Aangepaste beveiligingskenmerken voor een gebruiker toewijzen, bijwerken, weergeven of verwijderen
Aangepaste beveiligingskenmerken in Microsoft Entra-id, onderdeel van Microsoft Entra, zijn bedrijfsspecifieke kenmerken (sleutel-waardeparen) die u kunt definiëren en toewijzen aan Microsoft Entra-objecten. U kunt bijvoorbeeld een aangepast beveiligingskenmerk toewijzen om uw werknemers te filteren of om te bepalen wie toegang krijgt tot resources. In dit artikel wordt beschreven hoe u aangepaste beveiligingskenmerken voor Microsoft Entra-id toewijst, bijwerkt, vermeldt of verwijdert.
Vereisten
Als u aangepaste beveiligingskenmerken voor een gebruiker in uw Microsoft Entra-tenant wilt toewijzen of verwijderen, hebt u het volgende nodig:
- Kenmerktoewijzingsbeheerder
- Microsoft.Graph-module bij gebruik van Microsoft Graph PowerShell
- AzureADPreview versie 2.0.2.138 of hoger bij gebruik van Azure AD PowerShell
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Aangepaste beveiligingskenmerken toewijzen aan een gebruiker
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als een kenmerktoewijzingsbeheerder.
Zorg ervoor dat u aangepaste beveiligingskenmerken hebt gedefinieerd. Zie Aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra-id voor meer informatie.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Zoek en selecteer de gebruiker waaraan u aangepaste beveiligingskenmerken wilt toewijzen.
Selecteer aangepaste beveiligingskenmerken in de sectie Beheren.
Selecteer Toewijzing toevoegen.
Selecteer in Kenmerkset een kenmerkset in de lijst.
Selecteer in Kenmerknaam een aangepast beveiligingskenmerk in de lijst.
Afhankelijk van de eigenschappen van het geselecteerde aangepaste beveiligingskenmerk kunt u één waarde invoeren, een waarde selecteren in een vooraf gedefinieerde lijst of meerdere waarden toevoegen.
- Voor aangepaste vrijevormbeveiligingskenmerken met één waarde voert u een waarde in het vak Toegewezen waarden in.
- Voor vooraf gedefinieerde waarden voor aangepaste beveiligingskenmerken selecteert u een waarde in de lijst Toegewezen waarden.
- Voor aangepaste beveiligingskenmerken met meerdere waarden selecteert u Waarden toevoegen om het deelvenster Kenmerkwaarden te openen en uw waarden toe te voegen. Wanneer u klaar bent met het toevoegen van waarden, selecteert u Gereed.
Wanneer u klaar bent, selecteert u Opslaan om de aangepaste beveiligingskenmerken toe te wijzen aan de gebruiker.
Toewijzingswaarden van aangepaste beveiligingskenmerken voor een gebruiker bijwerken
Meld u aan bij het Microsoft Entra-beheercentrum als een kenmerktoewijzingsbeheerder.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Zoek en selecteer de gebruiker die een aangepast beveiligingskenmerk bevat met de toewijzingswaarde die u wilt bijwerken.
Selecteer aangepaste beveiligingskenmerken in de sectie Beheren.
Zoek het aangepaste beveiligingskenmerk waarvan u de toewijzingswaarde wilt bijwerken.
Zodra u een aangepast beveiligingskenmerk aan een gebruiker hebt toegewezen, kunt u alleen de waarde van het aangepaste beveiligingskenmerk wijzigen. U kunt geen andere eigenschappen van het aangepaste beveiligingskenmerk wijzigen, zoals de kenmerkset of de kenmerknaam.
Afhankelijk van de eigenschappen van het geselecteerde aangepaste beveiligingskenmerk kunt u één waarde bijwerken, een waarde selecteren in een vooraf gedefinieerde lijst of meerdere waarden bijwerken.
Selecteer Opslaan wanneer u klaar bent.
Gebruikers filteren op basis van aangepaste toewijzingen van beveiligingskenmerken
U kunt de lijst met aangepaste beveiligingskenmerken die zijn toegewezen aan gebruikers filteren op de pagina Alle gebruikers.
Meld u als een kenmerktoewijzingslezer aan bij het Microsoft Entra-beheercentrum.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Selecteer Filter toevoegen om het deelvenster Filter toevoegen te openen.
Selecteer Aangepaste beveiligingskenmerken.
Selecteer uw kenmerkset en kenmerknaam.
Voor Operator kunt u gelijk aan (==), niet gelijk aan (!=) of beginnen met selecteren.
Voor Waarde voert u een waarde in of selecteert u deze.
Als u het filter wilt toepassen, selecteert u Toepassen.
Toewijzingen van aangepaste beveiligingskenmerken verwijderen van een gebruiker
Meld u aan bij het Microsoft Entra-beheercentrum als een kenmerktoewijzingsbeheerder.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Zoek en selecteer de gebruiker die de toewijzingen van aangepaste beveiligingskenmerken bevat die u wilt verwijderen.
Selecteer aangepaste beveiligingskenmerken in de sectie Beheren.
Voeg vinkjes toe naast alle toewijzingen van aangepaste beveiligingskenmerken die u wilt verwijderen.
Selecteer Toewijzing verwijderen.
PowerShell of Microsoft Graph API
Als u aangepaste toewijzingen van beveiligingskenmerken voor gebruikers in uw Microsoft Entra-organisatie wilt beheren, kunt u PowerShell of Microsoft Graph API gebruiken. De volgende voorbeelden kunnen worden gebruikt voor het beheren van opdrachten.
Een aangepast beveiligingskenmerk met een tekenreekswaarde toewijzen aan een gebruiker
In het volgende voorbeeld wordt een aangepast beveiligingskenmerk met een tekenreekswaarde aan een gebruiker toegewezen.
- Kenmerkset:
Engineering - Kenmerk:
ProjectDate - Kenmerkgegevenstype: Tekenreeks
- Kenmerkwaarde:
"2024-11-15"
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = "2024-11-15"
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Een aangepast beveiligingskenmerk met een waarde voor meerdere tekenreeksen toewijzen aan een gebruiker
In het volgende voorbeeld wordt een aangepast beveiligingskenmerk met een waarde voor meerdere tekenreeksen aan een gebruiker toegewezen.
- Kenmerkset:
Engineering - Kenmerk:
Project - Gegevenstype van kenmerk: verzameling tekenreeksen
- Kenmerkwaarde:
["Baker","Cascade"]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Baker","Cascade")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Een aangepast beveiligingskenmerk met een waarde voor geheel getal toewijzen aan een gebruiker
In het volgende voorbeeld wordt een aangepast beveiligingskenmerk met een geheel getal aan een gebruiker toegewezen.
- Kenmerkset:
Engineering - Kenmerk:
NumVendors - Kenmerkgegevenstype: Geheel getal
- Kenmerkwaarde:
4
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 4
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Een aangepast beveiligingskenmerk met een waarde voor meerdere gehele getallen toewijzen aan een gebruiker
In het volgende voorbeeld wordt een aangepast beveiligingskenmerk met een waarde met meerdere gehele getallen aan een gebruiker toegewezen.
- Kenmerkset:
Engineering - Kenmerk:
CostCenter - Kenmerkgegevenstype: Verzameling gehele getallen
- Kenmerkwaarde:
[1001,1003]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"CostCenter@odata.type" = "#Collection(Int32)"
"CostCenter" = @(1001,1003)
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Een aangepast beveiligingskenmerk met een booleaanse waarde toewijzen aan een gebruiker
In het volgende voorbeeld wordt een aangepast beveiligingskenmerk met een Booleaanse waarde aan een gebruiker toegewezen.
- Kenmerkset:
Engineering - Kenmerk:
Certification - Kenmerkgegevenstype: Booleaans
- Kenmerkwaarde:
true
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $true
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Een aangepaste toewijzing van beveiligingskenmerken bijwerken met een geheel getal voor een gebruiker
In het volgende voorbeeld wordt een aangepaste toewijzing van beveiligingskenmerken bijgewerkt met een geheel getal voor een gebruiker.
- Kenmerkset:
Engineering - Kenmerk:
NumVendors - Kenmerkgegevenstype: Geheel getal
- Kenmerkwaarde:
8
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 8
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Een toewijzing van een aangepast beveiligingskenmerk bijwerken met een Booleaanse waarde voor een gebruiker
In het volgende voorbeeld wordt een aangepaste toewijzing van beveiligingskenmerken bijgewerkt met een Booleaanse waarde voor een gebruiker.
- Kenmerkset:
Engineering - Kenmerk:
Certification - Kenmerkgegevenstype: Booleaans
- Kenmerkwaarde:
false
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $false
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Een aangepaste toewijzing van beveiligingskenmerken bijwerken met een waarde voor meerdere tekenreeksen voor een gebruiker
In het volgende voorbeeld wordt een aangepaste toewijzing van beveiligingskenmerken bijgewerkt met een waarde voor meerdere tekenreeksen voor een gebruiker.
- Kenmerkset:
Engineering - Kenmerk:
Project - Gegevenstype van kenmerk: verzameling tekenreeksen
- Kenmerkwaarde:
("Alpine","Baker")
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Alpine","Baker")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
De aangepaste toewijzingen van beveiligingskenmerken ophalen voor een gebruiker
In het volgende voorbeeld worden de toewijzingen van aangepaste beveiligingskenmerken voor een gebruiker opgehaald.
$userAttributes = Get-MgUser -UserId $userId -Property "customSecurityAttributes"
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Engineering
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Marketing
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
Project@odata.type #Collection(String)
Project {Baker, Alpine}
ProjectDate 2024-11-15
NumVendors 8
CostCenter@odata.type #Collection(Int32)
CostCenter {1001, 1003}
Certification False
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId KX45897
Als er geen aangepaste beveiligingskenmerken zijn toegewezen aan de gebruiker of als de aanroepende principal geen toegang heeft, is het antwoord leeg.
Een lijst weergeven van alle gebruikers met een aangepaste toewijzing van beveiligingskenmerken die gelijk is aan een waarde
In het volgende voorbeeld worden alle gebruikers met een aangepaste toewijzing van beveiligingskenmerken weergegeven die gelijk is aan een waarde. Hiermee worden gebruikers opgehaald met een aangepast beveiligingskenmerk met de naam AppCountry een waarde die gelijk is Canadaaan. De filterwaarde is hoofdlettergevoelig. U moet de aanvraag of de header toevoegen ConsistencyLevel=eventual . U moet ook $count=true opnemen om ervoor te zorgen dat de aanvraag correct wordt gerouteerd.
- Kenmerkset:
Marketing - Kenmerk:
AppCountry - Filter: AppCountry eq 'Canada'
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry eq 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Jiya Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Datacenter@odata.type, #Collection(String)], [Datacenter, System.Object[]]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, KX19476]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, GS46982]}
Alle gebruikers weergeven met een aangepaste toewijzing van beveiligingskenmerken die beginnen met een waarde
In het volgende voorbeeld ziet u alle gebruikers met een aangepaste toewijzing van beveiligingskenmerken die beginnen met een waarde. Hiermee worden gebruikers opgehaald met een aangepast beveiligingskenmerk met de naam EmployeeId een waarde die begint met GS. De filterwaarde is hoofdlettergevoelig. U moet de aanvraag of de header toevoegen ConsistencyLevel=eventual . U moet ook $count=true opnemen om ervoor te zorgen dat de aanvraag correct wordt gerouteerd.
- Kenmerkset:
Marketing - Kenmerk:
EmployeeId - Filter: EmployeeId startsWith 'GS'
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS36348]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, GS46982]}
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}
Alle gebruikers weergeven met een aangepaste toewijzing van beveiligingskenmerken die niet gelijk zijn aan een waarde
In het volgende voorbeeld worden alle gebruikers met een aangepaste toewijzing van beveiligingskenmerken weergegeven die niet gelijk is aan een waarde. Hiermee worden gebruikers opgehaald met een aangepast beveiligingskenmerk met de naam AppCountry een waarde die niet gelijk is Canadaaan. De filterwaarde is hoofdlettergevoelig. U moet de aanvraag of de header toevoegen ConsistencyLevel=eventual . U moet ook $count=true opnemen om ervoor te zorgen dat de aanvraag correct wordt gerouteerd.
- Kenmerkset:
Marketing - Kenmerk:
AppCountry - Filter: AppCountry ne 'Canada'
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry ne 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
44ee44ee-ff55-aa66-bb77-88cc88cc88cc Isabella Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Alain Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Dara Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Een toewijzing van een aangepast beveiligingskenmerk met één waarde verwijderen van een gebruiker
In het volgende voorbeeld wordt een toewijzing van een aangepast beveiligingskenmerk met één waarde van een gebruiker verwijderd door de waarde in te stellen op null.
- Kenmerkset:
Engineering - Kenmerk:
ProjectDate - Kenmerkwaarde:
null
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/users/$userId" -Body $params
Een toewijzing van een aangepaste beveiligingskenmerk met meerdere waarden verwijderen van een gebruiker
In het volgende voorbeeld wordt een aangepaste toewijzing van beveiligingskenmerken met meerdere waarden van een gebruiker verwijderd door de waarde in te stellen op een lege verzameling.
- Kenmerkset:
Engineering - Kenmerk:
Project - Kenmerkwaarde:
[]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Veelgestelde vragen
Waar worden aangepaste toewijzingen van beveiligingskenmerken voor gebruikers ondersteund?
Aangepaste toewijzingen van beveiligingskenmerken voor gebruikers worden ondersteund in het Microsoft Entra-beheercentrum, PowerShell en Microsoft Graph-API's. Aangepaste toewijzingen van beveiligingskenmerken worden niet ondersteund in Mijn apps of Microsoft 365-beheercentrum.
Wie kan de aangepaste beveiligingskenmerken weergeven die zijn toegewezen aan een gebruiker?
Alleen gebruikers aan wie de rollen Kenmerktoewijzingsbeheerder of Kenmerktoewijzingslezer op tenantbereik zijn toegewezen, kunnen aangepaste beveiligingskenmerken weergeven die zijn toegewezen aan gebruikers in de tenant. Gebruikers kunnen de aangepaste beveiligingskenmerken die zijn toegewezen aan hun eigen profiel of andere gebruikers niet weergeven. Gasten kunnen de aangepaste beveiligingskenmerken niet weergeven, ongeacht de gastmachtigingen die zijn ingesteld voor de tenant.
Moet ik een app maken om aangepaste toewijzingen van beveiligingskenmerken toe te voegen?
Nee, aangepaste beveiligingskenmerken kunnen worden toegewezen aan gebruikersobjecten zonder dat hiervoor een toepassing nodig is.
Waarom krijg ik een foutmelding bij het opslaan van aangepaste beveiligingskenmerktoewijzingen?
U bent niet gemachtigd om aangepaste beveiligingskenmerken toe te wijzen aan gebruikers. Zorg ervoor de rol Kenmerktoewijzingsbeheerder aan u is toegewezen.
Kan ik aangepaste beveiligingskenmerken toewijzen aan gasten?
Ja, aangepaste beveiligingskenmerken kunnen worden toegewezen aan leden of gasten in uw tenant.
Kan ik aangepaste beveiligingskenmerken toewijzen aan met directory gesynchroniseerde gebruikers?
Ja, aan via directory gesynchroniseerde gebruikers vanuit een on-premises Active Directory kunnen aangepaste beveiligingskenmerken worden toegewezen.
Zijn aangepaste toewijzingen van beveiligingskenmerken beschikbaar voor regels voor dynamische lidmaatschapsgroepen?
Nee, aangepaste beveiligingskenmerken die aan gebruikers zijn toegewezen, worden niet ondersteund voor het configureren van regels voor dynamische lidmaatschapsgroepen.
Zijn aangepaste beveiligingskenmerken hetzelfde als de aangepaste kenmerken in B2C-tenants?
Nee, aangepaste beveiligingskenmerken worden niet ondersteund in B2C-tenants en zijn niet gerelateerd aan B2C-functies.
Volgende stappen
- Aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra-id
- Aangepaste beveiligingskenmerken voor een toepassing toewijzen, bijwerken, weergeven of verwijderen
- Voorbeelden: Aangepaste toewijzingen van beveiligingskenmerken toewijzen, bijwerken, weergeven of verwijderen met behulp van de Microsoft Graph API
- Problemen met aangepaste beveiligingskenmerken in Microsoft Entra-id oplossen