Adicionar ou desativar as definições dos atributos de segurança personalizados no Microsoft Entra ID
Os Atributos de segurança personalizados no Microsoft Entra ID são atributos específicos da empresa (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Este artigo descreve como adicionar, editar ou desativar definições dos atributos de segurança personalizados.
Pré-requisitos
Para adicionar ou desativar definições dos atributos de segurança personalizados, você deve ter:
- Administrador de Definição de Atributos
- Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
- AzureADPreview versão 2.0.2.138 ou posterior ao usar o Azure AD PowerShell
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.
Adicionar um atributo
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Um conjunto de atributos é uma coleção de atributos relacionados. Todos os atributos de segurança personalizados precisam fazer parte de um conjunto de atributos. Os conjuntos de atributos não podem ser renomeados ou excluídos.
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Clique em Adicionar conjunto de atributos para adicionar um novo conjunto de atributos.
Se adicionar conjunto de atributos estiver desabilitado, certifique-se de que você tenha atribuído a função de administrador de definição de atributo. Para obter mais informações, consulte Solucionar problemas de atributos de segurança personalizados.
Insira um nome, uma descrição e um número máximo de atributos.
Um nome de conjunto de atributos pode ter de 32 caracteres sem espaços ou caracteres especiais. Depois de especificar um nome, você não poderá renomeá-lo. Para mais informações, consulte Limites e restrições.
Quando terminar, clique em Adicionar.
O novo conjunto de atributos aparece na lista de conjuntos de atributos.
Adicionar uma definição de atributo de segurança personalizado
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Na página atributos de segurança personalizados, localize um conjunto de atributos existente ou clique em Adicionar conjunto de atributos para adicionar um novo conjunto de atributos.
Todas as definições dos atributos de segurança personalizados precisam fazer parte de um conjunto de atributos.
Clique para abrir o conjunto de atributos selecionado.
Clique em Adicionar atributo para adicionar um novo atributo de segurança personalizado ao conjunto de atributos.
Na caixa nome do atributo, insira um nome de atributo de segurança personalizado.
Um nome de atributo de segurança personalizado pode ter de 32 caracteres sem espaços ou caracteres especiais. Depois de especificar um nome, você não poderá renomeá-lo. Para mais informações, consulte Limites e restrições.
Na caixa Descrição, insira uma descrição opcional.
Uma descrição pode ter 128 caracteres. Se necessário, você pode alterar a descrição posteriormente.
Na lista tipo de dados, selecione o tipo de dados para o atributo de segurança personalizado.
Tipo de dados Descrição Boolean Um valor booliano que pode ser true, true, false ou false. Inteiro Um inteiro de 32 bits. Cadeia de caracteres Uma cadeia de caracteres que pode ter X caracteres de comprimento. Para Permitir que vários valores sejam atribuídos, selecione Sim ou Não.
Selecione Sim para permitir que vários valores sejam atribuídos a esse atributo de segurança personalizado. Selecione Não para permitir que apenas um único valor seja atribuído a esse atributo de segurança personalizado.
Para Permitir que apenas valores predefinidos sejam atribuídos, selecione Sim ou Não.
Selecione Sim para exigir que esse atributo de segurança personalizado receba valores de uma lista de valores predefinidos. Selecione Não para permitir que esse atributo de segurança personalizado receba valores definidos pelo usuário ou valores potencialmente predefinidos.
Se permitir apenas que valores predefinidos sejam atribuídos é Sim, clique em Adicionar valor para adicionar valores predefinidos.
Um valor ativo está disponível para atribuição a objetos. Um valor que não está ativo está definido, mas ainda não está disponível para atribuição.
Ao terminar, clique em Salvar.
O novo atributo de segurança personalizado é exibido na lista de atributos de segurança personalizados.
Se você quiser incluir valores predefinidos, siga as etapas na próxima seção.
Editar uma definição de atributo de segurança personalizado
Depois de adicionar uma nova definição de atributo de segurança personalizado, você poderá editar algumas das propriedades posteriormente. Algumas propriedades são imutáveis e não podem ser alteradas.
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Clique no conjunto de atributos que inclui o atributo de segurança personalizado que você deseja editar.
Na lista de atributos de segurança personalizados, clique nas reticências do atributo de segurança personalizado que você deseja editar e selecione Editar atributo.
Edite as propriedades que estão habilitadas.
Se permitir apenas que valores predefinidos sejam atribuídos é Sim, clique em Adicionar valor para adicionar valores predefinidos. Clique em um valor predefinido existente para alterar a configuração is active?.
Desativar uma definição de atributo de segurança personalizado
Depois de adicionar uma definição de atributo de segurança personalizado, você não poderá excluí-lo. No entanto, você pode desativar uma definição de atributo de segurança personalizado.
Entre no Centro de administração do Microsoft Entra como um Administrador de Definição de Atributos.
Navegue até Proteção>Atributos de segurança personalizados.
Clique no conjunto de atributos que inclui o atributo de segurança personalizado que você deseja desativar.
Na lista de atributos de segurança personalizados, adicione uma marca de seleção ao lado do atributo de segurança personalizado que você deseja desativar.
Clique em desativar atributos.
Na caixa de diálogo desativar atributo exibida, clique em Sim.
O atributo de segurança personalizado é desativado e movido para a lista de atributos desativados.
PowerShell ou Microsoft API do Graph
Para gerenciar as definições de atributos de segurança personalizados na sua organização do Microsoft Entra, você também pode usar o PowerShell ou a API do Microsoft Graph. Os exemplos a seguir gerenciam conjuntos de atributos e definições de atributo de segurança personalizadas.
Obter todos os conjuntos de atributos
O exemplo a seguir obtém todos os conjuntos de atributos.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Obter os principais conjuntos de atributos
O exemplo a seguir obtém os principais conjuntos de atributos.
Get-MgDirectoryAttributeSet -Top 10
Obter conjuntos de atributos na ordem
O exemplo a seguir obtém conjuntos de atributos em ordem.
Get-MgDirectoryAttributeSet -Sort "Id"
Obtenha um conjunto de atributos
O exemplo a seguir obtém um conjunto de atributos.
- Conjunto de atributos:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Adicionar um atributo
O exemplo a seguir adiciona um novo conjunto de atributos.
- Conjunto de atributos:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Atualizar um conjunto de atributos
O exemplo a seguir atualiza um conjunto de atributos.
- Conjunto de atributos:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Obter todas as definições de atributo de segurança personalizadas
O exemplo a seguir obtém todas as definições de atributo de segurança personalizadas.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtro das definições de atributo de segurança personalizadas
Os exemplos a seguir filtram definições de atributo de segurança personalizadas.
- Filtro: nome do atributo eq 'Project' e status eq 'Available'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtro: conjunto de atributos eq 'Engenharia' e status eq 'Disponível' e tipo de dados eq 'String'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Obter uma definição de atributo de segurança personalizado
O exemplo a seguir obtém uma definição de atributo de segurança personalizado.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizado
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizado.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate - Tipo de dados de atributo: Cadeia de caracteres
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizado que dá suporte a vários valores predefinidos
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizado que dá suporte a vários valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: coleção de cadeias de caracteres
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizado com uma lista de valores predefinidos
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizada com uma lista de valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: coleção de cadeias de caracteres
- Valores predefinidos:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Atualizar uma definição de atributo de segurança personalizado
O exemplo a seguir atualiza uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Atualizar os valores predefinidos de uma definição de atributo de segurança personalizado
O exemplo a seguir atualiza os valores predefinidos para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: coleção de cadeias de caracteres
- Atualizar o valor predefinido:
Baker - Novo valor predefinido:
Skagit
Observação
Para essa solicitação, você precisa adicionar o cabeçalho OData-Version e atribuir a ele o valor 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Desativar uma definição de atributo de segurança personalizado
O exemplo a seguir desativa uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Obter todos os valores predefinidos
O exemplo a seguir obtém todos os valores predefinidos para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Obter um valor predefinido
O exemplo a seguir obtém um valor predefinido para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Adicionar um valor predefinido
O exemplo a seguir adiciona um valor predefinido para uma definição de atributo de segurança personalizada.
Você pode adicionar valores predefinidos para atributos de segurança personalizados que foram usePreDefinedValuesOnly definidos como true.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Desativar um valor predefinido
O exemplo a seguir desativa um valor predefinido para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Perguntas frequentes
Você pode excluir definições de atributos de segurança customizados?
Não, você não pode excluir definições de atributos de segurança personalizados. Você só pode desativar as definições de atributos de segurança personalizados. Depois de você desativar um atributo de segurança personalizado, ele não poderá mais ser aplicado aos objetos do Microsoft Entra. As atribuições de atributo de segurança personalizadas para a definição de atributo de segurança personalizada desativada não são removidas automaticamente. Não há limite para o número de atributos de segurança personalizados desativados. Você pode ter 500 definições de atributo de segurança personalizadas ativas por locatário com 100 valores predefinidos permitidos por definição de atributo de segurança personalizado.