使用 Microsoft 图形 API的自定义安全属性概述

Microsoft Entra ID中的自定义安全属性是特定于业务的属性, (键值对) 可以定义和分配给Microsoft Entra对象。 可以使用这些属性来存储信息、对对象进行分类,或者对特定的 Azure 资源强制实施精细访问控制。 自定义安全属性可与 Azure 基于属性的访问控制一起使用, (Azure ABAC)

本文概述了如何使用 Microsoft 图形 API以编程方式定义和分配自己的自定义安全属性。

重要资源类型

下面是自定义安全属性的构建基块。

属性集

属性集是一组相关的自定义安全属性。 以下是属性集的一般特征:

  • 名称不能包含空格或特殊字符。
  • 无法重命名或删除。
  • 可以委托给其他用户来定义和分配自定义安全属性。

若要配置属性集,请使用 attributeSet 资源类型

自定义安全属性定义

自定义安全属性定义是自定义安全属性或键值对的架构。 例如,自定义安全属性名称、说明、数据类型和预定义值。 下面是自定义安全属性定义的一般特征:

  • 名称不能包含空格或特殊字符。
  • 无法重命名或删除,但可以停用。
  • 必须是属性集的一部分。

若要配置自定义安全属性定义,请使用 customSecurityAttributeDefinition 资源类型

允许的值

允许的值 表示自定义安全特性的预定义值。 以下是允许值的一般特征:

  • 值可以包含空格,但不允许使用某些特殊字符。
  • 无法重命名或删除,但可以停用。
  • 稍后可以添加更多预定义值。
  • 可以是布尔、整数或字符串数据类型。

若要配置允许的值,请使用 allowedValue 资源类型

哪些目录对象支持自定义安全属性?

可以使用 customSecurityAttributes 属性将自定义安全属性分配给以下对象。 还可以为来自本地 Active Directory的目录同步用户分配自定义安全属性。

有关自定义安全属性分配的示例,请参阅示例:使用 Microsoft 图形 API分配、更新、列出或删除自定义安全属性分配

限制和约束

有关自定义安全属性的限制和约束列表,请参阅 限制和约束

权限

若要管理自定义安全属性,必须为调用主体分配以下Microsoft Entra角色之一。 默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

此外,必须向调用主体授予相应的 自定义安全属性权限

后续步骤