, которые являются одним, несколькими, бесплатными или предопределенными.
Объекты, поддерживающие настраиваемые атрибуты безопасности
Вы можете добавить настраиваемые атрибуты безопасности для следующих объектов Microsoft Entra:
- Пользователи Microsoft Entra
- Корпоративные приложения Microsoft Entra (субъекты-службы)
Как пользовательские атрибуты безопасности сравниваются с расширениями?
Хотя расширения и настраиваемые атрибуты безопасности можно использовать для расширения объектов в идентификаторе Microsoft Entra и Microsoft 365, они подходят для совершенно разных пользовательских сценариев данных. Ниже приведены некоторые способы сравнения настраиваемых атрибутов безопасности с расширениями:
| Возможность | Модули | Настраиваемые атрибуты безопасности |
|---|---|---|
| Расширение идентификатора Microsoft Entra и объектов Microsoft 365 | Да | Да |
| Поддерживаемые объекты | Зависит от типа расширения | Пользователи и субъекты-службы |
| Ограниченный доступ | № Любой пользователь с разрешениями на чтение объекта может считывать данные расширения. | Да. Доступ на чтение и запись ограничен отдельным набором разрешений и управления доступом на основе ролей (RBAC). |
| Когда использовать | Хранение данных, используемых приложением Хранение нечувствительных данных |
Хранение конфиденциальных данных Использование для сценариев авторизации |
| Требования к лицензиям | Доступно во всех выпусках идентификатора Microsoft Entra | Доступно во всех выпусках идентификатора Microsoft Entra |
Дополнительные сведения о работе с расширениями см. в статье "Добавление пользовательских данных в ресурсы с помощью расширений".
Процедура использования настраиваемых атрибутов безопасности
Проверка разрешений
Убедитесь в том, что вам назначена роль администратора определения атрибутов или администратора назначения атрибутов. Если нет, обратитесь к администратору с просьбой назначить вам соответствующую роль в области клиента или набора атрибутов. По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. При необходимости глобальный администратор может назначить эти роли самому себе.
Добавление наборов атрибутов
Добавьте наборы атрибутов для группировки связанных настраиваемых атрибутов безопасности и управления ими. Подробнее
Управление наборами атрибутов
Укажите, кто может читать, определять и назначать настраиваемые атрибуты безопасности в наборе атрибутов. Подробнее
Определение атрибутов
Добавьте в свой каталог настраиваемые атрибуты безопасности. Можно указать тип данных (логическое значение, целое число или строка) а также то, являются ли значения предварительно определенными, произвольными, одиночными или множественными. Подробнее
Назначение атрибутов
Назначение пользовательских атрибутов безопасности объектам Microsoft Entra для бизнес-сценариев. Подробнее
Использование атрибутов
Фильтрация пользователей и приложений, использующих настраиваемые атрибуты безопасности. Подробнее
Добавьте условия, использующие настраиваемые атрибуты безопасности, в назначения ролей Azure для детального управления доступом. Подробнее
Терминология
Чтобы лучше понять, что такое настраиваемые атрибуты безопасности, можно обратиться к следующему списку терминов.
| Термин | Определение |
|---|---|
| определение атрибута | Схема настраиваемого атрибута безопасности или пара "ключ-значение". Например, имя настраиваемого атрибута безопасности, его описание, тип данных и предопределенные значения. |
| набор атрибутов | Коллекция связанных настраиваемых атрибутов безопасности. Наборы атрибутов можно делегировать другим пользователям для определения и назначения настраиваемых атрибутов безопасности. |
| имя атрибута | Уникальное имя настраиваемого атрибута безопасности в наборе атрибутов. Сочетание набора атрибутов и имени атрибута является уникальным в пределах клиента. |
| назначение атрибута | Назначение пользовательского атрибута безопасности объекту Microsoft Entra, таким как пользователи и корпоративные приложения (субъекты-службы). |
| предопределенное значение | Допустимое значение настраиваемого атрибута безопасности. |
Свойства настраиваемого атрибута безопасности
В приведенной ниже таблице перечислены свойства, которые можно указать для наборов атрибутов и настраиваемых атрибутов безопасности. Некоторые свойства нельзя изменять.
| Свойство | Обязательное поле | Можно изменить позже | Description |
|---|---|---|---|
| Имя набора атрибутов | ✅ | Имя набора атрибутов. Должно быть уникальным в пределах клиента. Не может содержать пробелы или специальные символы. | |
| Описание набора атрибутов | ✅ | Описание набора атрибутов. | |
| Максимальное число атрибутов | ✅ | Максимальное число настраиваемых атрибутов безопасности, которые можно определить в наборе атрибутов. Значение по умолчанию: null. Если не указано, администратор может добавить не более 500 активных атрибутов на клиент. |
|
| Набор атрибутов | ✅ | Коллекция связанных настраиваемых атрибутов безопасности. Все настраиваемые атрибуты безопасности должны входить в набор атрибутов. | |
| Attribute name | ✅ | Имя настраиваемого атрибута безопасности. Должно быть уникальным в пределах набора атрибутов. Не может содержать пробелы или специальные символы. | |
| Описание атрибута | ✅ | Описание настраиваемого атрибута безопасности. | |
| Тип данных | ✅ | Тип данных для значений настраиваемого атрибута безопасности. Поддерживаются типы Boolean, Integer и String. |
|
| Разрешить присваивать несколько значений | ✅ | Указывает, можно ли назначить несколько значений настраиваемому атрибуту безопасности. Если тип данных — Boolean, нельзя задать значение "Да". |
|
| Разрешить присваивать только предварительно определенные значения | ✅ | Указывает, можно ли назначать настраиваемому атрибуту безопасности только предопределенные значения или любые. Если задано значение "Нет", допускаются произвольные значения. Можно в дальнейшем изменить с "Да" на "Нет", но нельзя изменить с "Нет" на "Да". Если тип данных — Boolean, нельзя задать значение "Да". |
|
| Предварительно определенные значения | Предопределенные значения для настраиваемого атрибута безопасности выбранного типа данных. Позднее можно добавить дополнительные предопределенные значения. Значения могут содержать пробелы, но некоторые специальные символы не допускаются. | ||
| Предопределенное значение активно | ✅ | Указывает, является ли предопределенное значение активным или отключенным. Если задано значение false, то предварительно определенные значения нельзя назначать дополнительным поддерживаемым объектам каталога. | |
| Атрибут активен | ✅ | Указывает, является ли настраиваемый атрибут безопасности активным или отключенным. |
Предельные значения и ограничения
Ниже приведены некоторые ограничения для настраиваемых атрибутов безопасности.
| Ресурс | Ограничение | Примечания. |
|---|---|---|
| Определений атрибутов на клиент | 500 | Относится только к активным атрибутам в клиенте. |
| Наборов атрибутов на клиент | 500 | |
| Длина имени набора атрибутов | 32 | Символы Юникода без учета регистра |
| Длина описания набора атрибутов | 128 | Символы Юникода |
| Длина имени атрибута | 32 | Символы Юникода без учета регистра |
| Длина описания атрибута | 128 | Символы Юникода |
| Предварительно определенные значения | Символы Юникода с учетом регистра | |
| Предварительно определенных значений на определение атрибута | 100 | |
| Длина значения атрибута | 64 | Символы Юникода |
| Назначенных значений атрибутов на объект | 50 | Значения можно распределять по одним и многозначным атрибутам. Пример: пять атрибутов с 10 значениями у каждого или 50 атрибутов с одним значением |
| Специальные знаки, не разрешенные для следующих элементов: Имя набора атрибутов Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Имя атрибута или набора атрибутов не может начинаться с числа |
| Специальные знаки, допустимые для значений атрибутов | Все специальные знаки | |
| Специальные знаки, допустимые для значений атрибутов при использовании с тегами индекса BLOB-объектов | <space> + - . : = _ / |
Если планируется использовать значения атрибутов с тегами индекса BLOB-объектов, можно применять только специальные знаки, разрешенные для тегов индекса BLOB-объектов. Дополнительные сведения см. в статье Настройка тегов индекса BLOB-объектов. |
Роли настраиваемых атрибутов безопасности
Идентификатор Microsoft Entra предоставляет встроенные роли для работы с пользовательскими атрибутами безопасности. Роль администратора определения атрибутов является минимальной ролью, необходимой для управления настраиваемыми атрибутами безопасности. Роль назначения атрибутов Администратор istrator является минимальной ролью, необходимой для назначения пользовательских значений атрибутов безопасности для объектов Microsoft Entra, таких как пользователи и приложения. Эти роли можно назначить в области клиента или в области набора атрибутов.
| Роль | Разрешения |
|---|---|
| Читатель определения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности |
| Администратор определения атрибутов | Управление всеми аспектами наборов атрибутов Управление всеми аспектами определений настраиваемых атрибутов безопасности |
| Читатель назначения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности Чтение ключей и значений настраиваемых атрибутов безопасности для пользователей и субъектов-служб |
| Администратор назначения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности Чтение и изменение ключей и значений настраиваемых атрибутов безопасности для пользователей и субъектов-служб |
| Читатель журналов атрибутов | Чтение журналов аудита для пользовательских атрибутов безопасности |
| Журнал атрибутов Администратор istrator | Чтение журналов аудита для пользовательских атрибутов безопасности Настройка параметров диагностики для настраиваемых атрибутов безопасности |
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
API Microsoft Graph
Пользовательские атрибуты безопасности можно управлять программными средствами с помощью API Microsoft Graph. Дополнительные сведения см. в статье Обзор настраиваемых атрибутов безопасности с помощью API Microsoft Graph.
Вы можете использовать клиент API, например Graph Обозреватель или Postman, чтобы проще попробовать API Microsoft Graph для пользовательских атрибутов безопасности.
Требования к лицензиям
Эта функция бесплатна и доступна в вашей подписке Azure.
Следующие шаги
- Добавление или отключение определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
- Управление доступом к пользовательским атрибутам безопасности в идентификаторе Microsoft Entra
- Назначение, обновление, перечисление или удаление пользовательских атрибутов безопасности для пользователя