什麼是 Microsoft Entra ID 中的自定義安全性屬性?
Microsoft Entra ID 中的自訂安全性屬性是商務特定屬性 (機碼值組),可讓您加以定義並指派給 Microsoft Entra 物件。 這些屬性可用來儲存資訊、將物件分類,或針對特定 Azure 資源強制執行細微的存取控制。 自訂安全性屬性可以搭配 Azure 屬性型存取控制 (ABAC) 使用。
為何要使用自訂安全性屬性?
以下是您可以使用自訂安全性屬性的一些案例:
- 擴充使用者配置檔,例如將每小時薪資新增至所有員工。
- 確定只有系統管理員可以在我員工的設定檔中看到 [時薪] 屬性。
- 將數百或數千個應用程式分類,以輕鬆建立可篩選的稽核詳細目錄。
- 將屬於某個專案的 Azure 儲存體 Blob 的存取權授與使用者。
我可以使用自訂安全性屬性做什麼?
自訂安全性屬性包含這些功能:
- 為您的租用戶定義商務特定資訊 (屬性)。
- 在使用者和應用程式上新增一組自定義安全性屬性。
- 使用自訂安全性屬性搭配查詢和篩選來管理 Microsoft Entra 物件。
- 提供屬性治理,讓屬性決定誰可以取得存取權。
下列區域不支援自訂安全性屬性:
自訂安全性屬性的功能
自訂安全性屬性包含這些功能:
- 可供所有租用戶使用
- 包括描述
- 支援不同的資料類型:布林值、整數、字串
- 支援單一值或多個值
- 支援使用者定義的自由格式值或預先定義的值
- 從內部部署的 Active Directory 將自訂安全性屬性指派給目錄同步的使用者
下列範例顯示指派給用戶的數個自定義安全性屬性。 自定義安全性屬性是不同的數據類型,而且具有單一、多個、自由格式或預先定義的值。
支援自定義安全性屬性的物件
您可以為下列 Microsoft Entra 物件新增自訂安全性屬性:
- Microsoft Entra 使用者
- Microsoft Entra 企業應用程式 (服務主體)
自訂安全性屬性與延伸模組的比較方式為何?
雖然延伸模組和自定義安全性屬性都可以用來擴充 Microsoft Entra ID 和 Microsoft 365 中的物件,但它們適用於基本不同的自定義數據案例。 以下是自訂安全性屬性與 延伸模組比較的一些方式:
| 功能 | 擴充 | 自訂安全性屬性 |
|---|---|---|
| 擴充 Microsoft Entra ID 和 Microsoft 365 物件 | Yes | Yes |
| 支援的物件 | 視擴充類型而定 | 用戶和服務主體 |
| 受限制的存取 | 否。 具有讀取物件許可權的任何人都可以讀取延伸模組數據。 | 是。 讀取和寫入存取權會透過一組個別的許可權和角色型訪問控制 (RBAC) 來限制。 |
| 使用時機 | 儲存應用程式要使用的資料 儲存非敏感數據 |
儲存敏感數據 用於授權案例 |
| 授權需求 | 適用於所有版本的 Microsoft Entra ID | 適用於所有版本的 Microsoft Entra ID |
如需使用延伸模組的詳細資訊,請參閱 使用擴充功能將自定義數據新增至資源。
使用自訂安全性屬性的步驟
檢查許可權
確認您已獲指派屬性定義 管理員 istrator 或屬性指派 管理員 istrator 角色。 如果沒有,請洽詢您的系統管理員,以指派租用戶範圍或屬性集範圍的適當角色。 根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 如有必要,Global 管理員 istrator 可以將這些角色指派給自己。
新增屬性集
將屬性集新增至群組和管理相關的自定義安全性屬性。 深入了解
管理屬性集
指定誰可以在屬性集中讀取、定義或指派自定義安全性屬性。 深入了解
定義屬性
將自訂安全性屬性新增至您的目錄。 您可以指定日期類型(布爾值、整數或字串),以及值是否為預先定義、自由格式、單一或多個。 深入了解
指派屬性
將自定義安全性屬性指派給商務案例的 Microsoft Entra 物件。 深入了解
使用屬性
篩選使用自定義安全性屬性的用戶和應用程式。 深入了解
將使用自定義安全性屬性的條件新增至 Azure 角色指派,以進行更細緻的訪問控制。 深入了解
詞彙
若要進一步瞭解自定義安全性屬性,您可以回到下列詞彙清單。
| 詞彙 | 定義 |
|---|---|
| 屬性定義 | 自訂安全性屬性或索引鍵/值組的架構。 例如,自定義安全性屬性名稱、描述、數據類型和預先定義的值。 |
| 屬性集 | 相關自定義安全性屬性的集合。 屬性集可以委派給其他使用者,以定義和指派自定義安全性屬性。 |
| 屬性名稱 | 屬性集內自定義安全性屬性的唯一名稱。 屬性集和屬性名稱的組合會形成租使用者的唯一屬性。 |
| 屬性指派 | 將自定義安全性屬性指派給 Microsoft Entra 物件,例如使用者和企業應用程式(服務主體)。 |
| 預先定義的值 | 自訂安全性屬性允許的值。 |
自訂安全性屬性屬性
下表列出您可以為屬性集和自定義安全性屬性指定的屬性。 某些屬性是不可變的,稍後無法變更。
| 屬性 | 必要 | 稍後可以變更 | 描述 |
|---|---|---|---|
| 屬性集名稱 | ✅ | 屬性集的名稱。 在租用戶內必須是唯一的。 不能包含空格或特殊字元。 | |
| 屬性集描述 | ✅ | 屬性集的描述。 | |
| 屬性數目上限 | ✅ | 可在屬性集中定義的自定義安全性屬性數目上限。 預設值為 null。 如果未指定,系統管理員最多可以為每個租使用者新增500個作用中屬性。 |
|
| 屬性集 | ✅ | 相關自定義安全性屬性的集合。 每個自定義安全性屬性都必須是屬性集的一部分。 | |
| Attribute name | ✅ | 自訂安全性屬性的名稱。 在屬性集內必須是唯一的。 不能包含空格或特殊字元。 | |
| 屬性描述 | ✅ | 自訂安全性屬性的描述。 | |
| 資料類型 | ✅ | 自訂安全性屬性值的數據類型。 支援的型別為 Boolean、 Integer與 String。 |
|
| 允許指派多個值 | ✅ | 指出是否可以將多個值指派給自定義安全性屬性。 如果數據類型設定為 Boolean,則無法設定為 [是]。 |
|
| 只允許指派預先定義的值 | ✅ | 指出是否只能將預先定義的值指派給自定義安全性屬性。 如果設定為 [否],則會允許自由格式值。 稍後可以從 [是] 變更為 [否],但無法從 [否] 變更為 [是]。 如果數據類型設定為 Boolean,則無法設定為 [是]。 |
|
| 預先定義的值 | 所選取資料類型之自訂安全性屬性的預先定義值。 稍後可以新增更多預先定義的值。 值可以包含空格,但不允許某些特殊字元。 | ||
| 預先定義的值為使用中 | ✅ | 指定預先定義的值是使用中還是停用。 如果設定為 false,則無法將預先定義的值指派給任何其他支援的目錄物件。 | |
| 屬性為作用中 | ✅ | 指定自訂安全性屬性為使用中或停用。 |
限制和條件約束
以下是自定義安全性屬性的一些限制和條件約束。
| 資源 | 限制 | 備註 |
|---|---|---|
| 每個租用戶的屬性定義 | 500 | 僅適用於租使用者中的使用中屬性 |
| 每個租用戶的屬性集 | 500 | |
| 屬性集名稱長度 | 32 | Unicode 字元和不區分大小寫 |
| 屬性集描述長度 | 128 | Unicode 字元 |
| 屬性名稱長度 | 32 | Unicode 字元和不區分大小寫 |
| 屬性描述長度 | 128 | Unicode 字元 |
| 預先定義的值 | Unicode 字元和區分大小寫 | |
| 每個屬性定義的預先定義值 | 100 | |
| 屬性值長度 | 64 | Unicode 字元 |
| 每個物件指派的屬性值 | 50 | 值可以分散到單一和多重值屬性。 範例:5 個屬性各有 10 個值,或 50 個屬性,各有 1 個值 |
| 不允許的特殊字元: 屬性集名稱 Attribute name |
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / |
屬性集名稱和屬性名稱不能以數位開頭 |
| 屬性值允許的特殊字元 | 所有特殊字元 | |
| 搭配 Blob 索引標記使用時,允許屬性值的特殊字元 | <space> + - . : = _ / |
如果您打算搭配 Blob 索引標記使用屬性值,這些是 Blob 索引標記唯一允許的特殊字元。 如需詳細資訊,請參閱設定 Blob 索引標籤。 |
自訂安全性屬性角色
Microsoft Entra ID 提供內建角色來處理自定義安全性屬性。 屬性定義 管理員 istrator 角色是管理自定義安全性屬性所需的最低角色。 [屬性指派] 管理員 istrator 角色是您為使用者和應用程式等 Microsoft Entra 物件指派自定義安全性屬性值所需的最低角色。 您可以在租用戶範圍或屬性集範圍指派這些角色。
| 角色 | 權限 |
|---|---|
| 屬性定義讀取器 | 讀取屬性集 讀取自定義安全性屬性定義 |
| 屬性定義 管理員 istrator | 管理屬性集的所有層面 管理自定義安全性屬性定義的所有層面 |
| 屬性指派讀取器 | 讀取屬性集 讀取自定義安全性屬性定義 讀取使用者和服務主體的自定義安全性屬性密鑰和值 |
| 屬性指派 管理員 istrator | 讀取屬性集 讀取自定義安全性屬性定義 讀取及更新使用者和服務主體的自定義安全性屬性密鑰和值 |
| 屬性記錄讀取器 | 讀取自定義安全性屬性的稽核記錄 |
| 屬性記錄檔 管理員 istrator | 讀取自定義安全性屬性的稽核記錄 設定自訂安全性屬性的診斷設定 |
重要
根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。
Microsoft Graph API
您可以使用 Microsoft Graph API 以程式設計方式管理自訂安全性屬性。 如需詳細資訊,請參閱 使用 Microsoft Graph API 的自定義安全性屬性概觀。
您可以使用圖形總管或Postman等 API 用戶端,更輕鬆地嘗試 Microsoft Graph API 以取得自訂安全性屬性。
授權需求
使用這項功能是免費的,並包含在您的 Azure 訂用帳戶中。