Condividi tramite


Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un utente

Gli attributi di sicurezza personalizzati in Microsoft Entra ID (una parte di Microsof Entra) sono attributi specifici dell'azienda (coppie chiave-valore) che è possibile definire e assegnare agli oggetti Microsoft Entra. Ad esempio, è possibile assegnare un attributo di sicurezza personalizzato per filtrare i dipendenti o per determinare chi ottiene l'accesso alle risorse. Questo articolo descrive come assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per Microsoft Entra ID.

Prerequisiti

Per assegnare o rimuovere attributi di sicurezza personalizzati per un utente nel tenant di Microsoft Entra, è necessario:

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Assegnare attributi di sicurezza personalizzati a un utente

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.

  2. Assicurarsi di avere definito gli attributi di sicurezza personalizzati. Per altre informazioni, vedere Aggiungere o disattivare le definizioni di attributi di sicurezza personalizzati in Microsoft Entra ID.

  3. Passare a Identità>Utenti>Tutti gli utenti.

  4. Trovare e selezionare l'utente a cui assegnare attributi di sicurezza personalizzati.

  5. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati.

  6. Selezionare Aggiungi assegnazione.

  7. Nel set Attributi, selezionare un set di attributi dall'elenco.

  8. In Nome attributo selezionare un attributo di sicurezza personalizzato dall'elenco.

  9. A seconda delle proprietà dell'attributo di sicurezza personalizzato selezionato, è possibile immettere un singolo valore, selezionare un valore da un elenco predefinito o aggiungere più valori.

    • Per gli attributi di sicurezza personalizzati a valore singolo in formato libero, immettere un valore nella casella Valori assegnati.
    • Per i valori predefiniti degli attributi di sicurezza personalizzati, selezionare un valore dall'elenco Valori assegnati.
    • Per gli attributi di sicurezza personalizzati multivalore, selezionare Aggiungi valori per aprire il riquadro Valori attributo e aggiungere i valori. Al termine dell'aggiunta di valori, selezionare Fatto.

    Screenshot che mostra l'assegnazione di un attributo di sicurezza personalizzato a un utente.

  10. Al termine, selezionare Salva per assegnare gli attributi di sicurezza personalizzati all'utente.

Aggiornamento dei valori di assegnazione degli attributi di sicurezza personalizzati per un utente

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Trovare e selezionare l'utente con un valore di assegnazione dell'attributo di sicurezza personalizzato che si vuole aggiornare.

  4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati.

  5. Trovare il valore di assegnazione dell'attributo di sicurezza personalizzato che si vuole aggiornare.

    Dopo aver assegnato un attributo di sicurezza personalizzato a un utente, è possibile modificare solo il valore dell'attributo di sicurezza personalizzato. Non è possibile modificare altre proprietà dell'attributo di sicurezza personalizzato, ad esempio il set di attributi o il nome dell'attributo.

  6. A seconda delle proprietà dell'attributo di sicurezza personalizzato selezionato, è possibile aggiornare un singolo valore, selezionare un valore da un elenco predefinito o aggiornare più valori.

  7. Al termine, seleziona Salva.

Filtrare gli utenti in base alle assegnazioni di attributi di sicurezza personalizzati

È possibile filtrare l'elenco degli attributi di sicurezza personalizzati assegnati agli utenti nella pagina Tutti gli utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Lettore assegnazione di attributi.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare Aggiungi filtro per aprire il riquadro Aggiungi filtro.

  4. Selezionare Attributi di sicurezza personalizzati.

  5. Selezionare il set di attributi e il nome dell'attributo desiderati.

  6. Per Operatore è possibile selezionare uguale a (==), non uguale a (!=) o inizia con.

  7. In Valore immettere o selezionare un valore.

    Screenshot che mostra un filtro dell'attributo di sicurezza personalizzato per gli utenti.

  8. Selezionare Applica per applicare il filtro.

Rimuovere assegnazioni di attributi di sicurezza personalizzati da un utente

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Trovare e selezionare l'utente con le assegnazioni di attributi di sicurezza personalizzati da rimuovere.

  4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati.

  5. Aggiungere segni di spunta accanto a tutte le assegnazioni di attributi di sicurezza personalizzati da rimuovere.

  6. Selezionare Elimina assegnazione.

API PowerShell o Microsoft Graph

Per gestire assegnazioni di attributi di sicurezza personalizzati per gli utenti dell'organizzazione Microsoft Entra, è possibile usare PowerShell o l'API Microsoft Graph. Gli esempi seguenti possono essere usati per gestire le assegnazioni.

Assegnare un attributo di sicurezza personalizzato con un valore stringa a un utente

Nell'esempio seguente viene assegnato un attributo di sicurezza personalizzato con un valore stringa a un utente.

  • Set di attributi: Engineering
  • Attributo: ProjectDate
  • Tipo di dati attributo: stringa
  • Valore dell'attributo: "2024-11-15"

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" = "2024-11-15"
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Assegnare un attributo di sicurezza personalizzato con un valore multistringa a un utente

Nell'esempio seguente viene assegnato un attributo di sicurezza personalizzato con un valore multistringa a un utente.

  • Set di attributi: Engineering
  • Attributo: Project
  • Tipo di dati attributo: raccolta di stringhe
  • Valore dell'attributo: ["Baker","Cascade"]

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @("Baker","Cascade")
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Assegnare un attributo di sicurezza personalizzato con un valore intero a un utente

Nell'esempio seguente viene assegnato un attributo di sicurezza personalizzato con un valore intero a un utente.

  • Set di attributi: Engineering
  • Attributo: NumVendors
  • Tipo di dati attributo: valore intero
  • Valore dell'attributo: 4

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "NumVendors@odata.type" = "#Int32"
        "NumVendors" = 4
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Assegnare un attributo di sicurezza personalizzato con un valore intero multiplo a un utente

Nell'esempio seguente viene assegnato un attributo di sicurezza personalizzato con un valore intero multiplo a un utente.

  • Set di attributi: Engineering
  • Attributo: CostCenter
  • Tipo di dati attributo: raccolta di valori interi
  • Valore dell'attributo: [1001,1003]

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "CostCenter@odata.type" = "#Collection(Int32)"
        "CostCenter" = @(1001,1003)
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Assegnare un attributo di sicurezza personalizzato con un valore booleano a un utente

Nell'esempio seguente viene assegnato un attributo di sicurezza personalizzato con un valore booleano a un utente.

  • Set di attributi: Engineering
  • Attributo: Certification
  • Tipo di dati attributo: booleano
  • Valore dell'attributo: true

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Certification" = $true
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Aggiornare un'assegnazione di attributo di sicurezza personalizzato con un valore intero per un utente

Nell'esempio seguente viene aggiornata un'assegnazione di attributo di sicurezza personalizzato con un valore intero per un utente.

  • Set di attributi: Engineering
  • Attributo: NumVendors
  • Tipo di dati attributo: valore intero
  • Valore dell'attributo: 8

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "NumVendors@odata.type" = "#Int32"
        "NumVendors" = 8
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Aggiornare un'assegnazione di attributo di sicurezza personalizzato con un valore booleano per un utente

Nell'esempio seguente viene aggiornata un'assegnazione di attributo di sicurezza personalizzato con un valore booleano per un utente.

  • Set di attributi: Engineering
  • Attributo: Certification
  • Tipo di dati attributo: booleano
  • Valore dell'attributo: false

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Certification" = $false
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Aggiornare un'assegnazione di attributo di sicurezza personalizzato con un valore multistringa per un utente

Nell'esempio seguente viene aggiornata un'assegnazione di attributo di sicurezza personalizzato con un valore multistringa per un utente.

  • Set di attributi: Engineering
  • Attributo: Project
  • Tipo di dati attributo: raccolta di stringhe
  • Valore dell'attributo: ("Alpine","Baker")

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @("Alpine","Baker")
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Recuperare le assegnazioni di attributi di sicurezza personalizzati per un utente

Nell'esempio seguente vengono recuperate le assegnazioni di attributi di sicurezza personalizzati per un utente.

Get-MgUser

$userAttributes = Get-MgUser -UserId $userId -Property "customSecurityAttributes"
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Engineering
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Marketing
Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
        [ProjectDate, 2024-11-15]…}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}


Key                   Value
---                   -----
@odata.type           #microsoft.graph.customSecurityAttributeValue
Project@odata.type    #Collection(String)
Project               {Baker, Alpine}
ProjectDate           2024-11-15
NumVendors            8
CostCenter@odata.type #Collection(Int32)
CostCenter            {1001, 1003}
Certification         False


Key         Value
---         -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId  KX45897

Se all'utente non sono assegnati attributi di sicurezza personalizzati o se l'entità di sicurezza chiamante non ha accesso, la risposta sarà vuota.

Elencare tutti gli utenti con un'assegnazione di attributo di sicurezza personalizzato che è uguale a un valore

Nell'esempio seguente vengono elencati tutti gli utenti con un'assegnazione di attributo di sicurezza personalizzato uguale a un valore. Recupera gli utenti con un attributo di sicurezza personalizzato denominato AppCountry con un valore uguale a Canada. Il valore del filtro distingue tra maiuscole e minuscole. È necessario aggiungere ConsistencyLevel=eventual nella richiesta o nell'intestazione . Potrebbe anche essere necessario includere $count=true per assicurarsi che la richiesta venga indirizzata correttamente.

  • Set di attributi: Marketing
  • Attributo: AppCountry
  • Filtro: AppCountry eq 'Canada'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry eq 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id                                   DisplayName CustomSecurityAttributes
--                                   ----------- ------------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Jiya        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Datacenter@odata.type, #Collection(String)], [Datacenter, System.Object[]]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, KX19476]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, GS46982]}

Elencare tutti gli utenti con un'assegnazione di attributo di sicurezza personalizzato che inizia con un valore

Nell'esempio seguente vengono elencati tutti gli utenti con un'assegnazione di attributo di sicurezza personalizzato che inizia con un valore . Recupera gli utenti con un attributo di sicurezza personalizzato denominato EmployeeId con un valore che inizia con GS. Il valore del filtro distingue tra maiuscole e minuscole. È necessario aggiungere ConsistencyLevel=eventual nella richiesta o nell'intestazione . Potrebbe anche essere necessario includere $count=true per assicurarsi che la richiesta venga indirizzata correttamente.

  • Set di attributi: Marketing
  • Attributo: EmployeeId
  • Filtro: EmployeeId startsWith 'GS'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id                                   DisplayName CustomSecurityAttributes
--                                   ----------- ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra     Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe         Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS36348]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, GS46982]}

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
        [ProjectDate, 2024-11-15]…}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}

Elencare tutti gli utenti con un'assegnazione di attributo di sicurezza personalizzato che non è uguale a un valore

Nell'esempio seguente vengono elencati tutti gli utenti con un'assegnazione di attributo di sicurezza personalizzato che non è uguale a un valore. Recupera gli utenti con un attributo di sicurezza personalizzato denominato AppCountry con un valore diverso da Canada. Il valore del filtro distingue tra maiuscole e minuscole. È necessario aggiungere ConsistencyLevel=eventual nella richiesta o nell'intestazione . Potrebbe anche essere necessario includere $count=true per assicurarsi che la richiesta venga indirizzata correttamente.

  • Set di attributi: Marketing
  • Attributo: AppCountry
  • Filtro: AppCountry ne 'Canada'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry ne 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
Id                                   DisplayName              CustomSecurityAttributes
--                                   -----------              ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra                  Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
44ee44ee-ff55-aa66-bb77-88cc88cc88cc Isabella                 Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Alain                    Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe                      Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Dara                     Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Rimuovere un'assegnazione di attributo di sicurezza personalizzato a valore singolo da un utente

Nell'esempio seguente viene rimossa un'assegnazione di attributo di sicurezza personalizzato a valore singolo da un utente impostando il valore su null.

  • Set di attributi: Engineering
  • Attributo: ProjectDate
  • Valore dell'attributo: null

Invoke-MgGraphRequest

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/users/$userId" -Body $params

Rimuovere un'assegnazione di attributo di sicurezza personalizzato multivalore da un utente

Nell'esempio seguente viene rimossa un'assegnazione di attributo di sicurezza personalizzato multivalore da un utente impostando il valore su una raccolta vuota.

  • Set di attributi: Engineering
  • Attributo: Project
  • Valore dell'attributo: []

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Domande frequenti

Dove sono supportate le assegnazioni di attributi di sicurezza personalizzati per gli utenti?

Le assegnazioni di attributi di sicurezza personalizzate per gli utenti sono supportate nell'Interfaccia di amministrazione di Microsoft Entra, in PowerShell e nelle API Microsoft Graph. Le assegnazioni di attributi di sicurezza personalizzati non sono supportate in App personali o nell'Interfaccia di amministrazione di Microsoft 365.

Chi può visualizzare gli attributi di sicurezza personalizzati assegnati a un utente?

Solo gli utenti a cui sono stati assegnati i ruoli Amministratore assegnazione attributi o Lettore assegnazione attributi nell'ambito del tenant possono visualizzare gli attributi di sicurezza personalizzati assegnati a qualsiasi utente nel tenant. Gli utenti non possono visualizzare gli attributi di sicurezza personalizzati assegnati al proprio profilo o ad altri utenti. Gli utenti guest non possono visualizzare gli attributi di sicurezza personalizzati indipendentemente dalle autorizzazioni guest impostate nel tenant.

È necessario creare un'app per aggiungere assegnazioni di attributi di sicurezza personalizzati?

No, gli attributi di sicurezza personalizzati possono essere assegnati agli oggetti utente senza richiedere un'applicazione.

Perché si continua a ricevere un errore durante il tentativo di salvare assegnazioni di attributi di sicurezza personalizzati?

Non si dispone delle autorizzazioni per assegnare attributi di sicurezza personalizzati. Assicurarsi di avere assegnato il ruolo di Amministratore assegnazione attributi.

È possibile assegnare attributi di sicurezza personalizzati agli utenti guest?

Sì, gli attributi di sicurezza personalizzati possono essere assegnati a membri o guest nel tenant.

È possibile assegnare attributi di sicurezza personalizzati agli utenti sincronizzati in una directory?

Sì, è possibile assegnare attributi di sicurezza personalizzati agli utenti sincronizzati in una directory da un servizio Active Directory locale.

Le assegnazioni degli attributi di sicurezza personalizzate sono disponibili per le regole per i gruppi di appartenenza dinamica?

No, gli attributi di sicurezza personalizzati assegnati agli utenti non sono supportati per la configurazione delle regole per i gruppi di appartenenza dinamici.

Gli attributi di sicurezza personalizzati sono gli stessi degli attributi personalizzati nei tenant B2C?

No, gli attributi di sicurezza personalizzati non sono supportati nei tenant B2C e non sono correlati alle funzionalità B2C.

Passaggi successivi