Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Benutzerdefinierte Sicherheitsattribute in Der Microsoft Entra-ID sind geschäftsspezifische Attribute (Schlüsselwertpaare), die Sie Microsoft Entra-Objekten definieren und zuweisen können. Beispielsweise können Sie ein benutzerdefiniertes Sicherheitsattribut zuweisen, um Ihre Anwendungen zu filtern oder um zu bestimmen, wer Zugriff erhält. In diesem Artikel erfahren Sie, wie Sie benutzerdefinierte Sicherheitsattribute für Microsoft Entra-Unternehmensanwendungen zuweisen, aktualisieren, auflisten oder entfernen.
Voraussetzungen
Zum Zuweisen oder Entfernen benutzerdefinierter Sicherheitsattribute für eine Anwendung in Ihrem Microsoft Entra-Mandanten benötigen Sie Folgendes:
- Ein Microsoft Entra-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.
- Rolle "Attributzuweisungs-Administrator"
- Stellen Sie sicher, dass Sie über vorhandene benutzerdefinierte Sicherheitsattribute verfügen. Informationen zum Erstellen eines Sicherheitsattributes finden Sie unter Hinzufügen oder Deaktivieren von benutzerdefinierten Sicherheitsattributen in microsoft Entra ID.
Wichtig
Standardmäßig besitzen globale Administrator - und andere Administratorrollen keine Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.
Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Attributen für eine Anwendung
Erfahren Sie, wie Sie mit benutzerdefinierten Attributen für Anwendungen in Microsoft Entra ID arbeiten.
Zuweisen benutzerdefinierter Sicherheitsattribute zu einer Anwendung
Führen Sie die folgenden Schritte aus, um benutzerdefinierte Sicherheitsattribute über das Microsoft Entra Admin Center zuzuweisen.
Melden Sie sich beim Microsoft Entra Admin Center als Attributzuweisungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps.
Suchen Sie die Anwendung, der Sie ein benutzerdefiniertes Sicherheitsattribut hinzufügen möchten, und wählen Sie sie aus.
Wählen Sie im Abschnitt "Verwalten" die Option "Benutzerdefinierte Sicherheitsattribute" aus.
Wählen Sie "Aufgabe hinzufügen" aus.
Wählen Sie im Attributsatz einen Attributsatz aus der Liste aus.
Wählen Sie im Attributnamen ein benutzerdefiniertes Sicherheitsattribute aus der Liste aus.
Abhängig von den Eigenschaften des ausgewählten benutzerdefinierten Sicherheitsattributs können Sie einen einzelnen Wert eingeben, einen Wert aus einer vordefinierten Liste auswählen oder mehrere Werte hinzufügen.
- Geben Sie für freiforme, einwertige benutzerdefinierte Sicherheitsattribute einen Wert im Feld Zugewiesene Werte ein.
- Wählen Sie für vordefinierte benutzerdefinierte Sicherheitsattributewerte einen Wert aus der Liste "Zugewiesene Werte " aus.
- Wählen Sie für mehrwertige benutzerdefinierte Sicherheitsattribute " Werte hinzufügen " aus, um den Bereich " Attributwerte " zu öffnen und Ihre Werte hinzuzufügen. Wenn Sie mit dem Hinzufügen von Werten fertig sind, wählen Sie "Fertig" aus.
Wählen Sie abschließend "Speichern" aus, um der Anwendung die benutzerdefinierten Sicherheitsattribute zuzuweisen.
Aktualisieren benutzerdefinierter Werte für die Zuweisung von Sicherheitsattributen für eine Anwendung
Melden Sie sich beim Microsoft Entra Admin Center als Attributzuweisungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps.
Suchen Sie die Anwendung mit einem benutzerdefinierten Sicherheitsattributzuweisungswert, den Sie aktualisieren möchten, und wählen Sie sie aus.
Wählen Sie im Abschnitt "Verwalten" die Option "Benutzerdefinierte Sicherheitsattribute" aus.
Suchen Sie den Zuweisungswert des benutzerdefinierten Sicherheitsattributs, den Sie aktualisieren möchten.
Sobald Sie einer Anwendung ein benutzerdefiniertes Sicherheitsattribut zugewiesen haben, können Sie den Wert des benutzerdefinierten Sicherheitsattributs nur noch ändern. Sie können keine anderen Eigenschaften des benutzerdefinierten Sicherheitsattributs ändern, z. B. Attributsatz oder benutzerdefinierter Name des Sicherheitsattributs.
Abhängig von den Eigenschaften des ausgewählten benutzerdefinierten Sicherheitsattributs können Sie einen einzelnen Wert aktualisieren, einen Wert aus einer vordefinierten Liste auswählen oder mehrere Werte aktualisieren.
Wenn Sie fertig sind, wählen Sie "Speichern" aus.
Filtern von Anwendungen basierend auf benutzerdefinierten Sicherheitsattributen
Sie können die Liste der benutzerdefinierten Sicherheitsattribute filtern, die Anwendungen auf der Seite "Alle Anwendungen " zugewiesen sind.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Leser von Attributzuweisungen an.
Navigieren Sie zu Entra ID>Enterprise-Apps.
Wählen Sie "Filter hinzufügen" aus, um den Bereich "Feld auswählen" zu öffnen.
Wenn " Filter hinzufügen" nicht angezeigt wird, wählen Sie das Banner aus, um die Suchvorschau für Unternehmensanwendungen zu aktivieren.
Wählen Sie für "Filter"das Attribut "Benutzerdefinierte Sicherheit" aus.
Wählen Sie den Attributsatz und den Attributnamen aus.
Bei Operator können Sie gleich (==), nicht gleich (!=) oder beginnt mit auswählen.
Geben Sie für "Wert" einen Wert ein, oder wählen Sie ihn aus.
Um den Filter anzuwenden, wählen Sie Anwenden aus.
Entfernen benutzerdefinierter Zuweisungen von Sicherheitsattributen aus Anwendungen
Melden Sie sich beim Microsoft Entra Admin Center als Attributzuweisungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps.
Suchen Sie die Anwendung mit den benutzerdefinierten Zuweisungen von Sicherheitsattributen, die Sie entfernen möchten, und wählen Sie sie aus.
Wählen Sie im Abschnitt "Verwalten " die Option "Benutzerdefinierte Sicherheitsattribute" (Vorschau) aus.
Fügen Sie neben allen benutzerdefinierten Sicherheitsattributzuweisungen, die Sie entfernen möchten, Häkchen hinzu.
Wählen Sie "Aufgabe entfernen" aus.
Microsoft Graph PowerShell
Um benutzerdefinierte Sicherheitsattributzuweisungen für Anwendungen in Ihrer Microsoft Entra-Organisation zu verwalten, können Sie Microsoft Graph und PowerShell verwenden. Die folgenden Befehle können zum Verwalten von Zuweisungen verwendet werden.
Zuweisen eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen zu einer Anwendung (Dienstprinzipal) mit Microsoft Graph PowerShell
Verwenden Sie den Befehl "Update-MgServicePrincipal ", um einem Anwendung (Dienstprinzipal) ein benutzerdefiniertes Sicherheitsattribute mit einem mehrwertigen Wert zuzuweisen.
Angesichts der Werte
- Attributsatz:
Engineering - Attribut:
ProjectDate - Attributdatentyp: Zeichenfolge
- Attributwert:
"2024-11-15"
#Retrieve the servicePrincipal
$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" ="2024-11-15"
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Aktualisieren eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen für eine Anwendung (Dienstprinzipal) mit Microsoft Graph PowerShell
Stellen Sie den neuen Satz von Attributwerten bereit, den Sie in der Anwendung berücksichtigen möchten. In diesem Beispiel fügen wir einen weiteren Wert für das Attribut „Projekt“ hinzu.
Angesichts der Werte
- Attributsatz:
Engineering - Attribut:
Project - Attributdatentyp: Auflistung von Zeichenfolgen
- Attributwert:
["Baker","Cascade"]
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @(
"Baker"
"Cascade"
)
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Filtern von Anwendungen basierend auf benutzerdefinierten Sicherheitsattributen mit Microsoft Graph PowerShell
In diesem Beispiel wird eine Liste von Anwendungen mit einer Zuweisung von benutzerdefinierten Sicherheitsattributen gefiltert, die dem angegebenen Wert entspricht.
$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}
Entfernen benutzerdefinierter Zuweisungen von Sicherheitsattributen aus Anwendungen mit Microsoft Graph PowerShell
In diesem Beispiel entfernen wir die Zuweisung eines benutzerdefinierten Sicherheitsattributs, das einzelne Werte unterstützt.
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params
In diesem Beispiel entfernen wir die Zuweisung eines benutzerdefinierten Sicherheitsattributs, das mehrere Werte unterstützt.
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Microsoft Graph-API
Um benutzerdefinierte Sicherheitsattributzuweisungen für Anwendungen in Ihrer Microsoft Entra-Organisation zu verwalten, können Sie die Microsoft Graph-API verwenden. Führen Sie die folgenden API-Aufrufe zum Verwalten von Zuweisungen durch.
Weitere ähnliche Microsoft Graph-API-Beispiele für Benutzer finden Sie unter Zuweisen, Aktualisieren, Listen oder Entfernen von benutzerdefinierten Sicherheitsattributen für einen Benutzer und Beispiele: Zuweisen, Aktualisieren, Listen oder Entfernen von benutzerdefinierten Sicherheitsattributen mithilfe der Microsoft Graph-API.
Zuweisen eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen zu einer Anwendung (Dienstprinzipal) mit der Microsoft Graph API
Verwenden Sie die Update servicePrincipal-API , um einer Anwendung ein benutzerdefiniertes Sicherheitsattribute mit einem Zeichenfolgenwert zuzuweisen.
Angesichts der Werte
- Attributsatz:
Engineering - Attribut:
Project - Attributdatentyp: Zeichenfolge
- Attributwert:
"Baker"
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project": "Baker"
}
}
}
Aktualisieren eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen für eine Anwendung (Dienstprinzipal) mit der Microsoft Graph API
Stellen Sie den neuen Satz von Attributwerten bereit, den Sie in der Anwendung berücksichtigen möchten. In diesem Beispiel fügen wir einen weiteren Wert für das Attribut „Projekt“ hinzu.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project":["Baker","Cascade"]
}
}
}
Filtern von Anwendungen basierend auf benutzerdefinierten Sicherheitsattributen mit der Microsoft Graph API
In diesem Beispiel wird eine Liste von Anwendungen mit einer Zuweisung von benutzerdefinierten Sicherheitsattributen gefiltert, die dem angegebenen Wert entspricht. Beim Filterwert muss die Groß-/Kleinschreibung beachtet werden. Sie müssen ConsistencyLevel=eventual in der Anforderung oder im Header hinzufügen. Außerdem muss $count=true eingeschlossen werden, um sicherzustellen, dass die Anforderung ordnungsgemäß weitergeleitet wird.
GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual
Entfernen von Zuweisungen benutzerdefinierter Sicherheitsattribute aus einer Anwendung mit der Microsoft Graph API
In diesem Beispiel entfernen wir die Zuweisung eines benutzerdefinierten Sicherheitsattributs, das mehrere Werte unterstützt.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project":[]
}
}
}
Nächste Schritte
- Hinzufügen oder Deaktivieren von benutzerdefinierten Sicherheitsattributen in der Microsoft Entra-ID
- Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen für einen Benutzer
- Behandeln von Problemen mit benutzerdefinierten Sicherheitsattributen in microsoft Entra ID