Was sind benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID?

Benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID sind geschäftsspezifische Attribute (Schlüssel-Wert-Paare), die Sie definieren und Microsoft Entra-Objekten zuweisen können. Diese Attribute können verwendet werden, um Informationen zu speichern, Objekte zu kategorisieren oder eine differenzierte Zugriffssteuerung für bestimmte Azure-Ressourcen zu erzwingen. Benutzerdefinierte Sicherheitsattribute können mit der attributbasierten Zugriffssteuerung in Azure (ABAC) verwendet werden.

Gründe für die Verwendung benutzerdefinierter Sicherheitsattribute

Hier sind einige Szenarien, in denen Sie benutzerdefinierte Sicherheitsattribute verwenden können:

  • Erweitern von Benutzerprofilen (beispielsweise durch Hinzufügen des Stundenlohns zu allen Mitarbeitern)
  • Sicherstellen, dass das Stundenlohnattribut in den Profilen der Mitarbeiter nur für Administratoren sichtbar ist
  • Kategorisieren hunderter oder tausender Anwendungen zur mühelosen Erstellung eines filterbaren Bestands für die Überwachung
  • Gewähren von Benutzerzugriff auf die Azure Storage-Blobs eines Projekts

Verwendungsmöglichkeiten von benutzerdefinierten Sicherheitsattributen

Zu den benutzerdefinierten Sicherheitsattributen gehören unter anderem folgende Funktionen:

  • Definieren geschäftsspezifischer Informationen (Attribute) für Ihren Mandanten
  • Hinzufügen benutzerdefinierter Sicherheitsattribute für Benutzer und Anwendungen.
  • Verwalten Sie Microsoft Entra-Objekte mithilfe von benutzerdefinierten Sicherheitsattributen mit Abfragen und Filtern.
  • Bereitstellen von Attributgovernance, damit durch Attribute gesteuert wird, wer zugreifen kann

Benutzerdefinierte Sicherheitsattribute werden in folgenden Bereichen nicht unterstützt:

Features benutzerdefinierter Sicherheitsattribute

Benutzerdefinierte Sicherheitsattribute umfassen unter anderem folgende Features:

  • Mandantenweit verfügbar
  • Enthalten eine Beschreibung
  • Unterstützung verschiedener Datentypen: Boolean, Integer, String
  • Unterstützung eines einzelnen Werts oder mehrerer Werte
  • Unterstützung benutzerdefinierter Freiform- oder vordefinierter Werte
  • Zuweisung benutzerdefinierter Sicherheitsattribute zu Benutzern mit Verzeichnissynchronisierung aus dem lokalen Active Directory

Das folgende Beispiel zeigt mehrere benutzerdefinierte Sicherheitsattribute, die einem Benutzer zugewiesen sind. Die benutzerdefinierten Sicherheitsattribute sind unterschiedliche Datentypen und weisen Werte auf, die einmalig, mehrfach, in freiem Format oder vordefiniert sind.

Screenshot der Beispiele für benutzerdefinierte Sicherheitsattribute, die einem Benutzer zugewiesen sind.

Objekte, die benutzerdefinierte Sicherheitsattribute unterstützen

Benutzerdefinierte Sicherheitsattribute können für folgende Microsoft Entra-Objekte hinzugefügt werden:

  • Microsoft Entra-Benutzer
  • Microsoft Entra-Unternehmensanwendungen (Dienstprinzipale)

Vergleich von benutzerdefinierten Sicherheitsattributen und Erweiterungen

Obwohl sowohl Erweiterungen als auch benutzerdefinierte Sicherheitsattribute zum Erweitern von Objekten in Microsoft Entra ID und Microsoft 365 verwendet werden können, eignen sie sich für grundlegend unterschiedliche benutzerdefinierte Datenszenarien. Hier werden einige Aspekte der benutzerdefinierten Sicherheitsattribute mit Erweiterungen verglichen:

Funktionalität Erweiterungen Benutzerdefinierte Sicherheitsattribute
Erweitern von Microsoft Entra ID und Microsoft 365-Objekten Ja Ja
Unterstützte Objekte Abhängig vom Erweiterungstyp Benutzer*innen und Dienstprinzipale
Eingeschränkter Zugriff Nein. Jede*r Benutzer*in, der bzw. die zum Lesen des Objekts berechtigt ist, kann die Erweiterungsdaten lesen. Ja. Der Lese- und Schreibzugriff wird über separate Berechtigungen und die rollenbasierte Zugriffssteuerung (RBAC) eingeschränkt.
Verwendung Speichern von Daten, die von einer Anwendung verwendet werden sollen
Speichern nicht vertraulicher Daten
Speichern vertraulicher Daten
Verwenden für Autorisierungsszenarien
Lizenzanforderungen Verfügbar in allen Editionen von Microsoft Entra ID Verfügbar in allen Editionen von Microsoft Entra ID

Weitere Informationen zur Verwendung von Erweiterungen finden Sie unter Hinzufügen von benutzerdefinierten Daten zu Ressourcen mithilfe von Erweiterungen.

Schritte für die Verwendung benutzerdefinierter Sicherheitsattribute

  1. Überprüfen Sie die Berechtigungen.

    Vergewissern Sie sich, dass Ihnen die Rolle Administrator für Attributdefinitionen oder Administrator für Attributzuweisungen zugewiesen ist. Bei Bedarf kann eine Person mit mindestens der Rolle Administrator für privilegierte Rollen diese Rollen zuweisen.

    Diagramm zeigt das Überprüfen der Berechtigungen zum Hinzufügen benutzerdefinierter Sicherheitsattribute in Microsoft Entra ID.

  2. Hinzufügen von Attributsätzen

    Fügen Sie Attributsätze hinzu, um verwandte benutzerdefinierte Sicherheitsattribute zu gruppieren und zu verwalten. Weitere Informationen

    Diagramm: Hinzufügen mehrerer Attributsätze

  3. Verwalten von Attributsätzen

    Geben Sie an, wer benutzerdefinierte Sicherheitsattribute in einem Attributsatz lesen, definieren oder zuweisen kann. Weitere Informationen

    Diagramm: Zuweisen von Administratoren für Attributdefinitionen und von Administratoren für Attributzuweisungen zu Attributsätzen

  4. Definieren von Attributen

    Fügen Sie Ihrem Verzeichnis benutzerdefinierte Sicherheitsattribute hinzu. Neben dem Datentyp (boolescher Wert, ganze Zahl oder Zeichenfolge) können Sie angeben, ob es sich um vordefinierte Werte, um Freiformwerte, um einen einzelnen Wert oder um mehrere Werte handelt. Weitere Informationen

    Diagramm: Delegierte Administratoren, die benutzerdefinierte Sicherheitsattribute definieren

  5. Zuweisen von Attributen

    Weisen Sie Microsoft Entra-Objekten benutzerdefinierte Sicherheitsattribute für Ihre Geschäftsszenarien zu. Weitere Informationen

    Diagramm: Delegierte Administratoren, die Microsoft Entra-Objekten benutzerdefinierte Sicherheitsattribute zuweisen.

  6. Verwenden von Attributen

    Filtern Sie Benutzer und Anwendungen, die benutzerdefinierte Sicherheitsattribute verwenden. Weitere Informationen

    Fügen Sie Azure-Rollenzuweisungen Bedingungen mit benutzerdefinierten Sicherheitsattributen hinzu, um eine differenzierte Zugriffssteuerung zu erreichen. Weitere Informationen

Begriff

Zum besseren Verständnis von benutzerdefinierten Sicherheitsattributen können Sie sich bei Bedarf die folgende Begriffsliste ansehen:

Begriff Definition
Attributdefinition Das Schema eines benutzerdefinierten Sicherheitsattributs oder Schlüssel-Wert-Paars – beispielsweise der Name, die Beschreibung, der Datentyp und die vordefinierten Werte des benutzerdefinierten Sicherheitsattributs.
Attributsatz Eine Sammlung verwandter benutzerdefinierter Sicherheitsattribute. Attributsätze können an andere Benutzer delegiert werden, um benutzerdefinierte Sicherheitsattribute zu definieren und zuzuweisen.
Attributname Ein eindeutiger Name eines benutzerdefinierten Sicherheitsattributs innerhalb eines Attributsatzes. Die Kombination aus Attributsatz und Attributname bildet ein eindeutiges Attribut für Ihren Mandanten.
Attributzuweisung Die Zuweisung eines benutzerdefinierten Sicherheitsattributs zu einem Microsoft Entra-Objekt – beispielsweise zu Benutzer*innen und Unternehmensanwendungen (Dienstprinzipalen).
Vordefinierter Wert Ein zulässiger Wert für ein benutzerdefiniertes Sicherheitsattribut.

Eigenschaften benutzerdefinierter Sicherheitsattribute

Die folgende Tabelle enthält die Eigenschaften, die Sie für Attributsätze und benutzerdefinierte Sicherheitsattribute angeben können. Einige Eigenschaften sind unveränderlich und können später nicht mehr geändert werden.

Eigenschaft Erforderlich Nachträglich änderbar Beschreibung
Name des Attributsatzes Der Name des Attributsatzes. Muss innerhalb eines Mandanten eindeutig sein. Darf keine Leerzeichen oder Sonderzeichen enthalten.
„Attribute set description“ (Beschreibung des Attributsatzes) Die Beschreibung des Attributsatzes.
Maximale Anzahl von Attributen Die maximale Anzahl benutzerdefinierter Sicherheitsattribute, die in einem Attributsatz definiert werden können. Der Standardwert ist null. Ohne Angabe kann der Administrator maximal 500 aktive Attribute pro Mandant hinzufügen.
Attributsatz Eine Sammlung verwandter benutzerdefinierter Sicherheitsattribute. Jedes benutzerdefinierte Sicherheitsattribut muss Teil eines Attributsatzes sein.
Attributname Der Name des benutzerdefinierten Sicherheitsattributs. Muss innerhalb eines Attributsatzes eindeutig sein. Darf keine Leerzeichen oder Sonderzeichen enthalten.
Attributbeschreibung Die Beschreibung des benutzerdefinierten Sicherheitsattributs.
Datentyp Der Datentyp für die Werte des benutzerdefinierten Sicherheitsattributs. Unterstützte Typen: Boolean, Integer und String.
„Allow multiple values to be assigned“ (Zuweisen mehrerer Werte zulassen) Gibt an, ob dem benutzerdefinierten Sicherheitsattribut mehrere Werte zugewiesen werden können. Wenn der Datentyp auf festgelegt Boolean ist, kann diese Eigenschaft nicht auf „Ja“ festgelegt werden.
Nur die Zuweisung vordefinierter Werte zulassen Gibt an, ob dem benutzerdefinierten Sicherheitsattribut nur vordefinierte zugewiesen werden können. Ist diese Eigenschaft auf „Nein“ festgelegt, sind Freiformwerte zulässig. Kann später von „Ja“ in „Nein“, aber nicht von „Nein“ in „Ja“ geändert werden. Wenn der Datentyp auf festgelegt Boolean ist, kann diese Eigenschaft nicht auf „Ja“ festgelegt werden.
„Predefined values“ (Vordefinierte Werte) Vordefinierte Werte für das benutzerdefinierte Sicherheitsattribut des ausgewählten Datentyps. Weitere vordefinierte Werte können später hinzugefügt werden. Die Werte können Leerzeichen enthalten, es sind jedoch nicht alle Sonderzeichen zulässig.
„Predefined value is active“ (Vordefinierter Wert ist aktiv) Gibt an, ob der vordefinierte Wert aktiv oder deaktiviert ist. Ist diese Eigenschaft auf „False“ festgelegt, kann der vordefinierte Wert keinen weiteren unterstützten Verzeichnisobjekten zugewiesen werden.
Attribut ist aktiv Gibt an, ob das benutzerdefinierte Sicherheitsattribut aktiv oder deaktiviert ist.

Grenzen und Einschränkungen

Hier finden Sie einige der Grenzwerte und Einschränkungen für benutzerdefinierte Sicherheitsattribute:

Resource Begrenzung Notizen
Attributdefinitionen pro Mandant 500 Gilt nur für aktive Attribute im Mandanten
Attributsätze pro Mandant 500
Länge des Attributsatznamens 32 Unicode-Zeichen mit Beachtung der Groß-/Kleinschreibung
Länge der Attributsatzbeschreibung 128 Unicode-Zeichen
Länge des Attributnamens 32 Unicode-Zeichen mit Beachtung der Groß-/Kleinschreibung
Länge der Attributbeschreibung 128 Unicode-Zeichen
„Predefined values“ (Vordefinierte Werte) Unicode-Zeichen mit Beachtung der Groß-/Kleinschreibung
Vordefinierte Werte pro Attributdefinition 100
Länge des Attributwerts 64 Unicode-Zeichen
Pro Objekt zugewiesene Attributwerte 50 Werte können auf ein- und mehrwertige Attribute verteilt werden.
Beispiel: Fünf Attribute mit jeweils zehn Werten oder 50 Attribute mit jeweils einem Wert
Sonderzeichen sind nicht zulässig für:
Name des Attributsatzes
Attributname
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / Der Name des Attributsatzes und der Attributname dürfen nicht mit einer Zahl beginnen.
Sonderzeichen, die für Attributwerte zulässig sind Alle Sonderzeichen
Sonderzeichen, die für Attributwerte zulässig sind, wenn sie mit Blobindextags verwendet werden <space> + - . : = _ / Wenn Sie Attributwerte mit Blobindextags verwenden möchten, sind nur diese Sonderzeichen für Blobindextags zulässig. Weitere Informationen finden Sie unter Festlegen von Blobindextags.

Rollen für benutzerdefinierte Sicherheitsattribute

Microsoft Entra ID bietet integrierte Rollen für die Arbeit mit benutzerdefinierten Sicherheitsattributen. Für die Verwaltung benutzerdefinierter Sicherheitsattribute wird mindestens die Rolle „Administrator für Attributdefinitionen“ benötigt. Benutzer, die benutzerdefinierte Sicherheitsattributwerte für Microsoft Entra-Objekte wie Benutzer und Anwendungen zuweisen möchten, benötigen mindestens die Rolle „Administrator für Attributzuweisungen“. Diese Rollen können auf Mandantenebene oder auf Attributsatzebene zugewiesen werden.

Role Berechtigungen
Leser für Attributdefinitionen Attributsätze lesen
Definitionen benutzerdefinierter Sicherheitsattribute lesen
Administrator für Attributdefinitionen Alle Aspekte von Attributsätzen verwalten
Alle Aspekte der Definitionen benutzerdefinierter Sicherheitsattribute verwalten
Leser für Attributzuweisungen Attributsätze lesen
Definitionen benutzerdefinierter Sicherheitsattribute lesen
Schlüssel und Werte benutzerdefinierter Sicherheitsattribute für Benutzer und Dienstprinzipale lesen
Administrator für Attributzuweisungen Attributsätze lesen
Definitionen benutzerdefinierter Sicherheitsattribute lesen
Schlüssel und Werte benutzerdefinierter Sicherheitsattribute für Benutzer und Dienstprinzipale lesen und aktualisieren
Attributprotokollleser Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
Attributprotokolladministrator Lesen von Überwachungsprotokollen für benutzerdefinierte Sicherheitsattribute
Konfigurieren von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Microsoft Graph-API

Benutzerdefinierte Sicherheitsattribute können Sie programmgesteuert mithilfe der Microsoft Graph-API verwalten. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mithilfe der Microsoft Graph-API.

Sie können einen API-Client wie Graph-Tester verwenden, um die Microsoft Graph-API für benutzerdefinierte Sicherheitsattribute einfacher zu testen.

Screenshot zeigt einen Microsoft Graph-API-Aufruf für benutzerdefinierte Sicherheitsattribute.

Lizenzanforderungen

Die Nutzung dieses Features ist kostenlos und in Ihrem Azure-Abonnement enthalten.

Nächste Schritte