¿Qué son los atributos de seguridad personalizados en Microsoft Entra ID?
Los atributos de seguridad personalizados de Microsoft Entra ID son atributos específicos de la empresa (pares clave-valor) que puede definir y asignar a objetos de Microsoft Entra. Estos atributos se pueden usar para almacenar información, clasificar objetos o aplicar un control de acceso detallado para recursos específicos de Azure. Los atributos de seguridad personalizados se pueden usar con control de acceso basado en atributos (ABAC) de Azure.
¿Por qué usar atributos de seguridad personalizados?
Estos son algunos escenarios en los que podría usar atributos de seguridad personalizados:
- Amplíe los perfiles de usuario, añada por ejemplo el salario por hora de todos los empleados.
- Asegúrese de que solo los administradores pueden ver el atributo de salario por hora en los perfiles de los empleados.
- Clasifique cientos o miles de aplicaciones para crear fácilmente un inventario filtrable para la auditoría.
- Conceda a los usuarios acceso a blobs de Azure Storage que pertenecen a un proyecto.
¿Qué puedo hacer con los atributos de seguridad personalizados?
Los atributos de seguridad personalizados incluyen estas funcionalidades:
- Defina información específica del negocio (atributos) para el inquilino.
- Agregue un conjunto de atributos de seguridad personalizados en usuarios y aplicaciones.
- Administre objetos de Microsoft Entra mediante atributos de seguridad personalizados con consultas y filtros.
- Proporcione gobernanza de atributos para que los atributos determinen quién puede obtener acceso.
Los atributos de seguridad personalizados no se admiten en las siguientes áreas:
- Servicios de dominio de Microsoft Entra
- Notificaciones de token del Lenguaje de Marcado para Confirmaciones de Seguridad (SAML)
Características de los atributos de seguridad personalizados
Los atributos de seguridad personalizados incluyen estas características:
- Están disponibles para todo el inquilino
- Permiten incluir una descripción.
- Admiten distintos tipos de datos: booleanos, enteros, cadenas
- Admiten un valor único o varios valores.
- Admiten valores de formato libre definidos por el usuario o valores predefinidos
- Permiten asignar atributos de seguridad a los usuarios con sincronización de directorios desde un entorno local de Active Directory.
En el siguiente ejemplo se muestran varios atributos de seguridad personalizados asignados a un usuario. Los atributos de seguridad personalizados son tipos de datos diferentes y tienen valores únicos, múltiples, de forma libre o predefinidos.
Objetos que admiten atributos de seguridad personalizados
Puede agregar atributos de seguridad personalizados para los siguientes objetos de Microsoft Entra:
- Usuarios de Microsoft Entra
- Aplicaciones empresariales de Microsoft Entra (entidades de servicio)
¿Qué tienen en común los atributos de seguridad personalizados con las extensiones?
Aunque tanto las extensiones como los atributos de seguridad personalizados se pueden usar para extender objetos en Microsoft Entra ID y Microsoft 365, son adecuados para escenarios de datos personalizados fundamentalmente diferentes. A continuación se incluyen algunos puntos en común de los atributos de seguridad personalizados con las extensiones:
| Capacidad | Extensiones | Atributos de seguridad personalizados |
|---|---|---|
| Extender el identificador de Microsoft Entra ID y los objetos de Microsoft 365 | Sí | Sí |
| Objetos admitidos | Depende del tipo de extensión | Usuarios y entidades de servicio |
| Acceso restringido | No. Cualquier usuario con permisos para leer el objeto puede leer los datos de la extensión. | Sí. El acceso de lectura y escritura está restringido a través de un conjunto independiente de permisos y control de acceso basado en rol (RBAC). |
| Cuándo se usa | Almacenamiento de datos que va a usar una aplicación Almacenamiento de datos no confidenciales |
Almacenamiento de datos confidenciales Uso para escenarios de autorización |
| Requisitos de licencia | Disponible en todas las ediciones de Microsoft Entra ID | Disponible en todas las ediciones de Microsoft Entra ID |
Para obtener más información sobre cómo trabajar con extensiones, consulte Agregar datos personalizados a los recursos mediante extensiones.
Pasos para usar atributos de seguridad personalizados
Compruebe los permisos.
Compruebe que tiene asignado el rol de administrador de definición de atributos o administrador de asignación de atributos. Si no es así, consulte con el administrador para asignarle el rol adecuado en el ámbito del inquilino o en el ámbito del conjunto de atributos. De manera predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados. Si es necesario, un administrador global puede asignarse estos roles a sí mismo.
Agregar conjuntos de atributos
Agregue conjuntos de atributos para agrupar y administrar los atributos de seguridad personalizados relacionados. Más información
Administrar conjuntos de atributos
Especifique quién puede leer, definir o asignar atributos de seguridad personalizados en un conjunto de atributos. Más información
Definir atributos
Agregar atributos de seguridad personalizados al directorio. Puede especificar el tipo de fecha (booleano, entero o cadena) y si los valores son predefinidos, de forma libre, únicos o múltiples. Más información
Asignar atributos
Asigne atributos de seguridad personalizados a objetos de Microsoft Entra para sus escenarios empresariales. Más información
Usar atributos
Filtre usuarios y aplicaciones que usan atributos de seguridad personalizados. Más información
Agregue condiciones que usen atributos de seguridad personalizados a las asignaciones de roles de Azure para obtener un control de acceso detallado. Más información
Terminología
Para comprender mejor los atributos de seguridad personalizados, puede consultar la siguiente lista de términos.
| Término | Definición |
|---|---|
| definición de atributo | Esquema de un atributo de seguridad personalizado o par clave-valor. Por ejemplo, el nombre del atributo de seguridad personalizado, la descripción, el tipo de datos y los valores predefinidos. |
| conjunto de atributos | Colección de atributos de seguridad personalizados relacionados. Los conjuntos de atributos se pueden delegar en otros usuarios para definir y asignar atributos de seguridad personalizados. |
| nombre del atributo | Nombre único de un atributo de seguridad personalizado dentro de un conjunto de atributos. La combinación de conjunto de atributos y nombre de atributo constituye un atributo único para el inquilino. |
| asignación de atributos | Asignación de un atributo de seguridad personalizado a un objeto de Microsoft Entra, como usuarios y aplicaciones empresariales (entidades de servicio). |
| valor predefinido | Valor permitido para un atributo de seguridad personalizado. |
Propiedades de atributo de seguridad personalizadas
En la tabla siguiente se enumeran las propiedades que puede especificar para los conjuntos de atributos y los atributos de seguridad personalizados. Algunas propiedades son inmutables y no se pueden cambiar más tarde.
| Propiedad | Obligatorio | Se puede cambiar más tarde | Descripción |
|---|---|---|---|
| Nombre de conjunto de atributos | ✅ | Nombre del conjunto de atributos. Debe ser único dentro de un inquilino. No puede incluir espacios ni caracteres especiales. | |
| Descripción del conjunto de atributos | ✅ | Descripción del conjunto de atributos. | |
| Número máximo de atributos | ✅ | Número máximo de atributos de seguridad personalizados que se pueden definir en un conjunto de atributos. El valor predeterminado es null. Si no se especifica, el administrador puede agregar hasta 500 atributos activos por inquilino. |
|
| Conjunto de atributos | ✅ | Colección de atributos de seguridad personalizados relacionados. Todos los atributos de seguridad personalizados deben formar parte de un conjunto de atributos. | |
| Nombre del atributo | ✅ | Nombre del atributo de seguridad personalizado. Debe ser único dentro de un conjunto de atributos. No puede incluir espacios ni caracteres especiales. | |
| La descripción del atributo. | ✅ | Descripción del atributo de seguridad personalizado. | |
| Tipo de datos | ✅ | Tipo de datos para los valores de atributo de seguridad personalizado. Los tipos compatibles son Boolean, Integer y String. |
|
| Permitir que se asignen varios valores | ✅ | Indica si se pueden asignar varios valores al atributo de seguridad personalizado. Si el tipo de datos se establece en Boolean, no se puede establecer en Sí. |
|
| Permitir que solo se asignen valores predefinidos | ✅ | Indica si solo se pueden asignar valores predefinidos al atributo de seguridad personalizado. Si se establece en No, se permiten valores de forma libre. Más adelante se puede cambiar de Sí a No, pero no se puede cambiar de No a Sí. Si el tipo de datos se establece en Boolean, no se puede establecer en Sí. |
|
| Valores predefinidos | Valores predefinidos para el atributo de seguridad personalizado del tipo de datos seleccionado. Más adelante se pueden agregar más valores predefinidos. Los valores pueden incluir espacios, pero no se permiten algunos caracteres especiales. | ||
| El valor predefinido está activo | ✅ | Especifica si el valor predefinido está activo o desactivado. Si se establece en false, el valor predefinido no se puede asignar a ningún objeto de directorio compatible adicional. | |
| Atributo activo | ✅ | Especifica si el atributo de seguridad personalizado está activo o desactivado. |
Límites y restricciones
Estos son algunos de los límites y restricciones de los atributos de seguridad personalizados.
| Resource | Límite | Notas |
|---|---|---|
| Definiciones de atributos por inquilino | 500 | Solo se aplica a los atributos activos del inquilino. |
| Conjuntos de atributos por inquilino | 500 | |
| Longitud del nombre del conjunto de atributos | 32 | Caracteres Unicode y sin distinción de mayúsculas y minúsculas |
| Longitud de la descripción del conjunto de atributos | 128 | Caracteres Unicode |
| Longitud del nombre del atributo | 32 | Caracteres Unicode y sin distinción de mayúsculas y minúsculas |
| Longitud de la descripción del atributo | 128 | Caracteres Unicode |
| Valores predefinidos | Caracteres Unicode y con distinción de mayúsculas y minúsculas | |
| Valores predefinidos por definición de atributo | 100 | |
| Longitud del valor del atributo | 64 | Caracteres Unicode |
| Valores de atributo asignados por objeto | 50 | Los valores se pueden distribuir entre atributos únicos y multivalor. Ejemplo: 5 atributos con 10 valores cada uno o 50 atributos con 1 valor cada uno |
| Caracteres especiales no permitidos para: Nombre del conjunto de atributos Nombre del atributo |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
El nombre del conjunto de atributos y el nombre del atributo no pueden comenzar con un número |
| Caracteres especiales permitidos para valores de atributos | Todos los caracteres especiales | |
| Caracteres especiales permitidos para valores de atributos cuando se usan con etiquetas de índice de blobs | <space> + - . : = _ / |
Si tiene previsto usar valores de atributos con etiquetas de índice de blobs, estos son los únicos caracteres especiales permitidos para ellas. Para más información, vea Configuración de etiquetas de índice de blobs. |
Roles de los atributos de seguridad personalizados
Microsoft Entra ID proporciona roles integrados para trabajar con atributos de seguridad personalizados. El rol de administrador de definición de atributos es el rol mínimo que necesita para administrar atributos de seguridad personalizados. El rol Administrador de asignación de atributos es el rol mínimo que necesita para asignar valores de atributo de seguridad personalizados para objetos de Microsoft Entra como usuarios y aplicaciones. Puede asignar estos roles en el ámbito del inquilino o el del conjunto de atributos.
| Role | Permisos |
|---|---|
| Lector de definiciones de atributos | Leer conjuntos de atributos Leer definiciones de atributos de seguridad personalizados |
| Administrador de definiciones de atributos | Administrar todos los aspectos de los conjuntos de atributos Administrar todos los aspectos de las definiciones de atributos de seguridad personalizados |
| Lector de asignaciones de atributos | Leer conjuntos de atributos Leer definiciones de atributos de seguridad personalizados Leer claves y valores de atributos de seguridad personalizados para usuarios y entidades de servicio |
| Administrador de asignaciones de atributos | Leer conjuntos de atributos Leer definiciones de atributos de seguridad personalizados Leer y actualizar claves y valores de atributos de seguridad personalizados para usuarios y entidades de servicio |
| Lector de registro de atributos | Lectura de registros de auditoría para atributos de seguridad personalizados |
| Administrador del registro de atributos | Lectura de registros de auditoría para atributos de seguridad personalizados Configuración de opciones de diagnóstico para atributos de seguridad personalizados |
Importante
De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.
Microsoft Graph API
Puede administrar atributos de seguridad personalizados mediante programación mediante Microsoft Graph API. Para más información, consulte Introducción a los atributos de seguridad personalizados mediante Microsoft Graph API.
Puede usar un cliente de API como Graph Explorer o Postman para probar más fácilmente Microsoft Graph API para atributos de seguridad personalizados.
Requisitos de licencia
El uso de esta característica es gratis y está incluido en su suscripción de Azure.