Wat zijn aangepaste beveiligingskenmerken in Microsoft Entra ID?
Aangepaste beveiligingskenmerken in Microsoft Entra-id zijn bedrijfsspecifieke kenmerken (sleutel-waardeparen) die u kunt definiëren en toewijzen aan Microsoft Entra-objecten. Deze kenmerken kunnen worden gebruikt voor het opslaan van informatie, het categoriseren van objecten of het afdwingen van fijnmazig toegangsbeheer voor specifieke Azure-bronnen. Aangepaste beveiligingskenmerken kunnen worden gebruikt met op kenmerken gebaseerd toegangsbeheer (ABAC) van Azure.
Waarom aangepaste beveiligingskenmerken gebruiken?
Hier volgen enkele scenario's waarin u aangepaste beveiligingskenmerken kunt gebruiken:
- Gebruikersprofielen uitbreiden, zoals uurloon toevoegen aan al mijn werknemers.
- Zorg dat alleen beheerders het kenmerk Uurloon kunnen zien in de profielen van werknemers.
- Categoriseer honderden of duizenden toepassingen om eenvoudig een filterbare inventaris te maken voor controle.
- Geef gebruikers toegang tot de Azure-opslagblobs die tot een project behoren.
Wat kan ik doen met aangepaste beveiligingskenmerken?
Aangepaste beveiligingskenmerken omvatten deze mogelijkheden:
- Definieer bedrijfsspecifieke informatie (kenmerken) voor uw tenant.
- Voeg een set aangepaste beveiligingskenmerken toe aan gebruikers en toepassingen.
- Microsoft Entra-objecten beheren met behulp van aangepaste beveiligingskenmerken met query's en filters.
- Zorg voor kenmerkbeheer, zodat kenmerken bepalen wie toegang kan krijgen.
Aangepaste beveiligingskenmerken worden niet ondersteund op de volgende gebieden:
Functies van aangepaste beveiligingskenmerken
Aangepaste beveiligingskenmerken omvatten deze functies:
- Beschikbare tenantbrede
- Bevatten een beschrijving
- Ondersteuning voor verschillende gegevenstypen: Booleaanse waarde, geheel getal, tekenreeks
- Ondersteuning voor één waarde of meerdere waarden
- Door de gebruiker gedefinieerde vrije-vormwaarden of vooraf gedefinieerde waarden ondersteunen
- Aangepaste beveiligingskenmerken toewijzen aan via directory gesynchroniseerde gebruikers vanuit een on-premises Active Directory
In het volgende voorbeeld ziet u verschillende aangepaste beveiligingskenmerken die zijn toegewezen aan een gebruiker. De aangepaste beveiligingskenmerken zijn verschillende gegevenstypen en hebben waarden die één, meerdere, vrije vorm of vooraf gedefinieerd zijn.
Objecten die aangepaste beveiligingskenmerken ondersteunen
U kunt aangepaste beveiligingskenmerken toevoegen voor de volgende Microsoft Entra-objecten:
- Microsoft Entra-gebruikers
- Microsoft Entra Enterprise-toepassingen (service-principals)
Hoe worden aangepaste beveiligingskenmerken vergeleken met extensies?
Hoewel zowel extensies als aangepaste beveiligingskenmerken kunnen worden gebruikt om objecten uit te breiden in Microsoft Entra ID en Microsoft 365, zijn ze geschikt voor fundamenteel verschillende aangepaste gegevensscenario's. Hier volgen enkele manieren waarop aangepaste beveiligingskenmerken zich vergelijken met extensies:
| Mogelijkheid | Uitbreidingen | Aangepaste beveiligingskenmerken |
|---|---|---|
| Microsoft Entra-id en Microsoft 365-objecten uitbreiden | Ja | Ja |
| Ondersteunde objecten | Afhankelijk van het extensietype | Gebruikers en service-principals |
| Beperkte toegang | Nee Iedereen met machtigingen om het object te lezen, kan de extensiegegevens lezen. | Ja. Lees- en schrijftoegang wordt beperkt via een afzonderlijke set machtigingen en op rollen gebaseerd toegangsbeheer (RBAC). |
| Wanneer gebruiken | Gegevens opslaan die moeten worden gebruikt door een toepassing Niet-gevoelige gegevens opslaan |
Gevoelige gegevens opslaan Gebruik voor autorisatiescenario's |
| Licentievereisten | Beschikbaar in alle edities van Microsoft Entra ID | Beschikbaar in alle edities van Microsoft Entra ID |
Zie Aangepaste gegevens toevoegen aan resources met behulp van extensies voor meer informatie over het werken met extensies.
Stappen voor het gebruik van aangepaste beveiligingskenmerken
Machtigingen controleren
Controleer of de rol Kenmerkdefinitiebeheerder of Kenmerktoewijzingsbeheerder aan u is toegewezen. Zo niet, neem dan contact op met uw beheerder om u de juiste rol toe te wijzen op tenantniveau of kenmerkensetniveau. Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken. Indien nodig kan een globale beheerder deze rollen aan zichzelf toewijzen.
Kenmerkensets toevoegen
Voeg kenmerkensets toe om gerelateerde aangepaste beveiligingskenmerken te groeperen en te beheren. Meer informatie
Kenmerkensets beheren
Bepaal wie aangepaste beveiligingskenmerken mag definiëren en toewijzen in een kenmerkenset. Meer informatie
Kenmerken definiëren
Voeg uw aangepaste beveiligingskenmerken toe aan uw directory. U kunt het datumtype (Booleaanse waarde, geheel getal of tekenreeks) opgeven en of waarden enkelvoudig, meervoudig, vrije vorm of vooraf gedefinieerd zijn. Meer informatie
Kenmerken toewijzen
Wijs aangepaste beveiligingskenmerken toe aan Microsoft Entra-objecten voor uw bedrijfsscenario's. Meer informatie
Kenmerken gebruiken
Filter gebruikers en toepassingen die gebruikmaken van aangepaste beveiligingskenmerken. Meer informatie
Voeg voorwaarden toe die aangepaste beveiligingskenmerken gebruiken voor Azure-roltoewijzingen voor fijnmazig toegangsbeheer. Meer informatie
Terminologie
Om aangepaste beveiligingskenmerken beter te begrijpen, kunt u refereren aan de volgende lijst van termen.
| Term | Definitie |
|---|---|
| kenmerkdefinitie | Het schema van een aangepast beveiligingskenmerk of sleutel-waardepaar. Bijvoorbeeld de naam van het aangepaste beveiligingskenmerk, de beschrijving, het gegevenstype en vooraf gedefinieerde waarden. |
| kenmerkenset | Een verzameling gerelateerde aangepaste beveiligingskenmerken. Kenmerkensets kunnen worden gedelegeerd aan andere gebruikers voor het definiëren en toewijzen van aangepaste beveiligingskenmerken. |
| kenmerknaam | Een unieke naam van een aangepast beveiligingskenmerk binnen een kenmerkenset. De combinatie van kenmerkenset en kenmerknaam vormt een uniek kenmerk voor uw tenant. |
| kenmerktoewijzing | De toewijzing van een aangepast beveiligingskenmerk aan een Microsoft Entra-object, zoals gebruikers en bedrijfstoepassingen (service-principals). |
| vooraf gedefinieerde waarde | Een waarde die is toegestaan voor een aangepast beveiligingskenmerk. |
Eigenschappen van aangepaste beveiligingskenmerken
De volgende tabel bevat de eigenschappen die u kunt opgeven voor kenmerkensets en aangepaste beveiligingskenmerken. Sommige eigenschappen zijn onveranderbaar en kunnen later niet worden gewijzigd.
| Eigenschappen | Vereist | Kan later worden gewijzigd | Beschrijving |
|---|---|---|---|
| Naam kenmerkenset | ✅ | Naam van de kenmerkenset. Moet uniek zijn binnen een tenant. Mag geen spaties of speciale tekens bevatten. | |
| Beschrijving kenmerkenset | ✅ | Beschrijving van de kenmerkenset. | |
| Maximaal aantal kenmerken | ✅ | Het maximale aantal aangepaste beveiligingskenmerken dat kan worden gedefinieerd in een kenmerkenset. De standaardwaarde is null. Als dit niet is opgegeven, kan de beheerder maximaal 500 actieve kenmerken toevoegen per tenant. |
|
| Kenmerkset | ✅ | Een verzameling gerelateerde aangepaste beveiligingskenmerken. Elk aangepast beveiligingskenmerk moet deel uitmaken van een kenmerkenset. | |
| Naam van kenmerk | ✅ | Naam van het aangepaste beveiligingskenmerk. Moet uniek zijn binnen een kenmerkenset. Mag geen spaties of speciale tekens bevatten. | |
| Beschrijving kenmerk | ✅ | Beschrijving van het aangepaste beveiligingskenmerk. | |
| Gegevenstype | ✅ | Gegevenstype voor de waarden van het aangepaste beveiligingskenmerk. Ondersteunde typen zijn Boolean, Integer en String. |
|
| Toewijzing van meerdere waarden toestaan | ✅ | Geeft aan of meerdere waarden kunnen worden toegewezen aan het aangepaste beveiligingskenmerk. Als het gegevenstype is ingesteld op Boolean, kan dit niet worden ingesteld op Ja. |
|
| Alleen toewijzing van vooraf gedefinieerde waarden toestaan | ✅ | Geeft aan of alleen vooraf gedefinieerde waarden kunnen worden toegewezen aan het aangepaste beveiligingskenmerk. Als dit is ingesteld op Nee, zijn vrije-vormwaarden toegestaan. Kan later worden gewijzigd van Ja naar Nee, maar kan niet worden gewijzigd van Nee naar Ja. Als het gegevenstype is ingesteld op Boolean, kan dit niet worden ingesteld op Ja. |
|
| Vooraf gedefinieerde waarden | Vooraf gedefinieerde waarden voor het aangepaste beveiligingskenmerk van het geselecteerde gegevenstype. Er kunnen later meer vooraf gedefinieerde waarden worden toegevoegd. Waarden mogen spaties bevatten, maar sommige speciale tekens zijn niet toegestaan. | ||
| Vooraf gedefinieerde waarde is actief | ✅ | Geeft aan of de vooraf gedefinieerde waarde actief of gedeactiveerd is. Als dit is ingesteld op Onwaar, kan de vooraf gedefinieerde waarde niet worden toegewezen aan aanvullende ondersteunde directory-objecten. | |
| Kenmerk is actief | ✅ | Geeft aan of het aangepaste beveiligingskenmerk actief of gedeactiveerd is. |
Limieten en beperkingen
Hier volgen enkele van de limieten en beperkingen voor aangepaste beveiligingskenmerken.
| Bron | Limiet | Opmerkingen |
|---|---|---|
| Kenmerkdefinities per tenant | 500 | Alleen van toepassing op actieve kenmerken in de tenant |
| Kenmerkensets per tenant | 500 | |
| Lengte naam kenmerkenset | 32 | Unicode-tekens en niet hoofdlettergevoelig |
| Lengte beschrijving kenmerkenset | 128 | Unicode-tekens |
| Lengte kenmerknaam | 32 | Unicode-tekens en niet hoofdlettergevoelig |
| Lengte kenmerkbeschrijving | 128 | Unicode-tekens |
| Vooraf gedefinieerde waarden | Unicode-tekens en hoofdlettergevoelig | |
| Vooraf gedefinieerde waarden per kenmerkdefinitie | 100 | |
| Lengte kenmerkwaarde | 64 | Unicode-tekens |
| Toegewezen kenmerkwaarden per object | 50 | Waarden kunnen worden verdeeld over kenmerken met één en meerdere waarden. Voorbeeld: 5 kenmerken met elk 10 waarden of 50 kenmerken met elk 1 waarde |
| Speciale tekens die niet zijn toegestaan: Naam kenmerkenset Naam van kenmerk |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
De namen van kenmerkensets en kenmerken mogen niet beginnen met een cijfer |
| Toegestane speciale tekens voor kenmerkwaarden | Alle speciale tekens | |
| Speciale tekens die zijn toegestaan voor kenmerkwaarden bij gebruik met blobindextags | <space> + - . : = _ / |
Als u van plan bent kenmerkwaarden te gebruiken met blobindextags, zijn dit de enige speciale tekens die zijn toegestaan voor blobindextags. Zie Blobindextags instellen voor meer informatie. |
Rollen voor aangepaste beveiligingskenmerken
Microsoft Entra ID biedt ingebouwde rollen voor gebruik met aangepaste beveiligingskenmerken. De rol Kenmerkdefinitiebeheerder is de minimale rol die u nodig hebt om aangepaste beveiligingskenmerken te beheren. De rol Kenmerktoewijzing Beheer istrator is de minimale rol die u nodig hebt om aangepaste beveiligingskenmerkwaarden toe te wijzen voor Microsoft Entra-objecten, zoals gebruikers en toepassingen. U kunt deze rollen toewijzen op tenantniveau of op kenmerkensetniveau.
| Rol | Machtigingen |
|---|---|
| Kenmerkdefinitielezer | Kenmerkensets lezen Definities van aangepaste beveiligingskenmerken lezen |
| Kenmerkdefinitiebeheerder | Alle aspecten van kenmerkensets beheren Alle aspecten van aangepaste beveiligingskenmerkdefinities beheren |
| Lezer van kenmerktoewijzing | Kenmerkensets lezen Definities van aangepaste beveiligingskenmerken lezen Sleutels en waarden van aangepaste beveiligingskenmerken lezen voor gebruikers en service-principals |
| Kenmerktoewijzingsbeheerder | Kenmerkensets lezen Definities van aangepaste beveiligingskenmerken lezen Sleutels en waarden van aangepaste beveiligingskenmerken lezen en bijwerken voor gebruikers en service-principals |
| Kenmerklogboeklezer | Auditlogboeken lezen voor aangepaste beveiligingskenmerken |
| Kenmerklogboek Beheer istrator | Auditlogboeken lezen voor aangepaste beveiligingskenmerken Diagnostische instellingen configureren voor aangepaste beveiligingskenmerken |
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Microsoft Graph API
U kunt aangepaste beveiligingskenmerken programmatisch beheren met behulp van Microsoft Graph API. Zie Overzicht van aangepaste beveiligingskenmerken met behulp van de Microsoft Graph-API voor meer informatie.
U kunt een API-client zoals Graph Explorer of Postman gebruiken om de Microsoft Graph API eenvoudiger uit te proberen voor aangepaste beveiligingskenmerken.
Licentievereisten
Het gebruik van deze functie is gratis en is inbegrepen bij uw Azure-abonnement.