使用 Microsoft 图形 API的自定义安全属性概述

Microsoft Entra ID中的自定义安全属性是特定于业务的属性， (键值对) 可以定义和分配给Microsoft Entra对象。 可以使用这些属性来存储信息、对对象进行分类，或者对特定的 Azure 资源强制实施精细访问控制。 自定义安全属性可与 Azure 基于属性的访问控制一起使用， (Azure ABAC) 。

本文概述了如何使用 Microsoft 图形 API以编程方式定义和分配自己的自定义安全属性。

重要资源类型

下面是自定义安全属性的构建基块。

属性集

属性集是一组相关的自定义安全属性。 以下是属性集的一般特征：

• 名称不能包含空格或特殊字符。
• 无法重命名或删除。
• 可以委托给其他用户来定义和分配自定义安全属性。

若要配置属性集，请使用 attributeSet 资源类型。

自定义安全属性定义

自定义安全属性定义是自定义安全属性或键值对的架构。 例如，自定义安全属性名称、说明、数据类型和预定义值。 下面是自定义安全属性定义的一般特征：

• 名称不能包含空格或特殊字符。
• 无法重命名或删除，但可以停用。
• 必须是属性集的一部分。

若要配置自定义安全属性定义，请使用 customSecurityAttributeDefinition 资源类型。

允许的值

允许的值 表示自定义安全特性的预定义值。 以下是允许值的一般特征：

• 值可以包含空格，但不允许使用某些特殊字符。
• 无法重命名或删除，但可以停用。
• 稍后可以添加更多预定义值。
• 可以是布尔、整数或字符串数据类型。

若要配置允许的值，请使用 allowedValue 资源类型。

哪些目录对象支持自定义安全属性？

可以使用 customSecurityAttributes 属性将自定义安全属性分配给以下对象。 还可以为来自本地 Active Directory的目录同步用户分配自定义安全属性。

• user
• servicePrincipal

有关自定义安全属性分配的示例，请参阅示例：使用 Microsoft 图形 API分配、更新、列出或删除自定义安全属性分配。

限制和约束

有关自定义安全属性的限制和约束列表，请参阅 限制和约束。

权限

若要管理自定义安全属性，必须为调用主体分配以下Microsoft Entra角色之一。 默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

• 属性定义读取器
• 属性定义管理员
• 属性分配读取器
• 属性分配管理员

此外，必须向调用主体授予相应的 自定义安全属性权限。

后续步骤

• customSecurityAttributeDefinition 资源类型
• 示例：使用 Microsoft 图形 API分配、更新、列出或删除自定义安全属性分配
• Microsoft Entra ID中的自定义安全属性是什么？