Microsoft Entra ID 中的自訂安全性屬性是什麼?
Microsoft Entra ID 中的自訂安全性屬性是商務特定屬性 (機碼值組),可讓您加以定義並指派給 Microsoft Entra 物件。 這些屬性可用來儲存資訊、將物件分類,或針對特定 Azure 資源強制執行細微的存取控制。 自訂安全性屬性可以搭配 Azure 屬性型存取控制 (ABAC)使用。
為何要使用自訂安全性屬性?
以下是您可以使用自訂安全性屬性的一些案例:
- 擴充使用者設定檔,例如,為所有員工新增 [時薪]。
- 確定只有系統管理員可以在我員工的設定檔中看到 [時薪] 屬性。
- 將數百或數千個應用程式分類,以輕鬆建立可篩選的稽核詳細目錄。
- 將屬於某個專案的 Azure 儲存體 Blob 的存取權授與使用者。
我可以使用自訂安全性屬性做什麼?
自訂安全性屬性包含這些功能:
- 為您的租用戶定義商務特定資訊 (屬性)。
- 在使用者和應用程式上新增一組自訂安全性屬性。
- 使用自訂安全性屬性搭配查詢和篩選來管理 Microsoft Entra 物件。
- 提供屬性治理,讓屬性決定誰可以取得存取權。
下列區域不支援自訂安全性屬性:
- Microsoft Entra Domain Services
- 安全性判斷提示標記語言 (SAML) 權杖 (Security Assertion Markup Language (SAML) token) 宣告
自訂安全性屬性的功能
自訂安全性屬性包含這些功能:
- 可供所有租用戶使用
- 包括描述
- 支援不同的資料類型:布林值、整數、字串
- 支援單一值或多個值
- 支援使用者定義的自由格式值或預先定義的值
- 從內部部署的 Active Directory 將自訂安全性屬性指派給目錄同步的使用者
下列範例顯示指派給用戶的數個自訂安全性屬性。 自訂安全性屬性是不同的資料類型,而且具有單一、多個、自由格式或預先定義的值。
支援自訂安全性屬性的物件
目前,您可以新增下列 Microsoft Entra 物件的自訂安全性屬性:
- Microsoft Entra 使用者
- Microsoft Entra 企業應用程式 (服務主體)
自訂安全性屬性與擴充相比下有何不同?
雖然擴充和自訂安全性屬性都可以用來擴充 Microsoft Entra ID 和 Microsoft 365 中的物件,但它們適用於基本不同的自訂資料案例。 以下是自訂安全性屬性與擴充的一些比較:
功能 | 擴充 | 自訂安全性屬性 |
---|---|---|
擴充 Microsoft Entra ID 和 Microsoft 365 物件 | Yes | Yes |
支援的物件 | 視擴充類型而定 | 使用者和服務主體 |
受限制的存取 | 否。 具有讀取物件權限的任何人都可以讀取擴充資料。 | 是。 會透過一組個別的權限和角色型存取控制 (RBAC) 來限制讀取和寫入權限。 |
使用時機 | 儲存應用程式要使用的資料 儲存非敏感性資料 |
儲存敏感性資料 用於授權案例 |
授權需求 | 可在所有 Microsoft Entra ID 版本中取得 | 可在所有 Microsoft Entra ID 版本中取得 |
如需使用擴充的詳細資訊,請參閱 使用擴充將自訂資料新增至資源。
使用自訂安全性屬性的步驟
檢查權限
請確認您已獲指派屬性定義管理員或屬性指派管理員角色。 如有必要,至少有 特殊權限角色管理員 角色的人員可以指派這些角色。
新增屬性集
將屬性集新增至群組,並管理相關的自訂安全性屬性。 深入了解
管理屬性集
指定可以在屬性集中讀取、定義或指派自訂安全性屬性的人員。 深入了解
定義屬性
將自訂安全性屬性新增至您的目錄。 您可以指定日期類型 (布林值、整數或字串),以及值是否為預先定義、自由格式、單一或多個值。 深入了解
指派屬性
針對您的商務案例,將自訂安全性屬性指派給 Microsoft Entra 物件。 深入了解
使用屬性
篩選使用自訂安全性屬性的使用者和應用程式。 深入了解
將使用自訂安全性屬性的條件新增至 Azure 角色指派,以進行更精細的存取控制。 深入了解
詞彙
若要進一步了解自訂安全性屬性,您可以回頭參考下列詞彙清單。
詞彙 | 定義 |
---|---|
屬性定義 | 自訂安全性屬性或索引鍵/值組的結構描述。 例如,自訂安全性屬性名稱、描述、資料類型和預先定義的值。 |
屬性集 | 相關自訂安全性屬性的集合。 屬性集可委派給其他使用者,以定義和指派自訂安全性屬性。 |
屬性名稱 | 屬性集內的自訂安全性屬性的唯一名稱。 屬性集和屬性名稱的組合會形成租用戶的唯一屬性。 |
屬性指派 | 將自訂安全性屬性指派給 Microsoft Entra 物件,例如使用者和企業應用程式 (服務主體)。 |
預先定義的值 | 允許自訂安全性屬性的值。 |
自訂安全性屬性內容
下表列出您可以為屬性集和自訂安全性屬性指定的內容。 部分內容不可變,且後續也無法變更。
屬性 | 必要 | 後續可變更 | 描述 |
---|---|---|---|
屬性集名稱 | ✅ | 屬性集的名稱。 在租用戶內必須是唯一的。 不可包含空格或特殊字元。 | |
屬性集描述 | ✅ | 屬性集的描述。 | |
屬性數目上限 | ✅ | 可在屬性集中定義的自訂安全性屬性數目上限。 預設值為 null 。 若未指定,系統管理員最多可為每個租用戶新增 500 個作用中屬性。 |
|
屬性集 | ✅ | 相關自訂安全性屬性的集合。 每個自訂安全性屬性都必須屬於屬性集。 | |
Attribute name | ✅ | 自訂安全性屬性的名稱。 在屬性集內必須是唯一的。 不可包含空格或特殊字元。 | |
屬性描述 | ✅ | 自訂安全性屬性的描述。 | |
資料類型 | ✅ | 自訂安全性屬性值的資料類型。 支援的類型為 Boolean 、Integer 和 String 。 |
|
允許指派多個值 | ✅ | 指出是否可將多個值指派給自訂安全性屬性。 如果資料類型設定為 Boolean ,則不可設定為 [是]。 |
|
僅允許指派預先定義的值 | ✅ | 指出是否只能將預先定義的值指派給自訂安全性屬性。 如果設定為 [否],則允許自由格式的值。 之後可從 [是] 變更為 [否],但無法從 [否] 變更為 [是]。 如果資料類型設定為 Boolean ,則不可設定為 [是]。 |
|
預先定義的值 | 所選資料類型的自訂安全性屬性預先定義的值。 後續可以新增更多預先定義的值。 值可以包含空格,但不允許某些特殊字元。 | ||
預先定義的值為作用中 | ✅ | 指定預先定義的值是作用中還是已停用。 如果設定為 false,則無法將預先定義的值指派給任何其他支援的目錄物件。 | |
屬性使用中 | ✅ | 指定自訂安全性屬性是作用中還是已停用。 |
限制和條件約束
以下是自訂安全性屬性的一些限制和條件約束。
資源 | 限制 | 備註 |
---|---|---|
每個租用戶的屬性定義 | 500 | 僅適用於租用戶中的作用中屬性 |
每個租用戶的屬性集 | 500 | |
屬性集名稱長度 | 32 | Unicode 字元,區分大小寫 |
屬性集描述長度 | 128 | Unicode 字元 |
屬性名稱長度 | 32 | Unicode 字元,區分大小寫 |
屬性描述長度 | 128 | Unicode 字元 |
預先定義的值 | Unicode 字元,區分大小寫 | |
每個屬性定義的預先定義值 | 100 | |
屬性值長度 | 64 | Unicode 字元 |
每個物件指派的屬性值 | 50 | 值可分佈於單一和多重值屬性。 範例:5 個分別有 10 個值的屬性,或 50 個各有 1 個值的屬性 |
以下項目不允許特殊字元: 屬性集名稱 Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
屬性集名稱和屬性名稱不能以數字開頭 |
屬性值允許的特殊字元 | 所有特殊字元 | |
搭配 Blob 索引標籤使用時,允許屬性值使用特殊字元 | <space> + - . : = _ / |
如果您打算搭配 Blob 索引標籤使用屬性值,這些是 Blob 索引標籤唯一允許的特殊字元。 如需詳細資訊,請參閱設定 Blob 索引標籤。 |
自訂安全性屬性角色
Microsoft Entra ID 提供內建角色來處理自訂安全性屬性。 屬性定義管理員角色是管理自訂安全性屬性所需的最低角色。 屬性指派管理員角色是為 Microsoft Entra 物件 (例如使用者和應用程式) 指派自訂安全性屬性值所需的最低角色。 您可以在租用戶範圍或屬性集範圍內指派這些角色。
角色 | 權限 |
---|---|
屬性定義讀者 | 讀取屬性集 讀取自訂安全性屬性定義 |
屬性定義管理員 | 管理屬性集的所有層面 管理自訂安全性屬性定義的所有層面 |
屬性指派讀者 | 讀取屬性集 讀取自訂安全性屬性定義 讀取使用者和服務主體的自訂安全性屬性索引鍵和值 |
屬性指派系統管理員 | 讀取屬性集 讀取自訂安全性屬性定義 讀取及更新使用者和服務主體的自訂安全性屬性索引鍵和值 |
屬性記錄讀取者 | 讀取自訂安全性屬性稽核記錄 |
屬性記錄管理員 | 讀取自訂安全性屬性稽核記錄 設定自訂安全性屬性的診斷設定 |
重要
依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。
Microsoft Graph API
您可以使用 Microsoft Graph API 透過程式設計方式來管理自訂安全性屬性。 如需詳細資訊,請參閱使用 Microsoft Graph API 的自訂安全性屬性概觀。
您可以使用圖形總管之類的 API 用戶端,更輕鬆地嘗試自定義安全性屬性的 Microsoft Graph API。
授權需求
這項功能可免費使用,且包含在您的 Azure 訂用帳戶中。