Sdílet prostřednictvím

Přidání nebo deaktivace vlastních definic atributů zabezpečení v MICROSOFT Entra ID

  • Článek

vlastní atributy zabezpečení v Microsoft Entra ID jsou atributy specifické pro firmu (páry klíč-hodnota), které můžete definovat a přiřadit k objektům Microsoft Entra. Tento článek popisuje, jak přidat, upravit nebo deaktivovat definice vlastních atributů zabezpečení.

Požadavky

Pokud chcete přidat nebo deaktivovat definice vlastních atributů zabezpečení, musíte mít:

Důležitý

Ve výchozím nastavení globální správce a další role správce nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.

Přidání sady atributů

Sada atributů je kolekce souvisejících atributů. Všechny vlastní atributy zabezpečení musí být součástí sady atributů. Sady atributů nelze přejmenovat ani odstranit.

  1. Přihlaste se do centra pro správu Microsoft Entra jako Attribute Definition Administrator.

  2. Přejděte na Protection>atributy vlastního zabezpečení.

  3. Pokud chcete přidat novou sadu atributů, vyberte Přidat sadu atributů.

    Pokud je sada atributů Přidat zakázaná, ujistěte se, že máte přiřazenou roli Správce definic atributů. Další informace naleznete v tématu Řešení potíží s vlastními atributy zabezpečení.

  4. Zadejte název, popis a maximální počet atributů.

    Název sady atributů může být 32 znaků bez mezer nebo speciálních znaků. Jakmile zadáte název, nemůžete ho přejmenovat. Další informace najdete v části Limity a omezení.

    Snímek obrazovky s podoknem Nová sada atributů v Centru pro správu Microsoft Entra

  5. Po dokončení vyberte Přidat.

    Nová sada atributů se zobrazí v seznamu sad atributů.

Přidání vlastní definice atributu zabezpečení

  1. Přihlaste se do centra pro správu Microsoft Entra jako Attribute Definition Administrator.

  2. Přejděte na Protection>atributy vlastního zabezpečení.

  3. Na stránce Vlastní atributy zabezpečení vyhledejte existující sadu atributů nebo vyberte Přidat sadu atributů přidat novou sadu atributů.

    Všechny definice atributů vlastního zabezpečení musí být součástí sady atributů.

  4. Výběrem otevřete vybranou sadu atributů.

  5. Vyberte Přidat atribut a přidejte do sady atributů nový vlastní atribut zabezpečení.

    Snímek obrazovky podokna

  6. Do pole Název atributu zadejte vlastní název atributu zabezpečení.

    Název vlastního atributu zabezpečení může být 32 znaků bez mezer nebo speciálních znaků. Jakmile zadáte název, nemůžete ho přejmenovat. Další informace najdete v části Limity a omezení.

  7. Do pole Popis zadejte volitelný popis.

    Popis může mít délku 128 znaků. V případě potřeby můžete později změnit popis.

  8. V seznamu Datový typ vyberte datový typ vlastního atributu zabezpečení.

    Datový typ Popis
    Booleovský Logická hodnota, která může být true, True, false nebo False.
    Celé číslo 32bitové celé číslo.
    Řetězec Řetězec, který může být dlouhý X znaků.

  9. V Povolit přiřazení více hodnotvyberte Ano nebo Ne.

    Vyberte Ano, pokud chcete povolit přiřazení více hodnot k tomuto vlastnímu atributu zabezpečení. Vyberte Ne, pokud chcete k tomuto vlastnímu atributu zabezpečení přiřadit pouze jednu hodnotu.

  10. Pokud chcete povolit přiřazení pouze předdefinovaných hodnot, vyberte Ano nebo Ne.

    Vyberte Ano, pokud chcete, aby byl tento vlastní atribut zabezpečení přiřazený hodnotám ze seznamu předdefinovaných hodnot. Vyberte Ne, pokud chcete povolit přiřazení uživatelem definovaných hodnot nebo potenciálně předdefinovaných hodnot tohoto vlastního atributu zabezpečení.

  11. Pokud je povoleno přiřazovat pouze předdefinované hodnoty a jeAno, vyberte Přidat hodnotu pro přidání předdefinovaných hodnot.

    Aktivní hodnota je k dispozici pro přiřazení k objektům. Hodnota, která není aktivní, je definována, ale zatím není k dispozici pro přiřazení.

    Snímek obrazovky podokna Nový atribut s podoknem pro přidání předdefinované hodnoty v Centru pro správu Microsoft Entra

  12. Po dokončení vyberte Uložit.

    Nový vlastní atribut zabezpečení se zobrazí v seznamu vlastních atributů zabezpečení.

  13. Pokud chcete zahrnout předdefinované hodnoty, postupujte podle kroků v další části.

Úprava definice vlastního atributu zabezpečení

Jakmile přidáte novou definici vlastního atributu zabezpečení, můžete později některé vlastnosti upravit. Některé vlastnosti jsou neměnné a nelze je změnit.

  1. Přihlaste se do centra pro správu Microsoft Entra jako Attribute Definition Administrator.

  2. Přejděte na Protection>atributy vlastního zabezpečení.

  3. Vyberte sadu atributů, která obsahuje vlastní atribut zabezpečení, který chcete upravit.

  4. V seznamu vlastních atributů zabezpečení vyberte ikonu se třemi tečkami pro vlastní atribut zabezpečení, který chcete upravit, a pak vyberte Upravit atribut.

  5. Upravte povolené vlastnosti.

  6. Pokud je povoleno přiřazovat pouze předdefinované hodnoty a jeAno, vyberte Přidat hodnotu pro přidání předdefinovaných hodnot. Chcete-li změnit Je aktivní, vyberte existující předdefinovanou hodnotu? nastavení.

    Snímek obrazovky s podoknem Přidat předdefinovanou hodnotu v Centru pro správu Microsoft Entra

Deaktivace definice vlastního atributu zabezpečení

Jakmile přidáte vlastní definici atributu zabezpečení, nemůžete ji odstranit. Můžete však deaktivovat vlastní definici atributu zabezpečení.

  1. Přihlaste se do centra pro správu Microsoft Entra jako Attribute Definition Administrator.

  2. Přejděte na Protection>atributy vlastního zabezpečení.

  3. Vyberte sadu atributů, která obsahuje vlastní atribut zabezpečení, který chcete deaktivovat.

  4. V seznamu vlastních atributů zabezpečení přidejte značku zaškrtnutí vedle vlastního atributu zabezpečení, který chcete deaktivovat.

  5. Vyberte Deaktivovat atribut.

  6. V dialogovém okně Deaktivovat atribut, který se zobrazí, vyberte Ano.

    Vlastní atribut zabezpečení se deaktivuje a přesune do seznamu deaktivovaných atributů.

PowerShell nebo rozhraní Microsoft Graph API

Ke správě vlastních definic atributů zabezpečení ve vaší organizaci Microsoft Entra můžete použít také PowerShell nebo rozhraní Microsoft Graph API. Následující příklady spravují sady atributů a definice vlastních atributů zabezpečení.

Získání všech sad atributů

Následující příklad získá všechny sady atributů.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Description          : Attributes for marketing team
Id                   : Marketing
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Získat nejlepší sady atributů

Následující příklad získá horní sady atributů.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Top 10

Získejte sady atributů v pořadí

Následující příklad získá sady atributů v pořadí.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Sort "Id"

Získání sady atributů

Následující příklad získá sadu atributů.

  • Sada atributů: Engineering

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}

Přidání sady atributů

Následující příklad přidá novou sadu atributů.

  • Sada atributů: Engineering

New-MgDirectoryAttributeSet

$params = @{
    Id = "Engineering"
    Description = "Attributes for engineering team"
    MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params

Id          Description                     MaxAttributesPerSet
--          -----------                     -------------------
Engineering Attributes for engineering team 25

Aktualizace sady atributů

Následující příklad aktualizuje sadu atributů.

  • Sada atributů: Engineering

Update-MgDirectoryAttributeSet

$params = @{
    description = "Attributes for engineering team"
    maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params

Získání všech definic atributů vlastního zabezpečení

Následující příklad získá všechny definice vlastních atributů zabezpečení.

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Marketing
Description             : Country where is application is used
Id                      : Marketing_AppCountry
IsCollection            : True
IsSearchable            : True
Name                    : AppCountry
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Filtrování vlastních definic atributů zabezpečení

Následující příklady filtrují vlastní definice atributů zabezpečení.

  • Filtr: Název atributu rovná se 'Projekt' a stav rovná se 'Dostupný'

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}
  • Filtr: Atributní sada rovná se 'Engineering' a stav rovná se 'Dostupný' a datový typ rovná se 'Text'

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Získání vlastní definice atributu zabezpečení

Následující příklad získá vlastní definici atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: ProjectDate

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Přidání vlastní definice atributu zabezpečení

Následující příklad přidá novou definici atributu vlastního zabezpečení.

  • Sada atributů: Engineering
  • Atribut: ProjectDate
  • Datový typ atributu: String

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Target completion date"
    isCollection = $false
    isSearchable = $true
    name = "ProjectDate"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Přidání vlastní definice atributu zabezpečení, která podporuje více předdefinovaných hodnot

Následující příklad přidá novou definici atributu vlastního zabezpečení, která podporuje více předdefinovaných hodnot.

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Přidání definice vlastního atributu zabezpečení se seznamem předdefinovaných hodnot

Následující příklad přidá novou definici atributu vlastního zabezpečení se seznamem předdefinovaných hodnot.

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců
  • Předdefinované hodnoty: Alpine, Baker, Cascade

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
    allowedValues = @(
        @{
            id = "Alpine"
            isActive = $true
        }
        @{
            id = "Baker"
            isActive = $true
        }
        @{
            id = "Cascade"
            isActive = $true
        }
    )
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Aktualizace definice vlastního atributu zabezpečení

Následující příklad aktualizuje definici vlastního atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: ProjectDate

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Aktualizace předdefinovaných hodnot pro definici vlastního atributu zabezpečení

Následující příklad aktualizuje předdefinované hodnoty pro definici vlastního atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců
  • Aktualizace předdefinované hodnoty: Baker
  • Nová předdefinovaná hodnota: Skagit

Invoke-MgGraphRequest

Poznámka

Pro tento požadavek musíte přidat hlavičku OData-Version a přiřadit jí hodnotu .

$params = @{
    "allowedValues@delta" = @(
        @{
            id = "Baker"
            isActive = $false
        }
        @{
            id = "Skagit"
            isActive = $true
        }
    )
}
$header = @{
    "OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params

Deaktivace definice vlastního atributu zabezpečení

Následující příklad deaktivuje definici vlastního atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Získání všech předdefinovaných hodnot

Následující příklad získá všechny předdefinované hodnoty pro vlastní definici atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List

Id                   : Skagit
IsActive             : True
AdditionalProperties : {}

Id                   : Baker
IsActive             : False
AdditionalProperties : {}

Id                   : Cascade
IsActive             : True
AdditionalProperties : {}

Id                   : Alpine
IsActive             : True
AdditionalProperties : {}

Získání předdefinované hodnoty

Následující příklad získá předdefinovanou hodnotu pro vlastní definici atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project
  • Předdefinovaná hodnota: Alpine

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Přidání předdefinované hodnoty

Následující příklad přidá předdefinovanou hodnotu pro vlastní definici atributu zabezpečení.

Můžete přidat předdefinované hodnoty pro vlastní atributy zabezpečení, které mají usePreDefinedValuesOnly nastaveny na true.

  • Sada atributů: Engineering
  • Atribut: Project
  • Předdefinovaná hodnota: Alpine

New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    id = "Alpine"
    isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Deaktivace předdefinované hodnoty

Následující příklad deaktivuje předdefinovanou hodnotu pro definici atributu vlastního zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project
  • Předdefinovaná hodnota: Alpine

Aktualizace-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue (Aktualizace definice povolené hodnoty vlastního bezpečnostního atributu adresáře)

$params = @{
    isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params

Nejčastější dotazy

Můžete odstranit vlastní definice atributů zabezpečení?

Ne, nemůžete odstranit vlastní definice atributů zabezpečení. Pouze můžete deaktivovat vlastní definice atributů zabezpečení . Jakmile deaktivujete vlastní atribut zabezpečení, už se nedá použít na objekty Microsoft Entra. Přiřazení vlastních atributů zabezpečení pro deaktivovanou definici atributu zabezpečení se automaticky neodeberou. Počet deaktivovaných vlastních atributů zabezpečení není nijak omezený. Na tenanta můžete mít 500 aktivních definic atributů vlastního zabezpečení s 100 povolenými předdefinovanými hodnotami na definici atributu vlastního zabezpečení.

Další kroky