Обзор настраиваемых атрибутов безопасности с помощью Microsoft API Graph
Настраиваемые атрибуты безопасности в Microsoft Entra ID — это бизнес-атрибуты (пары "ключ—значение"), которые можно определить и назначить Microsoft Entra объектам. Эти атрибуты можно использовать для хранения информации, классификации объектов или применения детального контроля доступа к определенным ресурсам Azure. Настраиваемые атрибуты безопасности можно использовать с управлением доступом на основе атрибутов Azure (Azure ABAC).
В этой статье содержится обзор использования API Graph Майкрософт для программного определения и назначения собственных настраиваемых атрибутов безопасности.
Ключевые типы ресурсов
Ниже приведены стандартные блоки настраиваемых атрибутов безопасности.
Наборы атрибутов
Набор атрибутов — это группа связанных настраиваемых атрибутов безопасности. Ниже приведены общие характеристики наборов атрибутов.
- Имя не может содержать пробелы или специальные символы.
- Не удается переименовать или удалить.
- Можно делегировать другим пользователям для определения и назначения настраиваемых атрибутов безопасности.
Чтобы настроить наборы атрибутов, используйте тип ресурса attributeSet.
Определения настраиваемых атрибутов безопасности
Определение настраиваемого атрибута безопасности — это схема настраиваемого атрибута безопасности или пары "ключ—значение". Например, имя настраиваемого атрибута безопасности, описание, тип данных и предопределенные значения. Ниже приведены общие характеристики определений настраиваемых атрибутов безопасности.
- Имя не может содержать пробелы или специальные символы.
- Невозможно переименовать или удалить, но можно отключить.
- Должен быть частью набора атрибутов.
Чтобы настроить настраиваемые определения атрибутов безопасности, используйте тип ресурса customSecurityAttributeDefinition.
Допустимые значения
Допустимые значения представляют предопределенные значения настраиваемого атрибута безопасности. Ниже приведены общие характеристики допустимых значений.
- Значения могут содержать пробелы, но некоторые специальные символы не допускаются.
- Невозможно переименовать или удалить, но можно отключить.
- Позже можно добавить дополнительные предопределенные значения.
- Может быть типами данных Boolean, Integer или String.
Чтобы настроить допустимые значения, используйте тип ресурса allowedValue.
Какие объекты каталога поддерживают настраиваемые атрибуты безопасности?
Настраиваемые атрибуты безопасности можно назначить следующим объектам с помощью свойства customSecurityAttributes . Пользователям, синхронизированным с каталогом, из локальная служба Active Directory также могут быть назначены настраиваемые атрибуты безопасности.
Примеры назначений настраиваемых атрибутов безопасности см. в разделе Примеры. Назначение, обновление, перечисление или удаление назначений настраиваемых атрибутов безопасности с помощью API Graph Майкрософт.
Ограничения и ограничения
Список ограничений и ограничений для настраиваемых атрибутов безопасности см. в разделе Ограничения и ограничения.
Разрешения
Для управления настраиваемыми атрибутами безопасности вызывающему субъекту должна быть назначена одна из следующих Microsoft Entra ролей. По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности.
- Средство чтения определений атрибутов
- Администратор определения атрибутов
- Читатель присваивания атрибутов
- Администратор назначения атрибутов
Кроме того, вызывающему субъекту должны быть предоставлены соответствующие разрешения настраиваемых атрибутов безопасности.