Vue d’ensemble des attributs de sécurité personnalisés à l’aide de Microsoft API Graph

Les attributs de sécurité personnalisés dans Microsoft Entra ID sont des attributs spécifiques à l’entreprise (paires clé-valeur) que vous pouvez définir et affecter à Microsoft Entra objets. Vous pouvez utiliser ces attributs pour stocker des informations, catégoriser des objets ou appliquer un contrôle d’accès affiné sur des ressources Azure spécifiques. Les attributs de sécurité personnalisés peuvent être utilisés avec le contrôle d’accès en fonction des attributs Azure (Azure ABAC).

Cet article fournit une vue d’ensemble de l’utilisation de Microsoft API Graph pour définir et affecter par programmation vos propres attributs de sécurité personnalisés.

Types de ressources clés

Voici les blocs de construction des attributs de sécurité personnalisés.

Jeux d’attributs

Un jeu d’attributs est un groupe d’attributs de sécurité personnalisés associés. Voici les caractéristiques générales des jeux d’attributs :

  • Le nom ne peut pas inclure d’espaces ou de caractères spéciaux.
  • Impossible de renommer ou de supprimer.
  • Peut être délégué à d’autres utilisateurs pour définir et attribuer des attributs de sécurité personnalisés.

Pour configurer des jeux d’attributs, utilisez le type de ressource attributeSet.

Définitions d’attribut de sécurité personnalisées

Une définition d’attribut de sécurité personnalisée est le schéma d’un attribut de sécurité personnalisé ou d’une paire clé-valeur. Par exemple, le nom, la description, le type de données et les valeurs prédéfinies de l’attribut de sécurité personnalisé. Voici les caractéristiques générales des définitions d’attributs de sécurité personnalisés :

  • Le nom ne peut pas inclure d’espaces ou de caractères spéciaux.
  • Ne peut pas être renommé ou supprimé, mais peut être désactivé.
  • Doit faire partie d’un jeu d’attributs.

Pour configurer des définitions d’attributs de sécurité personnalisées, utilisez le type de ressource customSecurityAttributeDefinition.

Valeurs autorisées

Les valeurs autorisées représentent les valeurs prédéfinies d’un attribut de sécurité personnalisé. Voici les caractéristiques générales des valeurs autorisées :

  • Les valeurs peuvent inclure des espaces, mais certains caractères spéciaux ne sont pas autorisés.
  • Ne peut pas être renommé ou supprimé, mais peut être désactivé.
  • Des valeurs prédéfinies supplémentaires peuvent être ajoutées ultérieurement.
  • Il peut s’agir de types de données Boolean, Integer ou String.

Pour configurer des valeurs autorisées, utilisez le type de ressource allowedValue.

Quels objets d’annuaire prennent en charge les attributs de sécurité personnalisés ?

Les attributs de sécurité personnalisés peuvent être affectés aux objets suivants à l’aide de la propriété customSecurityAttributes . Les utilisateurs synchronisés d’annuaire à partir d’un Active Directory local peuvent également se voir attribuer des attributs de sécurité personnalisés.

Pour obtenir des exemples d’attributions d’attributs de sécurité personnalisées, consultez Exemples : Affecter, mettre à jour, lister ou supprimer des attributions d’attributs de sécurité personnalisées à l’aide de microsoft API Graph.

Limites et contraintes

Pour obtenir la liste des limites et contraintes des attributs de sécurité personnalisés, consultez Limites et contraintes.

Autorisations

Pour gérer les attributs de sécurité personnalisés, l’un des rôles Microsoft Entra suivants doit être attribué au principal appelant. Par défaut, l’administrateur général et les autres rôles d’administrateur ne disposent pas des autorisations nécessaires pour lire, définir ou affecter des attributs de sécurité personnalisés.

En outre, le principal appelant doit disposer des autorisations d’attributs de sécurité personnalisés appropriées.

Prochaines étapes