Управление настраиваемыми атрибутами безопасности для приложения
Настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это бизнес-атрибуты (пары "ключ-значение"), которые можно определить и назначить объектам Microsoft Entra. Например, можно назначить настраиваемый атрибут безопасности для фильтрации приложений или для определения пользователей с правами доступа. В этой статье описывается назначение, обновление, перечисление или удаление настраиваемых атрибутов безопасности для корпоративных приложений Microsoft Entra.
Необходимые компоненты
Чтобы назначить или удалить настраиваемые атрибуты безопасности для приложения в клиенте Microsoft Entra, вам потребуется:
- Администратор назначения атрибутов
- Убедитесь, что у вас есть настраиваемые атрибуты безопасности. Сведения о создании атрибута безопасности см. в разделе "Добавление или отключение настраиваемых атрибутов безопасности" в идентификаторе Microsoft Entra.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Назначение, обновление, перечисление или удаление пользовательских атрибутов для приложения
Узнайте, как работать с пользовательскими атрибутами для приложений в идентификаторе Microsoft Entra.
Назначение настраиваемых атрибутов безопасности приложению
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Выполните следующие действия, чтобы назначить настраиваемые атрибуты безопасности через Центр администрирования Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Найдите и выберите приложение, для которого нужно добавить настраиваемый атрибут безопасности.
В разделе "Управление" выберите настраиваемые атрибуты безопасности.
Выберите Добавить назначение.
Из раскрывающегося списка Набор атрибутов выберите набор атрибутов.
В поле Имя атрибута выберите настраиваемый атрибут безопасности из списка.
В зависимости от свойств выбранного настраиваемого атрибута безопасности можно ввести одно значение, выбрать значение из готового списка или добавить несколько значений.
- Для произвольных настраиваемых атрибутов безопасности с одним значением введите нужную величину в поле Назначенные значения.
- Для предопределенных значений настраиваемых атрибутов безопасности выберите значение из списка Назначенные значения.
- Для настраиваемых атрибутов безопасности с несколькими значениями выберите Добавить значения, чтобы открыть панель Значения атрибутов, и добавьте значения. Завершив ввод значений, нажмите Готово.
По завершении нажмите кнопку сохранить, чтобы назначить приложению настраиваемые атрибуты безопасности.
Обновление назначенных приложению значений настраиваемых атрибутов безопасности
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Найдите и выберите приложение, для которого требуется обновить назначенное значение настраиваемого атрибута безопасности.
В разделе "Управление" выберите настраиваемые атрибуты безопасности.
Найдите назначенное значение настраиваемого атрибута безопасности, которое требуется обновить.
После назначения пользовательского атрибута безопасности приложению можно изменить только значение настраиваемого атрибута безопасности. Изменять другие свойства настраиваемого атрибута безопасности, такие как набор атрибутов или имя, нельзя.
В зависимости от свойств выбранного настраиваемого атрибута безопасности можно изменить одно значение, выбрать значение из готового списка или изменить несколько значений.
После завершения выберите Сохранить.
Фильтрация приложений на основе настраиваемых атрибутов безопасности
Список настраиваемых атрибутов безопасности, назначенных приложениям, можно отфильтровать на странице "Все приложения ".
Войдите в Центр администрирования Microsoft Entra как минимум средство чтения назначений атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Выберите Добавить фильтры, чтобы открыть панель "Выбор поля".
Если вы не видите фильтры добавления, выберите баннер, чтобы включить предварительную версию поиска корпоративных приложений.
В разделе Фильтры выберите Настраиваемый атрибут безопасности.
Выберите набор атрибутов и имя атрибута.
В разделе Оператор можно выбрать вариант "равно" (==), "не равно" (!=) или начинается с.
В разделе Значение введите или выберите значение.
Нажмите кнопку Применить, чтобы применить фильтр.
Удаление настраиваемых назначений атрибутов безопасности для приложения
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Найдите и выберите приложение, для которого требуется удалить назначение настраиваемого атрибута безопасности.
В разделе "Управление" выберите настраиваемые атрибуты безопасности (предварительная версия).
Установите флажки для всех назначений настраиваемых атрибутов безопасности, которые необходимо удалить.
Выберите Удалить назначение.
PowerShell для Azure AD
Для управления пользовательскими назначениями атрибутов безопасности для приложений в организации Microsoft Entra можно использовать PowerShell. Для управления облачными службами Azure можно использовать перечисленные ниже команды.
Назначение настраиваемого атрибута безопасности с многостроовым значением приложению (субъект-служба) с помощью Azure AD PowerShell
Используйте команду Get-AzureADMSServicePrincipal, чтобы назначить приложению (субъекту-службе) настраиваемый атрибут безопасности с многострочным значением.
- Набор атрибутов:
Engineering
- Атрибут:
Project
- Тип данных атрибута: коллекция строк
- Значение атрибута:
("Baker","Cascade")
$attributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Baker","Cascade")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributes
Обновление настраиваемого атрибута безопасности с помощью многострочной строки для приложения (субъекта-службы) с помощью Azure AD PowerShell
Укажите новый набор значений атрибутов, которые вы хотите отразить в приложении. В этом примере мы добавим еще одно значение для атрибута проекта.
- Набор атрибутов:
Engineering
- Атрибут:
Project
- Тип данных атрибута: коллекция строк
- Значение атрибута:
("Alpine","Baker")
$attributesUpdate = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Alpine","Baker")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributesUpdate
Получение настраиваемых назначений атрибутов безопасности для приложения (субъекта-службы) с помощью Azure AD PowerShell
Используйте команду Get-AzureADMSServicePrincipal, чтобы получить назначенные приложению (субъекту-службе) настраиваемые атрибуты безопасности.
Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -Select "CustomSecurityAttributes, Id"
PowerShell для Microsoft Graph
Для управления назначениями настраиваемых атрибутов безопасности для приложений в организации Microsoft Entra можно использовать Microsoft Graph PowerShell. Для управления облачными службами Azure можно использовать перечисленные ниже команды.
Назначение пользовательского атрибута безопасности с многостроовым значением приложению (субъект-служба) с помощью Microsoft Graph PowerShell
Используйте команду Update-MgServicePrincipal, чтобы назначить настраиваемый атрибут безопасности с многострочное значение приложению (субъект-служба).
Учитывая значения
- Набор атрибутов:
Engineering
- Атрибут:
ProjectDate
- Тип данных атрибута: строка
- Значение атрибута:
"2024-11-15"
#Retrieve the servicePrincipal
$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" ="2024-11-15"
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Обновление настраиваемого атрибута безопасности с помощью многостроочного значения для приложения (субъекта-службы) с помощью Microsoft Graph PowerShell
Укажите новый набор значений атрибутов, которые вы хотите отразить в приложении. В этом примере мы добавим еще одно значение для атрибута проекта.
Учитывая значения
- Набор атрибутов:
Engineering
- Атрибут:
Project
- Тип данных атрибута: коллекция строк
- Значение атрибута:
["Baker","Cascade"]
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @(
"Baker"
"Cascade"
)
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Фильтрация приложений на основе настраиваемых атрибутов безопасности с помощью Microsoft Graph PowerShell
В этом примере фильтруется список приложений с назначением настраиваемых атрибутов безопасности, равным указанному значению.
$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}
Удаление пользовательских назначений атрибутов безопасности из приложений с помощью Microsoft Graph PowerShell
В этом примере мы удаляем настраиваемое назначение атрибута безопасности, поддерживающее отдельные значения.
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params
В этом примере мы удаляем настраиваемое назначение атрибута безопасности, поддерживающее несколько значений.
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
API Microsoft Graph
Для управления назначениями настраиваемых атрибутов безопасности для приложений в организации Microsoft Entra можно использовать API Microsoft Graph. Выполните следующие вызовы API для управления назначениями.
Другие аналогичные примеры API Microsoft Graph для пользователей см. в разделе "Назначение, обновление, обновление, список" или удаление настраиваемых атрибутов безопасности для пользователя и примеров. Назначение, обновление, список или удаление настраиваемых назначений атрибутов безопасности с помощью API Microsoft Graph.
Назначение пользовательского атрибута безопасности с многостроовым значением приложению (субъект-служба) с помощью API Microsoft Graph
Используйте API Update ServicePrincipal, чтобы назначить настраиваемый атрибут безопасности со строковым значением для приложения.
Учитывая значения
- Набор атрибутов:
Engineering
- Атрибут:
Project
- Тип данных атрибута: строка
- Значение атрибута:
"Baker"
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project": "Baker"
}
}
}
Обновление настраиваемого атрибута безопасности с помощью многостроочного значения для приложения (субъекта-службы) с помощью API Microsoft Graph
Укажите новый набор значений атрибутов, которые вы хотите отразить в приложении. В этом примере мы добавим еще одно значение для атрибута проекта.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project":["Baker","Cascade"]
}
}
}
Фильтрация приложений на основе настраиваемых атрибутов безопасности с помощью API Microsoft Graph
В этом примере фильтруется список приложений с назначением настраиваемых атрибутов безопасности, равным указанному значению. Значение фильтра учитывает регистр. Необходимо добавить ConsistencyLevel=eventual
в запрос или заголовок. Чтобы обеспечить правильную маршрутизацию запроса, необходимо также включить $count=true
.
GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual
Удаление настраиваемых назначений атрибутов безопасности из приложения с помощью API Microsoft Graph
В этом примере мы удаляем настраиваемое назначение атрибута безопасности, поддерживающее несколько значений.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project":[]
}
}
}