Che cosa sono gli attributi di sicurezza personalizzati in Microsoft Entra ID?

Gli attributi di sicurezza personalizzati in Microsoft Entra ID sono attributi specifici dell'azienda (coppie chiave-valore) che è possibile definire e assegnare agli oggetti Microsoft Entra. Questi attributi possono essere usati per archiviare informazioni, categorizzare oggetti o applicare un controllo di accesso con granularità fine a risorse di Azure specifiche. Gli attributi di sicurezza personalizzati possono essere usati con il controllo degli accessi in base all'attributo di Azure.

Perché usare attributi di sicurezza personalizzati?

Ecco alcuni scenari in cui è possibile usare attributi di sicurezza personalizzati:

  • Estendere i profili utente, ad esempio aggiungere Stipendio orario a tutti i miei dipendenti.
  • Assicurarsi che solo gli amministratori possano vedere l'attributo dello stipendio orario nei profili dei dipendenti.
  • Categorizzare centinaia o migliaia di applicazioni per creare facilmente un inventario filtrabile a scopo di controllo.
  • Concedere agli utenti l'accesso ai BLOB di Archiviazione di Azure appartenenti a un progetto.

Cosa si può fare con gli attributi di sicurezza personalizzati?

Gli attributi di sicurezza personalizzati includono queste funzionalità:

  • Definire informazioni specifiche dell'azienda (attributi) per il tenant.
  • Aggiungere un set di attributi di sicurezza personalizzati per utenti e applicazioni.
  • Gestire gli oggetti di Microsoft Entra usando attributi di sicurezza personalizzati con query e filtri.
  • Fornire la governance degli attributi in modo che gli attributi determinino chi può ottenere l'accesso.

Gli attributi di sicurezza personalizzati non sono supportati nelle aree seguenti:

Caratteristiche degli attributi di sicurezza personalizzati

Gli attributi di sicurezza personalizzati includono queste funzionalità:

  • Disponibili a livello di tenant
  • Includono una descrizione
  • Supportano tipi di dati diversi: booleano, intero, stringa
  • Supportano valori singoli o multipli
  • Supportano valori in formato libero definiti dall'utente o valori predefiniti
  • Assegnano attributi di sicurezza personalizzati agli utenti sincronizzati con la directory da un servizio Active Directory locale

Nell'esempio seguente vengono illustrati diversi attributi di sicurezza personalizzati assegnati a un utente. Gli attributi di sicurezza personalizzati sono tipi di dati diversi e hanno valori singoli, multipli, in formato libero o predefiniti.

Screenshot degli esempi di attributi di sicurezza personalizzati assegnati a un utente.

Oggetti che supportano attributi di sicurezza personalizzati

È possibile aggiungere attributi di sicurezza personalizzati per gli oggetti Microsoft Entra seguenti:

  • Utenti di Microsoft Entra
  • Applicazioni aziendali Microsoft Entra (entità servizio)

In che modo gli attributi di sicurezza personalizzati vengono confrontati con le estensioni?

Sebbene sia le estensioni che gli attributi di sicurezza personalizzati possano essere usati per estendere gli oggetti in Microsoft Entra ID e Microsoft 365, sono adatti per scenari di dati personalizzati fondamentalmente diversi. Ecco alcuni modi in cui gli attributi di sicurezza personalizzati vengono confrontati con le estensioni:

Funzionalità Estensioni Attributi di sicurezza personalizzati
Estendere gli oggetti Microsoft Entra ID e Microsoft 365
Oggetti supportati Dipende dal tipo di estensione Utenti ed entità servizio
Accesso con restrizioni No. Chiunque disponga delle autorizzazioni per leggere l'oggetto può leggere i dati dell'estensione. Sì. L'accesso in lettura e scrittura è limitato tramite un set separato di autorizzazioni e controllo degli accessi in base al ruolo.
Quando utilizzare Archiviare i dati da usare da un'applicazione
Archiviare dati non sensibili
Archiviare dati sensibili
Uso per scenari di autorizzazione
Requisiti di licenza Disponibile in tutte le edizioni di Microsoft Entra ID Disponibile in tutte le edizioni di Microsoft Entra ID

Per altre informazioni sull'uso delle estensioni, vedere Aggiungere dati personalizzati alle risorse usando le estensioni.

Passaggi per l'uso di attributi di sicurezza personalizzati

  1. Controllare le autorizzazioni

    Verificare di aver assegnato i ruoli Amministratore definizione attributi o Amministratore assegnazione attributi. Se necessario, un utente con almeno il ruolo di amministratore ruolo con privilegi può assegnare questi ruoli.

    Diagramma che mostra il controllo delle autorizzazioni per aggiungere attributi di sicurezza personalizzati in Microsoft Entra ID.

  2. Aggiungere set di attributi

    Aggiungere set di attributi per raggruppare e gestire gli attributi di sicurezza personalizzati correlati. Ulteriori informazioni

    Diagramma che mostra l'aggiunta di più set di attributi.

  3. Gestire i set di attributi

    Specificare chi può leggere, definire o assegnare attributi di sicurezza personalizzati in un set di attributi. Ulteriori informazioni

    Diagramma che mostra l'assegnazione di amministratori di definizioni di attributi e amministratori di assegnazione di attributi ai set di attributi.

  4. Definire gli attributi

    Aggiungere gli attributi di sicurezza personalizzati alla directory. È possibile specificare il tipo di data (booleano, integer o stringa) e se i valori sono predefiniti, in formato libero, singolo o multiplo. Ulteriori informazioni

    Diagramma che mostra gli amministratori delegati che definiscono attributi di sicurezza personalizzati.

  5. Assegnare attributi

    Assegnare attributi di sicurezza personalizzati agli oggetti Microsoft Entra per gli scenari aziendali. Ulteriori informazioni

    Diagramma che mostra gli amministratori delegati che assegnano attributi di sicurezza personalizzati agli oggetti Microsoft Entra.

  6. Usare gli attributi

    Filtrare utenti e applicazioni che usano attributi di sicurezza personalizzati. Ulteriori informazioni

    Aggiungere condizioni che usano attributi di sicurezza personalizzati alle assegnazioni di ruolo di Azure per il controllo di accesso con granularità fine. Ulteriori informazioni

Terminologia

Per comprendere meglio gli attributi di sicurezza personalizzati, è possibile fare riferimento all'elenco seguente di termini.

Termine Definizione
definizione dell'attributo Schema di un attributo di sicurezza personalizzato o di una coppia chiave-valore. Ad esempio, il nome dell'attributo di sicurezza personalizzato, la descrizione, il tipo di dati e i valori predefiniti.
set di attributi Raccolta di attributi di sicurezza personalizzati correlati. I set di attributi possono essere delegati ad altri utenti per la definizione e l'assegnazione di attributi di sicurezza personalizzati.
nome attributo Nome univoco di un attributo di sicurezza personalizzato all'interno di un set di attributi. La combinazione di set di attributi e nome attributo costituisce un attributo univoco per il tenant.
assegnazione di attributi Assegnazione di un attributo di sicurezza personalizzato a un oggetto Microsoft Entra, ad esempio utenti e applicazioni aziendali (entità servizio).
valore predefinito Valore consentito per un attributo di sicurezza personalizzato.

Proprietà degli attributi di sicurezza personalizzate

Nella tabella seguente sono elencate le proprietà che è possibile specificare per i set di attributi e gli attributi di sicurezza personalizzati. Alcune proprietà non sono modificabili e non possono essere modificate in un secondo momento.

Proprietà Richiesto Può essere modificato in un secondo momento Descrizione
Nome set di attributi Nome del set di attributi. Deve essere univoco all'interno di un tenant. Impossibile includere spazi o caratteri speciali.
Descrizione del set di attributi Descrizione del set di attributi.
Numero massimo di attributi Numero massimo di attributi di sicurezza personalizzati che possono essere definiti in un set di attributi. Il valore predefinito è null. Se non specificato, l'amministratore può aggiungere fino a un massimo di 500 attributi attivi per ogni tenant.
Set di attributi Raccolta di attributi di sicurezza personalizzati correlati. Ogni attributo di sicurezza personalizzato deve far parte di un set di attributi.
Attribute name Nome dell'attributo di sicurezza personalizzato. Deve essere univoco all'interno di un set di attributi. Impossibile includere spazi o caratteri speciali.
Descrizione dell'attributo Descrizione dell'attributo di sicurezza personalizzato.
Tipo di dati Tipo di dati per i valori degli attributi di sicurezza personalizzati. I tipi supportati sono Boolean, Integere String.
Consenti l'assegnazione di più valori Indica se è possibile assegnare più valori all'attributo di sicurezza personalizzato. Se il tipo di dati è impostato su , non può essere impostato Booleansu Sì.
Consenti solo l'assegnazione di valori predefiniti Indica se è possibile assegnare solo valori predefiniti all'attributo di sicurezza personalizzato. Se è impostato su No, sono consentiti valori in formato libero. In seguito è possibile passare da Sì a No, ma non è possibile passare da No a Sì. Se il tipo di dati è impostato su , non può essere impostato Booleansu Sì.
Valori predefiniti Valori predefiniti per l'attributo di sicurezza personalizzato del tipo di dati selezionato. Più valori predefiniti possono essere aggiunti in un secondo momento. I valori possono includere spazi, ma alcuni caratteri speciali non sono consentiti.
Il valore predefinito è attivo Specifica se il valore predefinito è attivo o disattivato. Se impostato su false, il valore predefinito non può essere assegnato ad altri oggetti directory supportati.
Attributo attivo Specifica se l'attributo di sicurezza personalizzato è attivo o disattivato.

Limiti e vincoli

Ecco alcuni dei limiti e dei vincoli per gli attributi di sicurezza personalizzati.

Conto risorse Limite Note
Definizioni di attributi per tenant 500 Si applica solo agli attributi attivi nel tenant
Set di attributi per tenant 500
Lunghezza del nome del set di attributi 32 Caratteri Unicode e distinzione tra maiuscole e minuscole
Lunghezza della descrizione del set di attributi 128 Caratteri Unicode
Lunghezza del nome dell'attributo 32 Caratteri Unicode e distinzione tra maiuscole e minuscole
Lunghezza descrizione attributo 128 Caratteri Unicode
Valori predefiniti Caratteri Unicode e distinzione tra maiuscole e minuscole
Valori predefiniti per definizione di attributo 100
Lunghezza valore attributo 64 Caratteri Unicode
Valori di attributo assegnati per oggetto 50 I valori possono essere distribuiti tra attributi singoli e multivalore.
Esempio: 5 attributi con 10 valori ciascuno o 50 attributi con 1 valore ciascuno
Caratteri speciali non consentiti per:
Nome set di attributi
Attribute name
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / Il nome del set di attributi e il nome dell'attributo non possono iniziare con un numero
Caratteri speciali consentiti per i valori degli attributi Tutti i caratteri speciali
Caratteri speciali consentiti per i valori degli attributi quando vengono usati con i tag di indice BLOB <space> + - . : = _ / Se si prevede di usare valori di attributo con tag di indice BLOB, questi sono gli unici caratteri speciali consentiti per i tag di indice BLOB. Per altre informazioni, vedere Impostazione dei tag di indice BLOB.

Ruoli degli attributi di sicurezza personalizzati

Microsoft Entra ID fornisce ruoli predefiniti per lavorare con attributi di sicurezza personalizzati. Il ruolo Amministratore definizione attributi è il ruolo minimo necessario per gestire gli attributi di sicurezza personalizzati. Il ruolo Amministratore assegnazione attributi è il ruolo minimo necessario per assegnare valori di attributo di sicurezza personalizzati per gli oggetti Microsoft Entra, ad esempio utenti e applicazioni. È possibile assegnare questi ruoli nell'ambito del tenant o nell'ambito del set di attributi.

Ruolo Autorizzazioni
Lettore definizione di attributi Leggere i set di attributi
Leggere definizioni di attributi di sicurezza personalizzati
Amministratore definizione di attributi Gestione di tutti gli aspetti dei set di attributi
Gestione di tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati
Lettore assegnazione attributi Leggere i set di attributi
Leggere definizioni di attributi di sicurezza personalizzati
Leggere chiavi e valori di attributi di sicurezza personalizzati per utenti ed entità servizio
Amministratore assegnazione di attributi Leggere i set di attributi
Leggere definizioni di attributi di sicurezza personalizzati
Leggere e aggiornare chiavi e valori personalizzati degli attributi di sicurezza per utenti ed entità servizio
Lettore log attributi Leggere i log di controllo per gli attributi di sicurezza personalizzati
Amministratore log attributi Leggere i log di controllo per gli attributi di sicurezza personalizzati
Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

API di Microsoft Graph

È possibile gestire gli attributi di sicurezza personalizzati a livello di codice usando l'API Microsoft Graph. Per altre informazioni, vedere Panoramica degli attributi di sicurezza personalizzati con l'API Microsoft Graph.

È possibile usare un client API come Graph Explorer per provare più facilmente l'API Microsoft Graph per gli attributi di sicurezza personalizzati.

Screenshot che mostra una chiamata api Microsoft Graph per attributi di sicurezza personalizzati.

Requisiti di licenza

L'uso di questa funzionalità è gratuito ed è incluso nella sottoscrizione di Azure.

Passaggi successivi