Добавление или отключение определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это атрибуты для бизнеса (пары "ключ-значение"), которые можно определить и назначить объектам Microsoft Entra. В этой статье описывается, как добавлять, изменять или деактивировать определения настраиваемых атрибутов безопасности.
Необходимые условия
Чтобы добавить или отключить определения настраиваемых атрибутов безопасности, необходимо:
- Администратор определения атрибутов
- Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
- AzureADPreview версии 2.0.2.138 или более поздней при использовании Azure AD PowerShell
Важный
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности.
Добавление набора атрибутов
Набор атрибутов — это коллекция связанных атрибутов. Все настраиваемые атрибуты безопасности должны быть частью набора атрибутов. Наборы атрибутов нельзя переименовать или удалить.
Войдите в Центр администрирования Microsoft Entra в качестве администратора по определению атрибутов .
Перейдите к Защита>Настраиваемые атрибуты безопасности.
Выберите Добавить набор атрибутов, чтобы добавить новый набор атрибутов.
Если функция добавления набора атрибутов отключена, убедитесь, что вам назначена роль администратора определения атрибутов. Дополнительные сведения см. в разделе Устранение неполадок с пользовательскими атрибутами безопасности.
Введите имя, описание и максимальное количество атрибутов.
Имя набора атрибутов может быть 32 символами без пробелов или специальных символов. После указания имени невозможно переименовать его. Дополнительные сведения см. в разделе Ограничения и ограничения.
По завершении выберите Добавить.
Новый набор атрибутов отображается в списке наборов атрибутов.
Добавление определения настраиваемого атрибута безопасности
Войдите в Центр администрирования Microsoft Entra в качестве администратора определения атрибутов .
Перейдите к Защита>Настраиваемые атрибуты безопасности.
На странице настраиваемых атрибутов безопасности найдите существующий набор атрибутов или выберите Добавить набор атрибутов, чтобы добавить новый набор атрибутов.
Все определения настраиваемых атрибутов безопасности должны быть частью набора атрибутов.
Выберите, чтобы открыть выбранный набор атрибутов.
Выберите Добавить атрибут, чтобы добавить новый настраиваемый атрибут безопасности в набор атрибутов.
В поле имя атрибута введите имя настраиваемого атрибута безопасности.
Имя настраиваемого атрибута безопасности может содержать 32 символа без пробелов или специальных символов. После указания имени невозможно переименовать его. Дополнительные сведения см. в разделе Ограничения и ограничения.
В поле Описание введите необязательное описание.
Описание может иметь длину 128 символов. При необходимости можно изменить описание позже.
В списке тип данных выберите тип данных для настраиваемого атрибута безопасности.
Тип данных Описание Булев Логическое значение, которое может быть true, True, false или False. Целое число 32-разрядное целое число. Струна Строка, которая может содержать X символов. Чтобы Разрешить назначение нескольких значений, выберите Да или Нет.
Выберите Да, чтобы разрешить назначение нескольких значений этому пользовательскому атрибуту безопасности. Выберите Нет, чтобы разрешить присвоение этому пользовательскому атрибуту безопасности только одно значение.
Чтобы разрешить назначатьтолько предопределённые значения, выберите "Да" или "Нет".
Выберите Да, чтобы этот настраиваемый атрибут безопасности был назначен значениям из предопределенного списка значений. Выберите Нет, чтобы данный настраиваемый атрибут безопасности мог принять пользовательские значения или потенциально предопределённые значения.
Если разрешить только назначение предварительно определенных значений равно Да, выберите Добавить значение, чтобы добавить предопределенные значения.
Активное значение доступно для присвоения объектам. Значение, которое определено, но пока недоступно для назначения, не является активным.
По завершении нажмите кнопку Сохранить.
Новый настраиваемый атрибут безопасности отображается в списке настраиваемых атрибутов безопасности.
Если вы хотите включить предопределенные значения, выполните действия, описанные в следующем разделе.
Изменение определения настраиваемого атрибута безопасности
После добавления нового определения настраиваемого атрибута безопасности можно позже изменить некоторые свойства. Некоторые свойства неизменяемы и не могут быть изменены.
Войдите в Центр администрирования Microsoft Entra в качестве администратора по определению атрибутов .
Перейдите к Защита>Настраиваемые атрибуты безопасности.
Выберите набор атрибутов, включающий настраиваемый атрибут безопасности, который требуется изменить.
В списке настраиваемых атрибутов безопасности выберите многоточие для настраиваемого атрибута безопасности, который требуется изменить, а затем выберите Изменить атрибут.
Измените свойства, которые включены.
Если разрешить назначение предварительно определенных значенийДа, выберите Добавить значение, чтобы добавить предопределенные значения. Выберите существующее предопределенное значение, чтобы изменить параметр Активен?.
Отключение определения настраиваемого атрибута безопасности
После добавления определения настраиваемого атрибута безопасности его нельзя удалить. Однако можно отключить определение настраиваемого атрибута безопасности.
Войдите в Центр администрирования Microsoft Entra в качестве администратора по определению атрибутов .
Перейдите к Защита>Пользовательские параметры безопасности.
Выберите набор атрибутов, включающий настраиваемый атрибут безопасности, который требуется деактивировать.
В списке настраиваемых атрибутов безопасности добавьте флажок рядом с настраиваемым атрибутом безопасности, который требуется деактивировать.
Выберите Деактивировать атрибут.
В появившемся диалоговом окне "Деактивировать атрибут" выберите Да.
Настраиваемый атрибут безопасности деактивирован и перемещен в список деактивированных атрибутов.
API PowerShell или Microsoft Graph
Для управления определениями настраиваемых атрибутов безопасности в организации Microsoft Entra можно также использовать POWERShell или API Microsoft Graph. В следующих примерах можно управлять наборами атрибутов и пользовательскими определениями атрибутов безопасности.
Получение всех наборов атрибутов
В следующем примере возвращаются все наборы атрибутов.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Получите лучшие наборы атрибутов
В следующем примере получаются топ наборы атрибутов.
Get-MgDirectoryAttributeSet -Top 10
Получение наборов атрибутов в упорядоченном виде
В следующем примере показано, как получить наборы атрибутов в правильном порядке.
Get-MgDirectoryAttributeSet -Sort "Id"
Получение набора атрибутов
В следующем примере получается набор атрибутов.
- Набор атрибутов:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Добавление набора атрибутов
В следующем примере добавляется новый набор атрибутов.
- Набор атрибутов:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Обновление набора атрибутов
В следующем примере обновляется набор атрибутов.
- Набор атрибутов:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Получение всех определений настраиваемых атрибутов безопасности
В следующем примере получаются все определения пользовательских атрибутов безопасности.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Фильтрация определений настраиваемых атрибутов безопасности
В следующих примерах фильтруют пользовательские определения атрибутов безопасности.
- Фильтр: имя атрибута eq "Project" и состояние eq "Available"
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Фильтр: "набор атрибутов" равен 'Engineering' и "статус" равен 'Available' и "тип данных" равен 'String'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Получение определения настраиваемого атрибута безопасности
В следующем примере получается определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Добавление определения настраиваемого атрибута безопасности
В следующем примере добавляется новое определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
ProjectDate - Тип данных атрибута: String
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Добавление определения настраиваемого атрибута безопасности, которое поддерживает несколько предопределенных значений.
В следующем примере добавляется новое пользовательское определение атрибута безопасности, которое поддерживает несколько предопределенных значений.
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Добавление определения настраиваемого атрибута безопасности со списком предопределенных значений
В следующем примере добавляется новое определение настраиваемого атрибута безопасности со списком предопределенных значений.
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
- Предопределенные значения:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Обновление определения настраиваемого атрибута безопасности
В следующем примере обновляется определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Обновление предопределенных значений для определения пользовательского атрибута безопасности
В следующем примере обновляются предопределенные значения для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
- Обновление предопределенного значения:
Baker - Новое предопределенное значение:
Skagit
Заметка
Для этого запроса необходимо добавить заголовок OData-Version и присвоить ему значение 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Отключение определения настраиваемого атрибута безопасности
В следующем примере деактивируется определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Получите все предопределенные значения
В следующем примере возвращаются все предопределенные значения для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Получение предопределенного значения
В следующем примере возвращается предопределенное значение для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project - Предопределенное значение:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Добавление предопределенного значения
В следующем примере добавляется предопределенное значение для определения пользовательского атрибута безопасности.
Вы можете добавить предопределенные значения для пользовательских атрибутов безопасности с установленным значением usePreDefinedValuesOnly на true.
- Набор атрибутов:
Engineering - Атрибут:
Project - Предопределенное значение:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Деактивация предопределенного значения
В следующем примере деактивируется предопределенное значение для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project - Предопределенное значение:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Часто задаваемые вопросы
Можно ли удалить пользовательские определения атрибутов безопасности?
Нет, нельзя удалить пользовательские определения атрибутов безопасности. Определения настраиваемы х атрибутов безопасности можно отключить только. После отключения настраиваемого атрибута безопасности он больше не может применяться к объектам Microsoft Entra. Пользовательские назначения атрибутов безопасности для деактивированного определения настраиваемых атрибутов безопасности не удаляются автоматически. Количество деактивированных настраиваемых атрибутов безопасности не ограничено. Для каждого клиента можно использовать 500 активных определений настраиваемых атрибутов безопасности с 100 допустимыми предопределенными значениями для каждого определения настраиваемого атрибута безопасности.