Vad är anpassade säkerhetsattribut i Azure AD? (Förhandsversion)

Viktigt

Anpassade säkerhetsattribut finns för närvarande i FÖRHANDSVERSION. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Anpassade säkerhetsattribut i Azure Active Directory (Azure AD) är affärsspecifika attribut (nyckel/värde-par) som du kan definiera och tilldela till Azure AD-objekt. Dessa attribut kan användas för att lagra information, kategorisera objekt eller tillämpa detaljerad åtkomstkontroll över specifika Azure-resurser. Anpassade säkerhetsattribut kan användas med attributbaserad åtkomstkontroll i Azure (Azure ABAC).

Varför ska man använda anpassade säkerhetsattribut?

  • Utöka användarprofiler, till exempel lägga till anställningsdatum och timlön till alla mina anställda.
  • Se till att endast administratörer kan se attributet Timlön i mina anställdas profiler.
  • Kategorisera hundratals eller tusentals program för att enkelt skapa en filtrerbar inventering för granskning.
  • Ge användare åtkomst till Azure Storage blobar som tillhör ett projekt.

Vad kan jag göra med anpassade säkerhetsattribut?

  • Definiera affärsspecifik information (attribut) för din klientorganisation.
  • Lägg till en uppsättning anpassade säkerhetsattribut för användare, program, Azure AD-resurser eller Azure-resurser.
  • Hantera Azure AD-objekt med anpassade säkerhetsattribut med frågor och filter.
  • Ange attributstyrning så att attribut avgör vem som kan få åtkomst.

Funktioner i anpassade säkerhetsattribut

  • Tillgänglig för hela klientorganisationen
  • Inkludera en beskrivning
  • Stöd för olika datatyper: boolesk, heltal, sträng
  • Stöd för ett eller flera värden
  • Stöd för användardefinierade friformsvärden eller fördefinierade värden
  • Tilldela anpassade säkerhetsattribut till katalogsynkroniseringsanvändare från en lokal Active Directory

I följande exempel visas hur du kan ange anpassade säkerhetsattributvärden som är enkla, flera, friformsbaserade eller fördefinierade.

Exempel på anpassade säkerhetsattribut som tilldelats till en användare.

Objekt som stöder anpassade säkerhetsattribut

För närvarande kan du lägga till anpassade säkerhetsattribut för följande Azure AD-objekt:

  • Azure AD-användare
  • Azure AD-företagsprogram (tjänstens huvudnamn)
  • Hanterade identiteter för Azure-resurser

Hur jämförs anpassade säkerhetsattribut med katalogschematillägg?

Här är några sätt som anpassade säkerhetsattribut kan jämföras med katalogschematillägg:

  • Katalogschematillägg kan inte användas för auktoriseringsscenarier och attribut eftersom åtkomstkontrollen för tilläggsattributen är kopplad till Azure AD-objektet. Anpassade säkerhetsattribut kan användas för auktorisering och attribut som behöver åtkomstkontroll eftersom de anpassade säkerhetsattributen kan hanteras och skyddas med separata behörigheter.
  • Katalogschematillägg är knutna till ett program och delar livscykeln för ett program. Anpassade säkerhetsattribut är klientomfattande och inte kopplade till ett program.
  • Katalogschematillägg stöder tilldelning av ett enda värde till ett attribut. Anpassade säkerhetsattribut stöder tilldelning av flera värden till ett attribut.

Steg för att använda anpassade säkerhetsattribut

  1. Kontrollera behörigheter

    Kontrollera att du har tilldelats rollerna Administratör för attributdefinition eller Attributtilldelningsadministratör. Om inte, kontakta administratören för att tilldela dig lämplig roll i klientorganisationsomfånget eller omfånget för attributuppsättningen. Som standard har globala administratörsroller och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut. Om det behövs kan en global administratör tilldela rollerna till sig själva.

    Diagram som visar kontroll av behörigheter för att lägga till anpassade säkerhetsattribut i Azure AD.

  2. Lägga till attributuppsättningar

    Lägg till attributuppsättningar för att gruppera och hantera relaterade anpassade säkerhetsattribut. Läs mer

    Diagram som visar hur du lägger till flera attributuppsättningar.

  3. Hantera attributuppsättningar

    Ange vem som kan läsa, definiera eller tilldela anpassade säkerhetsattribut i en attributuppsättning. Läs mer

    Diagram som visar hur du tilldelar attributdefinitionsadministratörer och attributtilldelningsadministratörer till attributuppsättningar.

  4. Definiera attribut

    Lägg till dina anpassade säkerhetsattribut i din katalog. Du kan ange datumtypen (boolesk, heltal eller sträng) och om värdena är fördefinierade, friform, enkla eller flera. Läs mer

    Diagram som visar delegerade administratörer som definierar anpassade säkerhetsattribut.

  5. Tilldela attribut

    Tilldela anpassade säkerhetsattribut till Azure AD-objekt för dina affärsscenarier. Läs mer

    Diagram som visar delegerade administratörer som tilldelar anpassade säkerhetsattribut till Azure AD-objekt.

  6. Använda attribut

    Filtrera användare och program som använder anpassade säkerhetsattribut. Läs mer

    Lägg till villkor som använder anpassade säkerhetsattribut i Azure-rolltilldelningar för mer information om åtkomstkontroll. Läs mer

Terminologi

För att bättre förstå anpassade säkerhetsattribut kan du gå tillbaka till följande lista med termer.

Period Definition
attributdefinition Schemat för ett anpassat säkerhetsattribut eller nyckel/värde-par. Till exempel det anpassade säkerhetsattributnamnet, beskrivningen, datatypen och fördefinierade värden.
attributuppsättning En samling relaterade anpassade säkerhetsattribut. Attributuppsättningar kan delegeras till andra användare för att definiera och tilldela anpassade säkerhetsattribut.
attributnamn Ett unikt namn på ett anpassat säkerhetsattribut i en attributuppsättning. Kombinationen av attributuppsättningen och attributnamnet utgör ett unikt attribut för din klientorganisation.
attributtilldelning Tilldelningen av ett anpassat säkerhetsattribut till ett Azure AD-objekt, till exempel användare, företagsprogram (tjänstens huvudnamn) och hanterade identiteter.
fördefinierat värde Ett värde som tillåts för ett anpassat säkerhetsattribut.

Anpassade egenskaper för säkerhetsattribut

I följande tabell visas de egenskaper som du kan ange för attributuppsättningar och anpassade säkerhetsattribut. Vissa egenskaper är oföränderliga och kan inte ändras senare.

Egenskap Krävs Kan ändras senare Description
Namn på attributuppsättning ✔️ Namnet på attributuppsättningen. Måste vara unikt inom en klientorganisation. Får inte innehålla blanksteg eller specialtecken.
Beskrivning av attributuppsättning ✔️ Beskrivning av attributuppsättningen.
Maximalt antal attribut ✔️ Maximalt antal anpassade säkerhetsattribut som kan definieras i en attributuppsättning. Standardvärdet är null. Om inget värde anges kan administratören lägga till upp till högst 500 aktiva attribut per klientorganisation.
Attributuppsättning ✔️ En samling relaterade anpassade säkerhetsattribut. Varje anpassat säkerhetsattribut måste ingå i en attributuppsättning.
Attributnamn ✔️ Namnet på det anpassade säkerhetsattributet. Måste vara unikt inom en attributuppsättning. Får inte innehålla blanksteg eller specialtecken.
Attributbeskrivning ✔️ Beskrivning av det anpassade säkerhetsattributet.
Datatyp ✔️ Datatyp för de anpassade säkerhetsattributvärdena. Typer som stöds Boolean är Integer , och String .
Tillåt att flera värden tilldelas ✔️ Anger om flera värden kan tilldelas till det anpassade säkerhetsattributet. Om datatypen är inställd på Boolean kan inte anges till Ja.
Tillåt endast att fördefinierade värden tilldelas ✔️ Anger om endast fördefinierade värden kan tilldelas till det anpassade säkerhetsattributet. Om värdet är Nej tillåts friformsvärden. Kan senare ändras från Ja till Nej, men kan inte ändras från Nej till Ja. Om datatypen är inställd på Boolean kan inte anges till Ja.
Fördefinierade värden Fördefinierade värden för det anpassade säkerhetsattributet för den valda datatypen. Mer fördefinierade värden kan läggas till senare. Värden kan innehålla blanksteg, men vissa specialtecken är inte tillåtna.
Fördefinierat värde är aktivt ✔️ Anger om det fördefinierade värdet är aktivt eller inaktiverat. Om värdet är false kan det fördefinierade värdet inte tilldelas till ytterligare katalogobjekt som stöds.
Attributet är aktivt ✔️ Anger om det anpassade säkerhetsattributet är aktivt eller inaktiverat.

Gränser och begränsningar

Här är några av begränsningarna för anpassade säkerhetsattribut.

Resurs Gräns Kommentarer
Attributdefinitioner per klient 500 Gäller endast för aktiva attribut i klientorganisationen
Attributuppsättningar per klient 500
Namnlängd för attributuppsättning 32 Unicode-tecken och okänsliga bokstäver
Beskrivningslängd för attributuppsättning 128 Unicode-tecken
Längd på attributnamn 32 Unicode-tecken och okänsliga bokstäver
Längd på attributbeskrivning 128 Unicode-tecken
Fördefinierade värden Unicode-tecken och case-känsliga
Fördefinierade värden per attributdefinition 100
Längd på attributvärde 64 Unicode-tecken
Attributvärden som tilldelas per objekt 50 Värden kan distribueras över attribut med ett eller flera värden.
Exempel: 5 attribut med 10 värden vardera eller 50 attribut med 1 värde vardera
Tecken tillåts inte för:
Namn på attributuppsättning
Attributnamn
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? /
Tecken tillåts inte för:
Attributvärden
# % & * + \ : " / < > ?

Anpassade säkerhetsattributroller

Azure AD tillhandahåller inbyggda roller för att arbeta med anpassade säkerhetsattribut. Rollen Administratör för attributdefinition är den minsta roll som du behöver för att hantera anpassade säkerhetsattribut. Rollen Administratör för attributtilldelning är den minsta roll som du behöver för att tilldela anpassade säkerhetsattributvärden för Azure AD-objekt som användare och program. Du kan tilldela dessa roller i klientorganisationsomfånget eller i attributuppsättningens omfång.

Roll Behörigheter
Attributdefinitionsläsare Läsa attributuppsättningar
Läsa anpassade säkerhetsattributdefinitioner
Administratör för attributdefinition Hantera alla aspekter av attributuppsättningar
Hantera alla aspekter av anpassade säkerhetsattributdefinitioner
Attributtilldelningsläsare Läsa attributuppsättningar
Läsa anpassade säkerhetsattributdefinitioner
Läsa anpassade säkerhetsattributnycklar och -värden för användare och tjänstens huvudnamn
Administratör för attributtilldelning Skrivskyddade attributuppsättningar
Läsa anpassade säkerhetsattributdefinitioner
Läsa och uppdatera anpassade säkerhetsattributnycklar och -värden för användare och tjänstens huvudnamn

Viktigt

Som standard har globala administratörsroller och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Kända problem

Här är några av de kända problemen med anpassade säkerhetsattribut:

  • Du kan bara lägga till fördefinierade värden när du har lagt till det anpassade säkerhetsattributet med hjälp av sidan Redigera attribut.
  • Användare med rolltilldelningar på attributuppsättningsnivå kan se andra attributuppsättningar och anpassade definitioner för säkerhetsattribut.
  • Globala administratörer kan läsa granskningsloggar för anpassade säkerhetsattributdefinitioner och tilldelningar.
  • Om du har en Azure AD Premium P2 licens kan du inte lägga till berättigade rolltilldelningar i attributuppsättningens omfång.
  • Om du har en Azure AD Premium P2 licens visar sidan Tilldelade roller för en användare inte permanenta rolltilldelningar i omfånget för attributuppsättning. Rolltilldelningarna finns, men visas inte.
  • Om du använder Microsoft Graph API är delegerade behörigheter och programbehörigheter tillgängliga för både läsning och skrivning (CustomSecAttributeAssignment.ReadWrite.All och CustomSecAttributeDefinition.ReadWrite.All). Skrivskyddade behörigheter är dock för närvarande inte tillgängliga.

Beroende på om du har en Azure AD Premium P1- eller P2-licens finns här rolltilldelningsaktiviteter som för närvarande stöds för anpassade säkerhetsattributroller:

Rolltilldelningsuppgift Premium P1 Premium P2
Permanenta rolltilldelningar ✔️ ✔️
Berättigade rolltilldelningar saknas ✔️
Permanenta rolltilldelningar i attributuppsättningens omfång ✔️ ✔️
Berättigade rolltilldelningar i attributuppsättningens omfång saknas
Sidan Tilldelade roller visar en lista över permanenta rolltilldelningar i attributuppsättningens omfång ✔️ ⚠️
Rolltilldelningar finns, men visas inte

Licenskrav

Om du använder den här funktionen krävs en licens för Azure AD Premium P1. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Free, Basic och Premium-utgåvorna.

Nästa steg