Gerenciar atributos de segurança personalizados para um aplicativo
Os atributos de segurança personalizados no Microsoft Entra ID são atributos específicos do negócio (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Por exemplo, você pode atribuir um atributo de segurança personalizado para filtrar seus aplicativos ou para ajudar a determinar quem obtém acesso. Este artigo descreve como atribuir, atualizar, listar ou remover atributos de segurança personalizados para aplicativos empresariais do Microsoft Entra.
Pré-requisitos
Para atribuir ou remover atributos de segurança personalizados para um aplicativo em seu locatário do Microsoft Entra, você precisa:
- Administrador de Atribuição de Atributos
- Verifique se você tem atributos de segurança personalizados existentes. Para saber como criar um atributo de segurança, consulte Adicionar ou desativar atributos de segurança personalizados no Microsoft Entra ID.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Atribuir, atualizar, listar ou remover atributos personalizados para um aplicativo
Saiba como trabalhar com atributos personalizados para aplicativos no Microsoft Entra ID.
Atribuir atributos de segurança personalizados a um aplicativo
Dica
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Execute as etapas a seguir para atribuir atributos de segurança personalizados por meio do centro de administração do Microsoft Entra.
Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Localize e selecione o aplicativo ao qual você deseja adicionar um atributo de segurança personalizado.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Selecione Adicionar atribuição.
Em Conjunto de atributos, selecione um conjunto de atributos na lista.
Em Nome do atributo, selecione um atributo de segurança personalizado na lista.
Dependendo das propriedades do atributo de segurança personalizado selecionado, você pode inserir um único valor, selecionar um valor de uma lista predefinida ou adicionar vários valores.
- Para atributos de segurança personalizados de forma livre e valor único, insira um valor na caixa Valores atribuídos.
- Para valores de atributos de segurança personalizados predefinidos, selecione um valor na lista Valores atribuídos.
- Para atributos de segurança personalizados com vários valores, selecione Adicionar valores para abrir o painel Valores de atributo e adicionar seus valores. Quando terminar de adicionar valores, selecione Concluído.
Quando terminar, selecione Salvar para atribuir os atributos de segurança personalizados ao aplicativo.
Atualizar valores de atribuição de atributos de segurança personalizados para um aplicativo
Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Localize e selecione o aplicativo que tem um valor de atribuição de atributo de segurança personalizado que você deseja atualizar.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Encontre o valor de atribuição de atributo de segurança personalizado que você deseja atualizar.
Depois de atribuir um atributo de segurança personalizado a um aplicativo, você só pode alterar o valor do atributo de segurança personalizado. Não é possível alterar outras propriedades do atributo de segurança personalizado, como conjunto de atributos ou nome do atributo de segurança personalizado.
Dependendo das propriedades do atributo de segurança personalizado selecionado, você pode atualizar um único valor, selecionar um valor de uma lista predefinida ou atualizar vários valores.
Quando terminar, selecione Salvar.
Filtrar aplicativos com base em atributos de segurança personalizados
Você pode filtrar a lista de atributos de segurança personalizados atribuídos a aplicativos na página Todos os aplicativos .
Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Atribuição de Atributos.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Selecione Adicionar filtros para abrir o painel Escolher um campo.
Se não vir Adicionar filtros, selecione a faixa para ativar a pré-visualização de pesquisa de aplicações empresariais.
Em Filtros, selecione Atributo de segurança personalizado.
Selecione o conjunto de atributos e o nome do atributo.
Para Operador, você pode selecionar igual (==), não igual (!=), ou começa com.
Em Valor, insira ou selecione um valor.
Para aplicar o filtro, selecione Aplicar.
Remover atribuições de atributos de segurança personalizados de aplicativos
Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Aplicativos de identidade>>Aplicativos corporativos.
Localize e selecione o aplicativo que tem as atribuições de atributo de segurança personalizadas que você deseja remover.
Na seção Gerenciar, selecione Atributos de segurança personalizados (visualização).
Adicione marcas de seleção ao lado de todas as atribuições de atributos de segurança personalizados que você deseja remover.
Selecione Remover atribuição.
Azure AD PowerShell
Para gerenciar atribuições de atributos de segurança personalizados para aplicativos em sua organização do Microsoft Entra, você pode usar o PowerShell. Os comandos a seguir podem ser usados para gerenciar atribuições.
Atribuir um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um aplicativo (entidade de serviço) usando o Azure AD PowerShell
Use o comando Set-AzureADMSServicePrincipal para atribuir um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um aplicativo (entidade de serviço).
- Conjunto de atributos:
Engineering
- Atributo:
Project
- Tipo de dados de atributo: Coleção de cadeias de caracteres
- Valor do atributo:
("Baker","Cascade")
$attributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Baker","Cascade")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributes
Atualizar um atributo de segurança personalizado com um valor de várias cadeias de caracteres para um aplicativo (entidade de serviço) usando o Azure AD PowerShell
Forneça o novo conjunto de valores de atributo que você gostaria de refletir no aplicativo. Neste exemplo, estamos adicionando mais um valor para o atributo do projeto.
- Conjunto de atributos:
Engineering
- Atributo:
Project
- Tipo de dados de atributo: Coleção de cadeias de caracteres
- Valor do atributo:
("Alpine","Baker")
$attributesUpdate = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Alpine","Baker")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributesUpdate
Obter as atribuições de atributo de segurança personalizadas para um aplicativo (entidade de serviço) usando o Azure AD PowerShell
Use o comando Get-AzureADMSServicePrincipal para obter as atribuições de atributo de segurança personalizadas para um aplicativo (entidade de serviço).
Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -Select "CustomSecurityAttributes, Id"
Microsoft Graph PowerShell
Para gerenciar atribuições de atributos de segurança personalizados para aplicativos em sua organização do Microsoft Entra, você pode usar o Microsoft Graph PowerShell. Os comandos a seguir podem ser usados para gerenciar atribuições.
Atribuir um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um aplicativo (entidade de serviço) usando o Microsoft Graph PowerShell
Use o comando Update-MgServicePrincipal para atribuir um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um aplicativo (entidade de serviço).
Tendo em conta os valores
- Conjunto de atributos:
Engineering
- Atributo:
ProjectDate
- Tipo de dados do atributo: String
- Valor do atributo:
"2024-11-15"
#Retrieve the servicePrincipal
$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" ="2024-11-15"
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Atualizar um atributo de segurança personalizado com um valor de várias cadeias de caracteres para um aplicativo (entidade de serviço) usando o Microsoft Graph PowerShell
Forneça o novo conjunto de valores de atributo que você gostaria de refletir no aplicativo. Neste exemplo, estamos adicionando mais um valor para o atributo do projeto.
Tendo em conta os valores
- Conjunto de atributos:
Engineering
- Atributo:
Project
- Tipo de dados de atributo: Coleção de cadeias de caracteres
- Valor do atributo:
["Baker","Cascade"]
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @(
"Baker"
"Cascade"
)
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Filtrar aplicativos com base em atributos de segurança personalizados usando o Microsoft Graph PowerShell
Este exemplo filtra uma lista de aplicativos com uma atribuição de atributo de segurança personalizada igual ao valor especificado.
$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}
Remover atribuições de atributos de segurança personalizados de aplicativos usando o Microsoft Graph PowerShell
Neste exemplo, removemos uma atribuição de atributo de segurança personalizada que suporta valores únicos.
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params
Neste exemplo, removemos uma atribuição de atributo de segurança personalizada que suporta vários valores.
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Microsoft Graph API
Para gerenciar atribuições de atributos de segurança personalizados para aplicativos em sua organização do Microsoft Entra, você pode usar a API do Microsoft Graph. Faça as seguintes chamadas de API para gerenciar atribuições.
Para obter outros exemplos semelhantes da API do Microsoft Graph para usuários, consulte Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um usuário e Exemplos: atribuir, atualizar, listar ou remover atribuições de atributos de segurança personalizados usando a API do Microsoft Graph.
Atribuir um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um aplicativo (entidade de serviço) usando a API do Microsoft Graph
Use a API Update servicePrincipal para atribuir um atributo de segurança personalizado com um valor de cadeia de caracteres a um aplicativo.
Tendo em conta os valores
- Conjunto de atributos:
Engineering
- Atributo:
Project
- Tipo de dados do atributo: String
- Valor do atributo:
"Baker"
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project": "Baker"
}
}
}
Atualizar um atributo de segurança personalizado com um valor de várias cadeias de caracteres para um aplicativo (entidade de serviço) usando a API do Microsoft Graph
Forneça o novo conjunto de valores de atributo que você gostaria de refletir no aplicativo. Neste exemplo, estamos adicionando mais um valor para o atributo do projeto.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project":["Baker","Cascade"]
}
}
}
Filtrar aplicativos com base em atributos de segurança personalizados usando a API do Microsoft Graph
Este exemplo filtra uma lista de aplicativos com uma atribuição de atributo de segurança personalizada igual ao valor especificado. O valor do filtro diferencia maiúsculas de minúsculas. Você deve adicionar ConsistencyLevel=eventual
a solicitação ou o cabeçalho. Você também deve incluir $count=true
para garantir que a solicitação seja encaminhada corretamente.
GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual
Remover atribuições de atributos de segurança personalizados de um aplicativo usando a API do Microsoft Graph
Neste exemplo, removemos uma atribuição de atributo de segurança personalizada que suporta vários valores.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project":[]
}
}
}