Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů zabezpečení pro uživatele
Vlastní atributy zabezpečení v Microsoft Entra ID, součást Microsoft Entra, jsou atributy specifické pro firmu (páry klíč-hodnota), které můžete definovat a přiřadit k objektům Microsoft Entra. Můžete například přiřadit vlastní atribut zabezpečení pro filtrování zaměstnanců nebo určit, kdo získá přístup k prostředkům. Tento článek popisuje, jak přiřadit, aktualizovat, vypsat nebo odebrat vlastní atributy zabezpečení pro Microsoft Entra ID.
Požadavky
Pokud chcete uživateli v tenantovi Microsoft Entra přiřadit nebo odebrat vlastní atributy zabezpečení, potřebujete:
- Správce přiřazení atributů
- Modul Microsoft.Graph při použití Prostředí Microsoft Graph PowerShell
- AzureADPreview verze 2.0.2.138 nebo novější při použití Azure AD PowerShellu
Důležité
Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.
Přiřazení vlastních atributů zabezpečení uživateli
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.
Ujistěte se, že jste definovali vlastní atributy zabezpečení. Další informace naleznete v tématu Přidání nebo deaktivace vlastních definic atributů zabezpečení v Microsoft Entra ID.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyhledejte a vyberte uživatele, kterému chcete přiřadit vlastní atributy zabezpečení.
V části Spravovat vyberte Vlastní atributy zabezpečení.
Vyberte Přidat přiřazení.
V sadě atributů vyberte ze seznamu sadu atributů.
V části Název atributu vyberte v seznamu vlastní atribut zabezpečení.
V závislosti na vlastnostech vybraného vlastního atributu zabezpečení můžete zadat jednu hodnotu, vybrat hodnotu z předdefinovaného seznamu nebo přidat více hodnot.
- Pro volný tvar vlastní atributy zabezpečení s jednou hodnotou zadejte hodnotu do pole Přiřazené hodnoty .
- Pro předdefinované vlastní hodnoty atributů zabezpečení vyberte hodnotu ze seznamu Přiřazené hodnoty .
- U vlastních atributů zabezpečení s více hodnotami vyberte Přidat hodnoty a otevřete podokno Hodnoty atributů a přidejte hodnoty. Po přidání hodnot vyberte Hotovo.
Po dokončení vyberte Uložit a přiřaďte uživateli vlastní atributy zabezpečení.
Aktualizace hodnot přiřazení vlastních atributů zabezpečení pro uživatele
Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyhledejte a vyberte uživatele, který má vlastní hodnotu přiřazení atributu zabezpečení, kterou chcete aktualizovat.
V části Spravovat vyberte Vlastní atributy zabezpečení.
Vyhledejte hodnotu přiřazení vlastního atributu zabezpečení, kterou chcete aktualizovat.
Jakmile uživateli přiřadíte vlastní atribut zabezpečení, můžete změnit pouze hodnotu vlastního atributu zabezpečení. Nemůžete změnit jiné vlastnosti vlastního atributu zabezpečení, jako je sada atributů nebo název atributu.
V závislosti na vlastnostech vybraného vlastního atributu zabezpečení můžete aktualizovat jednu hodnotu, vybrat hodnotu z předdefinovaného seznamu nebo aktualizovat více hodnot.
Jakmile budete hotovi, vyberte Uložit.
Filtrování uživatelů na základě přiřazení vlastních atributů zabezpečení
Seznam vlastních atributů zabezpečení přiřazených uživatelům můžete filtrovat na stránce Všichni uživatelé.
Přihlaste se do Centra pro správu Microsoft Entra jako čtenář přiřazení atributů.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Výběrem možnosti Přidat filtr otevřete podokno Přidat filtr.
Vyberte Vlastní atributy zabezpečení.
Vyberte sadu atributů a název atributu.
U operátoru můžete vybrat rovná se (==), nerovná se (!=) nebo začíná.
Do pole Hodnota zadejte nebo vyberte hodnotu.
Pokud chcete filtr použít, vyberte Použít.
Odebrání přiřazení vlastních atributů zabezpečení od uživatele
Přihlaste se do Centra pro správu Microsoft Entra jako správce přiřazení atributů.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyhledejte a vyberte uživatele, který má přiřazení vlastních atributů zabezpečení, které chcete odebrat.
V části Spravovat vyberte Vlastní atributy zabezpečení.
Vedle všech vlastních přiřazení atributů zabezpečení, které chcete odebrat, přidejte značky zaškrtnutí.
Vyberte Odebrat přiřazení.
PowerShell nebo rozhraní Microsoft Graph API
Pokud chcete spravovat přiřazení vlastních atributů zabezpečení pro uživatele ve vaší organizaci Microsoft Entra, můžete použít PowerShell nebo rozhraní Microsoft Graph API. Následující příklady se dají použít ke správě přiřazení.
Přiřazení vlastního atributu zabezpečení s řetězcovou hodnotou uživateli
Následující příklad přiřadí uživateli vlastní atribut zabezpečení s řetězcovou hodnotou.
- Sada atributů:
Engineering - Atribut:
ProjectDate - Datový typ atributu: String
- Hodnota atributu:
"2024-11-15"
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = "2024-11-15"
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Přiřazení vlastního atributu zabezpečení s více řetězcovou hodnotou uživateli
Následující příklad přiřadí uživateli vlastní atribut zabezpečení s více řetězcovou hodnotou.
- Sada atributů:
Engineering - Atribut:
Project - Datový typ atributu: Kolekce řetězců
- Hodnota atributu:
["Baker","Cascade"]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Baker","Cascade")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Přiřazení vlastního atributu zabezpečení s celočíselnou hodnotou uživateli
Následující příklad přiřadí vlastní atribut zabezpečení s celočíselnou hodnotou uživateli.
- Sada atributů:
Engineering - Atribut:
NumVendors - Datový typ atributu: Celé číslo
- Hodnota atributu:
4
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 4
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Přiřazení vlastního atributu zabezpečení s více celými čísly uživateli
Následující příklad přiřadí uživateli vlastní atribut zabezpečení s více celými čísly.
- Sada atributů:
Engineering - Atribut:
CostCenter - Datový typ atributu: Kolekce celých čísel
- Hodnota atributu:
[1001,1003]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"CostCenter@odata.type" = "#Collection(Int32)"
"CostCenter" = @(1001,1003)
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Přiřazení vlastního atributu zabezpečení s logickou hodnotou uživateli
Následující příklad přiřadí uživateli vlastní atribut zabezpečení s logickou hodnotou.
- Sada atributů:
Engineering - Atribut:
Certification - Datový typ atributu: Logická hodnota
- Hodnota atributu:
true
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $true
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Aktualizace přiřazení atributu vlastního zabezpečení s celočíselnou hodnotou pro uživatele
Následující příklad aktualizuje přiřazení atributu vlastního zabezpečení s celočíselnou hodnotou pro uživatele.
- Sada atributů:
Engineering - Atribut:
NumVendors - Datový typ atributu: Celé číslo
- Hodnota atributu:
8
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 8
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Aktualizace přiřazení atributu vlastního zabezpečení s logickou hodnotou pro uživatele
Následující příklad aktualizuje přiřazení atributu vlastního zabezpečení s logickou hodnotou pro uživatele.
- Sada atributů:
Engineering - Atribut:
Certification - Datový typ atributu: Logická hodnota
- Hodnota atributu:
false
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $false
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Aktualizace přiřazení vlastního atributu zabezpečení s hodnotou s více řetězci pro uživatele
Následující příklad aktualizuje přiřazení atributu vlastního zabezpečení s více řetězcovou hodnotou pro uživatele.
- Sada atributů:
Engineering - Atribut:
Project - Datový typ atributu: Kolekce řetězců
- Hodnota atributu:
("Alpine","Baker")
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Alpine","Baker")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Získání přiřazení vlastních atributů zabezpečení pro uživatele
Následující příklad získá přiřazení vlastních atributů zabezpečení pro uživatele.
$userAttributes = Get-MgUser -UserId $userId -Property "customSecurityAttributes"
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Engineering
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Marketing
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
Project@odata.type #Collection(String)
Project {Baker, Alpine}
ProjectDate 2024-11-15
NumVendors 8
CostCenter@odata.type #Collection(Int32)
CostCenter {1001, 1003}
Certification False
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId KX45897
Pokud nejsou uživateli přiřazené žádné vlastní atributy zabezpečení nebo pokud volající objekt zabezpečení nemá přístup, odpověď bude prázdná.
Zobrazení seznamu všech uživatelů s přiřazením vlastního atributu zabezpečení, které se rovná hodnotě
Následující příklad uvádí všechny uživatele s vlastním přiřazením atributu zabezpečení, které se rovná hodnotě. Načte uživatele s vlastním atributem zabezpečení pojmenovaným AppCountry s hodnotou, která se Canadarovná . V hodnotě filtru se rozlišují malá a velká písmena. Musíte přidat ConsistencyLevel=eventual požadavek nebo hlavičku. Musíte také zahrnout $count=true , abyste měli jistotu, že je požadavek správně směrován.
- Sada atributů:
Marketing - Atribut:
AppCountry - Filtr: AppCountry eq 'Canada'
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry eq 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Jiya Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Datacenter@odata.type, #Collection(String)], [Datacenter, System.Object[]]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, KX19476]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, GS46982]}
Zobrazení seznamu všech uživatelů s přiřazením vlastního atributu zabezpečení, které začíná hodnotou
Následující příklad uvádí všechny uživatele s vlastním přiřazením atributu zabezpečení, které začíná hodnotou. Načte uživatele s vlastním atributem zabezpečení s názvem EmployeeId hodnota, která začíná na GS. V hodnotě filtru se rozlišují malá a velká písmena. Musíte přidat ConsistencyLevel=eventual požadavek nebo hlavičku. Musíte také zahrnout $count=true , abyste měli jistotu, že je požadavek správně směrován.
- Sada atributů:
Marketing - Atribut:
EmployeeId - Filtr: EmployeeId startsWith 'GS'
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS36348]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, GS46982]}
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}
Zobrazení seznamu všech uživatelů s přiřazením vlastního atributu zabezpečení, které se nerovná hodnotě
Následující příklad uvádí všechny uživatele s vlastním přiřazením atributu zabezpečení, které se nerovná hodnotě. Načte uživatele s vlastním atributem zabezpečení pojmenovaným AppCountry s hodnotou, která se nerovná Canada. V hodnotě filtru se rozlišují malá a velká písmena. Musíte přidat ConsistencyLevel=eventual požadavek nebo hlavičku. Musíte také zahrnout $count=true , abyste měli jistotu, že je požadavek správně směrován.
- Sada atributů:
Marketing - Atribut:
AppCountry - Filtr: AppCountry ne 'Canada'
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry ne 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
44ee44ee-ff55-aa66-bb77-88cc88cc88cc Isabella Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Alain Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Dara Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Odebrání přiřazení vlastního atributu zabezpečení s jednou hodnotou od uživatele
Následující příklad odebere přiřazení atributu vlastního zabezpečení s jednou hodnotou od uživatele nastavením hodnoty null.
- Sada atributů:
Engineering - Atribut:
ProjectDate - Hodnota atributu:
null
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/users/$userId" -Body $params
Odebrání přiřazení vlastního atributu zabezpečení s více hodnotami od uživatele
Následující příklad odebere přiřazení atributu vlastního zabezpečení s více hodnotami od uživatele nastavením hodnoty na prázdnou kolekci.
- Sada atributů:
Engineering - Atribut:
Project - Hodnota atributu:
[]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Nejčastější dotazy
Kde jsou podporovaná vlastní přiřazení atributů zabezpečení pro uživatele?
Vlastní přiřazení atributů zabezpečení pro uživatele jsou podporována v Centru pro správu Microsoft Entra, PowerShellu a rozhraní Microsoft Graph API. Přiřazení vlastních atributů zabezpečení nejsou podporována v Moje aplikace ani Centrum pro správu Microsoftu 365.
Kdo může zobrazit vlastní atributy zabezpečení přiřazené uživateli?
Vlastní atributy zabezpečení přiřazené všem uživatelům v tenantovi můžou zobrazit jenom uživatelé, kteří mají přiřazené role Správce přiřazení atributů nebo Čtenář přiřazení atributů v oboru tenanta. Uživatelé nemůžou zobrazit vlastní atributy zabezpečení přiřazené vlastnímu profilu nebo jiným uživatelům. Hosté nemohou zobrazit vlastní atributy zabezpečení bez ohledu na oprávnění hosta nastavená v tenantovi.
Musím vytvořit aplikaci pro přidání vlastních přiřazení atributů zabezpečení?
Ne, vlastní atributy zabezpečení lze přiřadit k uživatelským objektům bez nutnosti aplikace.
Proč se při pokusu o uložení vlastních přiřazení atributů zabezpečení zobrazuje chyba?
Nemáte oprávnění k přiřazování vlastních atributů zabezpečení uživatelům. Ujistěte se, že máte přiřazenou roli Správce přiřazení atributů.
Můžu hostům přiřadit vlastní atributy zabezpečení?
Ano, vlastní atributy zabezpečení se dají přiřadit členům nebo hostům ve vašem tenantovi.
Můžu uživatelům synchronizovaným adresářům přiřadit vlastní atributy zabezpečení?
Ano, uživatelům synchronizovaným adresářům z místní Active Directory je možné přiřadit vlastní atributy zabezpečení.
Jsou vlastní přiřazení atributů zabezpečení k dispozici pro pravidla pro dynamické skupiny členství?
Ne, vlastní atributy zabezpečení přiřazené uživatelům nejsou podporovány pro konfiguraci pravidel pro dynamické skupiny členství.
Jsou vlastní atributy zabezpečení stejné jako vlastní atributy v tenantech B2C?
Ne, vlastní atributy zabezpečení nejsou podporovány v tenantech B2C a nesouvisí s funkcemi B2C.
Další kroky
- Přidání nebo deaktivace vlastních definic atributů zabezpečení v MICROSOFT Entra ID
- Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů zabezpečení pro aplikaci
- Příklady: Přiřazení, aktualizace, výpisu nebo odebrání vlastních přiřazení atributů zabezpečení pomocí rozhraní Microsoft Graph API
- Řešení potíží s vlastními atributy zabezpečení v Microsoft Entra ID