Zarządzanie niestandardowymi atrybutami zabezpieczeń dla aplikacji

Niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy microsoft to atrybuty specyficzne dla firmy (pary klucz-wartość), które można definiować i przypisywać do obiektów entra firmy Microsoft. Możesz na przykład przypisać niestandardowy atrybut zabezpieczeń do filtrowania aplikacji lub ułatwić określenie, kto uzyskuje dostęp. W tym artykule opisano sposób przypisywania, aktualizowania, wyświetlania listy lub usuwania niestandardowych atrybutów zabezpieczeń dla aplikacji firmy Microsoft Entra dla przedsiębiorstw.

Wymagania wstępne

Aby przypisać lub usunąć niestandardowe atrybuty zabezpieczeń dla aplikacji w dzierżawie firmy Microsoft Entra, potrzebne są następujące elementy:

• Administrator przypisania atrybutu
• Upewnij się, że masz istniejące niestandardowe atrybuty zabezpieczeń. Aby dowiedzieć się, jak utworzyć atrybut zabezpieczeń, zobacz Dodawanie lub dezaktywowanie niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Ważne

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie atrybutów niestandardowych dla aplikacji

Dowiedz się, jak pracować z atrybutami niestandardowymi dla aplikacji w usłudze Microsoft Entra ID.

Przypisywanie niestandardowych atrybutów zabezpieczeń do aplikacji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wykonaj następujące kroki, aby przypisać niestandardowe atrybuty zabezpieczeń za pośrednictwem centrum administracyjnego firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator przypisania atrybutów.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

3. Znajdź i wybierz aplikację, do której chcesz dodać niestandardowy atrybut zabezpieczeń.

4. W sekcji Zarządzanie wybierz pozycję Niestandardowe atrybuty zabezpieczeń.

5. Wybierz pozycję Dodaj przypisanie.

6. W obszarze Zestaw atrybutów wybierz zestaw atrybutów z listy.

7. W polu Nazwa atrybutu wybierz niestandardowy atrybut zabezpieczeń z listy.

8. W zależności od właściwości wybranego niestandardowego atrybutu zabezpieczeń można wprowadzić pojedynczą wartość, wybrać wartość ze wstępnie zdefiniowanej listy lub dodać wiele wartości.

   • W przypadku dowolnych atrybutów zabezpieczeń o pojedynczej wartości wprowadź wartość w polu Przypisane wartości .
   • W przypadku wstępnie zdefiniowanych niestandardowych wartości atrybutów zabezpieczeń wybierz wartość z listy Przypisane wartości .
   • W przypadku atrybutów zabezpieczeń niestandardowych o wielu wartościach wybierz pozycję Dodaj wartości , aby otworzyć okienko Wartości atrybutów i dodać wartości. Po zakończeniu dodawania wartości wybierz pozycję Gotowe.

   

9. Po zakończeniu wybierz pozycję Zapisz , aby przypisać niestandardowe atrybuty zabezpieczeń do aplikacji.

Aktualizowanie niestandardowych wartości przypisań atrybutów zabezpieczeń dla aplikacji

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator przypisania atrybutów.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

3. Znajdź i wybierz aplikację, która ma niestandardową wartość przypisania atrybutu zabezpieczeń, którą chcesz zaktualizować.

4. W sekcji Zarządzanie wybierz pozycję Niestandardowe atrybuty zabezpieczeń.

5. Znajdź niestandardową wartość przypisania atrybutu zabezpieczeń, którą chcesz zaktualizować.

   Po przypisaniu niestandardowego atrybutu zabezpieczeń do aplikacji można zmienić tylko wartość niestandardowego atrybutu zabezpieczeń. Nie można zmienić innych właściwości niestandardowego atrybutu zabezpieczeń, takich jak zestaw atrybutów lub niestandardowa nazwa atrybutu zabezpieczeń.

6. W zależności od właściwości wybranego niestandardowego atrybutu zabezpieczeń można zaktualizować pojedynczą wartość, wybrać wartość ze wstępnie zdefiniowanej listy lub zaktualizować wiele wartości.

7. Po zakończeniu wybierz Zapisz.

Filtrowanie aplikacji na podstawie niestandardowych atrybutów zabezpieczeń

Listę niestandardowych atrybutów zabezpieczeń przypisanych do aplikacji można filtrować na stronie Wszystkie aplikacje .

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik przypisań atrybutów.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

3. Wybierz pozycję Dodaj filtry , aby otworzyć okienko Wybierz pole.

   Jeśli nie widzisz pozycji Dodaj filtry, wybierz baner, aby włączyć podgląd wyszukiwania aplikacji dla przedsiębiorstw.

4. W obszarze Filtry wybierz pozycję Niestandardowy atrybut zabezpieczeń.

5. Wybierz zestaw atrybutów i nazwę atrybutu.

6. W polu Operator możesz wybrać wartości równe (==), a nie równe (!=) lub zaczyna się od.

7. W polu Wartość wprowadź lub wybierz wartość.

8. Aby zastosować filtr, wybierz pozycję Zastosuj.

Usuwanie niestandardowych przypisań atrybutów zabezpieczeń z aplikacji

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator przypisania atrybutów.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.

3. Znajdź i wybierz aplikację, która ma niestandardowe przypisania atrybutów zabezpieczeń, które chcesz usunąć.

4. W sekcji Zarządzanie wybierz pozycję Niestandardowe atrybuty zabezpieczeń (wersja zapoznawcza).

5. Dodaj znaczniki wyboru obok wszystkich niestandardowych przypisań atrybutów zabezpieczeń, które chcesz usunąć.

6. Wybierz pozycję Usuń przypisanie.

Program PowerShell usługi Azure AD

Aby zarządzać niestandardowymi przypisaniami atrybutów zabezpieczeń dla aplikacji w organizacji firmy Microsoft Entra, możesz użyć programu PowerShell. Następujące polecenia mogą służyć do zarządzania przypisaniami.

Przypisywanie niestandardowego atrybutu zabezpieczeń z wartością wielociągową do aplikacji (jednostki usługi) przy użyciu programu Azure AD PowerShell

Użyj polecenia Set-AzureADMSServicePrincipal, aby przypisać niestandardowy atrybut zabezpieczeń z wartością wielociągową do aplikacji (jednostki usługi).

• Zestaw atrybutów: Engineering
• Atrybut: Project
• Typ danych atrybutu: kolekcja ciągów
• Wartość atrybutu: ("Baker","Cascade")

$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributes

Aktualizowanie niestandardowego atrybutu zabezpieczeń przy użyciu wartości wielociągowej dla aplikacji (jednostki usługi) przy użyciu programu Azure AD PowerShell

Podaj nowy zestaw wartości atrybutów, które chcesz odzwierciedlić w aplikacji. W tym przykładzie dodamy jeszcze jedną wartość atrybutu projektu.

• Zestaw atrybutów: Engineering
• Atrybut: Project
• Typ danych atrybutu: kolekcja ciągów
• Wartość atrybutu: ("Alpine","Baker")

$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributesUpdate 

Pobieranie niestandardowych przypisań atrybutów zabezpieczeń dla aplikacji (jednostki usługi) przy użyciu programu Azure AD PowerShell

Użyj polecenia Get-AzureADMSServicePrincipal, aby uzyskać niestandardowe przypisania atrybutów zabezpieczeń dla aplikacji (jednostki usługi).

Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222  -Select "CustomSecurityAttributes, Id"

Microsoft Graph PowerShell

Aby zarządzać niestandardowymi przypisaniami atrybutów zabezpieczeń dla aplikacji w organizacji firmy Microsoft Entra, możesz użyć programu Microsoft Graph PowerShell. Następujące polecenia mogą służyć do zarządzania przypisaniami.

Przypisywanie niestandardowego atrybutu zabezpieczeń z wartością wielociągową do aplikacji (jednostki usługi) przy użyciu programu Microsoft Graph PowerShell

Użyj polecenia Update-MgServicePrincipal, aby przypisać niestandardowy atrybut zabezpieczeń z wartością wielociągową do aplikacji (jednostki usługi).

Biorąc pod uwagę wartości

• Zestaw atrybutów: Engineering
• Atrybut: ProjectDate
• Typ danych atrybutu: Ciąg
• Wartość atrybutu: "2024-11-15"

#Retrieve the servicePrincipal

$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" ="2024-11-15"
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Aktualizowanie niestandardowego atrybutu zabezpieczeń przy użyciu wartości wielociągowej dla aplikacji (jednostki usługi) przy użyciu programu Microsoft Graph PowerShell

Podaj nowy zestaw wartości atrybutów, które chcesz odzwierciedlić w aplikacji. W tym przykładzie dodamy jeszcze jedną wartość atrybutu projektu.

Biorąc pod uwagę wartości

• Zestaw atrybutów: Engineering
• Atrybut: Project
• Typ danych atrybutu: kolekcja ciągów
• Wartość atrybutu: ["Baker","Cascade"]

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @(
            "Baker"
            "Cascade"
        )
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Filtrowanie aplikacji na podstawie niestandardowych atrybutów zabezpieczeń przy użyciu programu Microsoft Graph PowerShell

W tym przykładzie filtruje listę aplikacji z niestandardowym przypisaniem atrybutu zabezpieczeń, który jest równy określonej wartości.

$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes  | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                       : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName              : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}

Usuwanie niestandardowych przypisań atrybutów zabezpieczeń z aplikacji przy użyciu programu Microsoft Graph PowerShell

W tym przykładzie usuwamy niestandardowe przypisanie atrybutów zabezpieczeń, które obsługuje pojedyncze wartości.

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params

W tym przykładzie usuwamy niestandardowe przypisanie atrybutów zabezpieczeń, które obsługuje wiele wartości.

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Interfejsu API programu Microsoft Graph

Aby zarządzać niestandardowymi przypisaniami atrybutów zabezpieczeń dla aplikacji w organizacji firmy Microsoft Entra, możesz użyć interfejsu API programu Microsoft Graph. Wykonaj następujące wywołania interfejsu API w celu zarządzania przypisaniami.

Aby zapoznać się z innymi podobnymi przykładami interfejsu API programu Microsoft Graph dla użytkowników, zobacz Przypisywanie, aktualizowanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych atrybutów zabezpieczeń dla użytkownika i przykłady: przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych przypisań atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph.

Przypisywanie niestandardowego atrybutu zabezpieczeń z wartością wielociągową do aplikacji (jednostki usługi) przy użyciu interfejsu API programu Microsoft Graph

Użyj interfejsu API Update servicePrincipal , aby przypisać niestandardowy atrybut zabezpieczeń z wartością ciągu do aplikacji.

Biorąc pod uwagę wartości

• Zestaw atrybutów: Engineering
• Atrybut: Project
• Typ danych atrybutu: Ciąg
• Wartość atrybutu: "Baker"

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project": "Baker"
        }
    }
}

Aktualizowanie niestandardowego atrybutu zabezpieczeń przy użyciu wartości wielociągowej dla aplikacji (jednostki usługi) przy użyciu interfejsu API programu Microsoft Graph

Podaj nowy zestaw wartości atrybutów, które chcesz odzwierciedlić w aplikacji. W tym przykładzie dodamy jeszcze jedną wartość atrybutu projektu.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Filtrowanie aplikacji na podstawie niestandardowych atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph

W tym przykładzie filtruje listę aplikacji z niestandardowym przypisaniem atrybutu zabezpieczeń, który jest równy określonej wartości. W wartości filtru jest uwzględniana wielkość liter. Musisz dodać ConsistencyLevel=eventual żądanie lub nagłówek. Należy również dołączyć $count=true , aby upewnić się, że żądanie jest prawidłowo kierowane.

GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual

Usuwanie niestandardowych przypisań atrybutów zabezpieczeń z aplikacji przy użyciu interfejsu API programu Microsoft Graph

W tym przykładzie usuwamy niestandardowe przypisanie atrybutów zabezpieczeń, które obsługuje wiele wartości.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Następne kroki

• Dodawanie lub dezaktywowanie niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft
• Przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych atrybutów zabezpieczeń dla użytkownika
• Rozwiązywanie problemów z niestandardowymi atrybutami zabezpieczeń w identyfikatorze Entra firmy Microsoft