Správa vlastních atributů zabezpečení pro aplikaci

Vlastní atributy zabezpečení v Microsoft Entra ID jsou atributy specifické pro firmu (páry klíč-hodnota), které můžete definovat a přiřadit k objektům Microsoft Entra. Můžete například přiřadit vlastní atribut zabezpečení pro filtrování aplikací nebo určit, kdo získá přístup. Tento článek popisuje, jak přiřadit, aktualizovat, vypsat nebo odebrat vlastní atributy zabezpečení pro podnikové aplikace Microsoft Entra.

Požadavky

Pokud chcete přiřadit nebo odebrat vlastní atributy zabezpečení pro aplikaci v tenantovi Microsoft Entra, potřebujete:

• Účet Microsoft Entra s aktivním předplatným. Vytvoření účtu zdarma
• Role správce přiřazení atributů.
• Ujistěte se, že máte existující vlastní atributy zabezpečení. Informace o vytvoření atributu zabezpečení najdete v tématu Přidání nebo deaktivace vlastních atributů zabezpečení v Microsoft Entra ID.

Důležité

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.

Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů pro aplikaci

Naučte se pracovat s vlastními atributy pro aplikace v Microsoft Entra ID.

Přiřazení vlastních atributů zabezpečení k aplikaci

Pomocí následujících kroků přiřaďte vlastní atributy zabezpečení prostřednictvím Centra pro správu Microsoft Entra.

1. Přihlaste se do centra pro správu Microsoft Entra jako správce pro přiřazování atributů.

2. Přejděte dopodnikové aplikace>.

3. Najděte a vyberte aplikaci, do které chcete přidat vlastní atribut zabezpečení.

4. V části Spravovat vyberte Vlastní atributy zabezpečení.

5. Vyberte Přidat přiřazení.

6. V sadě atributů vyberte ze seznamu sadu atributů.

7. V Název atributu vyberte vlastní atribut zabezpečení v seznamu.

8. V závislosti na vlastnostech vybraného vlastního atributu zabezpečení můžete zadat jednu hodnotu, vybrat hodnotu z předdefinovaného seznamu nebo přidat více hodnot.

   • Pro volný tvar vlastní atributy zabezpečení s jednou hodnotou zadejte hodnotu do pole Přiřazené hodnoty .
   • Pro předdefinované vlastní hodnoty atributů zabezpečení vyberte hodnotu ze seznamu Přiřazené hodnoty .
   • U vlastních atributů zabezpečení s více hodnotami vyberte Přidat hodnoty a otevřete podokno Hodnoty atributů a přidejte hodnoty. Po přidání hodnot vyberte Hotovo.

   

9. Po dokončení vyberte Uložit a přiřaďte aplikaci vlastní atributy zabezpečení.

Aktualizace hodnot přiřazení vlastních atributů zabezpečení pro aplikaci

1. Přihlaste se do centra pro správu Microsoft Entra jako správce pro přiřazování atributů.

2. Přejděte dopodnikové aplikace>.

3. Vyhledejte a vyberte aplikaci, která má vlastní hodnotu přiřazení atributu zabezpečení, kterou chcete aktualizovat.

4. V části Spravovat vyberte Vlastní atributy zabezpečení.

5. Vyhledejte hodnotu přiřazení vlastního atributu zabezpečení, kterou chcete aktualizovat.

   Jakmile přiřadíte vlastní atribut zabezpečení aplikaci, můžete změnit pouze hodnotu vlastního atributu zabezpečení. Nemůžete změnit jiné vlastnosti vlastního atributu zabezpečení, jako je sada atributů nebo název vlastního atributu zabezpečení.

6. V závislosti na vlastnostech vybraného vlastního atributu zabezpečení můžete aktualizovat jednu hodnotu, vybrat hodnotu z předdefinovaného seznamu nebo aktualizovat více hodnot.

7. Jakmile budete hotovi, vyberte Uložit.

Filtrování aplikací na základě vlastních atributů zabezpečení

Seznam vlastních atributů zabezpečení přiřazených aplikacím můžete filtrovat na stránce Všechny aplikace .

1. Přihlaste se do administračního centra Microsoft Entra jako alespoň Čtenář přiřazení atributů.

2. Přejděte dopodnikové aplikace>.

3. Výběrem možnosti Přidat filtry otevřete podokno Vybrat pole.

   Pokud možnost Přidat filtry nevidíte, výběrem banneru povolte náhled hledání podnikových aplikací.

4. Pro filtry vyberte Vlastní atribut zabezpečení.

5. Vyberte sadu atributů a název atributu.

6. U operátoru můžete vybrat rovná se (==), nerovná se (!=) nebo začíná na.

7. Do pole Hodnota zadejte nebo vyberte hodnotu.

8. Pokud chcete filtr použít, vyberte Použít.

Odstraňte vlastní přiřazení atributů zabezpečení z aplikací

1. Přihlaste se do administrátorského centra Microsoft Entra jako administrátor přiřazování atributů.

2. Přejděte dopodnikové aplikace>.

3. Vyhledejte a vyberte aplikaci, která má přiřazení vlastních atributů zabezpečení, které chcete odebrat.

4. V části Spravovat vyberte Vlastní atributy zabezpečení (Preview).

5. Přidejte zaškrtávací políčka vedle všech vlastních přiřazení atributů zabezpečení, které chcete odebrat.

6. Vyberte Odebrat přiřazení.

Microsoft Graph PowerShell

Pokud chcete spravovat vlastní přiřazení atributů zabezpečení pro aplikace ve vaší organizaci Microsoft Entra, můžete použít Microsoft Graph PowerShell. Ke správě přiřazení je možné použít následující příkazy.

Přiřazení vlastního atributu zabezpečení s více řetězcovou hodnotou k aplikaci (instančnímu objektu) pomocí Microsoft Graph PowerShellu

Pomocí příkazu Update-MgServicePrincipal přiřaďte vlastní atribut zabezpečení s víceřetězcovou hodnotou ke službě (instanční objekt).

Vzhledem k hodnotám

• Sada atributů: Engineering
• Atribut: ProjectDate
• Datový typ atributu: String
• Hodnota atributu: "2024-11-15"

#Retrieve the servicePrincipal

$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" ="2024-11-15"
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Aktualizujte vlastní atribut zabezpečení s hodnotou více řetězců pro aplikaci (hlavní služba) pomocí Microsoft Graph PowerShell.

Zadejte novou sadu hodnot atributů, které chcete promítnout do aplikace. V tomto příkladu přidáváme jednu další hodnotu pro atribut projektu.

Vzhledem k hodnotám

• Sada atributů: Engineering
• Atribut: Project
• Datový typ atributu: Kolekce řetězců
• Hodnota atributu: ["Baker","Cascade"]

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @(
            "Baker"
            "Cascade"
        )
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Filtrování aplikací na základě vlastních atributů zabezpečení pomocí Microsoft Graph PowerShellu

Tento příklad vyfiltruje seznam aplikací s vlastním přiřazením atributu zabezpečení, které se rovná zadané hodnotě.

$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes  | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                       : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName              : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}

Odebrání vlastních přiřazení atributů zabezpečení z aplikací pomocí Microsoft Graph PowerShellu

V tomto příkladu odebereme přiřazení vlastního atributu zabezpečení, které podporuje jednotlivé hodnoty.

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params

V tomto příkladu odebereme přiřazení vlastního atributu zabezpečení, které podporuje více hodnot.

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Microsoft Graph API

Ke správě vlastních přiřazení atributů zabezpečení pro aplikace ve vaší organizaci Microsoft Entra můžete použít rozhraní Microsoft Graph API. Proveďte následující volání rozhraní API ke správě přiřazení.

Další podobné příklady rozhraní Microsoft Graph API pro uživatele najdete v tématu Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů zabezpečení pro uživatele a příklady: Přiřazení, aktualizace, výpis nebo odebrání vlastních přiřazení atributů zabezpečení pomocí rozhraní Microsoft Graph API.

Přiřazení vlastního atributu zabezpečení s více řetězcovou hodnotou k aplikaci (instančnímu objektu) pomocí rozhraní Microsoft Graph API

Pomocí rozhraní UPDATE servicePrincipal API přiřaďte vlastní atribut zabezpečení s řetězcovou hodnotou k aplikaci.

Vzhledem k hodnotám

• Sada atributů: Engineering
• Atribut: Project
• Datový typ atributu: String
• Hodnota atributu: "Baker"

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project": "Baker"
        }
    }
}

Aktualizace vlastního atributu zabezpečení s více řetězcovou hodnotou pro aplikaci (instanční objekt) pomocí rozhraní Microsoft Graph API

Zadejte novou sadu hodnot atributů, které chcete promítnout do aplikace. V tomto příkladu přidáváme jednu další hodnotu pro atribut projektu.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Filtrování aplikací na základě vlastních atributů zabezpečení pomocí rozhraní Microsoft Graph API

Tento příklad vyfiltruje seznam aplikací s vlastním přiřazením atributu zabezpečení, které se rovná zadané hodnotě. V hodnotě filtru se rozlišují malá a velká písmena. Musíte přidat ConsistencyLevel=eventual do požadavku nebo do hlavičky. Musíte také zahrnout $count=true , abyste měli jistotu, že je požadavek správně směrován.

GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual

Odebrání vlastních přiřazení atributů zabezpečení z aplikace pomocí rozhraní API Microsoft Graph

V tomto příkladu odebereme přiřazení vlastního atributu zabezpečení, které podporuje více hodnot.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Další kroky

• Přidání nebo deaktivace vlastních atributů zabezpečení v Microsoft Entra ID
• Přiřazení, aktualizace, výpis nebo odebrání vlastních atributů zabezpečení pro uživatele
• Řešení potíží s vlastními atributy zabezpečení v Microsoft Entra ID