Adición o desactivación de definiciones de atributos de seguridad personalizados en microsoft Entra ID
Atributos de seguridad personalizados en Microsoft Entra ID son atributos específicos de la empresa (pares clave-valor) que puede definir y asignar a los objetos de Microsoft Entra. En este artículo se describe cómo agregar, editar o desactivar definiciones de atributos de seguridad personalizados.
Prerrequisitos
Para agregar o desactivar definiciones de atributos de seguridad personalizados, debe tener:
- administrador de definición de atributos
- Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
- AzureADPreview versión 2.0.2.138 o posterior al usar PowerShell de Azure AD
Importante
De forma predeterminada, administrador global y otros roles de administrador no tienen permisos para leer, definir ni asignar atributos de seguridad personalizados.
Adición de un conjunto de atributos
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde el que empiece.
Un conjunto de atributos es una colección de atributos relacionados. Todos los atributos de seguridad personalizados deben formar parte de un conjunto de atributos. Los conjuntos de atributos no se pueden cambiar ni eliminar.
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
Seleccione Agregar conjunto de atributos para agregar un nuevo conjunto de atributos.
Si add attribute set está deshabilitado, asegúrese de que tiene asignado el rol Administrador de definición de atributos. Para más información, consulte Troubleshoot custom security attributes (Solución de problemas de atributos de seguridad personalizados).
Escriba un nombre, una descripción y un número máximo de atributos.
Un nombre de conjunto de atributos puede tener 32 caracteres sin espacios ni caracteres especiales. Una vez que haya especificado un nombre, no podrá cambiarle el nombre. Para obtener más información, consulte límites y restricciones de .
Cuando termine, seleccione Agregar.
El nuevo conjunto de atributos aparece en la lista de conjuntos de atributos.
Adición de una definición de atributo de seguridad personalizada
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
En la página Atributos de seguridad personalizados, busque un conjunto de atributos existente o seleccione Agregar conjunto de atributos para agregar un nuevo conjunto de atributos.
Todas las definiciones de atributos de seguridad personalizados deben formar parte de un conjunto de atributos.
Seleccione esta opción para abrir el conjunto de atributos seleccionado.
Seleccione Agregar atributo para agregar un nuevo atributo de seguridad personalizado al conjunto de atributos.
En el cuadro Nombre de atributo, escriba un nombre de atributo de seguridad personalizado.
Un nombre de atributo de seguridad personalizado puede tener 32 caracteres sin espacios ni caracteres especiales. Una vez que haya especificado un nombre, no podrá cambiarle el nombre. Para obtener más información, consulte límites y restricciones de .
En el cuadro Descripción, escriba una descripción opcional.
Una descripción puede tener 128 caracteres. Si es necesario, puede cambiar la descripción más adelante.
En la lista Tipo de datos, seleccione el tipo de datos para el atributo de seguridad personalizado.
Tipo de dato Descripción Boolean Valor booleano que puede ser true, True, false o False. Integer Entero de 32 bits. Cuerda Una cadena que puede tener hasta X caracteres de largo. Para Permitir que se asignen varios valores, seleccione Sí o No.
Seleccione Sí para permitir que se asignen varios valores a este atributo de seguridad personalizado. Seleccione No para permitir que solo se asigne un valor único a este atributo de seguridad personalizado.
Para Permitir que solo se asignen valores predefinidos, seleccione Sí o No.
Seleccione Sí para requerir que se asignen valores a este atributo de seguridad personalizado de una lista de valores predefinidos. Seleccione No para permitir que este atributo de seguridad personalizado se asigne a valores definidos por el usuario o valores potencialmente predefinidos.
Si Permitir que solo se asignen valores predefinidos está en Sí, seleccione en Agregar valor para agregar valores predefinidos.
Hay un valor activo disponible para la asignación a objetos. Se define un valor que no está activo, pero aún no está disponible para la asignación.
Cuando termine, seleccione Guardar.
El nuevo atributo de seguridad personalizado aparece en la lista de atributos de seguridad personalizados.
Si desea incluir valores predefinidos, siga los pasos descritos en la sección siguiente.
Edición de una definición de atributo de seguridad personalizada
Una vez que agregue una nueva definición de atributo de seguridad personalizada, puede editar más adelante algunas de las propiedades. Algunas propiedades son inmutables y no se pueden cambiar.
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
Seleccione el conjunto de atributos que incluye el atributo de seguridad personalizado que desea editar.
En la lista de atributos de seguridad personalizados, seleccione los puntos suspensivos del atributo de seguridad personalizado que desea editar y, a continuación, seleccione Editar atributo.
Edite las propiedades que están habilitadas.
Si Permitir que solo se asignen valores predefinidos está en Sí, seleccione en Agregar valor para agregar valores predefinidos. Seleccione un valor predefinido existente para cambiar la configuración ¿Está activo?.
Desactivación de una definición de atributo de seguridad personalizada
Una vez que agregue una definición de atributo de seguridad personalizada, no se puede eliminar. Sin embargo, puede desactivar una definición de atributo de seguridad personalizada.
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
Seleccione el conjunto de atributos que incluye el atributo de seguridad personalizado que desea desactivar.
En la lista de atributos de seguridad personalizados, agregue una marca de verificación junto al atributo de seguridad personalizado que desea desactivar.
Seleccione Desactivar atributo.
En el cuadro de diálogo Desactivar atributo que aparece, seleccione Sí.
El atributo de seguridad personalizado se desactiva y se mueve a la lista Atributos desactivados.
PowerShell o Microsoft Graph API
Para administrar definiciones de atributos de seguridad personalizados en su organización de Microsoft Entra, también puede usar PowerShell o Microsoft Graph API. En los ejemplos siguientes se administran conjuntos de atributos y definiciones de atributos de seguridad personalizados.
Obtener todos los conjuntos de atributos
En el ejemplo siguiente se obtienen todos los conjuntos de atributos.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Obtener conjuntos de atributos principales
En el ejemplo siguiente se obtienen los conjuntos de atributos principales.
Get-MgDirectoryAttributeSet -Top 10
Obtener conjuntos de atributos en orden
En el ejemplo siguiente se obtienen los conjuntos de atributos en orden.
Get-MgDirectoryAttributeSet -Sort "Id"
Obtener un conjunto de atributos
En el ejemplo siguiente se obtiene un conjunto de atributos.
- Conjunto de atributos:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Adición de un conjunto de atributos
En el ejemplo siguiente se agrega un nuevo conjunto de atributos.
- Conjunto de atributos:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Actualización de un conjunto de atributos
En el ejemplo siguiente se actualiza un conjunto de atributos.
- Conjunto de atributos:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Obtención de todas las definiciones de atributos de seguridad personalizados
En el ejemplo siguiente se obtienen todas las definiciones de atributos de seguridad personalizadas.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtrar definiciones de atributos de seguridad personalizados
En los ejemplos siguientes se filtran las definiciones de atributos de seguridad personalizados.
- Filtro: nombre de atributo eq 'Project' y status eq 'Available'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtro: conjunto de atributos eq 'Engineering' y estado eq 'Available' y tipo de datos eq 'String'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Obtención de una definición de atributo de seguridad personalizada
En el ejemplo siguiente se obtiene una definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adición de una definición de atributo de seguridad personalizada
En el ejemplo siguiente se agrega una nueva definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate - Tipo de datos de atributo: String
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adición de una definición de atributo de seguridad personalizada que admita varios valores predefinidos
En el ejemplo siguiente se agrega una nueva definición de atributo de seguridad personalizada que admite varios valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de datos de atributo: colección de cadenas
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adición de una definición de atributo de seguridad personalizada con una lista de valores predefinidos
En el ejemplo siguiente se agrega una nueva definición de atributo de seguridad personalizada con una lista de valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de datos de atributo: colección de cadenas
- Valores predefinidos:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Actualización de una definición de atributo de seguridad personalizada
En el ejemplo siguiente se actualiza una definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Actualización de los valores predefinidos para una definición de atributo de seguridad personalizada
En el ejemplo siguiente se actualizan los valores predefinidos para una definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de datos de atributo: colección de cadenas
- Actualizar el valor predefinido:
Baker - Nuevo valor predefinido:
Skagit
Nota
Para esta solicitud, debe agregar el encabezado OData-Version y asignarle el valor 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Desactivación de una definición de atributo de seguridad personalizada
En el ejemplo siguiente se desactiva una definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Obtención de todos los valores predefinidos
En el ejemplo siguiente se obtienen todos los valores predefinidos para una definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Obtener un valor predefinido
En el ejemplo siguiente se obtiene un valor predefinido para una definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Agregar un valor predefinido
En el ejemplo siguiente se agrega un valor predefinido para una definición de atributo de seguridad personalizada.
Puede agregar valores predefinidos para los atributos de seguridad personalizados que tienen usePreDefinedValuesOnly establecido en true.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Desactivar un valor predefinido
En el ejemplo siguiente se desactiva un valor predefinido para una definición de atributo de seguridad personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Preguntas más frecuentes
¿Puede eliminar definiciones de atributos de seguridad personalizados?
No, no se pueden eliminar definiciones de atributos de seguridad personalizados. Solo puede desactivar definiciones de atributos de seguridad personalizados. Una vez desactivado un atributo de seguridad personalizado, ya no se puede aplicar a los objetos De Microsoft Entra. Las asignaciones de atributos de seguridad personalizados para la definición de atributo de seguridad personalizada desactivada no se quitan automáticamente. No hay ningún límite para el número de atributos de seguridad personalizados desactivados. Puede tener 500 definiciones de atributos de seguridad personalizados activos por inquilino con 100 valores predefinidos permitidos por definición de atributo de seguridad personalizado.