Apa saja atribut keamanan khusus di Microsoft Azure Active Directory? (Pratinjau)
Penting
Atribut keamanan kustom saat ini dalam mode PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.
Atribut keamanan kustom di Azure Active Directory (Microsoft Azure Active Directory) adalah atribut khusus bisnis (pasangan kunci-nilai) yang dapat ditentukan dan ditetapkan ke objek Microsoft Azure Active Directory. Atribut ini dapat digunakan untuk menyimpan informasi, mengkategorikan objek, ataupun menegakkan kontrol akses berbutir halus atas sumber daya Azure tertentu. Atribut keamanan kustom dapat digunakan dengan kontrol akses berbasis atribut Azure (Azure ABAC).
Mengapa menggunakan atribut keamanan khusus?
- Perluas profil pengguna, seperti menambahkan Tanggal Mulai Kerja Karyawan serta Gaji Per Jam untuk semua karyawan saya.
- Pastikan hanya administrator yang dapat melihat atribut Gaji Per Jam pada profil karyawan saya.
- Kategorikan ratusan atau ribuan aplikasi untuk membuat inventaris yang dapat disaring dengan mudah untuk diaudit.
- Berikan pengguna akses ke blob Azure Storage milik proyek.
Apa yang dapat dilakukan dengan atribut keamanan khusus?
- Tentukan informasi spesifik bisnis (atribut) bagi penyewa Anda.
- Tambahkan satu set atribut keamanan kustom pada pengguna, aplikasi, sumber daya Microsoft Azure Active Directory, ataupun sumber daya Azure.
- Kelola objek Microsoft Azure Active Directory menggunakan atribut keamanan kustom dengan kueri serta filter.
- Berikan tata kelola atribut sehingga atribut menentukan siapa yang memperoleh akses.
Fitur atribut keamanan kustom
- Tersedia bagi seluruh penyewa
- Sertakan deskripsi
- Mendukung beragam jenis data: Boolean, integer, string
- Mendukung nilai tunggal ataupun beberapa nilai
- Mendukung nilai bentuk bebas yang ditentukan pengguna ataupun nilai yang telah ditentukan
- Tetapkan atribut keamanan khusus ke pengguna yang disinkronkan direktori dari Active Directory Domain Services lokal
Contoh berikut menunjukkan bagaimana Anda dapat menentukan nilai atribut keamanan kustom yang tunggal, ganda, bentuk bebas, ataupun telah ditentukan.
Objek yang mendukung atribut keamanan kustom
Saat ini, Anda dapat menambahkan atribut keamanan kustom bagi objek Microsoft Azure Active Directory berikut:
- Pengguna Microsoft Azure AD
- Aplikasi perusahaan Microsoft Azure Active Directory (prinsip layanan)
- Identitas yang dikelola untuk sumber daya Azure
Bagaimana atribut keamanan kustom dibandingkan ekstensi skema direktori?
Berikut adalah beberapa cara atribut keamanan khusus dibandingkan dengan ekstensi skema direktori:
- Ekstensi skema direktori tidak dapat digunakan untuk skenario otorisasi dan atribut karena kontrol akses bagi atribut ekstensi terkait dengan objek Microsoft Azure Active Directory. Atribut keamanan kustom dapat digunakan untuk otorisasi serta atribut yang membutuhkan kontrol akses karena atribut keamanan kustom dapat dikelola dan dilindungi melalui izin terpisah.
- Ekstensi skema direktori terkait dengan aplikasi serta membagikan siklus hidup aplikasi. Atribut keamanan kustom tersedia bagi seluruh penyewa serta tidak terikat pada aplikasi.
- Ekstensi skema direktori mendukung penetapan nilai tunggal pada atribut. Atribut keamanan kustom mendukung penetapan beberapa nilai pada atribut.
Langkah-langkah untuk menggunakan atribut keamanan khusus
Periksa izin
Pastikan Anda diberi peran Attribute Definition Administrator atau Attribute Assignment Administrator. Jika tidak, periksa dengan administrator Anda guna menetapkan peran yang sesuai di ruang lingkup penyewa atau cakupan set atribut. Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Jika perlu, Administrator Global dapat menetapkan peran ini bagi diri mereka sendiri.
Tambahkan set atribut
Tambahkan set atribut ke grup serta kelola atribut keamanan kustom terkait. Pelajari lebih lanjut
Kelola set atribut
Tentukan siapa yang dapat mendefinisikan serta menetapkan atribut keamanan kustom dalam set atribut. Pelajari lebih lanjut
Menentukan atribut
Tambahkan atribut keamanan kustom pada direktori Anda. Anda dapat menentukan tipe tanggal (Boolean, integer, atau string) serta apakah nilai telah ditentukan, bentuk bebas, tunggal, ataupun ganda. Pelajari lebih lanjut
Tetapkan atribut
Tetapkan atribut keamanan kustom pada objek Microsoft Azure Active Directory untuk skenario Anda. Pelajari lebih lanjut
Atribut file
Filter pengguna serta aplikasi yang menggunakan atribut keamanan kustom. Pelajari lebih lanjut
Tambahkan kondisi yang menggunakan atribut keamanan kustom pada tugas peran Azure untuk kontrol akses mendetail. Pelajari lebih lanjut
Terminologi
Untuk lebih memahami atribut keamanan kustom, Anda dapat merujuk kembali pada daftar istilah berikut.
| Istilah | Definisi |
|---|---|
| definisi atribut | Skema atribut keamanan kustom ataupun pasangan nilai kunci. Misalnya, nama atribut keamanan kustom, deskripsi, jenis data, serta nilai yang telah ditentukan. |
| Set atribut | Kumpulan atribut keamanan kustom yang terkait. Set atribut dapat didelegasikan pada pengguna lain untuk mendefinisikan dan menetapkan atribut keamanan kustom. |
| Nama Atribut | Nama unik dari atribut keamanan kustom di dalam satu set atribut. Kombinasi set atribut serta nama atribut membentuk atribut unik untuk penyewa Anda. |
| tugas atribut | Penugasan atribut keamanan khusus ke objek Microsoft Azure Active Directory, seperti pengguna, aplikasi perusahaan (kepala layanan), dan identitas terkelola. |
| Nilai yang sudah ditentukan sebelumnya | Nilai yang diperbolehkan bagi atribut keamanan kustom. |
Properti atribut keamanan kustom
Tabel berikut mencantumkan properti yang dapat ditentukan untuk kumpulan atribut dan atribut keamanan kustom. Beberapa properti tidak berubah serta tidak dapat diubah.
| Properti | Diperlukan | Bisa diubah kemudian | Deskripsi |
|---|---|---|---|
| Nama set atribut | ✔️ | Nama set atribut. Harus unik dalam sebuah pembaruan. Tidak dapat menyertakan spasi ataupun karakter khusus. | |
| Deskripsi kumpulan atribut | ✔️ | Deskripsi set atribut. | |
| Jumlah maksimum atribut | ✔️ | Jumlah maksimum atribut keamanan kustom yang dapat didefinisikan di dalam satu set atribut. Nilai defaultnya adalah null. Jika tidak ditentukan, administrator bisa menambahkan hingga maksimum 500 atribut aktif per penyewa. |
|
| Set atribut | ✔️ | Kumpulan atribut keamanan kustom yang terkait. Semua atribut keamanan kustom harus menjadi bagian dari satu set atribut. | |
| Nama atribut | ✔️ | Nama atribut keamanan kustom. Harus unik dalam satu set atribut. Tidak dapat menyertakan spasi ataupun karakter khusus. | |
| Deskripsi atribut | ✔️ | Deskripsi atribut keamanan kustom. | |
| Jenis Data | ✔️ | Jenis data untuk nilai atribut keamanan kustom. Jenis yang didukung adalah Boolean, Integer, and String. |
|
| Izinkan beberapa nilai untuk ditetapkan | ✔️ | Menunjukkan apakah beberapa nilai dapat ditetapkan pada atribut keamanan kustom. Jika tipe data diatur ke Boolean, tidak dapat diatur ke Ya. |
|
| Hanya izinkan nilai yang dibuat sistem untuk ditetapkan | ✔️ | Menunjukkan apakah hanya nilai yang telah ditentukan dapat ditetapkan ke atribut keamanan kustom. Jika diatur ke Tidak, nilai bentuk bebas diperbolehkan. Bisa diubah dari Ya menjadi Tidak, tapi tidak dapat diubah dari Tidak menjadi Ya. Jika tipe data diatur ke Boolean, tidak dapat diatur ke Ya. |
|
| Nilai yang sudah ditentukan sebelumnya | Nilai yang telah ditentukan untuk atribut keamanan kustom dari jenis data yang dipilih. Nilai yang lebih ditentukan dapat ditambahkan nanti. Nilai dapat mencakup spasi, namun beberapa karakter khusus tidak diizinkan. | ||
| Nilai yang telah ditentukan aktif | ✔️ | Menentukan apakah nilai yang telah ditentukan aktif ataupun dinonaktifkan. Jika diatur ke salah, nilai yang telah ditentukan tidak dapat ditetapkan ke objek direktori tambahan yang didukung. | |
| Atribut aktif | ✔️ | Menentukan apakah atribut keamanan kustom aktif ataupun dinonaktifkan. |
Limit dan batasan
Berikut adalah beberapa batasan dan batasan bagi atribut keamanan khusus.
| Sumber daya | Batas | Catatan |
|---|---|---|
| Definisi atribut per penyewa | 500 | Hanya berlaku untuk atribut aktif pada penyewa |
| Set atribut per penyewa | 500 | |
| Panjang nama kumpulan atribut | 32 | Karakter Unicode serta kasus tidak sensitif |
| Deskripsi kumpulan atribut | 128 | Karakter Unicode |
| Panjang nama atribut | 32 | Karakter Unicode serta kasus tidak sensitif |
| Deskripsi kumpulan atribut | 128 | Karakter Unicode |
| Nilai yang sudah ditentukan sebelumnya | Karakter unicode dan sensitif terhadap huruf besar/kecil | |
| Nilai yang telah ditentukan per definisi atribut | 100 | |
| Panjang nilai atribut | 64 | Karakter Unicode |
| Nilai atribut yang ditetapkan per objek | 50 | Nilai dapat didistribusikan pada seluruh atribut tunggal serta multi-nilai. Contoh: 5 atribut dengan 10 nilai masing-masing ataupun 50 atribut dengan 1 nilai masing-masing |
| Karakter khusus tidak diperbolehkan untuk: Nama set atribut Nama atribut |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
Nama set atribut dan nama atribut tidak dapat dimulai dengan angka |
| Karakter khusus yang diizinkan untuk nilai atribut | Semua karakter khusus | |
| Karakter khusus yang diizinkan untuk nilai atribut saat digunakan dengan tag indeks blob | <space> + - . : = _ / |
Jika Anda berencana menggunakan nilai atribut dengan tag indeks blob, ini adalah satu-satunya karakter khusus yang diizinkan untuk tag indeks blob. Untuk informasi selengkapnya, lihat Mengatur tag indeks blob. |
Atribut keamanan kustom
Microsoft Azure Active Directory menyediakan peran bawaan untuk bekerja dengan atribut keamanan khusus. Peran Administrator Definisi Atribut adalah peran minimum yang dibutuhkan untuk mengelola atribut keamanan kustom. Peran Administrator Penugasan Atribut adalah peran minimum yang Anda butuhkan untuk menetapkan nilai atribut keamanan khusus untuk objek Microsoft Azure Active Directory seperti pengguna dan aplikasi. Anda dapat menetapkan peran ini pada lingkup penyewa atau pada lingkup yang ditetapkan atribut.
| Peran | Izin |
|---|---|
| Pembaca Definisi Atribut | Tambahkan set atribut Baca definisi atribut keamanan khusus |
| Administrator Definisi Atribut | Mengelola semua aspek dari set atribut Mengelola semua aspek dari definisi atribut keamanan kustom |
| Pembaca Tugas Atribut | Tambahkan set atribut Baca definisi atribut keamanan khusus Baca kunci dan nilai atribut keamanan kustom untuk pengguna serta prinsipal layanan |
| Administrator Tugas Atribut | Tambahkan set atribut Baca definisi atribut keamanan khusus Baca kunci serta nilai atribut keamanan kustom untuk pengguna dan prinsipal layanan |
Penting
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom.
Graph Explorer
Jika menggunakan API Microsoft Graph, Anda dapat menggunakan Graph Explorer agar lebih mudah mencoba API Microsoft Graph untuk atribut keamanan khusus. Untuk informasi selengkapnya, lihat Ringkasan atribut keamanan kustom menggunakan API Microsoft Graph.
Masalah yang diketahui
Berikut adalah beberapa masalah yang diketahui dalam atribut keamanan khusus:
- Administrator Global dapat membaca log audit untuk definisi serta tugas atribut keamanan kustom.
- Jika Anda memiliki lisensi Microsoft Azure Active Directory Premium P2, Anda tidak dapat menambahkan tugas peran yang memenuhi syarat pada lingkup yang ditetapkan atribut.
- Jika Anda memiliki lisensi Microsoft Azure Active Directory Premium P2, halaman peran yang ditetapkan untuk pengguna tidak mencantumkan tugas peran permanen pada lingkup yang ditetapkan atribut. Tugas peran ada, namun tidak terdaftar.
Bergantung pada apakah Anda memiliki lisensi Microsoft Azure Active Directory Premium P1 atau P2, berikut adalah tugas penugasan peran yang saat ini didukung untuk peran atribut keamanan khusus:
| Kuota penetapan peran | Premium P1 | Premium P2 |
|---|---|---|
| Tugas peran permanen | ✔️ | ✔️ |
| Penetapan peran yang memenuhi syarat | n/a | ✔️ |
| Tugas peran permanen pada lingkup yang ditetapkan atribut | ✔️ | ✔️ |
| Tugas peran yang layak pada lingkup yang ditetapkan atribut | n/a | ❌ |
| Halaman peran yang ditugaskanmencantumkan tugas peran permanen di lingkup kumpulan atribut | ✔️ | ⚠️ Tugas peran ada, namun tidak terdaftar |
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Azure Active Directory Premium P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Azure Active Directory yang tersedia secara umum.