O que são os atributos de segurança personalizados no Microsoft Entra ID?
Os Atributos de segurança personalizados no Microsoft Entra ID são atributos específicos da empresa (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Esses atributos podem ser usados para armazenar informações, categorizar objetos ou impor um controle de acesso refinado sobre recursos específicos do Azure. Atributos de segurança personalizados podem ser usados com ABAC (controle de acesso baseado em atributo) do Azure.
Por que usar atributos de segurança personalizados?
Aqui estão alguns cenários em que é possível usar atributos de segurança personalizados:
- Estenda perfis de usuário, como adicionar Salário por hora a todos os meus funcionários.
- Certifique-se de que somente os administradores possam ver o atributo de salário por hora nos perfis dos meus funcionários.
- Categorizar centenas ou milhares de aplicativos para criar facilmente um inventário filtrável para auditoria.
- Conceder aos usuários acesso aos blobs de Armazenamento do Azure que pertencem a um projeto.
O que posso fazer com atributos de segurança personalizados?
Os atributos de segurança personalizados incluem estes recursos:
- Defina informações específicas do negócio (atributos) para seu locatário.
- Adicione um conjunto de atributos de segurança personalizados aos usuários e aplicativos.
- Gerencie objetos do Microsoft Entra usando atributos de segurança personalizados com consultas e filtros.
- Forneça a governança de atributo para que os atributos determinem quem pode obter acesso.
Não há suporte para atributos de segurança personalizados nas seguintes áreas:
- Serviços de Domínio do Microsoft Entra
- Declarações de token SAML (Security Assertion Markup Language)
Recurso dos atributos de segurança personalizados
Os atributos de segurança personalizados incluem estes recursos:
- Disponível em todo o locatário
- Incluir uma descrição
- Suporte a tipos de dados diferentes: booliano, inteiro, cadeia de caracteres
- Dar suporte a um único valor ou a vários valores
- Suporte a valores sem forma e definidos pelo usuário ou valores predefinidos
- Atribuir atributos de segurança personalizados a usuários sincronizados com o diretório de um Active Directory local
O exemplo a seguir mostra vários atributos de segurança personalizados atribuídos a um usuário. Os atributos de segurança personalizados são tipos de dados diferentes e têm valores que são únicos, múltiplos, de forma livre ou predefinidos.
Objetos que dão suporte a atributos de segurança personalizados
É possível adicionar atributos de segurança personalizados para os seguintes objetos do Microsoft Entra:
- Usuários do Microsoft Entra
- Aplicativos empresariais do Microsoft Entra (entidades de serviço)
Qual a semelhança entre atributos de segurança personalizados e extensões?
Embora as extensões e os atributos de segurança personalizados possam ser usados para estender objetos no Microsoft Entra ID e no Microsoft 365, eles são adequados para cenários de dados personalizados fundamentalmente diferentes. Aqui estão algumas semelhanças entre atributos de segurança personalizados e extensões:
| Funcionalidade | Extensões | Atributos de segurança personalizados |
|---|---|---|
| Estender objetos do Microsoft Entra ID e do Microsoft 365 | Sim | Sim |
| Objetos com suporte | Depende do tipo de extensão | Usuários e entidades de serviço |
| Acesso restrito | Não. Qualquer pessoa com permissões para ler o objeto pode ler os dados da extensão. | Sim. O acesso de leitura e gravação é restrito por meio de um conjunto separado de permissões e RBAC (controle de acesso baseado em função). |
| Quando usar | Armazenar dados a serem usados por um aplicativo Armazenar dados não confidenciais |
Armazenar dados confidenciais Usar para cenários de autorização |
| Requisitos de licença | Disponível em todas as edições do Microsoft Entra ID | Disponível em todas as edições do Microsoft Entra ID |
Para obter mais informações, consulte Adicionar dados personalizados aos recursos por meio de extensões.
Passos para usar atributos de segurança personalizados
Verificar permissões
Verifique foram atribuídas as funções de Administrador de Definição de Atributo ou de Administrador de Atribuição de Atributo. Se necessário, alguém que tenha pelo menos a função de Administrador de Função com Privilégios pode atribuir essas funções.
Adicionar conjuntos de atributos
Inclua conjuntos de atributos para agrupar e gerenciar os atributos de segurança personalizados relacionados. Saiba mais
Gerenciar conjuntos de atributos
Especifique quem pode ler, definir ou atribuir atributos de segurança personalizados em um conjunto de atributos. Saiba mais
Definir atributos
Adicione seus atributos de segurança personalizados para seu diretório. É possível especificar o tipo de data (booliano, inteiro ou cadeia de caracteres) e se os valores são predefinidos, de forma livre, única ou múltipla. Saiba mais
Atribuir atributos
Atribua atributos de segurança personalizados aos objetos do Microsoft Entra para seus cenários de negócios. Saiba mais
Usar atributos
Filtre usuários e aplicativos que usam atributos de segurança personalizados. Saiba mais
Adicione condições que usam atributos de segurança personalizados às atribuições de funções do Azure para controle de acesso refinado. Saiba mais
Terminologia
Para entender melhor os atributos de segurança personalizados, você pode consultar novamente a lista de termos a seguir.
| Termo | Definição |
|---|---|
| definição de atributo | O esquema de um atributo de segurança personalizado ou par chave-valor. Por exemplo, o nome do atributo de segurança personalizado, a descrição, o tipo de dados e os valores predefinidos. |
| conjunto de atributos | Uma coleção de atributos de segurança personalizados relacionados. Os conjuntos de atributos podem ser delegados a outros usuários para definir e atribuir atributos de segurança personalizados. |
| nome do atributo | Um nome exclusivo de um atributo de segurança personalizado dentro de um conjunto de atributos. A combinação do conjunto de atributos e do nome do atributo forma um atributo exclusivo para seu locatário. |
| atribuição de atributos | A atribuição de um atributo de segurança personalizado a um objeto do Microsoft Entra, como usuários e aplicativos empresariais (entidades de serviço). |
| valor predefinido | Um valor que é permitido para um atributo de segurança personalizado. |
Propriedades de atributo de segurança personalizadas
A tabela a seguir lista as propriedades que é possível especificar para conjuntos de atributos e atributos de segurança personalizados. Algumas propriedades são imutáveis e não podem ser alteradas posteriormente.
| Propriedade | Obrigatório | Pode ser alterado posteriormente | Descrição |
|---|---|---|---|
| Nome do conjunto de atributos | ✅ | Nome do conjunto de atributos. Deve ser exclusivo dentro de um locatário. Não é possível incluir espaços ou caracteres especiais. | |
| Descrição do conjunto de atributos | ✅ | Descrição do conjunto de atributos. | |
| Número máximo de atributos | ✅ | Número máximo de atributos de segurança personalizados que podem ser definidos em um conjunto de atributos. O valor padrão é null. Se não for especificado, o administrador poderá adicionar até o máximo de 500 atributos ativos por locatário. |
|
| Conjunto de atributos | ✅ | Uma coleção de atributos de segurança personalizados relacionados. Cada atributo de segurança personalizado deve fazer parte de um conjunto de atributos. | |
| Nome do atributo | ✅ | Nome do atributo de segurança personalizado. Deve ser exclusivo em um conjunto de atributos. Não é possível incluir espaços ou caracteres especiais. | |
| Descrição do atributo | ✅ | Descrição do atributo de segurança personalizado. | |
| Tipo de dados | ✅ | Tipo de dados para os valores de atributo de segurança personalizados. Os tipos com suporte são Boolean, Integer, e String. |
|
| Permitir que vários valores sejam atribuídos | ✅ | Indica se vários valores podem ser atribuídos ao atributo de segurança personalizado. Se o tipo de dados for definido como Boolean, não poderá ser definido como Sim. |
|
| Permitir que apenas valores predefinidos sejam atribuídos | ✅ | Indica se apenas valores predefinidos podem ser atribuídos ao atributo de segurança personalizado. Se definido como Não, os valores de forma livre serão permitidos. Posteriormente, pode ser alterado de Sim para não, mas não pode ser alterado de Não para Sim. Se o tipo de dados for definido como Boolean, não poderá ser definido como Sim. |
|
| Valores predefinidos | Valores predefinidos para o atributo de segurança personalizado do tipo de dados selecionado. Mais valores predefinidos podem ser adicionados posteriormente. Os valores podem incluir espaços, mas alguns caracteres especiais não são permitidos. | ||
| O valor predefinido está ativo | ✅ | Especifica se o valor predefinido está ativo ou desativado. Se definido como false, o valor predefinido não poderá ser atribuído a nenhum objeto de diretório adicional com suporte. | |
| O atributo está ativo | ✅ | Especifica se o atributo de segurança personalizado está ativo ou desativado. |
Limites e restrições
Aqui estão alguns dos limites e restrições para atributos de segurança personalizados.
| Recurso | Limite | Observações |
|---|---|---|
| Definições de atributo por locatário | 500 | Aplica-se somente a atributos ativos no locatário |
| Conjuntos de atributos por locatário | 500 | |
| Tamanho do nome do conjunto de atributos | 32 | Caracteres Unicode e diferencia maiúsculas de minúsculas |
| Tamanho da descrição do conjunto de atributos | 128 | Caracteres Unicode |
| Tamanho do nome do atributo | 32 | Caracteres Unicode e diferencia maiúsculas de minúsculas |
| Tamanho da descrição do atributo | 128 | Caracteres Unicode |
| Valores predefinidos | Caracteres Unicode e diferencia maiúsculas de minúsculas | |
| Valores predefinidos por definição de atributo | 100 | |
| Tamanho do valor do atributo | 64 | Caracteres Unicode |
| Valores de atributo atribuídos por objeto | 50 | Os valores podem ser distribuídos entre atributos únicos e multivalorizados. Exemplo: 5 atributos com 10 valores cada ou 50 atributos com 1 valor cada |
| Caracteres especiais não são permitidos em: Nome do conjunto de atributos Nome do atributo |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
O nome do conjunto de atributos e o nome do atributo não podem começar com um número |
| Caracteres especiais permitidos para valores de atributo | Todos os caracteres especiais | |
| Caracteres especiais permitidos para valores de atributo quando usados com marcas de índice de blob | <space> + - . : = _ / |
Se você planeja usar valores de atributo com marcas de índice de blob, esses são os únicos caracteres especiais permitidos para marcas de índice de blob. Para obter mais informações, consulte Configuração de marcas de índice de blob. |
Funções de atributo de segurança personalizadas
O Microsoft Entra ID fornece funções internas para trabalhar com atributos de segurança personalizados. A função de administrador de definição de atributo é a função mínima que você precisa para gerenciar atributos de segurança personalizados. A função Administrador de atribuição de atributo é a função mínima que você precisa para atribuir valores de atributo de segurança personalizados para os objetos do Microsoft Entra, como usuários e aplicativos. É possível atribuir essas funções no escopo do locatário ou no escopo do conjunto de atributos.
| Função | Permissões |
|---|---|
| Leitor de definição de atributos | Leitura de conjuntos de atributos Leitura das definições de atributo de segurança personalizadas |
| Administrador de Definição de Atributo | Gerenciar todos os aspectos dos conjuntos de atributos Gerenciar todos os aspectos das definições de atributo de segurança personalizadas |
| Leitor de atribuição de atributos | Leitura de conjuntos de atributos Leitura das definições de atributo de segurança personalizadas Leitura de valores e chaves de atributo de segurança personalizados para usuários e entidades de serviço |
| Administrador de Atribuição de Atributo | Leitura de conjuntos de atributos Leitura das definições de atributo de segurança personalizadas Leitura de valores, atualização e chaves de atributo de segurança personalizados para usuários e entidades de serviço |
| Leitor de Log de Atributos | Ler logs de auditoria para atributos de segurança personalizados |
| Administrador de Log de Atributos | Ler logs de auditoria para atributos de segurança personalizados Definir configurações de diagnóstico para atributos de segurança personalizados |
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.
API do Microsoft Graph
Você pode gerenciar atributos de segurança personalizados programaticamente usando a API do Microsoft Graph. Para saber mais, confira Visão geral dos atributos de segurança personalizados usando a API do Microsoft Graph.
Você pode usar um cliente de API, como o Explorador do Graph, para experimentar com mais facilidade a API do Microsoft Graph para atributos de segurança personalizados.
Requisitos de licença
O uso desse recurso é gratuito e está incluído em sua assinatura do Azure.