Vad är anpassade säkerhetsattribut i Microsoft Entra-ID?
Anpassade säkerhetsattribut i Microsoft Entra-ID är affärsspecifika attribut (nyckel/värde-par) som du kan definiera och tilldela till Microsoft Entra-objekt. Dessa attribut kan användas för att lagra information, kategorisera objekt eller framtvinga detaljerad åtkomstkontroll över specifika Azure-resurser. Anpassade säkerhetsattribut kan användas med Azure-attributbaserad åtkomstkontroll (ABAC)..
Varför ska du använda anpassade säkerhetsattribut?
Här följer några scenarier där du kan använda anpassade säkerhetsattribut:
- Utöka användarprofiler, till exempel lägga till timlön till alla mina anställda.
- Se till att endast administratörer kan se attributet Timlön i mina anställdas profiler.
- Kategorisera hundratals eller tusentals program för att enkelt skapa en filterbar inventering för granskning.
- Ge användare åtkomst till Azure Storage-blobar som tillhör ett projekt.
Vad kan jag göra med anpassade säkerhetsattribut?
Anpassade säkerhetsattribut innehåller följande funktioner:
- Definiera affärsspecifik information (attribut) för din klientorganisation.
- Lägg till en uppsättning anpassade säkerhetsattribut för användare och program.
- Hantera Microsoft Entra-objekt med anpassade säkerhetsattribut med frågor och filter.
- Ange attributstyrning så att attributen avgör vem som kan få åtkomst.
Anpassade säkerhetsattribut stöds inte inom följande områden:
Funktioner i anpassade säkerhetsattribut
Anpassade säkerhetsattribut innehåller följande funktioner:
- Tillgänglig i hela klientorganisationen
- Inkludera en beskrivning
- Stöd för olika datatyper: Boolesk, heltal, sträng
- Stöd för ett värde eller flera värden
- Stöd för användardefinierade friformulärsvärden eller fördefinierade värden
- Tilldela anpassade säkerhetsattribut till katalogsynkroniserade användare från en lokalni Active Directory
I följande exempel visas flera anpassade säkerhetsattribut som tilldelats en användare. De anpassade säkerhetsattributen är olika datatyper och har värden som är enkla, flera, kostnadsfria eller fördefinierade.
Objekt som stöder anpassade säkerhetsattribut
Du kan lägga till anpassade säkerhetsattribut för följande Microsoft Entra-objekt:
- Microsoft Entra-användare
- Microsoft Entra-företagsprogram (tjänstens huvudnamn)
Hur jämför anpassade säkerhetsattribut med tillägg?
Även om både tillägg och anpassade säkerhetsattribut kan användas för att utöka objekt i Microsoft Entra-ID och Microsoft 365, är de lämpliga för fundamentalt olika anpassade datascenarier. Här följer några sätt som anpassade säkerhetsattribut kan jämföras med tillägg:
| Kapacitet | Tillägg | Anpassade säkerhetsattribut |
|---|---|---|
| Utöka Microsoft Entra-ID och Microsoft 365-objekt | Ja | Ja |
| Objekt som stöds | Beror på tilläggstypen | Användare och tjänstens huvudnamn |
| Begränsad åtkomst | Nej. Alla som har behörighet att läsa objektet kan läsa tilläggsdata. | Ja. Läs- och skrivåtkomst begränsas via en separat uppsättning behörigheter och rollbaserad åtkomstkontroll (RBAC). |
| Användningsområde för | Lagra data som ska användas av ett program Lagra icke-känsliga data |
Lagra känsliga data Använd för auktoriseringsscenarier |
| Licenskrav | Tillgänglig i alla utgåvor av Microsoft Entra ID | Tillgänglig i alla utgåvor av Microsoft Entra ID |
Mer information om hur du arbetar med tillägg finns i Lägga till anpassade data till resurser med hjälp av tillägg.
Steg för att använda anpassade säkerhetsattribut
Kontrollera behörigheter
Kontrollera att du har tilldelats rollerna Attributdefinitionsadministratör eller Attributtilldelningsadministratör . Om det behövs kan någon med minst rollen Privilegierad rolladministratör tilldela dessa roller.
Lägg till attributuppsättningar
Lägg till attributuppsättningar för att gruppera och hantera relaterade anpassade säkerhetsattribut. Läs mer
Hantera attributuppsättningar
Ange vem som kan läsa, definiera eller tilldela anpassade säkerhetsattribut i en attributuppsättning. Läs mer
Definiera attribut
Lägg till dina anpassade säkerhetsattribut i katalogen. Du kan ange datumtyp (boolesk, heltal eller sträng) och om värdena är fördefinierade, kostnadsfria, enkla eller flera. Läs mer
Tilldela attribut
Tilldela anpassade säkerhetsattribut till Microsoft Entra-objekt för dina affärsscenarier. Läs mer
Använda attribut
Filtrera användare och program som använder anpassade säkerhetsattribut. Läs mer
Lägg till villkor som använder anpassade säkerhetsattribut i Azure-rolltilldelningar för detaljerad åtkomstkontroll. Läs mer
Terminologi
För att bättre förstå anpassade säkerhetsattribut kan du gå tillbaka till följande lista med termer.
| Period | Definition |
|---|---|
| attributdefinition | Schemat för ett anpassat säkerhetsattribut eller nyckel/värde-par. Till exempel namn, beskrivning, datatyp och fördefinierade värden för anpassade säkerhetsattribut. |
| attributuppsättning | En samling relaterade anpassade säkerhetsattribut. Attributuppsättningar kan delegeras till andra användare för att definiera och tilldela anpassade säkerhetsattribut. |
| attributnamn | Ett unikt namn på ett anpassat säkerhetsattribut i en attributuppsättning. Kombinationen av attributuppsättning och attributnamn utgör ett unikt attribut för din klientorganisation. |
| attributtilldelning | Tilldelning av ett anpassat säkerhetsattribut till ett Microsoft Entra-objekt, till exempel användare och företagsprogram (tjänstens huvudnamn). |
| fördefinierat värde | Ett värde som tillåts för ett anpassat säkerhetsattribut. |
Egenskaper för anpassade säkerhetsattribut
I följande tabell visas de egenskaper som du kan ange för attributuppsättningar och anpassade säkerhetsattribut. Vissa egenskaper är oföränderliga och kan inte ändras senare.
| Property | Obligatoriskt | Kan ändras senare | beskrivning |
|---|---|---|---|
| Namn på attributuppsättning | ✅ | Namn på attributuppsättningen. Måste vara unikt i en klientorganisation. Det går inte att inkludera blanksteg eller specialtecken. | |
| Beskrivning av attributuppsättning | ✅ | Beskrivning av attributuppsättningen. | |
| Maximalt antal attribut | ✅ | Maximalt antal anpassade säkerhetsattribut som kan definieras i en attributuppsättning. Standardvärdet är null. Om det inte anges kan administratören lägga till upp till högst 500 aktiva attribut per klientorganisation. |
|
| Attributuppsättning | ✅ | En samling relaterade anpassade säkerhetsattribut. Varje anpassat säkerhetsattribut måste ingå i en attributuppsättning. | |
| Attributets namn | ✅ | Namnet på det anpassade säkerhetsattributet. Måste vara unikt i en attributuppsättning. Det går inte att inkludera blanksteg eller specialtecken. | |
| Attributbeskrivning | ✅ | Beskrivning av det anpassade säkerhetsattributet. | |
| Datatyp | ✅ | Datatyp för de anpassade säkerhetsattributvärdena. Typer som stöds är Boolean, Integeroch String. |
|
| Tillåt att flera värden tilldelas | ✅ | Anger om flera värden kan tilldelas till det anpassade säkerhetsattributet. Om datatypen är inställd på Booleankan inte ställas in på Ja. |
|
| Tillåt endast att fördefinierade värden tilldelas | ✅ | Anger om endast fördefinierade värden kan tilldelas till det anpassade säkerhetsattributet. Om värdet är Nej tillåts friformulärvärden. Kan senare ändras från Ja till Nej, men kan inte ändras från Nej till Ja. Om datatypen är inställd på Booleankan inte ställas in på Ja. |
|
| Fördefinierade värden | Fördefinierade värden för det anpassade säkerhetsattributet för den valda datatypen. Fler fördefinierade värden kan läggas till senare. Värden kan innehålla blanksteg, men vissa specialtecken tillåts inte. | ||
| Fördefinierade värden är aktiva | ✅ | Anger om det fördefinierade värdet är aktivt eller inaktiverat. Om värdet är falskt kan det fördefinierade värdet inte tilldelas till ytterligare katalogobjekt som stöds. | |
| Attributet är aktivt | ✅ | Anger om det anpassade säkerhetsattributet är aktivt eller inaktiverat. |
Begränsningar och krav
Här följer några av begränsningarna och begränsningarna för anpassade säkerhetsattribut.
| Resurs | Gräns | Kommentar |
|---|---|---|
| Attributdefinitioner per klientorganisation | 500 | Gäller endast för aktiva attribut i klientorganisationen |
| Attributuppsättningar per klientorganisation | 500 | |
| Namnlängd för attributuppsättning | 32 | Unicode-tecken och skiftlägeskänsliga |
| Beskrivningslängd för attributuppsättning | 128 | Unicode-tecken |
| Längd på attributnamn | 32 | Unicode-tecken och skiftlägeskänsliga |
| Längd på attributbeskrivning | 128 | Unicode-tecken |
| Fördefinierade värden | Unicode-tecken och skiftlägeskänsliga | |
| Fördefinierade värden per attributdefinition | 100 | |
| Längd på attributvärde | 64 | Unicode-tecken |
| Attributvärden tilldelade per objekt | 50 | Värden kan distribueras över enkla och flervärdesattribut. Exempel: 5 attribut med 10 värden var eller 50 attribut med 1 värde vardera |
| Specialtecken tillåts inte för: Namn på attributuppsättning Attributets namn |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Attributuppsättningens namn och attributnamn kan inte börja med ett tal |
| Specialtecken som tillåts för attributvärden | Alla specialtecken | |
| Specialtecken som tillåts för attributvärden när de används med blobindextaggar | <space> + - . : = _ / |
Om du planerar att använda attributvärden med blobindextaggar är dessa de enda specialtecken som tillåts för blobindextaggar. Mer information finns i Ange blobindextaggar. |
Anpassade säkerhetsattributroller
Microsoft Entra ID tillhandahåller inbyggda roller för att arbeta med anpassade säkerhetsattribut. Rollen Attributdefinitionsadministratör är den minsta roll som du behöver för att hantera anpassade säkerhetsattribut. Rollen Attributtilldelningsadministratör är den minsta roll som du behöver för att tilldela anpassade säkerhetsattributvärden för Microsoft Entra-objekt som användare och program. Du kan tilldela dessa roller i klientomfånget eller i attributuppsättningsomfånget.
| Roll | Behörigheter |
|---|---|
| Attributdefinitionsläsare | Läs attributuppsättningar Läsa definitioner för anpassade säkerhetsattribut |
| Attributdefinitionsadministratör | Hantera alla aspekter av attributuppsättningar Hantera alla aspekter av anpassade definitioner av säkerhetsattribut |
| Attributtilldelningsläsare | Läs attributuppsättningar Läsa definitioner för anpassade säkerhetsattribut Läsa anpassade nycklar och värden för säkerhetsattribut för användare och tjänstens huvudnamn |
| Attributtilldelningsadministratör | Läs attributuppsättningar Läsa definitioner för anpassade säkerhetsattribut Läsa och uppdatera nycklar och värden för anpassade säkerhetsattribut för användare och tjänstens huvudnamn |
| Attributloggläsare | Läsa granskningsloggar för anpassade säkerhetsattribut |
| Administratör för attributlogg | Läsa granskningsloggar för anpassade säkerhetsattribut Konfigurera diagnostikinställningar för anpassade säkerhetsattribut |
Viktigt!
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.
Microsoft Graph API
Du kan hantera anpassade säkerhetsattribut programmatiskt med hjälp av Microsoft Graph API. Mer information finns i Översikt över anpassade säkerhetsattribut med hjälp av Microsoft Graph API.
Du kan använda en API-klient, till exempel Graph Explorer , för att enklare prova Microsoft Graph API för anpassade säkerhetsattribut.
Licenskrav
Den här funktionen är kostnadsfri och ingår i din Azure-prenumeration.