Was sind benutzerdefinierte Sicherheitsattribute in Azure AD? (Vorschau)
Wichtig
Benutzerdefinierte Sicherheitsattribute sind derzeit in der VORSCHAU verfügbar. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Benutzerdefinierte Sicherheitsattribute in Azure Active Directory (Azure AD) sind geschäftsspezifische Attribute (Schlüssel-Wert-Paare), die Sie definieren und Azure AD-Objekten zuweisen können. Diese Attribute können verwendet werden, um Informationen zu speichern, Objekte zu kategorisieren oder eine differenzierte Zugriffssteuerung für bestimmte Azure-Ressourcen zu erzwingen. Benutzerdefinierte Sicherheitsattribute können mit der attributbasierten Zugriffssteuerung in Azure (Azure Attribute-Based Access Control, Azure ABAC) verwendet werden.
Gründe für die Verwendung benutzerdefinierter Sicherheitsattribute
- Erweitern von Benutzerprofilen (beispielsweise durch Hinzufügen des Einstellungsdatums und des Stundenlohns zu allen Mitarbeitern)
- Sicherstellen, dass das Stundenlohnattribut in den Profilen der Mitarbeiter nur für Administratoren sichtbar ist
- Kategorisieren hunderter oder tausender Anwendungen zur mühelosen Erstellung eines filterbaren Bestands für die Überwachung
- Gewähren von Benutzerzugriff auf die Azure Storage-Blobs eines Projekts
Verwendungsmöglichkeiten von benutzerdefinierten Sicherheitsattributen
- Definieren geschäftsspezifischer Informationen (Attribute) für Ihren Mandanten
- Hinzufügen einer Gruppe benutzerdefinierter Sicherheitsattribute für Benutzer, Anwendungen, Azure AD-Ressourcen oder Azure-Ressourcen
- Verwalten von Azure AD-Objekten durch die Verwendung benutzerdefinierter Sicherheitsattribute mit Abfragen und Filtern
- Bereitstellen von Attributgovernance, damit durch Attribute gesteuert wird, wer zugreifen kann
Features benutzerdefinierter Sicherheitsattribute
- Mandantenweit verfügbar
- Enthalten eine Beschreibung
- Unterstützung verschiedener Datentypen: Boolescher Wert, ganze Zahl, Zeichenfolge
- Unterstützung eines einzelnen Werts oder mehrerer Werte
- Unterstützung benutzerdefinierter Freiformwerte oder vordefinierter Werte
- Zuweisung benutzerdefinierter Sicherheitsattribute zu Benutzern mit Verzeichnissynchronisierung aus dem lokalen Active Directory
Das folgende Beispiel zeigt, wie Sie Werte für benutzerdefinierte Sicherheitsattribute angeben können. Dabei kann es sich um einen einzelnen Wert oder um mehrere Werte (Freiform oder vordefiniert) handeln.
Objekte, die benutzerdefinierte Sicherheitsattribute unterstützen
Derzeit können benutzerdefinierte Sicherheitsattribute für folgende Azure AD-Objekte hinzugefügt werden:
- Azure AD-Benutzer
- Azure AD-Unternehmensanwendungen (Dienstprinzipale)
- Verwaltete Identitäten für Azure-Ressourcen
Gegenüberstellung von benutzerdefinierten Sicherheitsattributen und Verzeichnisschemaerweiterungen
Im Anschluss werden einige Aspekte der benutzerdefinierten Sicherheitsattribute mit Verzeichnisschemaerweiterungen verglichen:
- Verzeichnisschemaerweiterungen können nicht für Autorisierungsszenarien und Attribute verwendet werden, da die Zugriffssteuerung für die Erweiterungsattribute an das Azure AD-Objekt gebunden ist. Benutzerdefinierte Sicherheitsattribute können für die Autorisierung und für Attribute verwendet werden, die Zugriffssteuerung benötigen, da die benutzerdefinierten Sicherheitsattribute durch separate Berechtigungen verwaltet und geschützt werden können.
- Verzeichnisschemaerweiterungen sind an eine Anwendung und somit an den Lebenszyklus der Anwendung gebunden. Benutzerdefinierte Sicherheitsattribute gelten mandantenweit und sind nicht an eine Anwendung gebunden.
- Verzeichnisschemaerweiterungen unterstützen das Zuweisen eines einzelnen Werts zu einem Attribut. Benutzerdefinierte Sicherheitsattribute unterstützen das Zuweisen mehrerer Werte zu einem Attribut.
Schritte für die Verwendung benutzerdefinierter Sicherheitsattribute
Überprüfen Sie die Berechtigungen.
Vergewissern Sie sich, dass Ihnen die Rolle Administrator für Attributdefinitionen oder Administrator für Attributzuweisungen zugewiesen ist. Falls nicht, bitten Sie Ihren Administrator, Ihnen die passende Rolle auf Mandantenebene oder auf Attributsatzebene zuzuweisen. Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen. Bei Bedarf kann sich ein globaler Administrator diese Rollen selbst zuweisen.
Hinzufügen von Attributsätzen
Fügen Sie Attributsätze hinzu, um verwandte benutzerdefinierte Sicherheitsattribute zu gruppieren und zu verwalten. Weitere Informationen
Verwalten von Attributsätzen
Geben Sie an, wer benutzerdefinierte Sicherheitsattribute in einem Attributsatz lesen, definieren oder zuweisen kann. Weitere Informationen
Definieren von Attributen
Fügen Sie Ihrem Verzeichnis benutzerdefinierte Sicherheitsattribute hinzu. Neben dem Datentyp (boolescher Wert, ganze Zahl oder Zeichenfolge) können Sie angeben, ob es sich um vordefinierte Werte, um Freiformwerte, um einen einzelnen Wert oder um mehrere Werte handelt. Weitere Informationen
Zuweisen von Attributen
Weisen Sie Azure AD-Objekten benutzerdefinierte Sicherheitsattribute für Ihre Geschäftsszenarien zu. Weitere Informationen
Verwenden von Attributen
Filtern Sie Benutzer und Anwendungen, die benutzerdefinierte Sicherheitsattribute verwenden. Weitere Informationen
Fügen Sie Azure-Rollenzuweisungen Bedingungen mit benutzerdefinierten Sicherheitsattributen hinzu, um eine differenzierte Zugriffssteuerung zu erreichen. Weitere Informationen
Begriff
Zum besseren Verständnis von benutzerdefinierten Sicherheitsattributen können Sie sich bei Bedarf die folgende Begriffsliste ansehen:
| Begriff | Definition |
|---|---|
| Attributdefinition | Das Schema eines benutzerdefinierten Sicherheitsattributs oder Schlüssel-Wert-Paars – beispielsweise der Name, die Beschreibung, der Datentyp und die vordefinierten Werte des benutzerdefinierten Sicherheitsattributs. |
| Attributsatz | Eine Sammlung verwandter benutzerdefinierter Sicherheitsattribute. Attributsätze können an andere Benutzer delegiert werden, um benutzerdefinierte Sicherheitsattribute zu definieren und zuzuweisen. |
| Attributname | Ein eindeutiger Name eines benutzerdefinierten Sicherheitsattributs innerhalb eines Attributsatzes. Die Kombination aus Attributsatz und Attributname bildet ein eindeutiges Attribut für Ihren Mandanten. |
| Attributzuweisung | Die Zuweisung eines benutzerdefinierten Sicherheitsattributs zu einem Azure AD-Objekt – beispielsweise zu Benutzern, Unternehmensanwendungen (Dienstprinzipalen) oder verwalteten Identitäten. |
| Vordefinierter Wert | Ein zulässiger Wert für ein benutzerdefiniertes Sicherheitsattribut. |
Eigenschaften benutzerdefinierter Sicherheitsattribute
Die folgende Tabelle enthält die Eigenschaften, die Sie für Attributsätze und benutzerdefinierte Sicherheitsattribute angeben können. Einige Eigenschaften sind unveränderlich und können später nicht mehr geändert werden.
| Eigenschaft | Erforderlich | Nachträglich änderbar | Beschreibung |
|---|---|---|---|
| Name des Attributsatzes | ✔️ | Der Name des Attributsatzes. Muss innerhalb eines Mandanten eindeutig sein. Darf keine Leerzeichen oder Sonderzeichen enthalten. | |
| „Attribute set description“ (Beschreibung des Attributsatzes) | ✔️ | Die Beschreibung des Attributsatzes. | |
| Maximale Anzahl von Attributen | ✔️ | Die maximale Anzahl benutzerdefinierter Sicherheitsattribute, die in einem Attributsatz definiert werden können. Der Standardwert ist null. Ohne Angabe kann der Administrator maximal 500 aktive Attribute pro Mandant hinzufügen. |
|
| Attributsatz | ✔️ | Eine Sammlung verwandter benutzerdefinierter Sicherheitsattribute. Jedes benutzerdefinierte Sicherheitsattribut muss Teil eines Attributsatzes sein. | |
| Attributname | ✔️ | Der Name des benutzerdefinierten Sicherheitsattributs. Muss innerhalb eines Attributsatzes eindeutig sein. Darf keine Leerzeichen oder Sonderzeichen enthalten. | |
| Attributbeschreibung | ✔️ | Die Beschreibung des benutzerdefinierten Sicherheitsattributs. | |
| Datentyp | ✔️ | Der Datentyp für die Werte des benutzerdefinierten Sicherheitsattributs. Unterstützte Typen: Boolean, Integer und String. |
|
| „Allow multiple values to be assigned“ (Zuweisen mehrerer Werte zulassen) | ✔️ | Gibt an, ob dem benutzerdefinierten Sicherheitsattribut mehrere Werte zugewiesen werden können. Wenn der Datentyp auf festgelegt Boolean ist, kann diese Eigenschaft nicht auf „Ja“ festgelegt werden. |
|
| Nur die Zuweisung vordefinierter Werte zulassen | ✔️ | Gibt an, ob dem benutzerdefinierten Sicherheitsattribut nur vordefinierte zugewiesen werden können. Ist diese Eigenschaft auf „Nein“ festgelegt, sind Freiformwerte zulässig. Kann später von „Ja“ in „Nein“, aber nicht von „Nein“ in „Ja“ geändert werden. Wenn der Datentyp auf festgelegt Boolean ist, kann diese Eigenschaft nicht auf „Ja“ festgelegt werden. |
|
| „Predefined values“ (Vordefinierte Werte) | Vordefinierte Werte für das benutzerdefinierte Sicherheitsattribut des ausgewählten Datentyps. Weitere vordefinierte Werte können später hinzugefügt werden. Die Werte können Leerzeichen enthalten, es sind jedoch nicht alle Sonderzeichen zulässig. | ||
| „Predefined value is active“ (Vordefinierter Wert ist aktiv) | ✔️ | Gibt an, ob der vordefinierte Wert aktiv oder deaktiviert ist. Ist diese Eigenschaft auf „False“ festgelegt, kann der vordefinierte Wert keinen weiteren unterstützten Verzeichnisobjekten zugewiesen werden. | |
| Attribut ist aktiv | ✔️ | Gibt an, ob das benutzerdefinierte Sicherheitsattribut aktiv oder deaktiviert ist. |
Grenzen und Einschränkungen
Hier finden Sie einige der Grenzwerte und Einschränkungen für benutzerdefinierte Sicherheitsattribute:
| Resource | Begrenzung | Notizen |
|---|---|---|
| Attributdefinitionen pro Mandant | 500 | Gilt nur für aktive Attribute im Mandanten |
| Attributsätze pro Mandant | 500 | |
| Länge des Attributsatznamens | 32 | Unicode-Zeichen ohne Beachtung der Groß-/Kleinschreibung |
| Länge der Attributsatzbeschreibung | 128 | Unicode-Zeichen |
| Länge des Attributnamens | 32 | Unicode-Zeichen ohne Beachtung der Groß-/Kleinschreibung |
| Länge der Attributbeschreibung | 128 | Unicode-Zeichen |
| „Predefined values“ (Vordefinierte Werte) | Unicode-Zeichen mit Beachtung der Groß-/Kleinschreibung | |
| Vordefinierte Werte pro Attributdefinition | 100 | |
| Länge des Attributwerts | 64 | Unicode-Zeichen |
| Pro Objekt zugewiesene Attributwerte | 50 | Werte können auf ein- und mehrwertige Attribute verteilt werden. Beispiel: Fünf Attribute mit jeweils zehn Werten oder 50 Attribute mit jeweils einem Wert |
| Sonderzeichen sind nicht zulässig für: Name des Attributsatzes Attributname |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Der Name des Attributsatzes und der Attributname dürfen nicht mit einer Zahl beginnen. |
| Sonderzeichen, die für Attributwerte zulässig sind | Alle Sonderzeichen | |
| Sonderzeichen, die für Attributwerte zulässig sind, wenn sie mit Blobindextags verwendet werden | <space> + - . : = _ / |
Wenn Sie Attributwerte mit Blobindextags verwenden möchten, sind nur diese Sonderzeichen für Blobindextags zulässig. Weitere Informationen finden Sie unter Festlegen von Blobindextags. |
Rollen für benutzerdefinierte Sicherheitsattribute
Azure AD bietet integrierte Rollen für die Arbeit mit benutzerdefinierten Sicherheitsattributen. Für die Verwaltung benutzerdefinierter Sicherheitsattribute wird mindestens die Rolle „Administrator für Attributdefinitionen“ benötigt. Benutzer, die benutzerdefinierte Sicherheitsattributwerte für Azure AD-Objekte wie Benutzer und Anwendungen zuweisen möchten, benötigen mindestens die Rolle „Administrator für Attributzuweisungen“. Diese Rollen können auf Mandantenebene oder auf Attributsatzebene zugewiesen werden.
| Role | Berechtigungen |
|---|---|
| Leser für Attributdefinitionen | Attributsätze lesen Definitionen benutzerdefinierter Sicherheitsattribute lesen |
| Administrator für Attributdefinitionen | Alle Aspekte von Attributsätzen verwalten Alle Aspekte der Definitionen benutzerdefinierter Sicherheitsattribute verwalten |
| Leser für Attributzuweisungen | Attributsätze lesen Definitionen benutzerdefinierter Sicherheitsattribute lesen Schlüssel und Werte benutzerdefinierter Sicherheitsattribute für Benutzer und Dienstprinzipale lesen |
| Administrator für Attributzuweisungen | Attributsätze lesen Definitionen benutzerdefinierter Sicherheitsattribute lesen Schlüssel und Werte benutzerdefinierter Sicherheitsattribute für Benutzer und Dienstprinzipale lesen und aktualisieren |
Wichtig
Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Graph-Tester
Wenn Sie die Microsoft Graph-API verwenden, können Sie mithilfe von Graph Explorer die Microsoft Graph-APIs für benutzerdefinierte Sicherheitsattribute einfacher ausprobieren. Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mithilfe der Microsoft Graph-API.
Bekannte Probleme
Hier finden Sie einige bekannte Probleme mit benutzerdefinierten Sicherheitsattributen:
- Globale Administratoren können Überwachungsprotokolle für Definitionen und Zuweisungen benutzerdefinierter Sicherheitsattribute lesen.
- Wenn Sie über eine Azure AD Premium P2-Lizenz verfügen, können Sie auf Attributsatzebene keine berechtigten Rollenzuweisungen hinzufügen.
- Wenn Sie über eine Azure AD Premium P2-Lizenz verfügen, werden auf der Seite Zugewiesene Rollen für einen Benutzer keine permanenten Rollenzuweisungen auf Attributsatzebene aufgeführt. Die Rollenzuweisungen sind vorhanden, werden aber nicht aufgeführt.
Im Anschluss finden Sie die Rollenzuweisungsaufgaben, die derzeit im Zusammenhang mit Rollen für benutzerdefinierte Sicherheitsattribute unterstützt werden (aufgeschlüsselt nach Azure AD Premium P1-Lizenz und Azure AD Premium P2-Lizenz):
| Rollenzuweisungsaufgabe | Premium P1 | Premium P2 |
|---|---|---|
| Dauerhafte Rollenzuweisungen | ✔️ | ✔️ |
| Berechtigte Rollenzuweisungen | – | ✔️ |
| Dauerhafte Rollenzuweisungen auf Attributsatzebene | ✔️ | ✔️ |
| Berechtigte Rollenzuweisungen auf Attributsatzebene | – | ❌ |
| Auflistung dauerhafter Rollenzuweisungen auf Attributsatzebene auf der Seite Zugewiesene Rollen | ✔️ | ⚠️ Die Rollenzuweisungen sind vorhanden, werden aber nicht aufgeführt. |
Lizenzanforderungen
Für die Verwendung dieses Features ist eine Azure AD Premium P1-Lizenz erforderlich. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Azure AD.