🔍
StartseiteHome Entra IDEntra ID Benutzerdefinierte Sicherheitsattribute Custom Security Attributes

Benutzerdefinierte Sicherheitsattribute Custom Security Attributes

Attribute Sets, Definitionen, ABAC, RBAC, Graph CRUD, Audit Logs und Governance-Muster für strukturierte Sicherheitsmetadaten. Attribute sets, definitions, ABAC, RBAC, Graph CRUD, audit logs, and governance patterns for structured security metadata.

ABAC-Signal ABAC signal

Custom Security Attributes bringen klassifizierende Metadaten in die Identitätsebene und ermöglichen feineres Autorisierungsdesign. Custom security attributes bring classification metadata into the identity layer and enable finer-grained authorization design.

Starkes Delegationsmodell Strong delegation model

Definition, Zuweisung und Leseberechtigung sind über dedizierte Rollen sauber trennbar. Definition, assignment, and read permissions can be cleanly separated through dedicated roles.

Mehr als nur Benutzer More than just users

Attribute können auf Benutzer, Service Principals, Anwendungen und in Vorschau auf Gruppen angewandt werden. Attributes can be applied to users, service principals, applications, and in preview to groups.

Governance-first Governance first

Namen, Wertebereiche und Ownership müssen wie ein Schema behandelt werden, obwohl keine klassische AD-Schemaerweiterung erfolgt. Names, value ranges, and ownership must be treated like schema even though no classic AD schema extension occurs.

Überblick, Use Cases und Limits Overview, use cases, and limits

Custom Security Attributes sind mandantenweite, strukturierte Metadaten für sicherheitsrelevante Klassifikation. Typische Einsatzfelder sind Mandanten- oder Datenklassifikation, Applikationsownership, Umgebungsmarkierungen, Geschäftsbereichs-Tags und Attribut-basierte Zugriffssteuerung. Custom security attributes are tenant-wide structured metadata for security-relevant classification. Typical use cases are tenant or data classification, application ownership, environment markings, business-unit tags, and attribute-based access control.

Limit Limit Wert Value Kommentar Comment
Attribute Sets pro Tenant Attribute sets per tenant Bis zu 500. Up to 500. Sets logisch und langfristig benennen. Name sets logically and for long-term use.
Definitionen pro Set Definitions per set Bis zu 500 laut gewünschtem Zielmodell dieser Referenz. Up to 500 according to the target model for this reference. Praktisch dennoch sparsam bleiben. Still stay conservative in practice.
Wertetypen Value types String, Integer, Boolean. String, Integer, Boolean. Datentyp früh festlegen; späterer Wechsel ist aufwendig. Choose the data type early; later change is costly.
Multi-Value Multi-value Unterstützt für ausgewählte Definitionen. Supported for selected definitions. Nur dort nutzen, wo wirklich mehrere Werte nötig sind. Use only where multiple values are truly needed.
Predefined Values Predefined values Optional erlaubte Werte zur Governance. Optional allowed values for governance. Hilft Tippfehler und Wildwuchs zu vermeiden. Helps avoid typos and sprawl.

Attribute Sets, Definitionen und Zuweisungen Attribute sets, definitions, and assignments

Baustein Building block Beschreibung Description Empfehlung Recommendation
Attribute Set Attribute set Container für logisch zusammengehörige Attribute wie dataClass oder appOwner. Container for logically related attributes such as dataClass or appOwner. Nach Domäne oder Governance-Thema gliedern. Group by domain or governance theme.
Definition Definition Konkretes Attribut mit Typ, Mehrwertigkeit und optionalen erlaubten Werten. Concrete attribute with type, multivalue flag, and optional allowed values. Kurze sprechende Namen plus Beschreibung. Use short readable names plus a description.
Assignment Assignment Wertzuordnung auf unterstützte Objekte. Value assignment on supported objects. Automatisierbar über Graph oder PowerShell. Automatable through Graph or PowerShell.
RBAC RBAC Definition und Assignment können separat verwaltet werden. Definition and assignment can be governed separately. Least Privilege konsequent umsetzen. Apply least privilege consistently.
Zielobjekt Target object Status Status Praxisbeispiel Practical example
Benutzer Users Allgemein verfügbar. Generally available. Klassifikation nach Standort, Schutzniveau oder Datenrolle. Classification by location, protection level, or data role.
Service Principals Service principals Allgemein verfügbar. Generally available. Applikationsowner, Betriebsumgebung, Tier. Application owner, operating environment, tier.
Applications Applications Allgemein verfügbar. Generally available. Produkt, Compliance, Business Criticality. Product, compliance, business criticality.
Groups Groups Preview laut Anforderung. Preview according to the requirement. ABAC-Szenarien mit Gruppenkontext. ABAC scenarios with group context.

Filtering, ABAC und Conditional Access Integration Filtering, ABAC, and Conditional Access integration

Szenario Scenario Wie Custom Security Attributes helfen How custom security attributes help Hinweis Note
ABAC auf Azure-Ressourcen ABAC on Azure resources Attribute werden in Berechtigungsentscheidungen als zusätzliche Bedingung genutzt. Attributes are used as an extra condition in authorization decisions. Saubere Taxonomie ist entscheidend. A clean taxonomy is critical.
Dynamische Gruppen Dynamic groups Preview-Szenarien erlauben Gruppenbildung anhand von Attributen. Preview scenarios allow grouping based on attributes. Regeln und Latenz genau testen. Test rules and latency carefully.
Conditional Access Conditional Access Klassifikationen können in CA-Designs als Kontext dienen, etwa für App- oder Workload-Kategorien. Classifications can serve as context in CA designs, for example for app or workload categories. Nicht jede Bedingung ist in jedem Portalpfad sofort sichtbar. Not every condition is immediately visible in every portal path.
Berichte und Governance Reporting and governance Attribute liefern Gruppierung für Inventare, Reviews und Ownership-Matrizen. Attributes provide grouping for inventories, reviews, and ownership matrices. Vor allem für große App-Portfolios wertvoll. Especially valuable for large app portfolios.
⚠️ Governance-Falle ⚠️ Governance pitfall

Custom Security Attributes dürfen nicht als unkontrolliertes Freitextfeld enden. Definiere Eigentümer, Review-Intervalle, Namenskonventionen und erlaubte Werte von Anfang an. Custom security attributes must not become uncontrolled free text. Define owners, review intervals, naming conventions, and allowed values from the start.

RBAC, Audit Logs, Graph API und PowerShell RBAC, audit logs, Graph API, and PowerShell

Rolle Role Berechtigung Permission Typischer Nutzer Typical user
Attribute Definition Administrator Attribute Definition Administrator Erstellt und ändert Sets und Definitionen. Creates and updates sets and definitions. Zentrales IAM- oder Governance-Team. Central IAM or governance team.
Attribute Definition Reader Attribute Definition Reader Liest Metadaten der Definitionen. Reads definition metadata. Architektur, Audit, Security. Architecture, audit, security.
Attribute Assignment Administrator Attribute Assignment Administrator Setzt Werte auf unterstützten Objekten. Sets values on supported objects. Applikations- oder HR-nahe Prozesse. Application or HR-adjacent processes.
Attribute Assignment Reader Attribute Assignment Reader Liest gesetzte Attributwerte. Reads assigned attribute values. Reporterstellung und Rezertifizierung. Reporting and recertification.
Audit-Ereignis Audit event Beispiel Example Nutzen Use
Definition erstellt Definition created Neues Set oder neues Attribut angelegt. New set or new attribute created. Nachvollziehbarkeit von Schemaentscheidungen. Traceability of schema decisions.
Definition geändert Definition changed Allowed values oder Mehrwertigkeit geändert. Allowed values or multivalue setting changed. Erkennen potenziell brechender Änderungen. Detect potentially breaking changes.
Assignment geändert Assignment changed Benutzer oder App bekommt neuen Klassifikationswert. User or app receives a new classification value. Forensik und Rezertifizierung. Forensics and recertification.
Graph-API Graph API Pfad Path Operation Operation
Definitionen Definitions /directory/customSecurityAttributeDefinitions /directory/customSecurityAttributeDefinitions CRUD für Sets und Definitionen. CRUD for sets and definitions.
Benutzer Users /users/{id} /users/{id} customSecurityAttributes im Objekt aktualisieren. Update customSecurityAttributes on the object.
Service Principals Service principals /servicePrincipals/{id} /servicePrincipals/{id} Arbeitslastklassifikation pflegen. Maintain workload classification.
Applications Applications /applications/{id} /applications/{id} App-Metadaten für Governance ergänzen. Enrich app metadata for governance.
JSON JSON 
{
  "attributeSet": "appGovernance",
  "description": "Application governance attributes",
  "name": "environment",
  "type": "String",
  "isCollection": false,
  "usePreDefinedValuesOnly": true,
  "allowedValues": [
    { "id": "prod", "isActive": true },
    { "id": "test", "isActive": true },
    { "id": "dev",  "isActive": true }
  ]
}
PowerShell PowerShell 
Connect-MgGraph -Scopes "CustomSecAttributeDefinition.ReadWrite.All","Application.ReadWrite.All"
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions"

Betriebscheckliste Operational checklist

Checkpunkt Checkpoint Erwarteter Zustand Expected state Bewertung Assessment
Namenskonvention festgelegt Naming convention defined Set- und Attributnamen folgen Governance-Regeln. Set and attribute names follow governance rules. Ja/Nein Yes/No
Owner je Set Owner per set Fach- oder Technikverantwortung dokumentiert. Business or technical ownership documented. Ja/Nein Yes/No
Allowed Values geprüft Allowed values reviewed Freitext nur wo wirklich nötig. Free text only where truly needed. Ja/Nein Yes/No
RBAC getrennt RBAC separated Definition und Assignment getrennt delegiert. Definition and assignment delegated separately. Ja/Nein Yes/No
Audit aktiv Audit active Änderungen an Definitionen und Assignments nachvollziehbar. Changes to definitions and assignments are traceable. Ja/Nein Yes/No
ABAC-Zielbild abgestimmt ABAC target aligned Downstream-Ressourcen kennen die Taxonomie. Downstream resources understand the taxonomy. Ja/Nein Yes/No
Preview-Features bewertet Preview features assessed Gruppen und dynamische Regeln bewusst eingesetzt. Groups and dynamic rules used intentionally. Ja/Nein Yes/No
Bereinigungsprozess Cleanup process Obsolete Werte und Definitionen rezertifiziert. Obsolete values and definitions recertified. Ja/Nein Yes/No

Glossar & Schnellreferenz Glossary & quick reference

Begriff Term Definition Definition
Attribute Set Attribute Set Container logisch zusammengehöriger Attribute. Container for logically related attributes.
Definition Definition Konkretes Attribut mit Typ und Regeln. Concrete attribute with type and rules.
Assignment Assignment Wertzuordnung auf Objekt. Value assignment on an object.
Allowed Values Allowed Values Vordefinierte zulässige Werte. Predefined allowed values.
ABAC ABAC Attribute-based access control. Attribute-based access control.
Assignment Reader Assignment Reader Lesezugriff auf gesetzte Werte. Read access to assigned values.
Definition Admin Definition Admin Verwaltet Sets und Definitionen. Manages sets and definitions.
Multi-value Multi-value Mehrere Werte pro Attribut. Multiple values per attribute.