Ajouter ou désactiver des définitions d’attributs de sécurité personnalisées dans l’ID Microsoft Entra
attributs de sécurité personnalisés dans l’ID Microsoft Entra sont des attributs spécifiques à l’entreprise (paires clé-valeur) que vous pouvez définir et affecter aux objets Microsoft Entra. Cet article explique comment ajouter, modifier ou désactiver des définitions d’attributs de sécurité personnalisées.
Conditions préalables
Pour ajouter ou désactiver des définitions d’attributs de sécurité personnalisés, vous devez disposer des éléments suivants :
- administrateur de définition d’attribut
- Module Microsoft.Graph en tirant parti de Microsoft Graph PowerShell
- AzureADPreview version 2.0.2.138 ou ultérieure lors de l’utilisation d’Azure AD PowerShell
Important
Par défaut, administrateur général et d’autres rôles d’administrateur n’ont pas les autorisations nécessaires pour lire, définir ou affecter des attributs de sécurité personnalisés.
Ajouter un jeu d’attributs
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail à partir duquel vous commencez.
Un jeu d’attributs est une collection d’attributs connexes. Tous les attributs de sécurité personnalisés doivent faire partie d’un jeu d’attributs. Les jeux d’attributs ne peuvent pas être renommés ou supprimés.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Naviguez jusqu'à Protection>Attributs de sécurité personnalisés.
Sélectionnez Ajouter un jeu d’attributs pour ajouter un nouveau jeu d’attributs.
Si l’option Ajouter un jeu d’attributs est désactivée, vérifiez que vous avez le rôle Administrateur de définition d’attribut. Pour plus d’informations, consultez Résoudre les problèmes d’attributs de sécurité personnalisés.
Entrez un nom, une description et un nombre maximal d’attributs.
Un nom d’ensemble d’attributs peut être de 32 caractères sans espaces ni caractères spéciaux. Une fois que vous avez spécifié un nom, vous ne pouvez pas le renommer. Pour plus d’informations, consultez Limites et contraintes.
Lorsque vous avez terminé, sélectionnez Ajouter.
Le nouveau jeu d’attributs apparaît dans la liste des jeux d’attributs.
Ajouter une définition d’attribut de sécurité personnalisée
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Naviguez jusqu'à Protection>Attributs de sécurité personnalisés.
Dans la page Attributs de sécurité personnalisés, recherchez un jeu d’attributs existant ou sélectionnez Ajouter un jeu d’attributs pour ajouter un nouveau jeu d’attributs.
Toutes les définitions d’attributs de sécurité personnalisées doivent faire partie d’un jeu d’attributs.
Sélectionnez cette option pour ouvrir le jeu d’attributs sélectionné.
Sélectionnez Ajouter un attribut pour ajouter un nouvel attribut de sécurité personnalisé au jeu d’attributs.
Dans la zone Nom de l’attribut, entrez un nom d’attribut de sécurité personnalisé.
Un nom d’attribut de sécurité personnalisé peut être de 32 caractères sans espaces ni caractères spéciaux. Une fois que vous avez spécifié un nom, vous ne pouvez pas le renommer. Pour plus d’informations, consultez Limites et contraintes.
Dans la zone Description, entrez une description facultative.
Une description peut comporter 128 caractères. Si nécessaire, vous pouvez modifier ultérieurement la description.
Dans la liste type de données, sélectionnez le type de données de l’attribut de sécurité personnalisé.
Type de données Description Booléen Valeur booléenne qui peut être true, True, false ou False. Integer Nombre entier 32 bits. Chaîne Une chaîne qui peut être longue de X caractères. Pour Autoriser l’attribution de plusieurs valeurs, sélectionnez Oui ou Non.
Sélectionnez Oui pour autoriser l’affectation de plusieurs valeurs à cet attribut de sécurité personnalisé. Sélectionnez Aucune pour autoriser l’affectation d’une seule valeur à cet attribut de sécurité personnalisé.
Pour Autoriser uniquement l’attribution de valeurs prédéfinies, sélectionnez Oui ou Non.
Sélectionnez Oui pour exiger que cet attribut de sécurité personnalisé soit affecté à des valeurs à partir d’une liste de valeurs prédéfinie. Sélectionnez Aucune pour autoriser cet attribut de sécurité personnalisé à attribuer des valeurs définies par l’utilisateur ou des valeurs potentiellement prédéfinies.
Si permettre uniquement l'attribution de valeurs prédéfinies est Oui, sélectionnez Ajouter valeur pour ajouter des valeurs prédéfinies.
Une valeur active est disponible pour l’affectation aux objets. Une valeur qui n’est pas active est définie, mais qui n’est pas encore disponible pour l’affectation.
Lorsque vous avez terminé, sélectionnez Enregistrer.
Le nouvel attribut de sécurité personnalisé apparaît dans la liste des attributs de sécurité personnalisés.
Si vous souhaitez inclure des valeurs prédéfinies, suivez les étapes de la section suivante.
Modifier une définition d’attribut de sécurité personnalisée
Une fois que vous avez ajouté une nouvelle définition d’attribut de sécurité personnalisée, vous pouvez modifier ultérieurement certaines des propriétés. Certaines propriétés sont immuables et ne peuvent pas être modifiées.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Naviguez jusqu'à Protection>Attributs de sécurité personnalisés.
Sélectionnez l’ensemble d’attributs qui inclut l’attribut de sécurité personnalisé que vous souhaitez modifier.
Dans la liste des attributs de sécurité personnalisés, sélectionnez l'icône à trois points de l’attribut de sécurité personnalisé que vous souhaitez modifier, puis choisissez Modifier l’attribut.
Modifiez les propriétés activées.
Si l’option Autoriser uniquement l'attribution de valeurs prédéfinies est définie sur Oui, sélectionnez Ajouter des valeurs pour ajouter des valeurs prédéfinies. Sélectionnez une valeur prédéfinie existante pour modifier le Est-il actif ? paramètre.
Désactiver une définition d’attribut de sécurité personnalisée
Une fois que vous avez ajouté une définition d’attribut de sécurité personnalisée, vous ne pouvez pas la supprimer. Toutefois, vous pouvez désactiver une définition d’attribut de sécurité personnalisée.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Naviguez jusqu'à Protection>Attributs de sécurité personnalisés.
Sélectionnez le jeu d’attributs qui inclut l’attribut de sécurité personnalisé que vous souhaitez désactiver.
Dans la liste des attributs de sécurité personnalisés, ajoutez une coche en regard de l’attribut de sécurité personnalisé que vous souhaitez désactiver.
Sélectionnez désactiver l’attribut.
Dans la boîte de dialogue Désactiver l’attribut qui s’affiche, sélectionnez Oui.
L’attribut de sécurité personnalisé est désactivé et déplacé vers la liste des attributs désactivés.
API PowerShell ou Microsoft Graph
Pour gérer les définitions d’attributs de sécurité personnalisées dans votre organisation Microsoft Entra, vous pouvez également utiliser PowerShell ou l’API Microsoft Graph. Les exemples suivants gèrent les jeux d’attributs et les définitions d’attributs de sécurité personnalisées.
Obtenir tous les ensembles d’attributs
L’exemple suivant permet d’obtenir tous les jeux d’attributs.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Obtenir les principaux ensembles d’attributs
L'exemple suivant permet d’obtenir les principaux jeux d'attributs.
Get-MgDirectoryAttributeSet -Top 10
Obtenir les ensembles d’attributs dans l’ordre
L'exemple suivant permet d’obtenir les jeux d'attributs dans l'ordre.
Get-MgDirectoryAttributeSet -Sort "Id"
Obtenir un ensemble d’attributs
L’exemple suivant récupère un ensemble d’attributs.
- Jeu d’attributs :
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Ajouter un jeu d’attributs
L’exemple suivant ajoute un nouveau jeu d’attributs.
- Jeu d’attributs :
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Mettre à jour un jeu d’attributs
L’exemple suivant met à jour un jeu d’attributs.
- Jeu d’attributs :
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Obtenir toutes les définitions d’attributs de sécurité personnalisées
L’exemple suivant obtient toutes les définitions d’attributs de sécurité personnalisées.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtrer les définitions d’attributs de sécurité personnalisées
Les exemples suivants filtrent les définitions d’attributs de sécurité personnalisées.
- Filtre : nom d’attribut eq 'Project' et état eq 'Disponible'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtre : ensemble d'attributs eq 'Ingénierie' et statut eq 'Disponible' et type de données eq 'Chaîne'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Obtenir une définition d’attribut de sécurité personnalisée
L’exemple suivant obtient une définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Ajouter une définition d’attribut de sécurité personnalisée
L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
ProjectDate - Type de données d’attribut : Chaîne
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Ajouter une définition d’attribut de sécurité personnalisée qui prend en charge plusieurs valeurs prédéfinies
L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisée qui prend en charge plusieurs valeurs prédéfinies.
- Jeu d’attributs :
Engineering - Attribut :
Project - Type de données d’attribut : collection de chaînes
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Ajouter une définition d’attribut de sécurité personnalisée avec une liste de valeurs prédéfinies
L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisée avec une liste de valeurs prédéfinies.
- Jeu d’attributs :
Engineering - Attribut :
Project - Type de données d’attribut : collection de chaînes
- Valeurs prédéfinies :
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Mettre à jour une définition d’attribut de sécurité personnalisée
L’exemple suivant met à jour une définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Mettre à jour les valeurs prédéfinies pour une définition d’attribut de sécurité personnalisée
L’exemple suivant met à jour les valeurs prédéfinies pour une définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
Project - Type de données d’attribut : collection de chaînes
- Mettre à jour la valeur prédéfinie :
Baker - Nouvelle valeur prédéfinie :
Skagit
Remarque
Pour cette demande, vous devez ajouter l’en-tête OData-Version et lui attribuer la valeur 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Désactiver une définition d’attribut de sécurité personnalisée
L’exemple suivant désactive une définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Obtenir toutes les valeurs prédéfinies
L’exemple suivant obtient toutes les valeurs prédéfinies pour une définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Obtenir une valeur prédéfinie
L’exemple suivant obtient une valeur prédéfinie pour une définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
Project - Valeur prédéfinie :
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Ajouter une valeur prédéfinie
L’exemple suivant ajoute une valeur prédéfinie pour une définition d’attribut de sécurité personnalisée.
Vous pouvez ajouter des valeurs prédéfinies pour les attributs de sécurité personnalisés qui ont usePreDefinedValuesOnly défini sur true.
- Jeu d’attributs :
Engineering - Attribut :
Project - Valeur prédéfinie :
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Désactiver une valeur prédéfinie
L’exemple suivant désactive une valeur prédéfinie pour une définition d’attribut de sécurité personnalisée.
- Jeu d’attributs :
Engineering - Attribut :
Project - Valeur prédéfinie :
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Foire aux questions
Pouvez-vous supprimer des définitions d’attributs de sécurité personnalisées ?
Non, vous ne pouvez pas supprimer les définitions d’attributs de sécurité personnalisées. Vous pouvez uniquement désactiver des définitions d’attributs de sécurité personnalisés. Une fois que vous avez désactivé un attribut de sécurité personnalisé, il ne peut plus être appliqué aux objets Microsoft Entra. Les attributions d’attributs de sécurité personnalisées pour la définition d’attribut de sécurité personnalisée désactivée ne sont pas automatiquement supprimées. Il n’existe aucune limite au nombre d’attributs de sécurité personnalisés désactivés. Vous pouvez avoir 500 définitions d’attributs de sécurité personnalisée actives par locataire avec 100 valeurs prédéfinies autorisées par définition d’attribut de sécurité personnalisée.