Mik azok az egyéni biztonsági attribútumok az Azure AD-ban? (Előzetes verzió)

Fontos

Az egyéni biztonsági attribútumok jelenleg előzetes verzióban állnak rendelkezésre. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

A Azure Active Directory (Azure AD) egyéni biztonsági attribútumai olyan üzleti attribútumok (kulcs-érték párok), amelyek definiálhatóak és hozzárendelve vannak az Azure AD-objektumokhoz. Ezekkel az attribútumokkal információkat tárolhat, objektumokat kategorizálhat, vagy részletes hozzáférés-vezérlést kényszeríthet bizonyos Azure-erőforrásokon. Az egyéni biztonsági attribútumok az Azure attribútumalapú hozzáférés-vezérléssel (Azure ABAC) használhatók.

Miért érdemes egyéni biztonsági attribútumokat használni?

  • Kiterjesztheti a felhasználói profilokat, például hozzáadhatja az Alkalmazotti alkalmazottak felvételének dátumát és az Óránkénti fizetést az összes alkalmazotthoz.
  • Győződjön meg arról, hogy csak a rendszergazdák láthatják az Alkalmazottak profiljában az Óránkénti fizetés attribútumot.
  • Több száz vagy ezer alkalmazás kategorizálásával könnyen létrehozhat egy szűrhető leltárt a naplózáshoz.
  • Hozzáférés megadása a felhasználóknak az Azure Storage projekthez tartozó blobok számára.

Mire lehet képes az egyéni biztonsági attribútumokkal?

  • Üzleti információk (attribútumok) meghatározása a bérlő számára.
  • Egyéni biztonsági attribútumok készletének hozzáadása felhasználókhoz, alkalmazásokhoz, Azure AD-erőforrásokhoz vagy Azure-erőforrásokhoz.
  • Azure AD-objektumok kezelése lekérdezéseket és szűrőket használó egyéni biztonsági attribútumokkal.
  • Adjon meg attribútumirányítást, hogy az attribútumok meghatározzák, ki férhet hozzá.

Az egyéni biztonsági attribútumok jellemzői

  • Elérhető bérlői szintű
  • Leírás megszabad
  • Különböző adattípusok támogatása: logikai, egész szám, sztring
  • Egy vagy több érték támogatása
  • Felhasználó által definiált szabad űrlapértékek vagy előre definiált értékek támogatása
  • Egyéni biztonsági attribútumok hozzárendelése címtár-szinkronizált felhasználókhoz egy helyi Active Directory

Az alábbi példa bemutatja, hogyan adhatja meg az egyéni biztonsági attribútumértékeket, amelyek egyetlen, több, szabad formában vagy előre meghatározottak.

Felhasználóhoz rendelt egyéni biztonsági attribútumpélák.

Egyéni biztonsági attribútumokat támogató objektumok

Jelenleg a következő Azure AD-objektumokhoz adhat hozzá egyéni biztonsági attribútumokat:

  • Azure AD-felhasználók
  • Azure AD vállalati alkalmazások (szolgáltatásnév)
  • Azure-erőforrások felügyelt identitásai

Hogyan viszonyulnak az egyéni biztonsági attribútumok a címtársémák bővítményeihez?

Az egyéni biztonsági attribútumok és a címtársémák bővítményei az alábbi módokon hasonlíthatók össze:

  • A címtársémák bővítményei nem használhatók engedélyezési forgatókönyvekhez és attribútumokhoz, mert a bővítményattribútumok hozzáférés-vezérlése az Azure AD-objektumhoz van kötve. Az egyéni biztonsági attribútumok az engedélyezéshez és a hozzáférés-vezérlést szükséges attribútumok esetén is használhatók, mivel az egyéni biztonsági attribútumok külön engedélyekkel kezelhetők és védelmük is lehet.
  • A címtársémák bővítményei egy alkalmazáshoz vannak kötve, és megosztják az alkalmazás életciklusát. Az egyéni biztonsági attribútumok bérlői szintűek, és nem kötődnek egy alkalmazáshoz.
  • A címtársémák bővítményei támogatják egyetlen érték attribútumhoz való hozzárendelését. Az egyéni biztonsági attribútumok támogatják több érték attribútumhoz rendelését.

Egyéni biztonsági attribútumok használatának lépései

  1. Engedélyek ellenőrzése

    Ellenőrizze, hogy rendelkezik-e attribútumdefiníció-rendszergazdai vagy attribútum-hozzárendelési rendszergazdai szerepkörökkel. Ha nem, forduljon a rendszergazdához, és rendelje hozzá a megfelelő szerepkört a bérlői hatókörben vagy az attribútumkészlet hatókörében. Alapértelmezés szerint a globális rendszergazda és más rendszergazdai szerepkörök nem olvasási, definiáló vagy hozzárendelt egyéni biztonsági attribútumokkal rendelkezik. Szükség esetén a globális rendszergazda hozzárendelheti ezeket a szerepköröket saját magukhoz.

    Egyéni biztonsági attribútumok Azure AD-beli hozzáadásához szükséges engedélyek ellenőrzését bemutató ábra.

  2. Attribútumkészletek hozzáadása

    Attribútumkészletek hozzáadása a kapcsolódó egyéni biztonsági attribútumok csoportosítása és kezelése érdekében. További információ

    Több attribútumkészlet hozzáadását bemutató ábra.

  3. Attribútumkészletek kezelése

    Megadhatja, hogy ki olvashat, definiálhat vagy rendelhet hozzá egyéni biztonsági attribútumokat egy attribútumkészletben. További információ

    Az attribútumdefiníciók rendszergazdáinak és attribútum-hozzárendelési rendszergazdájának attribútumkészlethez való hozzárendelését bemutató ábra.

  4. Attribútumok meghatározása

    Adja hozzá az egyéni biztonsági attribútumokat a címtárhoz. Megadhatja a dátumtípust (logikai, egész vagy sztring), valamint azt, hogy az értékek előre definiáltak, szabadak, egyszeresek vagy többek. További információ

    Egyéni biztonsági attribútumokat meghatározó meghatalmazott rendszergazdákat bemutató ábra.

  5. Attribútumok hozzárendelése

    Egyéni biztonsági attribútumokat rendelhet az Azure AD-objektumokhoz az üzleti forgatókönyvekhez. További információ

    Ábra, amely azt mutatja be, hogy a meghatalmazott rendszergazdák egyéni biztonsági attribútumokat rendelnek az Azure AD-objektumokhoz.

  6. Attribútumok használata

    Egyéni biztonsági attribútumokat használó felhasználók és alkalmazások szűrése. További információ

    Egyéni biztonsági attribútumokat felhasználó feltételek hozzáadása az Azure-beli szerepkör-hozzárendeléshez a hozzáférés-vezérlés finomhangoltsága érdekében. További információ

Terminológia

Az egyéni biztonsági attribútumok jobb érthetőbbek, ha visszatér az alábbi kifejezéslistához.

Időszak Definíció
attribútumdefiníció Egy egyéni biztonsági attribútum vagy kulcs-érték pár sémája. Ilyen például az egyéni biztonsági attribútum neve, leírása, adattípusa és előre meghatározott értékei.
attribútumkészlet Kapcsolódó egyéni biztonsági attribútumok gyűjteménye. Az attribútumkészletek delegálhatóak más felhasználóknak egyéni biztonsági attribútumok definiálása és hozzárendelése érdekében.
attribútum neve Egy attribútumkészleten belüli egyéni biztonsági attribútum egyedi neve. Az attribútumkészlet és az attribútumnév kombinációja egyedi attribútumot ad a bérlőnek.
attribútum-hozzárendelés Egyéni biztonsági attribútum hozzárendelése egy Azure AD-objektumhoz, például felhasználókhoz, vállalati alkalmazásokhoz (szolgáltatásnév) és felügyelt identitásokhoz.
előre definiált érték Egy egyéni biztonsági attribútumhoz engedélyezett érték.

Egyéni biztonsági attribútum tulajdonságai

Az alábbi táblázat az attribútumkészletek és az egyéni biztonsági attribútumok megadható tulajdonságait sorolja fel. Egyes tulajdonságok nem módosíthatók, és később nem módosíthatók.

Tulajdonság Kötelező Később módosítható Description
Attribútumkészlet neve ✔️ Az attribútumkészlet neve. A bérlőn belül egyedinek kell lennie. Nem tartalmazhat szóközöket vagy speciális karaktereket.
Attribútumkészlet leírása ✔️ Az attribútumkészlet leírása.
Attribútumok maximális száma ✔️ Az attribútumkészletben definiálható egyéni biztonsági attribútumok maximális száma. Az alapértelmezett érték null. Ha nincs megadva, a rendszergazda bérlőnként legfeljebb 500 aktív attribútumot adhat hozzá.
Attribútumkészlet ✔️ Kapcsolódó egyéni biztonsági attribútumok gyűjteménye. Minden egyéni biztonsági attribútumnak egy attribútumkészlet részének kell lennie.
Attribútum neve ✔️ Az egyéni biztonsági attribútum neve. Attribútumkészleten belül egyedinek kell lennie. Nem tartalmazhat szóközöket vagy speciális karaktereket.
Attribútum leírása ✔️ Az egyéni biztonsági attribútum leírása.
Adattípus ✔️ Az egyéni biztonsági attribútumértékek adattípusa. A támogatott típusok a Boolean , a és a Integer String .
Több érték hozzárendelésének engedélyezése ✔️ Azt jelzi, hogy több érték is hozzárendelhető-e az egyéni biztonsági attribútumhoz. Ha az adattípus beállítása Boolean , akkor nem lehet igenre állítani.
Csak előre meghatározott értékek hozzárendelésének engedélyezése ✔️ Azt jelzi, hogy csak előre meghatározott értékek rendelhetők-e hozzá az egyéni biztonsági attribútumhoz. Ha nemre van állítva, a szabad űrlapértékek engedélyezettek. Később igenről Nemre módosítható, de nem módosítható nemről Igen-ről Igen-re. Ha az adattípus beállítása Boolean , akkor nem lehet igenre állítani.
Előre definiált értékek A kiválasztott adattípus egyéni biztonsági attribútumának előre definiált értékei. Később további előre definiált értékeket is hozzá lehet adni. Az értékek szóközöket is tartalmazhatnak, de bizonyos speciális karakterek nem engedélyezettek.
Az előre meghatározott érték aktív ✔️ Meghatározza, hogy az előre meghatározott érték aktív vagy inaktiválva van-e. Ha false (hamis) értékre van állítva, az előre meghatározott érték nem rendelhető hozzá további támogatott címtárobjektumokhoz.
Az attribútum aktív ✔️ Megadja, hogy az egyéni biztonsági attribútum aktív vagy inaktiválva van-e.

Korlátozások és megkötések

Íme az egyéni biztonsági attribútumok korlátai és megkötései.

Erőforrás Korlát Jegyzetek
Attribútumdefiníciók bérlőnként 500 Csak a bérlő aktív attribútumaira vonatkozik
Attribútumkészletek bérlőnként 500
Attribútumkészlet nevének hossza 32 Unicode-karakterek és kis- és szövegérzékeny karakterek
Attribútumkészlet leírásának hossza 128 Unicode-karakterek
Attribútum nevének hossza 32 Unicode-karakterek és kis- és szövegérzékeny karakterek
Attribútum leírásának hossza 128 Unicode-karakterek
Előre definiált értékek Unicode-karakterek és kis- és nagybetűk megkülönböztetése
Előre definiált értékek attribútumdefiníciónként 100
Attribútumérték hossza 64 Unicode-karakterek
Objektumonként hozzárendelt attribútumértékek 50 Az értékek egy- és többértékű attribútumok között oszthatóak el.
Példa: 5 attribútum 10 értékkel vagy 50 attribútum mindegyikhez 1 értékkel
A következő karakterek nem engedélyezettek:
Attribútumkészlet neve
Attribútum neve
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? /
A következő karakterek nem engedélyezettek:
Attribútumértékek
# % & * + \ : " / < > ?

Egyéni biztonsági attribútumok szerepkörei

Az Azure AD beépített szerepköröket biztosít az egyéni biztonsági attribútumokkal való munkához. Az Attribútumdefiníció-rendszergazda szerepkör az egyéni biztonsági attribútumok kezeléséhez minimálisan szükséges szerepkör. Az Attribútum-hozzárendelés rendszergazdája szerepkör az a minimális szerepkör, amely az Azure AD-objektumok, például felhasználók és alkalmazások egyéni biztonsági attribútumértékének hozzárendeléséhez szükséges. Ezeket a szerepköröket bérlői hatókörben vagy attribútumkészlet-hatókörben rendelheti hozzá.

Szerepkör Engedélyek
Attribútumdefiníció olvasója Attribútumkészletek olvasása
Egyéni biztonsági attribútumdefiníciók olvasása
Attribútumdefiníció-rendszergazda Az attribútumkészletek összes aspektusának kezelése
Az egyéni biztonsági attribútumdefiníciók minden aspektusának kezelése
Attribútum-hozzárendelés olvasója Attribútumkészletek olvasása
Egyéni biztonsági attribútumdefiníciók olvasása
Egyéni biztonsági attribútumkulcsok és -értékek olvasása felhasználókhoz és szolgáltatásnévhez
Attribútum-hozzárendelési rendszergazda Attribútumkészletek olvasása
Egyéni biztonsági attribútumdefiníciók olvasása
Felhasználók és szolgáltatásnév egyéni biztonsági attribútumkulcsainak és értékeinek olvasása és frissítése

Fontos

Alapértelmezés szerint a globális rendszergazda és más rendszergazdai szerepkörök nem olvasási, definiáló vagy hozzárendelt egyéni biztonsági attribútumokkal rendelkezik.

Ismert problémák

Íme néhány, az egyéni biztonsági attribútumokkal kapcsolatos ismert probléma:

  • Az előre meghatározott értékeket csak azután adjuk hozzá, hogy hozzáadta az egyéni biztonsági attribútumot az Attribútum szerkesztése lap használatával.
  • Az attribútumkészlet-szintű szerepkör-hozzárendeléssel a felhasználók más attribútumkészleteket és egyéni biztonsági attribútumdefiníciókat is láthatnak.
  • A globális rendszergazdák elolvashatják az egyéni biztonsági attribútumdefiníciók és -hozzárendelések auditnaplóit.
  • Ha rendelkezik Prémium P2 szintű Azure AD licenccel, nem adhat hozzá jogosult szerepkör-hozzárendeléseket az attribútumkészlet hatókörében.
  • Ha rendelkezik Prémium P2 szintű Azure AD licenccel, a felhasználó Hozzárendelt szerepkörök lapja nem sorolja fel az állandó szerepkör-hozzárendeléseket az attribútumkészlet hatókörében. A szerepkör-hozzárendelések léteznek, de nem szerepelnek a listán.
  • Ha a Microsoft Graph API-t használja, a delegált és az alkalmazásengedélyek egyaránt elérhetők olvasási és írási (CustomSecAttributeAssignment.ReadWrite.All és CustomSecAttributeDefinition.ReadWrite.All). A csak olvasási engedélyek azonban jelenleg nem érhetők el.

Attól függően, hogy Prémium P1 szintű Azure AD vagy P2 licenccel rendelkezik, az alábbi szerepkör-hozzárendelési feladatok jelenleg támogatottak az egyéni biztonsági attribútumok szerepkörei esetén:

Szerepkör-hozzárendelési feladat Prémium P1 Prémium P2
Állandó szerepkör-hozzárendelések ✔️ ✔️
Jogosult szerepkör-hozzárendelések n.a. ✔️
Állandó szerepkör-hozzárendelések az attribútumkészlet hatókörében ✔️ ✔️
Jogosult szerepkör-hozzárendelések attribútumkészlet-hatókörben n.a.
A Hozzárendelt szerepkörök lap az állandó szerepkör-hozzárendeléseket sorolja fel az attribútumkészlet hatókörében ✔️ ⚠️
Léteznek szerepkör-hozzárendelések, de nem szerepelnek a listán

Licenckövetelmények

A szolgáltatás használatához prémium szintű Azure AD P1 licenc szükséges. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az ingyenes, alapszintű és prémium kiadások általánosan elérhető szolgáltatásait összehasonlító cikket.

Következő lépések