Partager via


Ajouter ou désactiver des définitions d'attributs de sécurité personnalisés dans Microsoft Entra ID

Les attributs de sécurité personnalisés dans Microsoft Entra ID sont des attributs spécifiques à l'entreprise (paires clé-valeur) que vous pouvez définir et attribuer aux objets Microsoft Entra. Cet article explique comment ajouter, modifier ou désactiver des définitions d’attribut de sécurité personnalisé.

Prérequis

Pour ajouter ou désactiver des définitions d’attribut de sécurité personnalisé, vous devez disposer des ressources suivantes :

Important

Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à assigner des attributs de sécurité personnalisés.

Ajouter un ensemble d’attributs

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Un ensemble d’attributs est une collection d’attributs connexes. Tous les attributs de sécurité personnalisés doivent faire partie d’un ensemble d’attributs. Il n’est pas possible de renommer ou de supprimer des ensembles d’attributs.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.

  2. Accédez à Protection>Attributs de sécurité personnalisés.

  3. Cliquez sur Ajouter un ensemble d’attributs pour ajouter un nouvel ensemble d’attributs.

    Si l’option Ajouter un ensemble d’attributs est désactivée, assurez-vous que le rôle Administrateur de définition d’attribut vous est attribué. Pour plus d’informations, consultez Résoudre des problèmes liés aux attributs de sécurité personnalisés.

  4. Entrez un nom, une description et un nombre maximal d’attributs.

    Un nom d’ensemble d’attributs peut compter 32 caractères sans espaces ou caractères spéciaux. Une fois que vous avez spécifié un nom, vous ne pouvez pas le modifier. Pour plus d’informations, consultez Limites et contraintes.

    Screenshot of New attribute set pane in Microsoft Entra admin center.

  5. Lorsque vous avez terminé, cliquez sur Ajouter.

    Le nouvel ensemble d’attributs apparaît dans la liste des ensembles d’attributs.

Ajouter une définition d’attribut de sécurité personnalisé

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.

  2. Accédez à Protection>Attributs de sécurité personnalisés.

  3. Dans la page Attributs de sécurité personnalisés, recherchez un ensemble d’attributs existant ou cliquez sur Ajouter un ensemble d’attributs pour ajouter un nouvel ensemble d’attributs.

    Toutes les définitions d’attribut de sécurité personnalisé doivent faire partie d’un jeu d’attributs.

  4. Cliquez pour ouvrir l’ensemble d’attributs sélectionné.

  5. Cliquez sur Ajouter un attribut pour ajouter un nouvel attribut de sécurité personnalisé à l’ensemble d’attributs.

    Screenshot of New attribute pane in Microsoft Entra admin center.

  6. Dans la zone Nom de l’attribut, entrez un nom d’attribut de sécurité personnalisé.

    Un nom d’attribut de sécurité personnalisé peut compter 32 caractères sans espaces ou caractères spéciaux. Une fois que vous avez spécifié un nom, vous ne pouvez pas le modifier. Pour plus d’informations, consultez Limites et contraintes.

  7. Dans la zone Description, entrez une description facultative.

    La description peut compter 128 caractères. Si nécessaire, vous pouvez modifier la description ultérieurement.

  8. Dans la liste Type de données, sélectionnez le type de données de l’attribut de sécurité personnalisé.

    Type de données Description
    Boolean Valeur booléenne qui peut être True (vraie) ou False (fausse).
    Integer Nombre entier 32 bits.
    String Chaîne pouvant compter X caractères.
  9. Pour Autoriser l’attribution de plusieurs valeurs, sélectionnez Oui ou Non.

    Sélectionnez Oui pour autoriser l’attribution de plusieurs valeurs à cet attribut de sécurité personnalisé. Sélectionnez Non pour n’autoriser l’attribution que d’une seule valeur à cet attribut de sécurité personnalisé.

  10. Pour Autoriser uniquement l’attribution de valeurs prédéfinies, sélectionnez Oui ou Non.

    Sélectionnez Oui pour exiger l’attribution à cet attribut de sécurité personnalisé de valeurs extraites d’une liste de valeurs prédéfinies. Sélectionnez Non pour n’autoriser l’attribution à cet attribut de sécurité personnalisé que de valeurs définies par l’utilisateur ou potentiellement prédéfinies.

  11. Si l’option Autoriser uniquement l’attribution de valeurs prédéfinies est définie sur Oui, cliquez sur Ajouter une valeur pour ajouter des valeurs prédéfinies.

    Une valeur active peut être attribuée à des objets. Une valeur non active est définie, mais elle n’est pas encore disponible pour attribution.

    Screenshot of New attribute pane with Add predefined value pane in Microsoft Entra admin center.

  12. Lorsque vous avez terminé, cliquez sur Enregistrer.

    Le nouvel attribut de sécurité personnalisé s’affiche dans la liste des attributs de sécurité personnalisés.

  13. Si vous souhaitez inclure des valeurs prédéfinies, suivez les étapes décrites dans la section suivante.

Modifier une définition d’attribut de sécurité personnalisé

Une fois que vous avez ajouté une nouvelle définition d’attribut de sécurité personnalisé, vous pouvez modifier certaines de ses propriétés. Certaines propriétés sont immuables et ne peuvent pas être modifiées.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.

  2. Accédez à Protection>Attributs de sécurité personnalisés.

  3. Cliquez sur l’ensemble d’attributs qui comprend l’attribut de sécurité personnalisé que vous souhaitez modifier.

  4. Dans la liste des attributs de sécurité personnalisés, cliquez sur l’ellipse de l’attribut de sécurité personnalisé que vous souhaitez modifier, puis sélectionnez Modifier l’attribut.

  5. Modifiez les propriétés activées.

  6. Si l’option Autoriser uniquement l’attribution de valeurs prédéfinies est définie sur Oui, cliquez sur Ajouter une valeur pour ajouter des valeurs prédéfinies. Cliquez sur une valeur prédéfinie pour modifier le paramètre Est active ?.

    Screenshot of Add predefined value pane in Microsoft Entra admin center.

Désactiver une définition d’attribut de sécurité personnalisé

Une fois que vous avez ajouté une définition d’attribut de sécurité personnalisé, vous ne pouvez plus le supprimer. En revanche, vous pouvez désactiver une définition d’attribut de sécurité personnalisé.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.

  2. Accédez à Protection>Attributs de sécurité personnalisés.

  3. Cliquez sur l’ensemble d’attributs incluant l’attribut de sécurité personnalisé que vous souhaitez désactiver.

  4. Dans la liste des attributs de sécurité personnalisés, ajoutez une coche en regard de l’attribut de sécurité personnalisé que vous souhaitez désactiver.

  5. Cliquez sur Désactiver l’attribut.

  6. Dans la boîte de dialogue Désactiver l’attribut qui s’affiche, cliquez sur Oui.

    L’attribut de sécurité personnalisé est désactivé et déplacé vers la liste des attributs désactivés.

PowerShell ou API Microsoft Graph

Pour gérer les définitions d’attribut de sécurité personnalisé de votre organisation Microsoft Entra, vous pouvez également utiliser PowerShell ou l’API Microsoft Graph. Les exemples suivants gèrent les jeux d’attributs et les définitions d’attribut de sécurité personnalisé.

Obtenir tous les ensembles d’attributs

L’exemple suivant obtient tous les jeux d’attributs.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet | Format-List
Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Description          : Attributes for marketing team
Id                   : Marketing
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Obtenir les principaux ensembles d’attributs

L’exemple suivant obtient les principaux jeux d’attributs.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Top 10

Obtenir les ensembles d’attributs dans l’ordre

L’exemple suivant obtient les jeux d’attributs dans l’ordre.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Sort "Id"

Obtenir un ensemble d’attributs

L’exemple suivant obtient un jeu d’attributs.

  • Ensemble d’attributs : Engineering

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}

Ajouter un ensemble d’attributs

L’exemple suivant ajoute un nouveau jeu d’attributs.

  • Ensemble d’attributs : Engineering

New-MgDirectoryAttributeSet

$params = @{
    Id = "Engineering"
    Description = "Attributes for engineering team"
    MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id          Description                     MaxAttributesPerSet
--          -----------                     -------------------
Engineering Attributes for engineering team 25

Mettre à jour un ensemble d’attributs

L’exemple suivant met à jour un jeu d’attributs.

  • Ensemble d’attributs : Engineering

Update-MgDirectoryAttributeSet

$params = @{
    description = "Attributes for engineering team"
    maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params

Obtenir toutes les définitions d’attribut de sécurité personnalisé

L’exemple suivant obtient toutes les définitions d’attribut de sécurité personnalisé.

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Marketing
Description             : Country where is application is used
Id                      : Marketing_AppCountry
IsCollection            : True
IsSearchable            : True
Name                    : AppCountry
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Filtrer les définitions d’attribut de sécurité personnalisé

Les exemples suivants filtrent les définitions d’attribut de sécurité personnalisé.

  • Filtre : nom d’attribut tel que « Projet », et état tel que « Disponible »

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}
  • Filtre : ensemble d’attributs tel que « Ingénierie », état tel que « Disponible », et type de données tel que « Chaîne »

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Obtenir une définition d’attribut de sécurité personnalisé

L’exemple suivant obtient une définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : ProjectDate

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Ajouter une définition d’attribut de sécurité personnalisé

L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : ProjectDate
  • Type de données d’attribut : Chaîne

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Target completion date"
    isCollection = $false
    isSearchable = $true
    name = "ProjectDate"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Ajouter une définition d’attribut de sécurité personnalisé prenant en charge plusieurs valeurs prédéfinies

L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisé qui prend en charge plusieurs valeurs prédéfinies.

  • Ensemble d’attributs : Engineering
  • Attribut : Project
  • Type de données d’attribut : Collection de chaînes

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Ajouter une définition d’attribut de sécurité personnalisé avec une liste de valeurs prédéfinies

L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisé avec une liste de valeurs prédéfinies.

  • Ensemble d’attributs : Engineering
  • Attribut : Project
  • Type de données d’attribut : Collection de chaînes
  • Valeurs prédéfinies : Alpine, Baker, Cascade

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
    allowedValues = @(
        @{
            id = "Alpine"
            isActive = $true
        }
        @{
            id = "Baker"
            isActive = $true
        }
        @{
            id = "Cascade"
            isActive = $true
        }
    )
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Mettre à jour une définition d’attribut de sécurité personnalisé

L’exemple suivant met à jour une définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : ProjectDate

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Mettre à jour les valeurs prédéfinies d’une définition d’attribut de sécurité personnalisé

L’exemple suivant met à jour les valeurs prédéfinies d’une définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : Project
  • Type de données d’attribut : Collection de chaînes
  • Mettre à jour une valeur prédéfinie : Baker
  • Nouvelle valeur prédéfinie : Skagit

Invoke-MgGraphRequest

Notes

Pour cette requête, vous devez ajouter l’en-tête OData-Version et lui assigner la valeur 4.01.

$params = @{
    "allowedValues@delta" = @(
        @{
            id = "Baker"
            isActive = $false
        }
        @{
            id = "Skagit"
            isActive = $true
        }
    )
}
$header = @{
    "OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params

Désactiver une définition d’attribut de sécurité personnalisé

L’exemple suivant désactive une définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : Project

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Obtenir toutes les valeurs prédéfinies

L’exemple suivant obtient toutes les valeurs prédéfinies d’une définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : Project

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id                   : Skagit
IsActive             : True
AdditionalProperties : {}

Id                   : Baker
IsActive             : False
AdditionalProperties : {}

Id                   : Cascade
IsActive             : True
AdditionalProperties : {}

Id                   : Alpine
IsActive             : True
AdditionalProperties : {}

Obtenir une valeur prédéfinie

L’exemple suivant obtient une valeur prédéfinie pour une définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : Project
  • Valeur prédéfinie : Alpine

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Ajouter une valeur prédéfinie

L’exemple suivant ajoute une valeur prédéfinie pour une définition d’attribut de sécurité personnalisé.

Vous pouvez ajouter des valeurs prédéfinies pour des attributs de sécurité personnalisés dont la valeur usePreDefinedValuesOnly est définie sur true.

  • Ensemble d’attributs : Engineering
  • Attribut : Project
  • Valeur prédéfinie : Alpine

New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    id = "Alpine"
    isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Désactiver une valeur prédéfinie

L’exemple suivant désactive une valeur prédéfinie pour une définition d’attribut de sécurité personnalisé.

  • Ensemble d’attributs : Engineering
  • Attribut : Project
  • Valeur prédéfinie : Alpine

Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params

Forum aux questions

Pouvez-vous supprimer des définitions d’attributs de sécurité personnalisés ?

Non, vous ne pouvez pas supprimer des définitions d’attributs de sécurité personnalisés. Vous pouvez uniquement désactiver des définitions d’attributs de sécurité personnalisés. Une fois que vous désactivez un attribut de sécurité personnalisé, il n’est plus possible de l’appliquer aux objets Microsoft Entra. Les affectations d’attributs de sécurité personnalisés pour la définition d’attribut de sécurité personnalisé désactivé ne sont pas supprimées automatiquement. Le nombre d’attributs de sécurité personnalisés désactivés n’est pas limité. Vous pouvez avoir 500 définitions d’attributs de sécurité personnalisés actives par locataire avec 100 valeurs prédéfinies autorisées par définition d’attribut de sécurité personnalisé.

Étapes suivantes