Co to są niestandardowe atrybuty zabezpieczeń w usłudze Azure AD? (Wersja zapoznawcza)

Ważne

Niestandardowe atrybuty zabezpieczeń są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Niestandardowe atrybuty zabezpieczeń w usłudze Azure Active Directory (Azure AD) to atrybuty specyficzne dla firmy (pary klucz-wartość), które można definiować i przypisywać do obiektów usługi Azure AD. Te atrybuty mogą służyć do przechowywania informacji, kategoryzowania obiektów lub wymuszania szczegółowej kontroli dostępu do określonych zasobów platformy Azure. Niestandardowych atrybutów zabezpieczeń można używać z kontrolą dostępu opartą na atrybutach platformy Azure (Azure ABAC).

Dlaczego warto używać niestandardowych atrybutów zabezpieczeń?

  • Rozszerzanie profilów użytkowników, takich jak dodawanie daty zatrudnienia pracownika i wynagrodzenia godzinowego do wszystkich pracowników.
  • Upewnij się, że tylko administratorzy widzą atrybut Hourly Salary w profilach moich pracowników.
  • Kategoryzowanie setek lub tysięcy aplikacji w celu łatwego utworzenia filtrowalnego spisu na celu inspekcję.
  • Udzielanie użytkownikom dostępu do usługi Azure Storage obiektów blob należących do projektu.

Co można zrobić za pomocą niestandardowych atrybutów zabezpieczeń?

  • Zdefiniuj informacje specyficzne dla firmy (atrybuty) dla dzierżawy.
  • Dodaj zestaw niestandardowych atrybutów zabezpieczeń dla użytkowników, aplikacji, zasobów usługi Azure AD lub zasobów platformy Azure.
  • Zarządzanie obiektami usługi Azure AD przy użyciu niestandardowych atrybutów zabezpieczeń z zapytaniami i filtrami.
  • Zapewnij nadzór nad atrybutami, aby atrybuty określały, kto może uzyskać dostęp.

Funkcje niestandardowych atrybutów zabezpieczeń

  • Dostępne dla całej dzierżawy
  • Dołącz opis
  • Obsługa różnych typów danych: wartość logiczna, liczba całkowita, ciąg
  • Obsługa pojedynczej lub wielu wartości
  • Obsługa zdefiniowanych przez użytkownika wartości w postaci wolnej lub wstępnie zdefiniowanych wartości
  • Przypisywanie niestandardowych atrybutów zabezpieczeń do użytkowników zsynchronizowanych z katalogiem z lokalna usługa Active Directory

W poniższym przykładzie pokazano, jak można określić niestandardowe wartości atrybutów zabezpieczeń, które są pojedyncze, wielokrotne, swobodne lub wstępnie zdefiniowane.

Przykłady atrybutów zabezpieczeń niestandardowych przypisanych do użytkownika.

Obiekty, które obsługują niestandardowe atrybuty zabezpieczeń

Obecnie można dodać niestandardowe atrybuty zabezpieczeń dla następujących obiektów usługi Azure AD:

  • Użytkownicy usługi Azure AD
  • Aplikacje dla przedsiębiorstw usługi Azure AD (jednostki usługi)
  • Tożsamości zarządzane dla zasobów platformy Azure

Jak można porównać niestandardowe atrybuty zabezpieczeń z rozszerzeniami schematu katalogu?

Poniżej podano kilka sposobów porównywania niestandardowych atrybutów zabezpieczeń z rozszerzeniami schematu katalogu:

  • Rozszerzenia schematu katalogu nie mogą być używane w scenariuszach autoryzacji i atrybutach, ponieważ kontrola dostępu dla atrybutów rozszerzenia jest powiązana z obiektem usługi Azure AD. Niestandardowe atrybuty zabezpieczeń mogą służyć do autoryzacji i atrybuty, które wymagają kontroli dostępu, ponieważ niestandardowe atrybuty zabezpieczeń mogą być zarządzane i chronione za pomocą oddzielnych uprawnień.
  • Rozszerzenia schematu katalogu są powiązane z aplikacją i współdzielą cykl życia aplikacji. Niestandardowe atrybuty zabezpieczeń są dostępne dla całej dzierżawy i nie są powiązane z aplikacją.
  • Rozszerzenia schematu katalogu obsługują przypisywanie pojedynczej wartości do atrybutu. Niestandardowe atrybuty zabezpieczeń obsługują przypisywanie wielu wartości do atrybutu.

Procedura używania niestandardowych atrybutów zabezpieczeń

  1. Sprawdzanie uprawnień

    Sprawdź, czy masz przypisane role Administrator definicji atrybutu lub Administrator przypisania atrybutów. Jeśli nie, skontaktuj się z administratorem, aby przypisać Ci odpowiednią rolę w zakresie dzierżawy lub zakresie zestawu atrybutów. Domyślnie administrator globalny i inne role administratorów nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń. W razie potrzeby administrator globalny może przypisać te role do siebie.

    Diagram przedstawiający sprawdzanie uprawnień do dodawania niestandardowych atrybutów zabezpieczeń w usłudze Azure AD.

  2. Dodawanie zestawów atrybutów

    Dodawanie zestawów atrybutów w celu grupowania powiązanych niestandardowych atrybutów zabezpieczeń i zarządzania nimi. Dowiedz się więcej

    Diagram przedstawiający dodawanie wielu zestawów atrybutów.

  3. Zarządzanie zestawami atrybutów

    Określ, kto może odczytywać, definiować lub przypisywać niestandardowe atrybuty zabezpieczeń w zestawie atrybutów. Dowiedz się więcej

    Diagram przedstawiający przypisywanie administratorów definicji atrybutów i administratorów przypisań atrybutów do zestawów atrybutów.

  4. Definiowanie atrybutów

    Dodaj niestandardowe atrybuty zabezpieczeń do katalogu. Można określić typ daty (wartość logiczna, liczba całkowita lub ciąg) i określić, czy wartości są wstępnie zdefiniowane, w postaci wolnej, pojedynczej, czy wielokrotnej. Dowiedz się więcej

    Diagram przedstawiający delegowanych administratorów definiujących niestandardowe atrybuty zabezpieczeń.

  5. Przypisywanie atrybutów

    Przypisz niestandardowe atrybuty zabezpieczeń do obiektów usługi Azure AD na potrzeby scenariuszy biznesowych. Dowiedz się więcej

    Diagram przedstawiający delegowanych administratorów przypisujących niestandardowe atrybuty zabezpieczeń do obiektów usługi Azure AD.

  6. Korzystanie z atrybutów

    Filtrowanie użytkowników i aplikacji korzystających z niestandardowych atrybutów zabezpieczeń. Dowiedz się więcej

    Dodaj warunki, które używają niestandardowych atrybutów zabezpieczeń do przypisań ról platformy Azure w celu uzyskania precyzyjnej kontroli dostępu. Dowiedz się więcej

Terminologia

Aby lepiej zrozumieć niestandardowe atrybuty zabezpieczeń, możesz odwołać się do poniższej listy terminów.

Okres Definicja
definicja atrybutu Schemat niestandardowego atrybutu zabezpieczeń lub pary klucz-wartość. Na przykład niestandardowa nazwa atrybutu zabezpieczeń, opis, typ danych i wstępnie zdefiniowane wartości.
zestaw atrybutów Kolekcja powiązanych niestandardowych atrybutów zabezpieczeń. Zestawy atrybutów można delegować do innych użytkowników w celu definiowania i przypisywania niestandardowych atrybutów zabezpieczeń.
nazwa atrybutu Unikatowa nazwa niestandardowego atrybutu zabezpieczeń w zestawie atrybutów. Kombinacja zestawu atrybutów i nazwy atrybutu stanowi unikatowy atrybut dzierżawy.
przypisanie atrybutu Przypisanie niestandardowego atrybutu zabezpieczeń do obiektu usługi Azure AD, takiego jak użytkownicy, aplikacje dla przedsiębiorstw (jednostki usługi) i tożsamości zarządzane.
wstępnie zdefiniowana wartość Wartość dozwolona dla niestandardowego atrybutu zabezpieczeń.

Właściwości niestandardowego atrybutu zabezpieczeń

W poniższej tabeli wymieniono właściwości, które można określić dla zestawów atrybutów i niestandardowych atrybutów zabezpieczeń. Niektóre właściwości są niezmienne i nie można ich później zmienić.

Właściwość Wymagany Można zmienić później Opis
Nazwa zestawu atrybutów ✔️ Nazwa zestawu atrybutów. Musi być unikatowa w obrębie dzierżawy. Nie może zawierać spacji ani znaków specjalnych.
Opis zestawu atrybutów ✔️ Opis zestawu atrybutów.
Maksymalna liczba atrybutów ✔️ Maksymalna liczba niestandardowych atrybutów zabezpieczeń, które można zdefiniować w zestawie atrybutów. Wartość domyślna to null. Jeśli nie zostanie określony, administrator może dodać maksymalnie 500 aktywnych atrybutów na dzierżawę.
Zestaw atrybutów ✔️ Kolekcja powiązanych niestandardowych atrybutów zabezpieczeń. Każdy niestandardowy atrybut zabezpieczeń musi być częścią zestawu atrybutów.
Nazwa atrybutu ✔️ Nazwa niestandardowego atrybutu zabezpieczeń. Musi być unikatowa w obrębie zestawu atrybutów. Nie może zawierać spacji ani znaków specjalnych.
Opis atrybutu ✔️ Opis niestandardowego atrybutu zabezpieczeń.
Typ danych ✔️ Typ danych dla niestandardowych wartości atrybutów zabezpieczeń. Obsługiwane typy Boolean to Integer , i String .
Zezwalaj na przypisywanie wielu wartości ✔️ Wskazuje, czy do niestandardowego atrybutu zabezpieczeń można przypisać wiele wartości. Jeśli typ danych jest ustawiony na Boolean wartość , nie można ustawić na wartość Tak.
Zezwalaj na przypisywanie tylko wstępnie zdefiniowanych wartości ✔️ Wskazuje, czy do niestandardowego atrybutu zabezpieczeń można przypisać tylko wstępnie zdefiniowane wartości. W przypadku ustawienia wartości Nie dozwolone są wartości o wolnej postaci. Później można zmienić opcję z Tak na Nie, ale nie można jej zmienić z Nie na Tak. Jeśli typ danych jest ustawiony na Boolean wartość , nie można ustawić na wartość Tak.
Wstępnie zdefiniowane wartości Wstępnie zdefiniowane wartości niestandardowego atrybutu zabezpieczeń wybranego typu danych. Więcej wstępnie zdefiniowanych wartości można dodać później. Wartości mogą zawierać spacje, ale niektóre znaki specjalne nie są dozwolone.
Wstępnie zdefiniowana wartość jest aktywna ✔️ Określa, czy wstępnie zdefiniowana wartość jest aktywna, czy zdezaktywowana. W przypadku ustawienia wartości false wstępnie zdefiniowanej wartości nie można przypisać do żadnych dodatkowych obsługiwanych obiektów katalogu.
Atrybut jest aktywny ✔️ Określa, czy niestandardowy atrybut zabezpieczeń jest aktywny, czy zdezaktywowany.

Limity i ograniczenia

Poniżej znajdują się niektóre limity i ograniczenia dotyczące niestandardowych atrybutów zabezpieczeń.

Zasób Limit Uwagi
Definicje atrybutów na dzierżawę 500 Dotyczy tylko aktywnych atrybutów w dzierżawie
Zestawy atrybutów na dzierżawę 500
Długość nazwy zestawu atrybutów 32 Znaki Unicode i bez uwzględniania liter
Długość opisu zestawu atrybutów 128 Znaki Unicode
Długość nazwy atrybutu 32 Znaki Unicode i bez uwzględniania liter
Długość opisu atrybutu 128 Znaki Unicode
Wstępnie zdefiniowane wartości Znaki Unicode i wielkość liter jest zróżnicowa
Wstępnie zdefiniowane wartości na definicję atrybutu 100
Długość wartości atrybutu 64 Znaki Unicode
Wartości atrybutów przypisane do obiektu 50 Wartości można rozmieszczać między atrybutami pojedynczymi i wielo valued.
Przykład: 5 atrybutów z 10 wartościami każdy lub 50 atrybutów z 1 wartością
Znaki niedozwolone dla:
Nazwa zestawu atrybutów
Nazwa atrybutu
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? /
Znaki niedozwolone dla:
Wartości atrybutów
# % & * + \ : " / < > ?

Niestandardowe role atrybutów zabezpieczeń

Usługa Azure AD udostępnia wbudowane role do pracy z niestandardowymi atrybutami zabezpieczeń. Rola Administratora definicji atrybutów jest minimalną rolą wymaganą do zarządzania niestandardowymi atrybutami zabezpieczeń. Rola Administrator przypisania atrybutów to minimalna rola, która jest wymagana do przypisywania niestandardowych wartości atrybutów zabezpieczeń dla obiektów usługi Azure AD, takich jak użytkownicy i aplikacje. Te role można przypisać w zakresie dzierżawy lub w zakresie zestawu atrybutów.

Rola Uprawnienia
Czytelnik definicji atrybutów Odczytywanie zestawów atrybutów
Odczytywanie niestandardowych definicji atrybutów zabezpieczeń
Administrator definicji atrybutu Zarządzanie wszystkimi aspektami zestawów atrybutów
Zarządzanie wszystkimi aspektami niestandardowych definicji atrybutów zabezpieczeń
Czytelnik przypisań atrybutów Odczytywanie zestawów atrybutów
Odczytywanie niestandardowych definicji atrybutów zabezpieczeń
Odczytywanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla użytkowników i jednostki usługi
Administrator przypisania atrybutów Odczytywanie zestawów atrybutów
Odczytywanie niestandardowych definicji atrybutów zabezpieczeń
Odczytywanie i aktualizowanie niestandardowych kluczy i wartości atrybutów zabezpieczeń dla użytkowników i jednostki usługi

Ważne

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Znane problemy

Poniżej podano niektóre znane problemy z niestandardowymi atrybutami zabezpieczeń:

  • Wstępnie zdefiniowane wartości można dodać tylko po dodaniu niestandardowego atrybutu zabezpieczeń przy użyciu strony Edytuj atrybut.
  • Użytkownicy z przypisaniami ról na poziomie zestawu atrybutów mogą zobaczyć inne zestawy atrybutów i niestandardowe definicje atrybutów zabezpieczeń.
  • Administratorzy globalni mogą odczytywać dzienniki inspekcji dla niestandardowych definicji i przypisań atrybutów zabezpieczeń.
  • Jeśli masz licencję Azure AD — wersja Premium P2, nie możesz dodać kwalifikujących się przypisań ról w zakresie zestawu atrybutów.
  • Jeśli masz licencję Azure AD — wersja Premium P2, strona Przypisane role dla użytkownika nie zawiera listy przypisań ról trwałych w zakresie zestawu atrybutów. Przypisania ról istnieją, ale nie są wyświetlane.
  • Jeśli używasz interfejsu API programu Microsoft Graph, uprawnienia delegowane i aplikacji są dostępne zarówno do odczytu, jak i zapisu (CustomSecAttributeAssignment.ReadWrite.All i CustomSecAttributeDefinition.ReadWrite.All). Jednak uprawnienia tylko do odczytu nie są obecnie dostępne.

W zależności od tego, czy masz licencję Azure AD — wersja Premium P1 lub P2, poniżej znajdują się zadania przypisywania ról, które są obecnie obsługiwane dla niestandardowych ról atrybutów zabezpieczeń:

Zadanie przypisania roli Premium P1 Premium P2
Trwałe przypisania ról ✔️ ✔️
Przypisania kwalifikujących się ról n/d ✔️
Trwałe przypisania ról w zakresie zestawu atrybutów ✔️ ✔️
Przypisania kwalifikujących się ról w zakresie zestawu atrybutów n/d
Strona Role przypisane zawiera listę trwałych przypisań ról w zakresie zestawu atrybutów ✔️ ⚠️
Przypisania ról istnieją, ale nie są wyświetlane

Wymagania licencyjne

Korzystanie z tej funkcji wymaga licencji na Azure AD — wersja Premium P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji w wersji bezpłatnej, podstawowej i premium.

Następne kroki