Что такое настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra?
Настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это бизнес-атрибуты (пары "ключ-значение"), которые можно определить и назначить объектам Microsoft Entra. Эти атрибуты можно использовать для хранения информации, классификации объектов или обеспечения точного контроля доступа к определенным ресурсам Azure. Настраиваемые атрибуты безопасности можно использовать с помощью управления доступом на основе атрибутов Azure (ABAC).
Зачем нужны настраиваемые атрибуты безопасности?
Ниже приведены некоторые сценарии, в которых можно использовать настраиваемые атрибуты безопасности:
- Расширьте профили пользователей, например добавьте почасовую зарплату всем моим сотрудникам.
- Убедитесь, что только администраторы могут видеть атрибут "Почасовая ставка" в профилях сотрудников.
- Классифицируйте сотни или тысячи приложений, чтобы легко создавать фильтруемые данные инвентаризации для аудита.
- Предоставляйте пользователям доступ к BLOB-объектам службы хранилища Azure, принадлежащих проекту.
Что можно сделать с настраиваемыми атрибутами безопасности?
Настраиваемые атрибуты безопасности включают следующие возможности:
- Определяйте бизнес-информацию (атрибуты) для клиента.
- Добавьте набор настраиваемых атрибутов безопасности для пользователей и приложений.
- Управление объектами Microsoft Entra с помощью настраиваемых атрибутов безопасности с запросами и фильтрами.
- Предоставляйте управление атрибутами, чтобы атрибуты определяли, кто имеет доступ.
Настраиваемые атрибуты безопасности не поддерживаются в следующих областях:
- Доменные службы Microsoft Entra
- Утверждения маркера разметки утверждений на языке разметки утверждений безопасности (SAML)
Характеристики настраиваемых атрибутов безопасности
Настраиваемые атрибуты безопасности включают следующие функции:
- Доступны в масштабе всего клиента
- Включают описание
- Поддерживают различные типы данных: логическое, целое число, строка
- Поддерживают одно или несколько значений
- Поддерживают определяемые пользователем значения в произвольной форме или предварительно определенные значения
- Назначают настраиваемые атрибуты безопасности пользователям, синхронизированным с каталогом, из локальной службы Active Directory
В следующем примере показаны несколько настраиваемых атрибутов безопасности, назначенных пользователю. Настраиваемые атрибуты безопасности являются разными типами данных и имеют значения, которые являются одним, несколькими, бесплатными или предопределенными.
Объекты, поддерживающие настраиваемые атрибуты безопасности
Вы можете добавить настраиваемые атрибуты безопасности для следующих объектов Microsoft Entra:
- Пользователи Microsoft Entra
- Корпоративные приложения Microsoft Entra (субъекты-службы)
Как пользовательские атрибуты безопасности сравниваются с расширениями?
Хотя расширения и настраиваемые атрибуты безопасности можно использовать для расширения объектов в идентификаторе Microsoft Entra и Microsoft 365, они подходят для совершенно разных пользовательских сценариев данных. Ниже приведены некоторые способы сравнения настраиваемых атрибутов безопасности с расширениями:
| Возможность | Расширения | Настраиваемые атрибуты безопасности |
|---|---|---|
| Расширение идентификатора Microsoft Entra и объектов Microsoft 365 | Да | Да |
| Поддерживаемые объекты | Зависит от типа расширения | Пользователи и субъекты-службы |
| Ограниченный доступ | № Любой пользователь с разрешениями на чтение объекта может считывать данные расширения. | Да. Доступ на чтение и запись ограничен отдельным набором разрешений и управления доступом на основе ролей (RBAC). |
| Когда использовать | Хранение данных, используемых приложением Хранение нечувствительных данных |
Хранение конфиденциальных данных Использование для сценариев авторизации |
| Требования к лицензиям | Доступно во всех выпусках идентификатора Microsoft Entra | Доступно во всех выпусках идентификатора Microsoft Entra |
Дополнительные сведения о работе с расширениями см. в статье "Добавление пользовательских данных в ресурсы с помощью расширений".
Процедура использования настраиваемых атрибутов безопасности
Проверка разрешений
Убедитесь в том, что вам назначена роль администратора определения атрибутов или администратора назначения атрибутов. При необходимости кто-то с ролью администратора привилегированных ролей может назначить эти роли.
Добавление наборов атрибутов
Добавьте наборы атрибутов для группировки связанных настраиваемых атрибутов безопасности и управления ими. Подробнее
Управление наборами атрибутов
Укажите, кто может читать, определять и назначать настраиваемые атрибуты безопасности в наборе атрибутов. Подробнее
Определение атрибутов
Добавьте в свой каталог настраиваемые атрибуты безопасности. Можно указать тип данных (логическое значение, целое число или строка) а также то, являются ли значения предварительно определенными, произвольными, одиночными или множественными. Подробнее
Назначение атрибутов
Назначение пользовательских атрибутов безопасности объектам Microsoft Entra для бизнес-сценариев. Подробнее
Использование атрибутов
Фильтрация пользователей и приложений, использующих настраиваемые атрибуты безопасности. Подробнее
Добавьте условия, использующие настраиваемые атрибуты безопасности, в назначения ролей Azure для детального управления доступом. Подробнее
Терминология
Чтобы лучше понять, что такое настраиваемые атрибуты безопасности, можно обратиться к следующему списку терминов.
| Термин | Определение |
|---|---|
| определение атрибута | Схема настраиваемого атрибута безопасности или пара "ключ-значение". Например, имя настраиваемого атрибута безопасности, его описание, тип данных и предопределенные значения. |
| набор атрибутов | Коллекция связанных настраиваемых атрибутов безопасности. Наборы атрибутов можно делегировать другим пользователям для определения и назначения настраиваемых атрибутов безопасности. |
| имя атрибута | Уникальное имя настраиваемого атрибута безопасности в наборе атрибутов. Сочетание набора атрибутов и имени атрибута является уникальным в пределах клиента. |
| назначение атрибута | Назначение пользовательского атрибута безопасности объекту Microsoft Entra, таким как пользователи и корпоративные приложения (субъекты-службы). |
| предопределенное значение | Допустимое значение настраиваемого атрибута безопасности. |
Свойства настраиваемого атрибута безопасности
В приведенной ниже таблице перечислены свойства, которые можно указать для наборов атрибутов и настраиваемых атрибутов безопасности. Некоторые свойства нельзя изменять.
| Свойство | Обязательное поле | Можно изменить позже | Description |
|---|---|---|---|
| Имя набора атрибутов | ✅ | Имя набора атрибутов. Должно быть уникальным в пределах клиента. Не может содержать пробелы или специальные символы. | |
| Описание набора атрибутов | ✅ | Описание набора атрибутов. | |
| Максимальное число атрибутов | ✅ | Максимальное число настраиваемых атрибутов безопасности, которые можно определить в наборе атрибутов. Значение по умолчанию: null. Если не указано, администратор может добавить не более 500 активных атрибутов на клиент. |
|
| Набор атрибутов | ✅ | Коллекция связанных настраиваемых атрибутов безопасности. Все настраиваемые атрибуты безопасности должны входить в набор атрибутов. | |
| Attribute name | ✅ | Имя настраиваемого атрибута безопасности. Должно быть уникальным в пределах набора атрибутов. Не может содержать пробелы или специальные символы. | |
| Описание атрибута | ✅ | Описание настраиваемого атрибута безопасности. | |
| Тип данных | ✅ | Тип данных для значений настраиваемого атрибута безопасности. Поддерживаются типы Boolean, Integer и String. |
|
| Разрешить присваивать несколько значений | ✅ | Указывает, можно ли назначить несколько значений настраиваемому атрибуту безопасности. Если тип данных — Boolean, нельзя задать значение "Да". |
|
| Разрешить присваивать только предварительно определенные значения | ✅ | Указывает, можно ли назначать настраиваемому атрибуту безопасности только предопределенные значения или любые. Если задано значение "Нет", допускаются произвольные значения. Можно в дальнейшем изменить с "Да" на "Нет", но нельзя изменить с "Нет" на "Да". Если тип данных — Boolean, нельзя задать значение "Да". |
|
| Предварительно определенные значения | Предопределенные значения для настраиваемого атрибута безопасности выбранного типа данных. Позднее можно добавить дополнительные предопределенные значения. Значения могут содержать пробелы, но некоторые специальные символы не допускаются. | ||
| Предопределенное значение активно | ✅ | Указывает, является ли предопределенное значение активным или отключенным. Если задано значение false, то предварительно определенные значения нельзя назначать дополнительным поддерживаемым объектам каталога. | |
| Атрибут активен | ✅ | Указывает, является ли настраиваемый атрибут безопасности активным или отключенным. |
Предельные значения и ограничения
Ниже приведены некоторые ограничения для настраиваемых атрибутов безопасности.
| Ресурс | Ограничение | Примечания. |
|---|---|---|
| Определений атрибутов на клиент | 500 | Относится только к активным атрибутам в клиенте. |
| Наборов атрибутов на клиент | 500 | |
| Длина имени набора атрибутов | 32 | Символы Юникода с учетом регистра |
| Длина описания набора атрибутов | 128 | Символы Юникода |
| Длина имени атрибута | 32 | Символы Юникода с учетом регистра |
| Длина описания атрибута | 128 | Символы Юникода |
| Предварительно определенные значения | Символы Юникода с учетом регистра | |
| Предварительно определенных значений на определение атрибута | 100 | |
| Длина значения атрибута | 64 | Символы Юникода |
| Назначенных значений атрибутов на объект | 50 | Значения можно распределять по одним и многозначным атрибутам. Пример: пять атрибутов с 10 значениями у каждого или 50 атрибутов с одним значением |
| Специальные знаки, не разрешенные для следующих элементов: Имя набора атрибутов Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Имя атрибута или набора атрибутов не может начинаться с числа |
| Специальные знаки, допустимые для значений атрибутов | Все специальные знаки | |
| Специальные знаки, допустимые для значений атрибутов при использовании с тегами индекса BLOB-объектов | <space> + - . : = _ / |
Если планируется использовать значения атрибутов с тегами индекса BLOB-объектов, можно применять только специальные знаки, разрешенные для тегов индекса BLOB-объектов. Дополнительные сведения см. в статье Настройка тегов индекса BLOB-объектов. |
Роли настраиваемых атрибутов безопасности
Идентификатор Microsoft Entra предоставляет встроенные роли для работы с пользовательскими атрибутами безопасности. Роль администратора определения атрибутов является минимальной ролью, необходимой для управления настраиваемыми атрибутами безопасности. Роль администратора назначения атрибутов — это минимальная роль, необходимая для назначения настраиваемых значений атрибутов безопасности для объектов Microsoft Entra, таких как пользователи и приложения. Эти роли можно назначить в области клиента или в области набора атрибутов.
| Роль | Разрешения |
|---|---|
| Читатель определения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности |
| Администратор определения атрибутов | Управление всеми аспектами наборов атрибутов Управление всеми аспектами определений настраиваемых атрибутов безопасности |
| Читатель назначения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности Чтение ключей и значений настраиваемых атрибутов безопасности для пользователей и субъектов-служб |
| Администратор назначения атрибутов | Чтение наборов атрибутов Чтение определений настраиваемых атрибутов безопасности Чтение и изменение ключей и значений настраиваемых атрибутов безопасности для пользователей и субъектов-служб |
| Читатель журналов атрибутов | Чтение журналов аудита для пользовательских атрибутов безопасности |
| Администратор журнала атрибутов | Чтение журналов аудита для пользовательских атрибутов безопасности Настройка параметров диагностики для настраиваемых атрибутов безопасности |
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
API Microsoft Graph
Пользовательские атрибуты безопасности можно управлять программными средствами с помощью API Microsoft Graph. Дополнительные сведения см. в статье Обзор настраиваемых атрибутов безопасности с помощью API Microsoft Graph.
Вы можете использовать клиент API, например Graph Explorer , чтобы проще попробовать API Microsoft Graph для пользовательских атрибутов безопасности.
Требования к лицензиям
Эта функция бесплатна и доступна в вашей подписке Azure.
Следующие шаги
- Добавление или отключение определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
- Управление доступом к пользовательским атрибутам безопасности в идентификаторе Microsoft Entra
- Назначение, обновление, перечисление или удаление пользовательских атрибутов безопасности для пользователя