Adicionar ou desativar definições de atributo de segurança personalizadas na ID do Microsoft Entra
Atributos de segurança personalizados na ID do Microsoft Entra são atributos específicos para os negócios (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Este artigo descreve como adicionar, editar ou desativar definições de atributo de segurança personalizadas.
Pré-requisitos
Para adicionar ou desativar definições de atributos de segurança personalizadas, você deve ter:
- administrador de definição de atributo
- Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
- AzureADPreview versão 2.0.2.138 ou posterior ao usar o PowerShell do Azure AD
Importante
Por padrão, administrador global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Adicionar um conjunto de atributos
Um conjunto de atributos é uma coleção de atributos relacionados. Todos os atributos de segurança personalizados devem fazer parte de um conjunto de atributos. Os conjuntos de atributos não podem ser renomeado ou excluídos.
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Selecione Adicionar conjunto de atributos para adicionar um novo conjunto de atributos.
Se Adicionar conjunto de atributos estiver desabilitado, verifique se você recebeu a função administrador de definição de atributo. Para obter mais informações, consulte Solucionar problemas de atributos de segurança personalizados.
Insira um nome, uma descrição e um número máximo de atributos.
Um nome de conjunto de atributos pode ter 32 caracteres sem espaços ou caracteres especiais. Depois de especificar um nome, você não poderá renomeá-lo. Para obter mais informações, consulte Limites e restrições.
Quando terminar, selecione Adicionar.
O novo conjunto de atributos aparece na lista de conjuntos de atributos.
Adicionar uma definição de atributo de segurança personalizada
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Na página Atributos de segurança personalizados, localize um conjunto de atributos existente ou selecione Adicionar conjunto de atributos para adicionar um novo conjunto de atributos.
Todas as definições de atributo de segurança personalizadas devem fazer parte de um conjunto de atributos.
Selecione para abrir o conjunto de atributos selecionado.
Selecione Adicionar atributo para adicionar um novo atributo de segurança personalizado ao conjunto de atributos.
Na caixa nome do atributo, insira um nome de atributo de segurança personalizado.
Um nome de atributo de segurança personalizado pode ter 32 caracteres sem espaços ou caracteres especiais. Depois de especificar um nome, você não poderá renomeá-lo. Para obter mais informações, consulte Limites e restrições.
Na caixa Descrição, insira uma descrição opcional.
Uma descrição pode ter 128 caracteres. Se necessário, você poderá alterar a descrição posteriormente.
Na lista de tipos de dados , selecione o tipo de dados para o atributo de segurança personalizado.
Tipo de dados Descrição Booliano Um valor booliano que pode ser true, true, false ou false. Inteiro Um inteiro de 32 bits. String Uma string que pode ter X caracteres de comprimento. Para Permitir que vários valores sejam atribuídos, selecione Sim ou Não.
Selecione Sim para permitir que vários valores sejam atribuídos a esse atributo de segurança personalizado. Selecione Nenhum para permitir que apenas um único valor seja atribuído a esse atributo de segurança personalizado.
Para Permitir que apenas valores predefinidos sejam atribuídos, selecione Sim ou Não.
Selecione Sim para exigir que esse atributo de segurança personalizado seja atribuído a valores de uma lista de valores predefinidos. Selecione Nenhum para permitir que esse atributo de segurança personalizado seja atribuído a valores definidos pelo usuário ou valores potencialmente predefinidos.
Se permitir apenas que valores predefinidos sejam atribuídos é Sim, selecione Adicionar valor para adicionar valores predefinidos.
Um valor ativo está disponível para atribuição a objetos. Um valor que não está ativo é definido, mas ainda não está disponível para atribuição.
Quando terminar, selecione Salvar.
O novo atributo de segurança personalizado aparece na lista de atributos de segurança personalizados.
Se você quiser incluir valores predefinidos, siga as etapas na próxima seção.
Editar uma definição de atributo de segurança personalizada
Depois de adicionar uma nova definição de atributo de segurança personalizada, você poderá editar algumas das propriedades posteriormente. Algumas propriedades são imutáveis e não podem ser alteradas.
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Selecione o conjunto de atributos que inclui o atributo de segurança personalizado que você deseja editar.
Na lista de atributos de segurança personalizados, selecione as reticências do atributo de segurança personalizado que você deseja editar e selecione Editar atributo.
Edite as propriedades que estão habilitadas.
Se permitir apenas que valores predefinidos sejam atribuídos é Sim, selecione Adicionar valor para adicionar valores predefinidos. Clique em um valor predefinido existente para alterar a configuração Está ativo?.
Desativar uma definição de atributo de segurança personalizada
Depois de adicionar uma definição de atributo de segurança personalizada, você não poderá excluí-la. No entanto, você pode desativar uma definição de atributo de segurança personalizada.
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Selecione o conjunto de atributos que inclui o atributo de segurança personalizado que você deseja desativar.
Na lista de atributos de segurança personalizados, adicione uma marca de seleção ao lado do atributo de segurança personalizado que você deseja desativar.
Selecione Desativar atributo.
Na caixa de diálogo desativar atributo exibida, selecione Sim.
O atributo de segurança personalizado é desativado e movido para a lista de atributos desativados.
API do PowerShell ou do Microsoft Graph
Para gerenciar definições de atributo de segurança personalizadas em sua organização do Microsoft Entra, você também pode usar o PowerShell ou a API do Microsoft Graph. Os exemplos a seguir gerenciam conjuntos de atributos e definições de atributo de segurança personalizadas.
Obter todos os conjuntos de atributos
O exemplo a seguir obtém todos os conjuntos de atributos.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Obter os principais conjuntos de atributos
O exemplo a seguir obtém os principais conjuntos de atributos.
Get-MgDirectoryAttributeSet -Top 10
Obter conjuntos de atributos em ordem
O exemplo a seguir obtém conjuntos de atributos em ordem.
Get-MgDirectoryAttributeSet -Sort "Id"
Obter um conjunto de atributos
O exemplo a seguir obtém um conjunto de atributos.
- Conjunto de atributos:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Adicionar um conjunto de atributos
O exemplo a seguir adiciona um novo conjunto de atributos.
- Conjunto de atributos:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Atualizar um conjunto de atributos
O exemplo a seguir atualiza um conjunto de atributos.
- Conjunto de atributos:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Obter todas as definições de atributo de segurança personalizadas
O exemplo a seguir obtém todas as definições de atributo de segurança personalizadas.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtrar definições de atributo de segurança personalizadas
Os exemplos a seguir filtram definições de atributo de segurança personalizadas.
- Filtro: nome do atributo eq 'Projeto' e status eq 'Disponível'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtro: conjunto de atributos igual a 'Engenharia' e status igual a 'Disponível' e tipo de dados igual a 'String'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Obter uma definição de atributo de segurança personalizada
O exemplo a seguir obtém uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizada
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate - Tipo de dados de atributo: Cadeia de caracteres
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizada que dá suporte a vários valores predefinidos
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizada que dá suporte a vários valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: coleção de cadeias de caracteres
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizada com uma lista de valores predefinidos
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizada com uma lista de valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: coleção de cadeias de caracteres
- Valores predefinidos:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Atualizar uma definição de atributo de segurança personalizada
O exemplo a seguir atualiza uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Atualizar os valores predefinidos para uma definição de atributo de segurança personalizada
O exemplo a seguir atualiza os valores predefinidos para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: coleção de cadeias de caracteres
- Atualizar valor predefinido:
Baker - Novo valor predefinido:
Skagit
Nota
Para essa solicitação, você deve adicionar o cabeçalho OData-Version e atribuí-lo ao valor 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Desativar uma definição de atributo de segurança personalizada
O exemplo a seguir desativa uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Obter todos os valores predefinidos
O exemplo a seguir obtém todos os valores predefinidos para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Obter um valor predefinido
O exemplo a seguir obtém um valor predefinido para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Adicionar um valor predefinido
O exemplo a seguir adiciona um valor predefinido para uma definição de atributo de segurança personalizada.
Você pode adicionar valores definidos previamente para atributos de segurança personalizados que têm usePreDefinedValuesOnly definidos como true.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Desativar um valor predefinido
O exemplo a seguir desativa um valor predefinido para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Perguntas frequentes
Você pode excluir definições de atributo de segurança personalizadas?
Não, você não pode excluir definições de atributo de segurança personalizadas. Você só pode desativar as definições de atributos de segurança personalizados. Depois de desativar um atributo de segurança personalizado, ele não poderá mais ser aplicado aos objetos do Microsoft Entra. As atribuições de atributo de segurança personalizadas para a definição de atributo de segurança personalizada desativada não são removidas automaticamente. Não há limite para o número de atributos de segurança personalizados desativados. Você pode ter 500 definições de atributos de segurança personalizadas ativas por locatário com 100 valores predefinidos permitidos por definição de atributo de segurança personalizada.