Ajouter ou désactiver des définitions d'attributs de sécurité personnalisés dans Microsoft Entra ID
Les attributs de sécurité personnalisés dans Microsoft Entra ID sont des attributs spécifiques à l'entreprise (paires clé-valeur) que vous pouvez définir et attribuer aux objets Microsoft Entra. Cet article explique comment ajouter, modifier ou désactiver des définitions d’attribut de sécurité personnalisé.
Prérequis
Pour ajouter ou désactiver des définitions d’attribut de sécurité personnalisé, vous devez disposer des ressources suivantes :
- Administrateur de définition d’attribut
- Module Microsoft.Graph en tirant parti de Microsoft Graph PowerShell
- AzureADPreview version 2.0.2.138 ou ultérieure lors de l’utilisation d’Azure AD PowerShell
Important
Par défaut, les rôles Administrateur général et d’autres d’administrateur ne sont pas autorisés à lire, à définir ou à assigner des attributs de sécurité personnalisés.
Ajouter un ensemble d’attributs
Conseil
Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.
Un ensemble d’attributs est une collection d’attributs connexes. Tous les attributs de sécurité personnalisés doivent faire partie d’un ensemble d’attributs. Il n’est pas possible de renommer ou de supprimer des ensembles d’attributs.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Accédez à Protection>Attributs de sécurité personnalisés.
Cliquez sur Ajouter un ensemble d’attributs pour ajouter un nouvel ensemble d’attributs.
Si l’option Ajouter un ensemble d’attributs est désactivée, assurez-vous que le rôle Administrateur de définition d’attribut vous est attribué. Pour plus d’informations, consultez Résoudre des problèmes liés aux attributs de sécurité personnalisés.
Entrez un nom, une description et un nombre maximal d’attributs.
Un nom d’ensemble d’attributs peut compter 32 caractères sans espaces ou caractères spéciaux. Une fois que vous avez spécifié un nom, vous ne pouvez pas le modifier. Pour plus d’informations, consultez Limites et contraintes.
Lorsque vous avez terminé, cliquez sur Ajouter.
Le nouvel ensemble d’attributs apparaît dans la liste des ensembles d’attributs.
Ajouter une définition d’attribut de sécurité personnalisé
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Accédez à Protection>Attributs de sécurité personnalisés.
Dans la page Attributs de sécurité personnalisés, recherchez un ensemble d’attributs existant ou cliquez sur Ajouter un ensemble d’attributs pour ajouter un nouvel ensemble d’attributs.
Toutes les définitions d’attribut de sécurité personnalisé doivent faire partie d’un jeu d’attributs.
Cliquez pour ouvrir l’ensemble d’attributs sélectionné.
Cliquez sur Ajouter un attribut pour ajouter un nouvel attribut de sécurité personnalisé à l’ensemble d’attributs.
Dans la zone Nom de l’attribut, entrez un nom d’attribut de sécurité personnalisé.
Un nom d’attribut de sécurité personnalisé peut compter 32 caractères sans espaces ou caractères spéciaux. Une fois que vous avez spécifié un nom, vous ne pouvez pas le modifier. Pour plus d’informations, consultez Limites et contraintes.
Dans la zone Description, entrez une description facultative.
La description peut compter 128 caractères. Si nécessaire, vous pouvez modifier la description ultérieurement.
Dans la liste Type de données, sélectionnez le type de données de l’attribut de sécurité personnalisé.
Type de données Description Boolean Valeur booléenne qui peut être True (vraie) ou False (fausse). Integer Nombre entier 32 bits. String Chaîne pouvant compter X caractères. Pour Autoriser l’attribution de plusieurs valeurs, sélectionnez Oui ou Non.
Sélectionnez Oui pour autoriser l’attribution de plusieurs valeurs à cet attribut de sécurité personnalisé. Sélectionnez Non pour n’autoriser l’attribution que d’une seule valeur à cet attribut de sécurité personnalisé.
Pour Autoriser uniquement l’attribution de valeurs prédéfinies, sélectionnez Oui ou Non.
Sélectionnez Oui pour exiger l’attribution à cet attribut de sécurité personnalisé de valeurs extraites d’une liste de valeurs prédéfinies. Sélectionnez Non pour n’autoriser l’attribution à cet attribut de sécurité personnalisé que de valeurs définies par l’utilisateur ou potentiellement prédéfinies.
Si l’option Autoriser uniquement l’attribution de valeurs prédéfinies est définie sur Oui, cliquez sur Ajouter une valeur pour ajouter des valeurs prédéfinies.
Une valeur active peut être attribuée à des objets. Une valeur non active est définie, mais elle n’est pas encore disponible pour attribution.
Lorsque vous avez terminé, cliquez sur Enregistrer.
Le nouvel attribut de sécurité personnalisé s’affiche dans la liste des attributs de sécurité personnalisés.
Si vous souhaitez inclure des valeurs prédéfinies, suivez les étapes décrites dans la section suivante.
Modifier une définition d’attribut de sécurité personnalisé
Une fois que vous avez ajouté une nouvelle définition d’attribut de sécurité personnalisé, vous pouvez modifier certaines de ses propriétés. Certaines propriétés sont immuables et ne peuvent pas être modifiées.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Accédez à Protection>Attributs de sécurité personnalisés.
Cliquez sur l’ensemble d’attributs qui comprend l’attribut de sécurité personnalisé que vous souhaitez modifier.
Dans la liste des attributs de sécurité personnalisés, cliquez sur l’ellipse de l’attribut de sécurité personnalisé que vous souhaitez modifier, puis sélectionnez Modifier l’attribut.
Modifiez les propriétés activées.
Si l’option Autoriser uniquement l’attribution de valeurs prédéfinies est définie sur Oui, cliquez sur Ajouter une valeur pour ajouter des valeurs prédéfinies. Cliquez sur une valeur prédéfinie pour modifier le paramètre Est active ?.
Désactiver une définition d’attribut de sécurité personnalisé
Une fois que vous avez ajouté une définition d’attribut de sécurité personnalisé, vous ne pouvez plus le supprimer. En revanche, vous pouvez désactiver une définition d’attribut de sécurité personnalisé.
Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur de la définition des attributs.
Accédez à Protection>Attributs de sécurité personnalisés.
Cliquez sur l’ensemble d’attributs incluant l’attribut de sécurité personnalisé que vous souhaitez désactiver.
Dans la liste des attributs de sécurité personnalisés, ajoutez une coche en regard de l’attribut de sécurité personnalisé que vous souhaitez désactiver.
Cliquez sur Désactiver l’attribut.
Dans la boîte de dialogue Désactiver l’attribut qui s’affiche, cliquez sur Oui.
L’attribut de sécurité personnalisé est désactivé et déplacé vers la liste des attributs désactivés.
PowerShell ou API Microsoft Graph
Pour gérer les définitions d’attribut de sécurité personnalisé de votre organisation Microsoft Entra, vous pouvez également utiliser PowerShell ou l’API Microsoft Graph. Les exemples suivants gèrent les jeux d’attributs et les définitions d’attribut de sécurité personnalisé.
Obtenir tous les ensembles d’attributs
L’exemple suivant obtient tous les jeux d’attributs.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Obtenir les principaux ensembles d’attributs
L’exemple suivant obtient les principaux jeux d’attributs.
Get-MgDirectoryAttributeSet -Top 10
Obtenir les ensembles d’attributs dans l’ordre
L’exemple suivant obtient les jeux d’attributs dans l’ordre.
Get-MgDirectoryAttributeSet -Sort "Id"
Obtenir un ensemble d’attributs
L’exemple suivant obtient un jeu d’attributs.
- Ensemble d’attributs :
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Ajouter un ensemble d’attributs
L’exemple suivant ajoute un nouveau jeu d’attributs.
- Ensemble d’attributs :
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Mettre à jour un ensemble d’attributs
L’exemple suivant met à jour un jeu d’attributs.
- Ensemble d’attributs :
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Obtenir toutes les définitions d’attribut de sécurité personnalisé
L’exemple suivant obtient toutes les définitions d’attribut de sécurité personnalisé.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtrer les définitions d’attribut de sécurité personnalisé
Les exemples suivants filtrent les définitions d’attribut de sécurité personnalisé.
- Filtre : nom d’attribut tel que « Projet », et état tel que « Disponible »
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtre : ensemble d’attributs tel que « Ingénierie », état tel que « Disponible », et type de données tel que « Chaîne »
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Obtenir une définition d’attribut de sécurité personnalisé
L’exemple suivant obtient une définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Ajouter une définition d’attribut de sécurité personnalisé
L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
ProjectDate - Type de données d’attribut : Chaîne
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Ajouter une définition d’attribut de sécurité personnalisé prenant en charge plusieurs valeurs prédéfinies
L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisé qui prend en charge plusieurs valeurs prédéfinies.
- Ensemble d’attributs :
Engineering - Attribut :
Project - Type de données d’attribut : Collection de chaînes
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Ajouter une définition d’attribut de sécurité personnalisé avec une liste de valeurs prédéfinies
L’exemple suivant ajoute une nouvelle définition d’attribut de sécurité personnalisé avec une liste de valeurs prédéfinies.
- Ensemble d’attributs :
Engineering - Attribut :
Project - Type de données d’attribut : Collection de chaînes
- Valeurs prédéfinies :
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Mettre à jour une définition d’attribut de sécurité personnalisé
L’exemple suivant met à jour une définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Mettre à jour les valeurs prédéfinies d’une définition d’attribut de sécurité personnalisé
L’exemple suivant met à jour les valeurs prédéfinies d’une définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
Project - Type de données d’attribut : Collection de chaînes
- Mettre à jour une valeur prédéfinie :
Baker - Nouvelle valeur prédéfinie :
Skagit
Notes
Pour cette requête, vous devez ajouter l’en-tête OData-Version et lui assigner la valeur 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Désactiver une définition d’attribut de sécurité personnalisé
L’exemple suivant désactive une définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Obtenir toutes les valeurs prédéfinies
L’exemple suivant obtient toutes les valeurs prédéfinies d’une définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Obtenir une valeur prédéfinie
L’exemple suivant obtient une valeur prédéfinie pour une définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
Project - Valeur prédéfinie :
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Ajouter une valeur prédéfinie
L’exemple suivant ajoute une valeur prédéfinie pour une définition d’attribut de sécurité personnalisé.
Vous pouvez ajouter des valeurs prédéfinies pour des attributs de sécurité personnalisés dont la valeur usePreDefinedValuesOnly est définie sur true.
- Ensemble d’attributs :
Engineering - Attribut :
Project - Valeur prédéfinie :
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Désactiver une valeur prédéfinie
L’exemple suivant désactive une valeur prédéfinie pour une définition d’attribut de sécurité personnalisé.
- Ensemble d’attributs :
Engineering - Attribut :
Project - Valeur prédéfinie :
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Forum aux questions
Pouvez-vous supprimer des définitions d’attributs de sécurité personnalisés ?
Non, vous ne pouvez pas supprimer des définitions d’attributs de sécurité personnalisés. Vous pouvez uniquement désactiver des définitions d’attributs de sécurité personnalisés. Une fois que vous désactivez un attribut de sécurité personnalisé, il n’est plus possible de l’appliquer aux objets Microsoft Entra. Les affectations d’attributs de sécurité personnalisés pour la définition d’attribut de sécurité personnalisé désactivé ne sont pas supprimées automatiquement. Le nombre d’attributs de sécurité personnalisés désactivés n’est pas limité. Vous pouvez avoir 500 définitions d’attributs de sécurité personnalisés actives par locataire avec 100 valeurs prédéfinies autorisées par définition d’attribut de sécurité personnalisé.