Microsoft Entra Id'deki özel güvenlik öznitelikleri nelerdir?
Microsoft Entra Id'deki özel güvenlik öznitelikleri, Microsoft Entra nesnelerini tanımlayıp atayabileceğiniz, işletmeye özgü özniteliklerdir (anahtar-değer çiftleri). Bu öznitelikler bilgileri depolamak, nesneleri kategorilere ayırmak veya belirli Azure kaynakları üzerinde ayrıntılı erişim denetimi uygulamak için kullanılabilir. Özel güvenlik öznitelikleri, Azure öznitelik tabanlı erişim denetimi (ABAC) ile kullanılabilir.
Özel güvenlik öznitelikleri neden kullanılır?
Özel güvenlik özniteliklerini kullanabileceğiniz bazı senaryolar şunlardır:
- Tüm çalışanlarıma Saatlik Maaş ekleme gibi kullanıcı profillerini genişletin.
- Çalışanlarımın profillerinde Saatlik Maaş özniteliğini yalnızca yöneticilerin görebileceğinden emin olun.
- Denetim için kolayca filtrelenebilir bir envanter oluşturmak için yüzlerce veya binlerce uygulamayı kategorilere ayırın.
- Kullanıcılara bir projeye ait Azure Depolama bloblarına erişim izni verin.
Özel güvenlik öznitelikleriyle ne yapabilirim?
Özel güvenlik öznitelikleri şu özellikleri içerir:
- Kiracınız için işletmeye özgü bilgiler (öznitelikler) tanımlayın.
- Kullanıcılara ve uygulamalara bir dizi özel güvenlik özniteliği ekleyin.
- Sorgular ve filtrelerle özel güvenlik özniteliklerini kullanarak Microsoft Entra nesnelerini yönetin.
- Özniteliklerin kimlerin erişebileceğini belirlemesi için öznitelik idaresi sağlayın.
Özel güvenlik öznitelikleri aşağıdaki alanlarda desteklenmez :
Özel güvenlik özniteliklerinin özellikleri
Özel güvenlik öznitelikleri şu özellikleri içerir:
- Kiracı genelinde kullanılabilir
- Açıklama ekle
- Farklı veri türlerini destekleme: Boole, tamsayı, dize
- Tek bir değeri veya birden çok değeri destekleme
- Kullanıcı tanımlı serbest biçimli değerleri veya önceden tanımlanmış değerleri destekleme
- Şirket içi Active Directory dizinle eşitlenen kullanıcılara özel güvenlik öznitelikleri atama
Aşağıdaki örnekte, kullanıcıya atanmış birkaç özel güvenlik özniteliği gösterilmektedir. Özel güvenlik öznitelikleri farklı veri türleridir ve tek, birden çok, serbest biçimli veya önceden tanımlanmış değerlere sahiptir.
Özel güvenlik özniteliklerini destekleyen nesneler
Aşağıdaki Microsoft Entra nesneleri için özel güvenlik öznitelikleri ekleyebilirsiniz:
- Microsoft Entra kullanıcıları
- Microsoft Entra kurumsal uygulamaları (hizmet sorumluları)
Özel güvenlik öznitelikleri uzantılarla karşılaştırıldığında nasıldır?
Microsoft Entra Id ve Microsoft 365'teki nesneleri genişletmek için hem uzantılar hem de özel güvenlik öznitelikleri kullanılabilir, ancak temel olarak farklı özel veri senaryoları için uygundur. Özel güvenlik özniteliklerinin uzantılarla karşılaştırılmasının bazı yolları şunlardır:
| Özellik | Uzantıları | Özel güvenlik öznitelikleri |
|---|---|---|
| Microsoft Entra Id ve Microsoft 365 nesnelerini genişletme | Yes | Yes |
| Desteklenen nesneler | Uzantı türüne bağlıdır | Kullanıcılar ve hizmet sorumluları |
| Kısıtlı erişim | Hayır Nesneyi okuma izni olan herkes uzantı verilerini okuyabilir. | Evet. Okuma ve yazma erişimi, ayrı bir izin kümesi ve rol tabanlı erişim denetimi (RBAC) aracılığıyla kısıtlanır. |
| ne zaman kullanılmalı | Uygulama tarafından kullanılacak verileri depolama Hassas olmayan verileri depolama |
Hassas verileri depolama Yetkilendirme senaryoları için kullanma |
| Lisans gereksinimleri | Microsoft Entra ID'nin tüm sürümlerinde kullanılabilir | Microsoft Entra ID'nin tüm sürümlerinde kullanılabilir |
Uzantılarla çalışma hakkında daha fazla bilgi için bkz . Uzantıları kullanarak kaynaklara özel veri ekleme.
Özel güvenlik özniteliklerini kullanma adımları
İzinleri denetleme
Size Öznitelik Tanımı Yöneticisi veya Öznitelik Atama Yöneticisi rollerinin atandığını denetleyin. Gerekirse, en azından Ayrıcalıklı Rol Yöneticisi rolüne sahip biri bu rolleri atayabilir.
Öznitelik kümeleri ekleme
İlgili özel güvenlik özniteliklerini gruplandırmak ve yönetmek için öznitelik kümeleri ekleyin. Daha fazla bilgi edinin
Öznitelik kümelerini yönetme
Bir öznitelik kümesinde özel güvenlik özniteliklerini kimlerin okuyabileceğini, tanımlayabileceğini veya atayabileceğini belirtin. Daha fazla bilgi edinin
Öznitelikleri tanımlama
Özel güvenlik özniteliklerinizi dizininize ekleyin. Tarih türünü (Boole, tamsayı veya dize) ve değerlerin önceden tanımlanmış, serbest biçimli, tek veya birden çok olup olmadığını belirtebilirsiniz. Daha fazla bilgi edinin
Öznitelikleri atama
İş senaryolarınız için Microsoft Entra nesnelerine özel güvenlik öznitelikleri atayın. Daha fazla bilgi edinin
Öznitelikleri kullanma
Özel güvenlik özniteliklerini kullanan kullanıcıları ve uygulamaları filtreleyin. Daha fazla bilgi edinin
Ayrıntılı erişim denetimi için Azure rol atamalarına özel güvenlik öznitelikleri kullanan koşullar ekleyin. Daha fazla bilgi edinin
Terminoloji
Özel güvenlik özniteliklerini daha iyi anlamak için aşağıdaki terim listesine geri dönebilirsiniz.
| Süre | Tanım |
|---|---|
| öznitelik tanımı | Özel bir güvenlik özniteliğinin veya anahtar-değer çiftinin şeması. Örneğin, özel güvenlik özniteliği adı, açıklaması, veri türü ve önceden tanımlanmış değerler. |
| öznitelik kümesi | İlgili özel güvenlik öznitelikleri koleksiyonu. Öznitelik kümeleri, özel güvenlik özniteliklerini tanımlamak ve atamak için diğer kullanıcılara temsilci olarak atanabilir. |
| öznitelik adı | Öznitelik kümesindeki özel bir güvenlik özniteliğinin benzersiz adı. Öznitelik kümesi ve öznitelik adı birleşimi, kiracınız için benzersiz bir öznitelik oluşturur. |
| öznitelik ataması | Kullanıcılar ve kurumsal uygulamalar (hizmet sorumluları) gibi bir Microsoft Entra nesnesine özel bir güvenlik özniteliği ataması. |
| önceden tanımlanmış değer | Özel bir güvenlik özniteliği için izin verilen değer. |
Özel güvenlik özniteliği özellikleri
Aşağıdaki tabloda, öznitelik kümeleri ve özel güvenlik öznitelikleri için belirtebileceğiniz özellikler listeleniyor. Bazı özellikler sabittir ve daha sonra değiştirilemez.
| Özellik | Zorunlu | Daha sonra değiştirilebilir | Açıklama |
|---|---|---|---|
| Öznitelik kümesi adı | ✅ | Öznitelik kümesinin adı. Kiracı içinde benzersiz olmalıdır. Boşluk veya özel karakter eklenemez. | |
| Öznitelik kümesi açıklaması | ✅ | Öznitelik kümesinin açıklaması. | |
| En fazla öznitelik sayısı | ✅ | Bir öznitelik kümesinde tanımlanabilir en fazla özel güvenlik özniteliği sayısı. Varsayılan değer null olarak belirlenmiştir. Belirtilmezse, yönetici kiracı başına en fazla 500 etkin öznitelik ekleyebilir. |
|
| Öznitelik kümesi | ✅ | İlgili özel güvenlik öznitelikleri koleksiyonu. Her özel güvenlik özniteliği bir öznitelik kümesinin parçası olmalıdır. | |
| Attribute name | ✅ | Özel güvenlik özniteliğinin adı. Öznitelik kümesi içinde benzersiz olmalıdır. Boşluk veya özel karakter eklenemez. | |
| Öznitelik açıklaması | ✅ | Özel güvenlik özniteliğinin açıklaması. | |
| Veri türü | ✅ | Özel güvenlik özniteliği değerleri için veri türü. Desteklenen türler : Boolean, Integerve String. |
|
| Birden çok değerin atanmasına izin ver | ✅ | Özel güvenlik özniteliğine birden çok değer atanıp atanamayacağını gösterir. Veri türü olarak Booleanayarlandıysa Evet olarak ayarlanamaz. |
|
| Yalnızca önceden tanımlanmış değerlerin atanmasına izin ver | ✅ | Özel güvenlik özniteliğine yalnızca önceden tanımlanmış değerlerin atanıp atanamayacağını gösterir. Hayır olarak ayarlanırsa serbest biçimli değerlere izin verilir. Daha sonra Evet'ten Hayır'a değiştirilebilir, ancak Hayır'dan Evet'e değiştirilemez. Veri türü olarak Booleanayarlandıysa Evet olarak ayarlanamaz. |
|
| Önceden tanımlanmış değerler | Seçili veri türünün özel güvenlik özniteliği için önceden tanımlanmış değerler. Daha sonra daha fazla önceden tanımlanmış değer eklenebilir. Değerler boşluk içerebilir, ancak bazı özel karakterlere izin verilmez. | ||
| Önceden tanımlanmış değer etkin | ✅ | Önceden tanımlanmış değerin etkin mi yoksa devre dışı mı olduğunu belirtir. false olarak ayarlanırsa, önceden tanımlanmış değer desteklenen ek dizin nesnelerine atanamaz. | |
| Öznitelik etkin | ✅ | Özel güvenlik özniteliğinin etkin mi yoksa devre dışı mı olduğunu belirtir. |
Sınırlar ve kısıtlamalar
Özel güvenlik öznitelikleri için bazı sınırlar ve kısıtlamalar aşağıdadır.
| Kaynak | Sınırla | Notlar |
|---|---|---|
| Kiracı başına öznitelik tanımları | 500 | Yalnızca kiracıdaki etkin öznitelikler için geçerlidir |
| Kiracı başına öznitelik kümeleri | 500 | |
| Öznitelik kümesi adı uzunluğu | 32 | Unicode karakterleri ve büyük/küçük harfe duyarlı |
| Öznitelik kümesi açıklama uzunluğu | 128 | Unicode karakterleri |
| Öznitelik adı uzunluğu | 32 | Unicode karakterleri ve büyük/küçük harfe duyarlı |
| Öznitelik açıklaması uzunluğu | 128 | Unicode karakterleri |
| Önceden tanımlanmış değerler | Unicode karakterleri ve büyük/küçük harfe duyarlı | |
| Öznitelik tanımı başına önceden tanımlanmış değerler | 100 | |
| Öznitelik değeri uzunluğu | 64 | Unicode karakterleri |
| Nesne başına atanan öznitelik değerleri | 50 | Değerler tek ve çok değerli öznitelikler arasında dağıtılabilir. Örnek: Her birinde 10 değer içeren 5 öznitelik veya her birinde 1 değer içeren 50 öznitelik |
| Özel karakterlere izin verilmiyor : Öznitelik kümesi adı Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Öznitelik kümesi adı ve öznitelik adı bir sayı ile başlayamaz |
| Öznitelik değerleri için izin verilen özel karakterler | Tüm özel karakterler | |
| Blob dizin etiketleriyle kullanıldığında öznitelik değerleri için izin verilen özel karakterler | <space> + - . : = _ / |
Öznitelik değerlerini blob dizin etiketleriyle kullanmayı planlıyorsanız, blob dizin etiketleri için izin verilen tek özel karakterler bunlardır. Daha fazla bilgi için bkz . Blob dizini etiketlerini ayarlama. |
Özel güvenlik özniteliği rolleri
Microsoft Entra ID, özel güvenlik öznitelikleriyle çalışmak için yerleşik roller sağlar. Öznitelik Tanımı Yöneticisi rolü, özel güvenlik özniteliklerini yönetmek için ihtiyacınız olan en düşük roldür. Öznitelik Atama Yöneticisi rolü, kullanıcılar ve uygulamalar gibi Microsoft Entra nesneleri için özel güvenlik özniteliği değerleri atamak için ihtiyacınız olan en düşük roldür. Bu rolleri kiracı kapsamında veya öznitelik kümesi kapsamında atayabilirsiniz.
| Role | İzinler |
|---|---|
| Öznitelik Tanımı Okuyucusu | Öznitelik kümelerini okuma Özel güvenlik özniteliği tanımlarını okuma |
| Öznitelik Tanımı Yöneticisi | Öznitelik kümelerinin tüm yönlerini yönetme Özel güvenlik özniteliği tanımlarının tüm yönlerini yönetme |
| Öznitelik Atama Okuyucusu | Öznitelik kümelerini okuma Özel güvenlik özniteliği tanımlarını okuma Kullanıcılar ve hizmet sorumluları için özel güvenlik öznitelik anahtarlarını ve değerlerini okuma |
| Öznitelik Atama Yöneticisi | Öznitelik kümelerini okuma Özel güvenlik özniteliği tanımlarını okuma Kullanıcılar ve hizmet sorumluları için özel güvenlik öznitelik anahtarlarını ve değerlerini okuma ve güncelleştirme |
| Öznitelik Günlüğü Okuyucusu | Özel güvenlik öznitelikleri için denetim günlüklerini okuma |
| Öznitelik Günlüğü Yöneticisi | Özel güvenlik öznitelikleri için denetim günlüklerini okuma Özel güvenlik öznitelikleri için tanılama ayarlarını yapılandırma |
Önemli
Varsayılan olarak, Genel Yönetici ve diğer yönetici rollerinin özel güvenlik özniteliklerini okuma, tanımlama veya atama izinleri yoktur.
Microsoft Graph API
Microsoft Graph API'sini kullanarak özel güvenlik özniteliklerini program aracılığıyla yönetebilirsiniz. Daha fazla bilgi için bkz . Microsoft Graph API'sini kullanarak özel güvenlik özniteliklerine genel bakış.
Özel güvenlik öznitelikleri için Microsoft Graph API'sini daha kolay denemek için Graph Explorer gibi bir API istemcisi kullanabilirsiniz.
Lisans gereksinimleri
Bu özelliği kullanmak ücretsizdir ve Azure aboneliğinize dahildir.