Azure AD 中的自訂安全性屬性是什麼? (預覽)

重要

自訂安全性屬性目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

Azure Active Directory (Azure AD) 中的自訂安全性屬性是您可以定義並指派給 (物件的特定商務屬性) 索引鍵/值組 Azure AD。 這些屬性可用來儲存資訊、分類物件,或對特定 Azure 資源強制執行更細緻的存取控制。 自訂安全性屬性可以與 azure 屬性型存取控制搭配使用 (AZURE ABAC)

為何要使用自訂安全性屬性?

  • 擴充使用者設定檔,例如將員工雇用日期和每小時薪資新增至我的所有員工。
  • 確定只有系統管理員可以在我的員工設定檔中看到每小時薪資屬性。
  • 將數百個或數千個應用程式分類,輕鬆地建立可篩選的清查清查。
  • 授與使用者對屬於專案之 Azure 儲存體 blob 的存取權。

我可以使用自訂安全性屬性來做什麼?

  • 為您的租使用者) (屬性定義商務特定資訊。
  • 在使用者、應用程式、Azure AD 資源或 Azure 資源上新增一組自訂安全性屬性。
  • 使用自訂安全性屬性搭配查詢和篩選來管理 Azure AD 物件。
  • 提供屬性管理,讓屬性決定誰可以取得存取權。

自訂安全性屬性的功能

  • 可用的全租使用者
  • 包含描述
  • 支援不同的資料類型:布林值、整數、字串
  • 支援單一值或多個值
  • 支援使用者定義的自由格式值或預先定義的值
  • 從內部部署 Active Directory 將自訂安全性屬性指派給目錄同步處理的使用者

下列範例示範如何指定單一、多重、自由格式或預先定義的自訂安全性屬性值。

指派給使用者的自訂安全性屬性範例。

支援自訂安全性屬性的物件

目前,您可以新增下列 Azure AD 物件的自訂安全性屬性:

  • Azure AD 使用者
  • Azure AD (服務主體的企業應用程式)
  • 適用於 Azure 資源的受控識別

自訂安全性屬性如何與目錄架構延伸模組比較?

以下是自訂安全性屬性與 目錄架構延伸相比較的一些方式:

  • 目錄架構延伸模組無法用於授權案例和屬性,因為擴充屬性的存取控制系結至 Azure AD 物件。 自訂安全性屬性可用於需要存取控制的授權和屬性,因為自訂安全性屬性可透過個別許可權來管理和保護。
  • 目錄架構延伸會系結至應用程式,並共用應用程式的生命週期。 自訂安全性屬性是租使用者範圍,且未系結至應用程式。
  • 目錄架構延伸模組支援將單一值指派給屬性。 自訂安全性屬性支援將多個值指派給屬性。

使用自訂安全性屬性的步驟

  1. 檢查許可權

    請確認您已獲指派 屬性定義系統管理員屬性指派管理員 角色。 如果沒有,請洽詢您的系統管理員,在租使用者範圍或屬性集範圍指派適當的角色。 依預設, 全域管理員 和其他系統管理員角色沒有讀取、定義或指派自訂安全性屬性的許可權。 如有必要,全域系統管理員可以將這些角色指派給自己。

    圖表顯示在 Azure AD 中新增自訂安全性屬性的檢查許可權。

  2. 加入屬性集

    加入屬性集來群組和管理相關的自訂安全性屬性。 深入了解

    顯示加入多個屬性集的圖表。

  3. 管理屬性集

    指定誰可以讀取、定義或指派屬性集中的自訂安全性屬性。 深入了解

    顯示將屬性定義系統管理員和屬性指派管理員指派給屬性集的圖表。

  4. 定義屬性

    將您的自訂安全性屬性新增至您的目錄。 您可以指定日期類型 (布林值、整數或字串) ,以及值是否預先定義、自由格式、單一或多個值。 深入了解

    顯示委派系統管理員定義自訂安全性屬性的圖表。

  5. 指派屬性

    將自訂安全性屬性指派給商務案例的 Azure AD 物件。 深入了解

    顯示委派的系統管理員將自訂安全性屬性指派給 Azure AD 物件的圖表。

  6. 使用屬性

    篩選使用自訂安全性屬性的使用者和應用程式。 深入了解

    將使用自訂安全性屬性的條件新增至 Azure 角色指派,以進行更細緻的存取控制。 深入了解

詞彙

若要進一步瞭解自訂安全性屬性,您可以回頭參考下列詞彙清單。

詞彙 定義
屬性定義 自訂安全性屬性或機碼值組的架構。 例如,自訂安全性屬性名稱、描述、資料類型和預先定義的值。
屬性集 相關自訂安全性屬性的集合。 您可以將屬性集委派給其他使用者,以定義和指派自訂安全性屬性。
屬性名稱 屬性集內自訂安全性屬性的唯一名稱。 屬性集和屬性名稱的組合會形成您租使用者的唯一屬性。
屬性指派 將自訂安全性屬性指派給 Azure AD 物件,例如使用者、 (服務主體) 的企業應用程式,以及受控識別。
預先定義的值 允許自訂安全性屬性的值。

自訂安全性屬性屬性

下表列出您可以為屬性集和自訂安全性屬性指定的屬性。 有些屬性是不可變的,稍後無法變更。

屬性 必要 可以在稍後變更 Description
屬性集名稱 ✔️ 屬性集的名稱。 在租使用者內必須是唯一的。 不能包含空格或特殊字元。
屬性集描述 ✔️ 屬性集的描述。
屬性的最大數目 ✔️ 可在屬性集中定義之自訂安全性屬性的最大數目。 預設值為 null。 如果未指定,系統管理員最多可以為每個租使用者新增500個作用中屬性。
屬性集 ✔️ 相關自訂安全性屬性的集合。 每個自訂安全性屬性都必須是屬性集的一部分。
屬性名稱 ✔️ 自訂安全性屬性的名稱。 在屬性集內必須是唯一的。 不能包含空格或特殊字元。
屬性描述 ✔️ 自訂安全性屬性的描述。
資料類型 ✔️ 自訂安全性屬性值的資料類型。 支援的類型為 BooleanIntegerString
允許指派多個值 ✔️ 指出是否可以將多個值指派給自訂安全性屬性。 如果資料類型設定為 Boolean ,就不能設定為 [是]。
只允許指派預先定義的值 ✔️ 指出是否只能將預先定義的值指派給自訂安全性屬性。 如果設定為 [否],則允許自由格式的值。 之後可以從 [是] 變更為 [否],但無法從 [否] 變更為 [是]。 如果資料類型設定為 Boolean ,就不能設定為 [是]。
預先定義的值 所選資料類型之自訂安全性屬性的預先定義值。 您可以稍後新增更多預先定義的值。 值可以包含空格,但不允許某些特殊字元。
預先定義的值為作用中 ✔️ 指定預先定義的值是否為使用中或已停用狀態。 如果設定為 false,則不能將預先定義的值指派給任何其他支援的目錄物件。
屬性使用中 ✔️ 指定自訂安全性屬性為使用中或已停用狀態。

限制和條件約束

以下是自訂安全性屬性的一些限制和條件約束。

資源 限制 注意
每個租使用者的屬性定義 500 只適用于租使用者中的作用中屬性
每個租使用者的屬性集 500
屬性集名稱長度 32 Unicode 字元和不區分大小寫
屬性集描述長度 128 Unicode 字元
屬性名稱長度 32 Unicode 字元和不區分大小寫
屬性描述長度 128 Unicode 字元
預先定義的值 Unicode 字元和區分大小寫
每個屬性定義的預先定義值 100
屬性值長度 64 Unicode 字元
每個物件指派的屬性值 50 值可以分散到單一和多重值屬性。
範例:5個具有 10 50 個值的屬性,每個屬性都有1個值
不允許的字元:
屬性集名稱
屬性名稱
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? /
不允許的字元:
屬性值
# % & * + \ : " / < > ?

自訂安全性屬性角色

Azure AD 提供內建角色來使用自訂安全性屬性。 屬性定義管理員角色是您管理自訂安全性屬性所需的最小角色。 屬性指派管理員角色是為 Azure AD 物件(例如使用者和應用程式)指派自訂安全性屬性值所需的最小角色。 您可以在租使用者範圍或屬性集範圍指派這些角色。

角色 權限
屬性定義讀取器 讀取屬性集
讀取自訂安全性屬性定義
屬性定義系統管理員 管理屬性集的所有層面
管理自訂安全性屬性定義的所有層面
屬性指派讀取器 讀取屬性集
讀取自訂安全性屬性定義
讀取使用者和服務主體的自訂安全性屬性索引鍵和值
屬性指派管理員 讀取屬性集
讀取自訂安全性屬性定義
讀取及更新使用者和服務主體的自訂安全性屬性索引鍵和值

重要

依預設, 全域管理員 和其他系統管理員角色沒有讀取、定義或指派自訂安全性屬性的許可權。

已知問題

以下是一些自訂安全性屬性的已知問題:

  • 當您使用 [ 編輯屬性 ] 頁面加入自訂安全性屬性之後,才可以加入預先定義的值。
  • 具有屬性集層級角色指派的使用者可以看到其他屬性集和自訂安全性屬性定義。
  • 全域系統管理員可以讀取自訂安全性屬性定義和指派的審核記錄。
  • 如果您有 Azure AD Premium P2 的授權,則無法在屬性集範圍新增合格的角色指派。
  • 如果您有 Azure AD Premium P2 的授權,則使用者的 [指派的角色] 頁面不會列出屬性集範圍的永久角色指派。 角色指派存在,但未列出。
  • 如果您使用 Microsoft Graph API,則讀取和寫入 (CustomSecAttributeAssignment 都可以使用「委派」和「應用程式」許可權,而且 所有) 。 不過,目前無法使用唯讀許可權。

根據您是否有 Azure AD Premium P1 或 P2 授權,以下是自訂安全性屬性角色目前支援的角色指派工作:

角色指派工作 進階 P1 進階 P2
永久角色指派 ✔️ ✔️
符合資格的角色指派 n/a ✔️
屬性集範圍的永久角色指派 ✔️ ✔️
屬性集範圍的合格角色指派 n/a
[指派的角色] 頁面會列出屬性集範圍的永久角色指派 ✔️
角色指派存在,但未列出

授權需求

使用此方法需要 Azure AD Premium P1 授權。 若要尋找適用於您需求的正確授權,請參閱比較 Free、Basic 及 Premium 版本的正式運作功能

後續步驟