Wat zijn aangepaste beveiligingskenmerken in Azure AD? (Preview)

Belangrijk

Aangepaste beveiligingskenmerken zijn momenteel beschikbaar als preview-versie. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Aangepaste beveiligingskenmerken in Azure Active Directory (Azure AD) zijn bedrijfsspecifieke kenmerken (sleutel-waardeparen) die u kunt definiëren en toewijzen aan Azure AD-objecten. Deze kenmerken kunnen worden gebruikt voor het opslaan van informatie, categoriseren van objecten of het afdwingen van fijnf mogelijk toegangsbeheer voor specifieke Azure-resources. Aangepaste beveiligingskenmerken kunnen worden gebruikt met azure-toegangsbeheer op basis van kenmerken (Azure ABAC).

Waarom aangepaste beveiligingskenmerken gebruiken?

  • Breid gebruikersprofielen uit, zoals de datum van het in dienst nemen van werknemers en het uursalaris toevoegen aan al mijn werknemers.
  • Zorg ervoor dat alleen beheerders het kenmerk Uursalaris kunnen zien in de profielen van mijn werknemers.
  • Categoriseer honderden of duizenden toepassingen om eenvoudig een filterbare inventaris te maken voor controle.
  • Verleen gebruikers toegang tot de Azure Storage blobs die deel uitmaken van een project.

Wat kan ik doen met aangepaste beveiligingskenmerken?

  • Definieer bedrijfsspecifieke informatie (kenmerken) voor uw tenant.
  • Voeg een set aangepaste beveiligingskenmerken toe aan gebruikers, toepassingen, Azure AD-resources of Azure-resources.
  • Azure AD-objecten beheren met behulp van aangepaste beveiligingskenmerken met query's en filters.
  • Geef kenmerkbeheer op, zodat kenmerken bepalen wie toegang kan krijgen.

Functies van aangepaste beveiligingskenmerken

  • Beschikbare tenantbreed
  • Een beschrijving toevoegen
  • Ondersteuning voor verschillende gegevenstypen: Booleaanse gegevens, geheel getal, tekenreeks
  • Ondersteuning voor één waarde of meerdere waarden
  • Door de gebruiker gedefinieerde vrije-formulierwaarden of vooraf gedefinieerde waarden ondersteunen
  • Aangepaste beveiligingskenmerken toewijzen aan directory-gesynchroniseerde gebruikers van een on-premises Active Directory

In het volgende voorbeeld ziet u hoe u aangepaste beveiligingskenmerkwaarden kunt opgeven die enkel, meerdere, vrije of vooraf gedefinieerde waarden zijn.

Voorbeelden van aangepaste beveiligingskenmerken die zijn toegewezen aan een gebruiker.

Objecten die aangepaste beveiligingskenmerken ondersteunen

Op dit moment kunt u aangepaste beveiligingskenmerken toevoegen voor de volgende Azure AD-objecten:

  • Azure AD-gebruikers
  • Azure AD-bedrijfstoepassingen (service-principals)
  • Beheerde identiteiten voor Azure-resources

Hoe verhoudt aangepaste beveiligingskenmerken zich tot directoryschema-extensies?

Hier zijn enkele manieren waarop aangepaste beveiligingskenmerken zich kunnen vergelijken met directoryschema-extensies:

  • Directory schema-extensies kunnen niet worden gebruikt voor autorisatiescenario's en kenmerken omdat het toegangsbeheer voor de extensiekenmerken is gekoppeld aan het Azure AD-object. Aangepaste beveiligingskenmerken kunnen worden gebruikt voor autorisatie en kenmerken die toegangsbeheer nodig hebben, omdat de aangepaste beveiligingskenmerken kunnen worden beheerd en beveiligd via afzonderlijke machtigingen.
  • Mapschema-extensies zijn gekoppeld aan een toepassing en delen de levenscyclus van een toepassing. Aangepaste beveiligingskenmerken zijn tenantbreed en niet gekoppeld aan een toepassing.
  • Uitbreidingen van directoryschema's bieden ondersteuning voor het toewijzen van één waarde aan een kenmerk. Aangepaste beveiligingskenmerken bieden ondersteuning voor het toewijzen van meerdere waarden aan een kenmerk.

Stappen voor het gebruik van aangepaste beveiligingskenmerken

  1. Machtigingen controleren

    Controleer of aan u de rollen Kenmerkdefinitiebeheerder of Kenmerktoewijzingsbeheerder is toegewezen. Als dat niet het geval is, neem dan contact op met uw beheerder om u de juiste rol toe te wijzen op het tenantbereik of het bereik van de kenmerkset. Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen. Indien nodig kan een globale beheerder deze rollen aan zichzelf toewijzen.

    Diagram met het controleren van machtigingen voor het toevoegen van aangepaste beveiligingskenmerken in Azure AD.

  2. Kenmerksets toevoegen

    Voeg kenmerksets toe om gerelateerde aangepaste beveiligingskenmerken te groepeert en beheren. Meer informatie

    Diagram met het toevoegen van meerdere kenmerksets.

  3. Kenmerksets beheren

    Geef op wie aangepaste beveiligingskenmerken in een kenmerkset kan lezen, definiëren of toewijzen. Meer informatie

    Diagram met het toewijzen van beheerders van kenmerkdefinitie en kenmerktoewijzingsbeheerders aan kenmerksets.

  4. Kenmerken definiëren

    Voeg uw aangepaste beveiligingskenmerken toe aan uw directory. U kunt het datumtype (Booleaanse waarde, geheel getal of tekenreeks) opgeven en aangeven of waarden vooraf zijn gedefinieerd, vrije vorm, enkelvoudig of meervoudig zijn. Meer informatie

    Diagram met gedelegeerde beheerders die aangepaste beveiligingskenmerken definiëren.

  5. Kenmerken toewijzen

    Wijs aangepaste beveiligingskenmerken toe aan Azure AD-objecten voor uw bedrijfsscenario's. Meer informatie

    Diagram met gedelegeerde beheerders die aangepaste beveiligingskenmerken toewijzen aan Azure AD-objecten.

  6. Kenmerken gebruiken

    Filter gebruikers en toepassingen die gebruikmaken van aangepaste beveiligingskenmerken. Meer informatie

    Voorwaarden die gebruikmaken van aangepaste beveiligingskenmerken toevoegen aan Azure-roltoewijzingen voor fijnerf toegangsbeheer. Meer informatie

Terminologie

Als u meer inzicht wilt krijgen in aangepaste beveiligingskenmerken, raadpleegt u de volgende lijst met termen.

Termijn Definitie
kenmerkdefinitie Het schema van een aangepast beveiligingskenmerk of sleutel-waardepaar. Bijvoorbeeld de naam, beschrijving, gegevenstype en vooraf gedefinieerde waarden van het aangepaste beveiligingskenmerk.
kenmerkset Een verzameling gerelateerde aangepaste beveiligingskenmerken. Kenmerksets kunnen worden gedelegeerd aan andere gebruikers voor het definiëren en toewijzen van aangepaste beveiligingskenmerken.
kenmerknaam Een unieke naam van een aangepast beveiligingskenmerk binnen een kenmerkset. De combinatie van kenmerkset en kenmerknaam vormt een uniek kenmerk voor uw tenant.
kenmerktoewijzing De toewijzing van een aangepast beveiligingskenmerk aan een Azure AD-object, zoals gebruikers, bedrijfstoepassingen (service-principals) en beheerde identiteiten.
vooraf gedefinieerde waarde Een waarde die is toegestaan voor een aangepast beveiligingskenmerk.

Eigenschappen van aangepaste beveiligingskenmerken

De volgende tabel bevat de eigenschappen die u kunt opgeven voor kenmerksets en aangepaste beveiligingskenmerken. Sommige eigenschappen zijn onveranderbaar en kunnen later niet meer worden gewijzigd.

Eigenschap Vereist Kan later worden gewijzigd Description
Naam van kenmerkset ✔️ Naam van de kenmerkset. Moet uniek zijn binnen een tenant. Mag geen spaties of speciale tekens bevatten.
Beschrijving van kenmerkset ✔️ Beschrijving van de kenmerkset.
Maximumaantal kenmerken ✔️ Maximum aantal aangepaste beveiligingskenmerken dat kan worden gedefinieerd in een kenmerkset. De standaardwaarde is null. Indien niet opgegeven, kan de beheerder maximaal 500 actieve kenmerken per tenant toevoegen.
Kenmerkset ✔️ Een verzameling gerelateerde aangepaste beveiligingskenmerken. Elk aangepast beveiligingskenmerk moet deel uitmaken van een kenmerkset.
Kenmerknaam ✔️ Naam van het aangepaste beveiligingskenmerk. Moet uniek zijn binnen een kenmerkset. Mag geen spaties of speciale tekens bevatten.
Beschrijving van kenmerk ✔️ Beschrijving van het aangepaste beveiligingskenmerk.
Gegevenstype ✔️ Gegevenstype voor de waarden van het aangepaste beveiligingskenmerk. Ondersteunde typen Boolean zijn Integer , en String .
Toestaan dat meerdere waarden worden toegewezen ✔️ Geeft aan of meerdere waarden kunnen worden toegewezen aan het aangepaste beveiligingskenmerk. Als het gegevenstype is ingesteld op Boolean , kan niet worden ingesteld op Ja.
Alleen toestaan dat vooraf gedefinieerde waarden worden toegewezen ✔️ Geeft aan of alleen vooraf gedefinieerde waarden kunnen worden toegewezen aan het aangepaste beveiligingskenmerk. Als deze waarde is ingesteld op Nee, zijn vrije waarden toegestaan. Kan later worden gewijzigd van Ja in Nee, maar kan niet worden gewijzigd van Nee in Ja. Als het gegevenstype is ingesteld op Boolean , kan niet worden ingesteld op Ja.
Vooraf gedefinieerde waarden Vooraf gedefinieerde waarden voor het aangepaste beveiligingskenmerk van het geselecteerde gegevenstype. Meer vooraf gedefinieerde waarden kunnen later worden toegevoegd. Waarden kunnen spaties bevatten, maar sommige speciale tekens zijn niet toegestaan.
Vooraf gedefinieerde waarde is actief ✔️ Hiermee geeft u op of de vooraf gedefinieerde waarde actief of gedeactiveerd is. Als deze waarde is ingesteld op onwaar, kan de vooraf gedefinieerde waarde niet worden toegewezen aan aanvullende ondersteunde mapobjecten.
Kenmerk is actief ✔️ Hiermee geeft u op of het aangepaste beveiligingskenmerk actief of gedeactiveerd is.

Limieten en beperkingen

Hier zijn enkele van de limieten en beperkingen voor aangepaste beveiligingskenmerken.

Resource Limiet Notities
Kenmerkdefinities per tenant 500 Alleen van toepassing op actieve kenmerken in de tenant
Kenmerksets per tenant 500
Naamlengte kenmerkset 32 Unicode-tekens en hoofd- en hoofdtekens
Beschrijvingslengte kenmerkset 128 Unicode-tekens
Lengte van kenmerknaam 32 Unicode-tekens en hoofd- en hoofdtekens
Lengte kenmerkbeschrijving 128 Unicode-tekens
Vooraf gedefinieerde waarden Unicode-tekens en hoofd- en hoofdtekens
Vooraf gedefinieerde waarden per kenmerkdefinitie 100
Lengte van kenmerkwaarde 64 Unicode-tekens
Kenmerkwaarden die per object zijn toegewezen 50 Waarden kunnen worden verdeeld over kenmerken met één en meerdere waarden.
Voorbeeld: 5 kenmerken met 10 waarden elk of 50 kenmerken met elk 1 waarde
Tekens die niet zijn toegestaan voor:
Naam van kenmerkset
Kenmerknaam
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? /
Tekens die niet zijn toegestaan voor:
Kenmerkwaarden
# % & * + \ : " / < > ?

Aangepaste beveiligingskenmerkrollen

Azure AD biedt ingebouwde rollen om te werken met aangepaste beveiligingskenmerken. De rol Kenmerkdefinitiebeheerder is de minimale rol die u nodig hebt om aangepaste beveiligingskenmerken te beheren. De rol Kenmerktoewijzingsbeheerder is de minimale rol die u nodig hebt om aangepaste beveiligingskenmerkwaarden toe te wijzen voor Azure AD-objecten zoals gebruikers en toepassingen. U kunt deze rollen toewijzen op tenantbereik of op het bereik van de kenmerkset.

Rol Machtigingen
Kenmerkdefinitielezer Kenmerksets lezen
Aangepaste definities van beveiligingskenmerken lezen
Kenmerkdefinitiebeheerder Alle aspecten van kenmerksets beheren
Alle aspecten van aangepaste beveiligingskenmerkdefinities beheren
Kenmerktoewijzingslezer Kenmerksets lezen
Aangepaste definities van beveiligingskenmerken lezen
Aangepaste sleutels en waarden voor beveiligingskenmerken voor gebruikers en service-principals lezen
Beheerder kenmerktoewijzing Kenmerksets lezen
Aangepaste definities van beveiligingskenmerken lezen
Aangepaste sleutels en waarden voor beveiligingskenmerken voor gebruikers en service-principals lezen en bijwerken

Belangrijk

Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren of toewijzen van aangepaste beveiligingskenmerken.

Bekende problemen

Hier zijn enkele bekende problemen met aangepaste beveiligingskenmerken:

  • U kunt de vooraf gedefinieerde waarden alleen toevoegen nadat u het aangepaste beveiligingskenmerk hebt toevoegen met behulp van de pagina Kenmerk bewerken.
  • Gebruikers met roltoewijzingen op kenmerksetniveau kunnen andere kenmerksets en aangepaste definities van beveiligingskenmerken zien.
  • Globale beheerders kunnen auditlogboeken lezen voor aangepaste definities en toewijzingen van beveiligingskenmerken.
  • Als u een Azure AD Premium P2 hebt, kunt u geen in aanmerking komende roltoewijzingen toevoegen op het kenmerksetbereik.
  • Als u een Azure AD Premium P2 hebt, worden op de pagina Toegewezen rollen voor een gebruiker geen permanente roltoewijzingen weergegeven bij het bereik van de kenmerkset. De roltoewijzingen bestaan, maar worden niet weergegeven.
  • Als u de Microsoft Graph-API gebruikt, zijn gedelegeerde machtigingen en toepassingsmachtigingen beschikbaar voor zowel lezen als schrijven (CustomSecAttributeAssignment.ReadWrite.All en CustomSecAttributeDefinition.ReadWrite.All). Er zijn momenteel echter geen alleen-lezenmachtigingen beschikbaar.

Afhankelijk van of u een Azure AD Premium P1 of P2-licentie hebt, zijn dit de roltoewijzingstaken die momenteel worden ondersteund voor aangepaste beveiligingskenmerkenrollen:

Roltoewijzingstaak Premium P1 Premium P2
Permanente roltoewijzingen ✔️ ✔️
In aanmerking komende roltoewijzingen n.v.t. ✔️
Permanente roltoewijzingen bij het bereik van de kenmerkset ✔️ ✔️
In aanmerking komende roltoewijzingen bij het bereik van de kenmerkset n.v.t.
De pagina Toegewezen rollen bevat een lijst met permanente roltoewijzingen bij het bereik van de kenmerkset ✔️ :waarschuwing:
Roltoewijzingen bestaan, maar worden niet vermeld

Licentievereisten

Voor deze functie hebt u een Azure AD Premium P1-licentie nodig. Zie Algemeen beschikbare functies van de edities Gratis, Basic en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.

Volgende stappen