Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это бизнес-атрибуты (пары "ключ-значение"), которые можно определить и назначить объектам Microsoft Entra. Эти атрибуты можно использовать для хранения информации, классификации объектов или обеспечения точного контроля доступа к определенным ресурсам Azure. Настраиваемые атрибуты безопасности можно использовать с управлением доступом на основе атрибутов Azure (ABAC).
Зачем нужны настраиваемые атрибуты безопасности?
Ниже приведены некоторые сценарии, в которых можно использовать настраиваемые атрибуты безопасности:
- Расширьте профили пользователей, например добавьте почасовую зарплату всем моим сотрудникам.
- Убедитесь, что только администраторы могут видеть атрибут "Почасовая ставка" в профилях сотрудников.
- Классифицируйте сотни или тысячи приложений, чтобы легко создавать фильтруемые данные инвентаризации для аудита.
- Предоставляйте пользователям доступ к BLOB-объектам службы хранилища Azure, принадлежащих проекту.
Что можно сделать с настраиваемыми атрибутами безопасности?
Настраиваемые атрибуты безопасности включают следующие возможности:
- Определяйте бизнес-информацию (атрибуты) для клиента.
- Добавьте набор настраиваемых атрибутов безопасности для пользователей и приложений.
- Управление объектами Microsoft Entra с помощью настраиваемых атрибутов безопасности с запросами и фильтрами.
- Предоставляйте управление атрибутами, чтобы атрибуты определяли, кто имеет доступ.
Настраиваемые атрибуты безопасности не поддерживаются в следующих областях:
Характеристики настраиваемых атрибутов безопасности
Настраиваемые атрибуты безопасности включают следующие функции:
- Доступны в масштабе всего клиента
- Добавьте описание
- Поддерживают различные типы данных: логическое, целое число, строка
- Поддерживают одно или несколько значений
- Поддерживают определяемые пользователем значения в произвольной форме или предварительно определенные значения
- Назначают настраиваемые атрибуты безопасности пользователям, синхронизированным с каталогом, из локальной службы Active Directory
В следующем примере показаны несколько настраиваемых атрибутов безопасности, назначенных пользователю. Настраиваемые атрибуты безопасности различаются по типам данных и могут иметь значения, которые являются одиночными, множественными, произвольной формы или предопределенными.
Объекты, поддерживающие настраиваемые атрибуты безопасности
Вы можете добавить настраиваемые атрибуты безопасности для следующих объектов Microsoft Entra:
- Пользователи Microsoft Entra
- Корпоративные приложения Microsoft Entra (субъекты-службы)
Как пользовательские атрибуты безопасности сравниваются с расширениями?
Хотя расширения и настраиваемые атрибуты безопасности можно использовать для расширения объектов в идентификаторе Microsoft Entra и Microsoft 365, они подходят для совершенно разных пользовательских сценариев данных. Ниже приведены некоторые способы сравнения настраиваемых атрибутов безопасности с расширениями:
| Возможность | Расширения | Настраиваемые атрибуты безопасности |
|---|---|---|
| Расширение идентификатора Microsoft Entra и объектов Microsoft 365 | Да | Да |
| Поддерживаемые объекты | Зависит от типа расширения | Пользователи и субъекты-службы |
| Ограниченный доступ | № Любой пользователь с разрешениями на чтение объекта может считывать данные расширения. | Да. Доступ на чтение и запись ограничен отдельным набором разрешений и управления доступом на основе ролей (RBAC). |
| Когда использовать | Хранение данных, используемых приложением Хранение нечувствительных данных |
Хранение конфиденциальных данных Использование для сценариев авторизации |
| Требования к лицензиям | Доступно во всех выпусках идентификатора Microsoft Entra | Доступно во всех выпусках идентификатора Microsoft Entra |
Дополнительные сведения о работе с расширениями см. в статье "Добавление пользовательских данных в ресурсы с помощью расширений".
Процедура использования настраиваемых атрибутов безопасности
Проверка разрешений
Убедитесь в том, что вам назначена роль администратора определения атрибутов или администратора назначения атрибутов. При необходимости человек, имеющий, по крайней мере, роль администратора привилегированных ролей, может назначать эти роли.
Добавление наборов атрибутов
Добавьте наборы атрибутов для группировки связанных настраиваемых атрибутов безопасности и управления ими. Подробнее
Управление наборами атрибутов
Укажите, кто может читать, определять и назначать настраиваемые атрибуты безопасности в наборе атрибутов. Подробнее
Определение атрибутов
Добавьте в свой каталог настраиваемые атрибуты безопасности. Можно указать тип данных (логическое значение, целое число или строка) а также то, являются ли значения предварительно определенными, произвольными, одиночными или множественными. Подробнее
Назначение атрибутов
Назначьте пользовательские атрибуты безопасности объектам Microsoft Entra для бизнес-сценариев. Подробнее
Использование атрибутов
Фильтрация пользователей и приложений, использующих настраиваемые атрибуты безопасности. Подробнее
Добавьте условия, использующие настраиваемые атрибуты безопасности, в назначения ролей Azure для детального управления доступом. Подробнее
Терминология
Чтобы лучше понять, что такое настраиваемые атрибуты безопасности, можно обратиться к следующему списку терминов.
| Термин | Определение |
|---|---|
| определение атрибута | Схема пользовательского атрибута безопасности или пары "ключ-значение". Например, имя настраиваемого атрибута безопасности, его описание, тип данных и предопределенные значения. |
| набор атрибутов | Коллекция связанных настраиваемых атрибутов безопасности. Наборы атрибутов можно делегировать другим пользователям для определения и назначения настраиваемых атрибутов безопасности. |
| имя атрибута | Уникальное имя настраиваемого атрибута безопасности в наборе атрибутов. Сочетание набора атрибутов и имени атрибута формирует уникальный атрибут для вашего клиента. |
| назначение атрибута | Назначение пользовательского атрибута безопасности объекту Microsoft Entra, таким как пользователи и корпоративные приложения (субъекты-службы). |
| предопределенное значение | Допустимое значение настраиваемого атрибута безопасности. |
Свойства настраиваемого атрибута безопасности
В приведенной ниже таблице перечислены свойства, которые можно указать для наборов атрибутов и настраиваемых атрибутов безопасности. Некоторые свойства нельзя изменять.
| Свойство | Обязательное поле | Можно изменить позже | Описание |
|---|---|---|---|
| Имя набора атрибутов | ✅ | Имя набора атрибутов. Должно быть уникальным в пределах тенанта. Не может содержать пробелы или специальные символы. | |
| Описание набора атрибутов | ✅ | Описание набора атрибутов. | |
| Максимальное число атрибутов | ✅ | Максимальное число настраиваемых атрибутов безопасности, которые можно определить в наборе атрибутов. Значение по умолчанию: null. Если не указано иное, администратор может добавить до 500 активных атрибутов на каждого арендатора. |
|
| Набор атрибутов | ✅ | Коллекция связанных настраиваемых атрибутов безопасности. Все настраиваемые атрибуты безопасности должны входить в набор атрибутов. | |
| Имя атрибута | ✅ | Имя настраиваемого атрибута безопасности. Должно быть уникальным в пределах набора атрибутов. Не может содержать пробелы или специальные символы. | |
| Описание атрибута | ✅ | Описание настраиваемого атрибута безопасности. | |
| Тип данных | ✅ | Тип данных для значений настраиваемого атрибута безопасности. Поддерживаются типы Boolean, Integer и String. |
|
| Разрешить присваивать несколько значений | ✅ | Указывает, можно ли назначить несколько значений настраиваемому атрибуту безопасности. Если тип данных — Boolean, нельзя задать значение "Да". |
|
| Разрешить присваивать только предварительно определенные значения | ✅ | Указывает, можно ли назначать настраиваемому атрибуту безопасности только предопределенные значения или любые. Если задано значение "Нет", допускаются произвольные значения. Можно в дальнейшем изменить с "Да" на "Нет", но нельзя изменить с "Нет" на "Да". Если тип данных — Boolean, нельзя задать значение "Да". |
|
| Предварительно определенные значения | Предопределенные значения для настраиваемого атрибута безопасности выбранного типа данных. Позднее можно добавить дополнительные предопределенные значения. Значения могут содержать пробелы, но некоторые специальные символы не допускаются. | ||
| Предопределенное значение активно | ✅ | Указывает, является ли предопределенное значение активным или отключенным. Если задано значение false, то предварительно определенные значения нельзя назначать дополнительным поддерживаемым объектам каталога. | |
| Атрибут активен | ✅ | Указывает, является ли настраиваемый атрибут безопасности активным или отключенным. |
Предельные значения и ограничения
Ниже приведены некоторые ограничения для настраиваемых атрибутов безопасности.
| Ресурс | Ограничение | Примечания. |
|---|---|---|
| Определения атрибутов для каждого арендатора | 500 | Относится только к активным атрибутам в арендаторе. |
| Наборы атрибутов на арендатора | 500 | |
| Длина имени набора атрибутов | 32 | Символы Юникода, чувствительные к регистру |
| Длина описания набора атрибутов | 128 | Символы Юникода |
| Длина имени атрибута | 32 | Символы Юникода с учетом регистра |
| Длина описания атрибута | 128 | Символы Юникода |
| Предварительно определенные значения | Символы Юникода с учетом регистра | |
| Предварительно определенные значения для каждого определения атрибута | 100 | |
| Длина значения атрибута | 64 | Символы Юникода |
| Назначенные значения атрибутов для объекта | 50 | Значения можно распределять по одним и многозначным атрибутам. Пример: пять атрибутов с 10 значениями у каждого или 50 атрибутов с одним значением |
| Специальные символы не допустимы для: Имя набора атрибутов Имя атрибута |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Имя атрибута или набора атрибутов не может начинаться с числа |
| Специальные знаки, допустимые для значений атрибутов | Все специальные знаки | |
| Допустимые специальные символы для значений атрибутов при использовании с индексными тегами BLOB-объектов | <space> + - . : = _ / |
Если вы планируете использовать значения атрибутов с тегами индекса BLOB-объектов, разрешены только те специальные знаки, которые разрешены для тегов индекса BLOB-объектов. Дополнительные сведения см. в Настройке тегов индекса BLOB. |
Роли настраиваемых атрибутов безопасности
Идентификатор Microsoft Entra предоставляет встроенные роли для работы с пользовательскими атрибутами безопасности. Роль администратора определения атрибутов является минимальной ролью, необходимой для управления настраиваемыми атрибутами безопасности. Роль администратора назначения атрибутов — это минимальная роль, необходимая для назначения настраиваемых значений атрибутов безопасности для объектов Microsoft Entra, таких как пользователи и приложения. Эти роли можно назначить на уровне арендатора или на уровне набора атрибутов.
| Роль | Разрешения |
|---|---|
| Читатель определения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности |
| Администратор определения атрибутов | Управление всеми аспектами наборов атрибутов Управление всеми аспектами определений настраиваемых атрибутов безопасности |
| Читатель назначения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности Чтение ключей и значений настраиваемых атрибутов безопасности для пользователей и субъектов-служб |
| Администратор назначения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности Чтение и изменение ключей и значений настраиваемых атрибутов безопасности для пользователей и субъектов-служб |
| Читатель журналов атрибутов | Чтение журналов аудита для настроенных атрибутов безопасности |
| Администратор журнала атрибутов | Читайте журналы аудита для настраиваемых атрибутов безопасности Настройка параметров диагностики для настраиваемых атрибутов безопасности |
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
API Microsoft Graph
Пользовательские атрибуты безопасности можно управлять программными средствами с помощью API Microsoft Graph. Дополнительные сведения см. в статье Обзор настраиваемых атрибутов безопасности с помощью API Microsoft Graph.
Вы можете использовать клиент API, например Graph Explorer , чтобы проще попробовать API Microsoft Graph для пользовательских атрибутов безопасности.
Требования к лицензиям
Эта функция бесплатна и доступна в вашей подписке Azure.
Следующие шаги
- Добавление или отключение определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
- Управление доступом к пользовательским атрибутам безопасности в идентификаторе Microsoft Entra
- Назначение, обновление, перечисление или удаление пользовательских атрибутов безопасности для пользователя
- Предоставление настраиваемых атрибутов безопасности из источников HR (предварительный просмотр)