O que são atributos de segurança personalizados no Microsoft Entra ID?
Os atributos de segurança personalizados no Microsoft Entra ID são atributos específicos do negócio (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Esses atributos podem ser usados para armazenar informações, categorizar objetos ou impor controle de acesso refinado sobre recursos específicos do Azure. Os atributos de segurança personalizados podem ser usados com o controle de acesso baseado em atributos (ABAC) do Azure.
Por que usar atributos de segurança personalizados?
Aqui estão alguns cenários em que você pode usar atributos de segurança personalizados:
- Estender perfis de usuário, como adicionar salário por hora a todos os meus funcionários.
- Certifique-se de que apenas os administradores podem ver o atributo Salário por Hora nos perfis dos meus funcionários.
- Categorize centenas ou milhares de aplicativos para criar facilmente um inventário filtrável para auditoria.
- Conceda aos usuários acesso aos blobs de Armazenamento do Azure pertencentes a um projeto.
O que posso fazer com atributos de segurança personalizados?
Os atributos de segurança personalizados incluem estes recursos:
- Defina informações (atributos) específicas da empresa para o seu inquilino.
- Adicione um conjunto de atributos de segurança personalizados em usuários e aplicativos.
- Gerencie objetos do Microsoft Entra usando atributos de segurança personalizados com consultas e filtros.
- Forneça governança de atributos para que os atributos determinem quem pode obter acesso.
Não há suporte para atributos de segurança personalizados nas seguintes áreas:
Recursos de atributos de segurança personalizados
Os atributos de segurança personalizados incluem estes recursos:
- Disponível em todo o inquilino
- Inclua uma descrição
- Suporte a diferentes tipos de dados: Booleano, inteiro, string
- Suporta valor único ou vários valores
- Suporte a valores de forma livre definidos pelo usuário ou valores predefinidos
- Atribuir atributos de segurança personalizados a usuários sincronizados de diretório a partir de um Ative Directory local
O exemplo a seguir mostra vários atributos de segurança personalizados atribuídos a um usuário. Os atributos de segurança personalizados são tipos de dados diferentes e têm valores que são únicos, múltiplos, de forma livre ou predefinidos.
Objetos que suportam atributos de segurança personalizados
Você pode adicionar atributos de segurança personalizados para os seguintes objetos do Microsoft Entra:
- Usuários do Microsoft Entra
- Aplicações empresariais Microsoft Entra (entidades de serviço)
Como os atributos de segurança personalizados se comparam com as extensões?
Embora as extensões e os atributos de segurança personalizados possam ser usados para estender objetos no Microsoft Entra ID e no Microsoft 365, eles são adequados para cenários de dados personalizados fundamentalmente diferentes. Aqui estão algumas maneiras pelas quais os atributos de segurança personalizados se comparam com extensões:
Funcionalidade | Extensões | Atributos de segurança personalizados |
---|---|---|
Estender objetos do Microsoft Entra ID e do Microsoft 365 | Sim | Sim |
Objetos suportados | Depende do tipo de extensão | Usuários e entidades de serviço |
Acesso restrito | N.º Qualquer pessoa com permissões para ler o objeto pode ler os dados da extensão. | Sim. O acesso de leitura e gravação é restrito por meio de um conjunto separado de permissões e RBAC (controle de acesso baseado em função). |
Quando utilizar o | Armazenar dados a serem usados por um aplicativo Armazenar dados não confidenciais |
Armazenar dados confidenciais Uso para cenários de autorização |
Requisitos de licença | Disponível em todas as edições do Microsoft Entra ID | Disponível em todas as edições do Microsoft Entra ID |
Para obter mais informações sobre como trabalhar com extensões, consulte Adicionar dados personalizados a recursos usando extensões.
Etapas para usar atributos de segurança personalizados
Verificar permissões
Verifique se lhe foram atribuídas as funções de Administrador de Definição de Atributos ou Administrador de Atribuição de Atributos. Se necessário, alguém com pelo menos a função de Administrador de Função Privilegiada pode atribuir essas funções.
Adicionar conjuntos de atributos
Adicione conjuntos de atributos ao grupo e gerencie atributos de segurança personalizados relacionados. Mais informações
Gerenciar conjuntos de atributos
Especifique quem pode ler, definir ou atribuir atributos de segurança personalizados em um conjunto de atributos. Mais informações
Definir atributos
Adicione seus atributos de segurança personalizados ao seu diretório. Você pode especificar o tipo de data (booleano, inteiro ou string) e se os valores são predefinidos, de forma livre, únicos ou múltiplos. Mais informações
Atribuir atributos
Atribua atributos de segurança personalizados a objetos do Microsoft Entra para seus cenários de negócios. Mais informações
Usar atributos
Filtre usuários e aplicativos que usam atributos de segurança personalizados. Mais informações
Adicione condições que usam atributos de segurança personalizados às atribuições de função do Azure para controle de acesso refinado. Mais informações
Terminologia
Para entender melhor os atributos de segurança personalizados, consulte a lista de termos a seguir.
Termo | Definição |
---|---|
definição de atributo | O esquema de um atributo de segurança personalizado ou par chave-valor. Por exemplo, o nome do atributo de segurança personalizado, descrição, tipo de dados e valores predefinidos. |
conjunto de atributos | Uma coleção de atributos de segurança personalizados relacionados. Os conjuntos de atributos podem ser delegados a outros usuários para definir e atribuir atributos de segurança personalizados. |
Nome do atributo | Um nome exclusivo de um atributo de segurança personalizado dentro de um conjunto de atributos. A combinação de conjunto de atributos e nome de atributo forma um atributo exclusivo para seu locatário. |
atribuição de atributos | A atribuição de um atributo de segurança personalizado a um objeto do Microsoft Entra, como usuários e aplicativos corporativos (entidades de serviço). |
valor predefinido | Um valor que é permitido para um atributo de segurança personalizado. |
Propriedades personalizadas do atributo de segurança
A tabela a seguir lista as propriedades que você pode especificar para conjuntos de atributos e atributos de segurança personalizados. Algumas propriedades são imutáveis e não podem ser alteradas posteriormente.
Property | Necessário | Pode ser alterado posteriormente | Description |
---|---|---|---|
Nome do conjunto de atributos | ✅ | Nome do conjunto de atributos. Deve ser exclusivo dentro de um inquilino. Não é possível incluir espaços ou caracteres especiais. | |
Descrição do conjunto de atributos | ✅ | Descrição do conjunto de atributos. | |
Número máximo de atributos | ✅ | Número máximo de atributos de segurança personalizados que podem ser definidos em um conjunto de atributos. O valor predefinido é null . Se não for especificado, o administrador pode adicionar até o máximo de 500 atributos ativos por locatário. |
|
Conjunto de atributos | ✅ | Uma coleção de atributos de segurança personalizados relacionados. Cada atributo de segurança personalizado deve fazer parte de um conjunto de atributos. | |
Attribute name | ✅ | Nome do atributo de segurança personalizado. Deve ser exclusivo dentro de um conjunto de atributos. Não é possível incluir espaços ou caracteres especiais. | |
Descrição do atributo | ✅ | Descrição do atributo de segurança personalizado. | |
Tipo de dados | ✅ | Tipo de dados para os valores de atributos de segurança personalizados. Os tipos suportados são Boolean , Integer e String . |
|
Permitir que vários valores sejam atribuídos | ✅ | Indica se vários valores podem ser atribuídos ao atributo de segurança personalizado. Se o tipo de dados estiver definido como Boolean , não poderá ser definido como Sim. |
|
Permitir apenas a atribuição de valores predefinidos | ✅ | Indica se apenas valores predefinidos podem ser atribuídos ao atributo de segurança personalizado. Se definido como Não, os valores de forma livre são permitidos. Pode ser alterado posteriormente de Sim para Não, mas não pode ser alterado de Não para Sim. Se o tipo de dados estiver definido como Boolean , não poderá ser definido como Sim. |
|
Valores predefinidos | Valores predefinidos para o atributo de segurança personalizado do tipo de dados selecionado. Mais valores predefinidos podem ser adicionados posteriormente. Os valores podem incluir espaços, mas alguns caracteres especiais não são permitidos. | ||
O valor predefinido está ativo | ✅ | Especifica se o valor predefinido está ativo ou desativado. Se definido como false, o valor predefinido não pode ser atribuído a nenhum objeto de diretório adicional suportado. | |
O atributo está ativo | ✅ | Especifica se o atributo de segurança personalizado está ativo ou desativado. |
Limites e restrições
Aqui estão alguns dos limites e restrições para atributos de segurança personalizados.
Recurso | Limite | Notas |
---|---|---|
Definições de atributos por locatário | 500 | Aplica-se somente a atributos ativos no locatário |
Conjuntos de atributos por locatário | 500 | |
Comprimento do nome do conjunto de atributos | 32 | Caracteres Unicode e diferencia maiúsculas de minúsculas |
Comprimento da descrição do conjunto de atributos | 128 | Caracteres Unicode |
Comprimento do nome do atributo | 32 | Caracteres Unicode e diferencia maiúsculas de minúsculas |
Comprimento da descrição do atributo | 128 | Caracteres Unicode |
Valores predefinidos | Caracteres Unicode e diferencia maiúsculas de minúsculas | |
Valores predefinidos por definição de atributo | 100 | |
Comprimento do valor do atributo | 64 | Caracteres Unicode |
Valores de atributo atribuídos por objeto | 50 | Os valores podem ser distribuídos entre atributos de valores únicos e múltiplos. Exemplo: 5 atributos com 10 valores cada ou 50 atributos com 1 valor cada |
Caracteres especiais não permitidos para: Nome do conjunto de atributos Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
O nome do conjunto de atributos e o nome do atributo não podem começar com um número |
Caracteres especiais permitidos para valores de atributos | Todos os caracteres especiais | |
Caracteres especiais permitidos para valores de atributo quando usados com tags de índice de blob | <space> + - . : = _ / |
Se você planeja usar valores de atributo com tags de índice de blob, esses são os únicos caracteres especiais permitidos para tags de índice de blob. Para obter mais informações, consulte Definindo tags de índice de blob. |
Funções de atributo de segurança personalizadas
O Microsoft Entra ID fornece funções internas para trabalhar com atributos de segurança personalizados. A função Administrador de Definição de Atributo é a função mínima necessária para gerenciar atributos de segurança personalizados. A função Administrador de Atribuição de Atributos é a função mínima necessária para atribuir valores de atributos de segurança personalizados para objetos do Microsoft Entra, como usuários e aplicativos. Você pode atribuir essas funções no escopo do locatário ou no escopo do conjunto de atributos.
Role | Permissões |
---|---|
Leitor de definição de atributo | Ler conjuntos de atributos Ler definições de atributos de segurança personalizados |
Administrador de Definição de Atributo | Gerenciar todos os aspetos dos conjuntos de atributos Gerenciar todos os aspetos das definições de atributos de segurança personalizados |
Leitor de atribuição de atributos | Ler conjuntos de atributos Ler definições de atributos de segurança personalizados Leia chaves e valores de atributos de segurança personalizados para usuários e entidades de serviço |
Administrador de Atribuição de Atributos | Ler conjuntos de atributos Ler definições de atributos de segurança personalizados Ler e atualizar chaves e valores de atributos de segurança personalizados para usuários e entidades de serviço |
Leitor de log de atributos | Ler logs de auditoria para atributos de segurança personalizados |
Administrador de log de atributos | Ler logs de auditoria para atributos de segurança personalizados Definir configurações de diagnóstico para atributos de segurança personalizados |
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Microsoft Graph API
Você pode gerenciar atributos de segurança personalizados programaticamente usando a API do Microsoft Graph. Para obter mais informações, consulte Visão geral de atributos de segurança personalizados usando a API do Microsoft Graph.
Você pode usar um cliente de API, como o Graph Explorer , para experimentar mais facilmente a API do Microsoft Graph para atributos de segurança personalizados.
Requisitos de licença
O uso desse recurso é gratuito e está incluído em sua assinatura do Azure.