Microsoft Entra IDのカスタム セキュリティ属性は、Microsoft Entra オブジェクトに定義して割り当てることができるビジネス固有の属性 (キーと値のペア) です。 これらの属性を使用して、情報の格納、オブジェクトの分類、特定の Azure リソースに対するきめ細かいアクセス制御の適用を行うことができます。 カスタム セキュリティ属性は、 Azure 属性ベースのアクセス制御 (Azure ABAC) で使用できます。
この記事では、Microsoft Graph APIを使用してプログラムで独自のカスタム セキュリティ属性を定義して割り当てる方法の概要について説明します。
キー リソースの種類
カスタム セキュリティ属性の構成要素を次に示します。
属性セット
属性セットは、関連するカスタム セキュリティ属性のグループです。 属性セットの一般的な特性を次に示します。
- 名前にスペースや特殊文字を含めることはできません。
- 名前を変更または削除することはできません。
- 他のユーザーに委任して、カスタム セキュリティ属性を定義および割り当てることができます。
属性セットを構成するには、 attributeSet リソースの種類を使用します。
カスタム セキュリティ属性の定義
カスタム セキュリティ属性定義は、カスタム セキュリティ属性またはキーと値のペアのスキーマです。 たとえば、カスタム セキュリティ属性の名前、説明、データ型、定義済みの値などです。 カスタム セキュリティ属性定義の一般的な特性を次に示します。
- 名前にスペースや特殊文字を含めることはできません。
- 名前を変更または削除することはできませんが、非アクティブ化できます。
- 属性セットの一部である必要があります。
カスタム セキュリティ属性定義を構成するには、 customSecurityAttributeDefinition リソースの種類を使用します。
許可される値
使用できる値 は、カスタム セキュリティ属性の定義済みの値を表します。 許可される値の一般的な特性を次に示します。
- 値にはスペースを含めることができますが、一部の特殊文字は使用できません。
- 名前を変更または削除することはできませんが、非アクティブ化できます。
- さらに定義済みの値を後で追加できます。
- ブール型、整数型、または文字列型のデータ型を指定できます。
許可される値を構成するには、 allowedValue リソースの種類を使用します。
カスタム セキュリティ属性をサポートするディレクトリ オブジェクトはどれですか?
customSecurityAttributes プロパティを使用して、カスタム セキュリティ属性を次のオブジェクトに割り当てることができます。 オンプレミスの Active Directoryからディレクトリ同期されたユーザーには、カスタム セキュリティ属性を割り当てることもできます。
カスタム セキュリティ属性の割り当ての例については、「例: Microsoft Graph APIを使用してカスタム セキュリティ属性の割り当てを割り当て、更新、一覧表示、または削除する」を参照してください。
制限と制約
カスタム セキュリティ属性の制限と制約の一覧については、「 制限と制約」を参照してください。
アクセス許可
カスタム セキュリティ属性を管理するには、呼び出し元プリンシパルに次のMicrosoft Entraロールのいずれかを割り当てる必要があります。 既定では、グローバル管理者やその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、または割り当てに対するアクセス許可がありません。
また、呼び出し元プリンシパルには、適切な カスタム セキュリティ属性のアクセス許可を付与する必要があります。