Sdílet prostřednictvím

Správa vlastních atributů zabezpečení pro aplikaci

  • Článek

Vlastní atributy zabezpečení v Microsoft Entra ID jsou atributy specifické pro firmu (páry klíč-hodnota), které můžete definovat a přiřadit k objektům Microsoft Entra. Můžete například přiřadit vlastní atribut zabezpečení pro filtrování aplikací nebo určit, kdo získá přístup. Tento článek popisuje, jak přiřadit, aktualizovat, vypsat nebo odebrat vlastní atributy zabezpečení pro podnikové aplikace Microsoft Entra.

Požadavky

Pokud chcete přiřadit nebo odebrat vlastní atributy zabezpečení pro aplikaci v tenantovi Microsoft Entra, potřebujete:

Důležité

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.

Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů pro aplikaci

Naučte se pracovat s vlastními atributy pro aplikace v Microsoft Entra ID.

Přiřazení vlastních atributů zabezpečení k aplikaci

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pomocí následujících kroků přiřaďte vlastní atributy zabezpečení prostřednictvím Centra pro správu Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.

  2. Přejděte k podnikovým aplikacím> identit.>

  3. Najděte a vyberte aplikaci, do které chcete přidat vlastní atribut zabezpečení.

  4. V části Spravovat vyberte Vlastní atributy zabezpečení.

  5. Vyberte Přidat přiřazení.

  6. V sadě atributů vyberte ze seznamu sadu atributů.

  7. V části Název atributu vyberte v seznamu vlastní atribut zabezpečení.

  8. V závislosti na vlastnostech vybraného vlastního atributu zabezpečení můžete zadat jednu hodnotu, vybrat hodnotu z předdefinovaného seznamu nebo přidat více hodnot.

    • Pro volný tvar vlastní atributy zabezpečení s jednou hodnotou zadejte hodnotu do pole Přiřazené hodnoty .
    • Pro předdefinované vlastní hodnoty atributů zabezpečení vyberte hodnotu ze seznamu Přiřazené hodnoty .
    • U vlastních atributů zabezpečení s více hodnotami vyberte Přidat hodnoty a otevřete podokno Hodnoty atributů a přidejte hodnoty. Po přidání hodnot vyberte Hotovo.

    Snímek obrazovky ukazuje, jak přiřadit vlastní atribut zabezpečení k aplikaci.

  9. Po dokončení vyberte Uložit a přiřaďte aplikaci vlastní atributy zabezpečení.

Aktualizace hodnot přiřazení vlastních atributů zabezpečení pro aplikaci

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.

  2. Přejděte k podnikovým aplikacím> identit.>

  3. Vyhledejte a vyberte aplikaci, která má vlastní hodnotu přiřazení atributu zabezpečení, kterou chcete aktualizovat.

  4. V části Spravovat vyberte Vlastní atributy zabezpečení.

  5. Vyhledejte hodnotu přiřazení vlastního atributu zabezpečení, kterou chcete aktualizovat.

    Jakmile přiřadíte vlastní atribut zabezpečení aplikaci, můžete změnit pouze hodnotu vlastního atributu zabezpečení. Nemůžete změnit jiné vlastnosti vlastního atributu zabezpečení, jako je sada atributů nebo název vlastního atributu zabezpečení.

  6. V závislosti na vlastnostech vybraného vlastního atributu zabezpečení můžete aktualizovat jednu hodnotu, vybrat hodnotu z předdefinovaného seznamu nebo aktualizovat více hodnot.

  7. Jakmile budete hotovi, vyberte Uložit.

Filtrování aplikací na základě vlastních atributů zabezpečení

Seznam vlastních atributů zabezpečení přiřazených aplikacím můžete filtrovat na stránce Všechny aplikace .

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář přiřazení atributů.

  2. Přejděte k podnikovým aplikacím> identit.>

  3. Výběrem možnosti Přidat filtry otevřete podokno Vybrat pole.

    Pokud možnost Přidat filtry nevidíte, výběrem banneru povolte náhled hledání podnikových aplikací.

  4. Pro filtry vyberte Vlastní atribut zabezpečení.

  5. Vyberte sadu atributů a název atributu.

  6. U operátoru můžete vybrat rovná se (==), nerovná se (!=) nebo začíná.

  7. Do pole Hodnota zadejte nebo vyberte hodnotu.

  8. Pokud chcete filtr použít, vyberte Použít.

Odebrání vlastních přiřazení atributů zabezpečení z aplikací

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.

  2. Přejděte k podnikovým aplikacím> identit.>

  3. Vyhledejte a vyberte aplikaci, která má přiřazení vlastních atributů zabezpečení, které chcete odebrat.

  4. V části Spravovat vyberte Vlastní atributy zabezpečení (Preview).

  5. Vedle všech vlastních přiřazení atributů zabezpečení, které chcete odebrat, přidejte značky zaškrtnutí.

  6. Vyberte Odebrat přiřazení.

Azure AD PowerShell

Ke správě vlastních přiřazení atributů zabezpečení pro aplikace ve vaší organizaci Microsoft Entra můžete použít PowerShell. Ke správě přiřazení je možné použít následující příkazy.

Přiřazení vlastního atributu zabezpečení s více řetězcovou hodnotou k aplikaci (instančnímu objektu) pomocí Azure AD PowerShellu

Pomocí příkazu Set-AzureADMSServicePrincipal přiřaďte vlastní atribut zabezpečení s více řetězcovou hodnotou k aplikaci (instančnímu objektu).

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců
  • Hodnota atributu: ("Baker","Cascade")
$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributes

Aktualizace vlastního atributu zabezpečení s více řetězcovou hodnotou pro aplikaci (instanční objekt) pomocí Azure AD PowerShellu

Zadejte novou sadu hodnot atributů, které chcete promítnout do aplikace. V tomto příkladu přidáváme jednu další hodnotu pro atribut projektu.

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců
  • Hodnota atributu: ("Alpine","Baker")
$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributesUpdate

Získání vlastních přiřazení atributů zabezpečení pro aplikaci (instanční objekt) pomocí Azure AD PowerShellu

Pomocí příkazu Get-AzureADMSServicePrincipal získejte přiřazení vlastních atributů zabezpečení pro aplikaci (instanční objekt).

Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222  -Select "CustomSecurityAttributes, Id"

Microsoft Graph PowerShell

Pokud chcete spravovat vlastní přiřazení atributů zabezpečení pro aplikace ve vaší organizaci Microsoft Entra, můžete použít Microsoft Graph PowerShell. Ke správě přiřazení je možné použít následující příkazy.

Přiřazení vlastního atributu zabezpečení s více řetězcovou hodnotou k aplikaci (instančnímu objektu) pomocí Microsoft Graph PowerShellu

Pomocí příkazu Update-MgServicePrincipal přiřaďte vlastní atribut zabezpečení s více řetězcovou hodnotou k aplikaci (instanční objekt).

Vzhledem k hodnotám

  • Sada atributů: Engineering
  • Atribut: ProjectDate
  • Datový typ atributu: String
  • Hodnota atributu: "2024-11-15"
#Retrieve the servicePrincipal

$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" ="2024-11-15"
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Aktualizace vlastního atributu zabezpečení s více řetězcovou hodnotou pro aplikaci (instanční objekt) pomocí Microsoft Graph PowerShellu

Zadejte novou sadu hodnot atributů, které chcete promítnout do aplikace. V tomto příkladu přidáváme jednu další hodnotu pro atribut projektu.

Vzhledem k hodnotám

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců
  • Hodnota atributu: ["Baker","Cascade"]
$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @(
            "Baker"
            "Cascade"
        )
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Filtrování aplikací na základě vlastních atributů zabezpečení pomocí Microsoft Graph PowerShellu

Tento příklad vyfiltruje seznam aplikací s vlastním přiřazením atributu zabezpečení, které se rovná zadané hodnotě.

$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes  | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                       : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName              : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}

Odebrání vlastních přiřazení atributů zabezpečení z aplikací pomocí Microsoft Graph PowerShellu

V tomto příkladu odebereme přiřazení vlastního atributu zabezpečení, které podporuje jednotlivé hodnoty.


$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params

V tomto příkladu odebereme přiřazení vlastního atributu zabezpečení, které podporuje více hodnot.

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Microsoft Graph API

Ke správě vlastních přiřazení atributů zabezpečení pro aplikace ve vaší organizaci Microsoft Entra můžete použít rozhraní Microsoft Graph API. Při správě přiřazení proveďte následující volání rozhraní API.

Další podobné příklady rozhraní Microsoft Graph API pro uživatele najdete v tématu Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů zabezpečení pro uživatele a příklady: Přiřazení, aktualizace, výpis nebo odebrání vlastních přiřazení atributů zabezpečení pomocí rozhraní Microsoft Graph API.

Přiřazení vlastního atributu zabezpečení s více řetězcovou hodnotou k aplikaci (instančnímu objektu) pomocí rozhraní Microsoft Graph API

Pomocí rozhraní UPDATE servicePrincipal API přiřaďte vlastní atribut zabezpečení s řetězcovou hodnotou k aplikaci.

Vzhledem k hodnotám

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: String
  • Hodnota atributu: "Baker"
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project": "Baker"
        }
    }
}

Aktualizace vlastního atributu zabezpečení s více řetězcovou hodnotou pro aplikaci (instanční objekt) pomocí rozhraní Microsoft Graph API

Zadejte novou sadu hodnot atributů, které chcete promítnout do aplikace. V tomto příkladu přidáváme jednu další hodnotu pro atribut projektu.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Filtrování aplikací na základě vlastních atributů zabezpečení pomocí rozhraní Microsoft Graph API

Tento příklad vyfiltruje seznam aplikací s vlastním přiřazením atributu zabezpečení, které se rovná zadané hodnotě. V hodnotě filtru se rozlišují malá a velká písmena. Musíte přidat ConsistencyLevel=eventual požadavek nebo hlavičku. Musíte také zahrnout $count=true , abyste měli jistotu, že je požadavek správně směrován.

GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual

Odebrání vlastních přiřazení atributů zabezpečení z aplikace pomocí rozhraní Microsoft Graph API

V tomto příkladu odebereme přiřazení vlastního atributu zabezpečení, které podporuje více hodnot.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Další kroky