Dela via

Lägga till eller inaktivera anpassade säkerhetsattributdefinitioner i Microsoft Entra-ID

  • Artikel

Anpassade säkerhetsattribut i Microsoft Entra-ID är affärsspecifika attribut (nyckel/värde-par) som du kan definiera och tilldela till Microsoft Entra-objekt. Den här artikeln beskriver hur du lägger till, redigerar eller inaktiverar definitioner för anpassade säkerhetsattribut.

Förutsättningar

Om du vill lägga till eller inaktivera definitioner för anpassade säkerhetsattribut måste du ha:

Viktig

Som standard har globala administratören och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Lägga till en attributuppsättning

Tips

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

En attributuppsättning är en samling relaterade attribut. Alla anpassade säkerhetsattribut måste ingå i en attributuppsättning. Det går inte att byta namn på eller ta bort attributuppsättningar.

  1. Logga in i Microsoft Entras administrationscenter som Attributdefinitionsadministratör.

  2. Navigera till Protection>Anpassade säkerhetsattribut.

  3. Välj Lägg till attributuppsättning för att lägga till en ny attributuppsättning.

    Om Lägg till attributuppsättning är inaktiverad kontrollerar du att du har tilldelats rollen Administratör för attributdefinition. Mer information finns i Felsöka anpassade säkerhetsattribut.

  4. Ange ett namn, en beskrivning och ett maximalt antal attribut.

    Ett attributuppsättningsnamn kan vara 32 tecken utan blanksteg eller specialtecken. När du har angett ett namn kan du inte byta namn på det. Mer information finns i Gränser och begränsningar.

    Skärmdump av fönstret Ny attributuppsättning i administrationscentret för Microsoft Entra.

  5. När du är klar väljer du Lägg till.

    Den nya attributuppsättningen visas i listan över attributuppsättningar.

Lägga till en definition för anpassade säkerhetsattribut

  1. Logga in på administrationscentret för Microsoft Entra som Attributdefinitionsadministratör.

  2. Bläddra till Protection>Anpassade säkerhetsattribut.

  3. På sidan Anpassade säkerhetsattribut letar du upp en befintlig attributuppsättning eller väljer Lägg till attributuppsättning för att lägga till en ny attributuppsättning.

    Alla definitioner för anpassade säkerhetsattribut måste ingå i en attributuppsättning.

  4. Välj för att öppna den valda attributuppsättningen.

  5. Välj Lägg till attribut för att lägga till ett nytt anpassat säkerhetsattribut i attributuppsättningen.

    Skärmbild av Nytt attribut-fönstret i Microsoft Entra-administrationscentret.

  6. I rutan Attributnamn anger du ett anpassat namn på ett säkerhetsattribut.

    Ett anpassat säkerhetsattributnamn kan vara 32 tecken utan blanksteg eller specialtecken. När du har angett ett namn kan du inte byta namn på det. Mer information finns i Gränser och begränsningar.

  7. I rutan Beskrivning anger du en valfri beskrivning.

    En beskrivning kan vara 128 tecken lång. Om det behövs kan du senare ändra beskrivningen.

  8. I listan Datatyp väljer du datatypen för det anpassade säkerhetsattributet.

    Datatyp Beskrivning
    Boolesk Ett booleskt värde som kan vara sant, Sant, falskt eller Falskt.
    Heltal Ett 32-bitars heltal.
    Sträng En sträng som kan vara X-tecken lång.

  9. För Tillåt att flera värden tilldelasväljer du Ja eller Nej.

    Välj Ja för att tillåta att flera värden tilldelas till det här anpassade säkerhetsattributet. Välj Ingen om du bara vill tillåta att ett enda värde tilldelas till det här anpassade säkerhetsattributet.

  10. För Tillåt endast att fördefinierade värden tilldelasväljer du Ja eller Nej.

    Välj Ja för att kräva att det här anpassade säkerhetsattributet tilldelas värden från en fördefinierad värdelista. Välj Inga för att tillåta att det här anpassade säkerhetsattributet tilldelas användardefinierade värden eller potentiellt fördefinierade värden.

  11. Om Tillåt endast att fördefinierade värden tilldelas är Javäljer du Lägg till värde för att lägga till fördefinierade värden.

    Ett aktivt värde är tillgängligt för tilldelning till objekt. Ett värde som inte är aktivt definieras, men som ännu inte är tillgängligt för tilldelning.

    Skärmbild av fönstret Nytt attribut med fönstret Lägg till fördefinierade värden i administrationscentret för Microsoft Entra.

  12. När du är klar väljer du Spara.

    Det nya anpassade säkerhetsattributet visas i listan över anpassade säkerhetsattribut.

  13. Om du vill inkludera fördefinierade värden följer du stegen i nästa avsnitt.

Redigera en definition för anpassade säkerhetsattribut

När du har lagt till en ny definition för anpassade säkerhetsattribut kan du senare redigera några av egenskaperna. Vissa egenskaper är oföränderliga och kan inte ändras.

  1. Logga in på administrationscentret för Microsoft Entra som Attributdefinitionsadministratör.

  2. Bläddra till Protection>Anpassade säkerhetsattribut.

  3. Välj den attributuppsättning som innehåller det anpassade säkerhetsattributet som du vill redigera.

  4. I listan över anpassade säkerhetsattribut väljer du ellipsen för det anpassade säkerhetsattribut som du vill redigera och väljer sedan Redigera attribut.

  5. Redigera de egenskaper som är aktiverade.

  6. Om Tillåt endast att fördefinierade värden tilldelas är Javäljer du Lägg till värde för att lägga till fördefinierade värden. Välj ett befintligt fördefinierat värde för att ändra Är aktiv? inställning.

    Skärmbild av panelen för att lägga till fördefinierade värden i administrationscentret för Microsoft Entra.

Inaktivera en definition för anpassade säkerhetsattribut

När du har lagt till en definition för anpassade säkerhetsattribut kan du inte ta bort den. Du kan dock inaktivera en anpassad definition av säkerhetsattribut.

  1. Logga in på administrationscentret för Microsoft Entra som Attributdefinitionsadministratör.

  2. Bläddra till Protection>Anpassade säkerhetsattribut.

  3. Välj den attributuppsättning som innehåller det anpassade säkerhetsattributet som du vill inaktivera.

  4. I listan över anpassade säkerhetsattribut lägger du till en bockmarkering bredvid det anpassade säkerhetsattribut som du vill inaktivera.

  5. Välj Inaktivera attribut.

  6. I dialogrutan Inaktivera attribut som visas väljer du Ja.

    Det anpassade säkerhetsattributet inaktiveras och flyttas till listan Inaktiverade attribut.

PowerShell eller Microsoft Graph API

Om du vill hantera anpassade definitioner av säkerhetsattribut i din Microsoft Entra-organisation kan du också använda PowerShell eller Microsoft Graph API. I följande exempel hanteras attributuppsättningar och definitioner av anpassade säkerhetsattribut.

Hämta alla attributuppsättningar

I följande exempel hämtas alla attributuppsättningar.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Description          : Attributes for marketing team
Id                   : Marketing
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Hämta de främsta attributuppsättningarna

I följande exempel hämtas de viktigaste attributuppsättningarna.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Top 10

Hämta attributuppsättningar i ordning

I följande exempel hämtas attributuppsättningar i ordning.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Sort "Id"

Hämta en attributuppsättning

I följande exempel hämtas en attributuppsättning.

  • Attributuppsättning: Engineering

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}

Lägga till en attributuppsättning

I följande exempel läggs en ny attributuppsättning till.

  • Attributuppsättning: Engineering

New-MgDirectoryAttributeSet

$params = @{
    Id = "Engineering"
    Description = "Attributes for engineering team"
    MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params

Id          Description                     MaxAttributesPerSet
--          -----------                     -------------------
Engineering Attributes for engineering team 25

Uppdatera en attributuppsättning

I följande exempel uppdateras en attributuppsättning.

  • Attributuppsättning: Engineering

Update-MgDirectoryAttributeSet

$params = @{
    description = "Attributes for engineering team"
    maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params

Hämta alla definitioner för anpassade säkerhetsattribut

I följande exempel hämtas alla definitioner av anpassade säkerhetsattribut.

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Marketing
Description             : Country where is application is used
Id                      : Marketing_AppCountry
IsCollection            : True
IsSearchable            : True
Name                    : AppCountry
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Filtrera definitioner för anpassade säkerhetsattribut

I följande exempel filtreras definitioner av anpassade säkerhetsattribut.

  • Filter: Attributnamnet är 'Project' och status är 'Tillgänglig'

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}
  • Filter: Attributuppsättning lika med 'Engineering' och status lika med 'Tillgänglig' och datatyp lika med 'String'

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Hämta en definition för anpassade säkerhetsattribut

I följande exempel hämtas en definition av anpassade säkerhetsattribut.

  • Attributuppsättning: Engineering
  • Attribut: ProjectDate

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Lägga till en definition för anpassade säkerhetsattribut

I följande exempel läggs en ny definition av anpassade säkerhetsattribut till.

  • Attributuppsättning: Engineering
  • Attribut: ProjectDate
  • Attributdatatyp: Sträng

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Target completion date"
    isCollection = $false
    isSearchable = $true
    name = "ProjectDate"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Lägg till en anpassad definition av säkerhetsattribut som stöder flera fördefinierade värden

I följande exempel läggs en ny definition av anpassade säkerhetsattribut som stöder flera fördefinierade värden.

  • Attributuppsättning: Engineering
  • Attribut: Project
  • Attributdatatyp: Samling strängar

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Lägga till en definition av anpassade säkerhetsattribut med en lista över fördefinierade värden

I följande exempel läggs en ny definition av anpassade säkerhetsattribut till med en lista över fördefinierade värden.

  • Attributuppsättning: Engineering
  • Attribut: Project
  • Attributdatatyp: Samling strängar
  • Fördefinierade värden: Alpine, Baker, Cascade

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
    allowedValues = @(
        @{
            id = "Alpine"
            isActive = $true
        }
        @{
            id = "Baker"
            isActive = $true
        }
        @{
            id = "Cascade"
            isActive = $true
        }
    )
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Uppdatera en definition för anpassade säkerhetsattribut

I följande exempel uppdateras en definition av anpassade säkerhetsattribut.

  • Attributuppsättning: Engineering
  • Attribut: ProjectDate

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Uppdatera de fördefinierade värdena för en definition av anpassade säkerhetsattribut

I följande exempel uppdateras de fördefinierade värdena för en definition av anpassade säkerhetsattribut.

  • Attributuppsättning: Engineering
  • Attribut: Project
  • Attributdatatyp: Samling strängar
  • Uppdatera fördefinierade värden: Baker
  • Nytt fördefinierat värde: Skagit

Invoke-MgGraphRequest

Obs

För den här begäran måste du lägga till OData-Version-huvudet och tilldela den värdet 4.01.

$params = @{
    "allowedValues@delta" = @(
        @{
            id = "Baker"
            isActive = $false
        }
        @{
            id = "Skagit"
            isActive = $true
        }
    )
}
$header = @{
    "OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params

Inaktivera en definition för anpassade säkerhetsattribut

I följande exempel inaktiveras en definition av anpassade säkerhetsattribut.

  • Attributuppsättning: Engineering
  • Attribut: Project

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Hämta alla fördefinierade värden

I följande exempel hämtas alla fördefinierade värden för en definition av anpassade säkerhetsattribut.

  • Attributuppsättning: Engineering
  • Attribut: Project

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List

Id                   : Skagit
IsActive             : True
AdditionalProperties : {}

Id                   : Baker
IsActive             : False
AdditionalProperties : {}

Id                   : Cascade
IsActive             : True
AdditionalProperties : {}

Id                   : Alpine
IsActive             : True
AdditionalProperties : {}

Hämta ett fördefinierat värde

I följande exempel hämtas ett fördefinierat värde för en definition av anpassade säkerhetsattribut.

  • Attributuppsättning: Engineering
  • Attribut: Project
  • Fördefinierat värde: Alpine

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Lägga till ett fördefinierat värde

I följande exempel läggs ett fördefinierat värde till för en definition av anpassade säkerhetsattribut.

Du kan lägga till fördefinierade värden för anpassade säkerhetsattribut som har usePreDefinedValuesOnly inställt på true.

  • Attributuppsättning: Engineering
  • Attribut: Project
  • Fördefinierat värde: Alpine

New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    id = "Alpine"
    isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Inaktivera ett fördefinierat värde

I följande exempel inaktiveras ett fördefinierat värde för en definition av anpassade säkerhetsattribut.

  • Attributuppsättning: Engineering
  • Attribut: Project
  • Fördefinierat värde: Alpine

Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params

Vanliga frågor och svar

Kan du ta bort definitioner för anpassade säkerhetsattribut?

Nej, du kan inte ta bort definitioner för anpassade säkerhetsattribut. Du kan bara inaktivera definitioner för anpassade säkerhetsattribut. När du inaktiverar ett anpassat säkerhetsattribut kan det inte längre tillämpas på Microsoft Entra-objekten. Anpassade tilldelningar av säkerhetsattribut för den inaktiverade definitionen av anpassade säkerhetsattribut tas inte bort automatiskt. Det finns ingen gräns för antalet inaktiverade anpassade säkerhetsattribut. Du kan ha 500 aktiva definitioner för anpassade säkerhetsattribut per klientorganisation med 100 tillåtna fördefinierade värden per definition av anpassade säkerhetsattribut.

Nästa steg