Gestire gli attributi di sicurezza personalizzati per un'applicazione

Gli attributi di sicurezza personalizzati in Microsoft Entra ID sono attributi specifici dell'azienda (coppie chiave-valore) che è possibile definire e assegnare agli oggetti Microsoft Entra. Ad esempio, è possibile assegnare un attributo di sicurezza personalizzato per filtrare le applicazioni o per determinare chi ottiene l'accesso. Questo articolo descrive come assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per le applicazioni aziendali Microsoft Entra.

Prerequisiti

Per assegnare o rimuovere attributi di sicurezza personalizzati per un'applicazione nel tenant di Microsoft Entra, è necessario:

• Assegnazione di attributi Amministrazione istrator
• Assicurarsi di disporre di attributi di sicurezza personalizzati esistenti. Per informazioni su come creare un attributo di sicurezza, vedere Aggiungere o disattivare attributi di sicurezza personalizzati in Microsoft Entra ID.

Importante

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non hanno le autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati.

Assegnare, aggiornare, elencare o rimuovere attributi personalizzati per un'applicazione

Informazioni su come usare attributi personalizzati per le applicazioni in Microsoft Entra ID.

Assegnare attributi di sicurezza personalizzati a un'applicazione

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Seguire questa procedura per assegnare attributi di sicurezza personalizzati tramite l'interfaccia di amministrazione di Microsoft Entra.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come assegnazione di attributi Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali.

3. Trovare e selezionare l'applicazione a cui si vuole aggiungere un attributo di sicurezza personalizzato.

4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati.

5. Selezionare Aggiungi assegnazione.

6. In Set di attributi selezionare un set di attributi dall'elenco.

7. In Nome attributo selezionare un attributo di sicurezza personalizzato dall'elenco.

8. A seconda delle proprietà dell'attributo di sicurezza personalizzato selezionato, è possibile immettere un singolo valore, selezionare un valore da un elenco predefinito o aggiungere più valori.

   • Per gli attributi di sicurezza personalizzati a valore singolo, immettere un valore nella casella Valori assegnati.
   • Per i valori predefiniti degli attributi di sicurezza personalizzati, selezionare un valore dall'elenco Valori assegnati.
   • Per gli attributi di sicurezza personalizzati multivalore, selezionare Aggiungi valori per aprire il riquadro Valori attributo e aggiungere i valori. Al termine dell'aggiunta di valori, selezionare Fine.

   

9. Al termine, selezionare Salva per assegnare gli attributi di sicurezza personalizzati all'applicazione.

Aggiornare i valori di assegnazione di attributi di sicurezza personalizzati per un'applicazione

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come assegnazione di attributi Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali.

3. Trovare e selezionare l'applicazione con un valore di assegnazione dell'attributo di sicurezza personalizzato che si vuole aggiornare.

4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati.

5. Trovare il valore di assegnazione dell'attributo di sicurezza personalizzato che si vuole aggiornare.

   Dopo aver assegnato un attributo di sicurezza personalizzato a un'applicazione, è possibile modificare solo il valore dell'attributo di sicurezza personalizzato. Non è possibile modificare altre proprietà dell'attributo di sicurezza personalizzato, ad esempio il set di attributi o il nome dell'attributo di sicurezza personalizzato.

6. A seconda delle proprietà dell'attributo di sicurezza personalizzato selezionato, è possibile aggiornare un singolo valore, selezionare un valore da un elenco predefinito o aggiornare più valori.

7. Al termine, seleziona Salva.

Filtrare le applicazioni in base agli attributi di sicurezza personalizzati

È possibile filtrare l'elenco degli attributi di sicurezza personalizzati assegnati alle applicazioni nella pagina Tutte le applicazioni .

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un lettore di assegnazione di attributi.

2. Passare a Applicazioni di identità>Applicazioni>aziendali.

3. Selezionare Aggiungi filtri per aprire il riquadro Selezionare un campo.

   Se non viene visualizzato Aggiungi filtri, selezionare il banner per abilitare l'anteprima della ricerca delle applicazioni aziendali.

4. Per Filtri selezionare Attributo di sicurezza personalizzato.

5. Selezionare il set di attributi e il nome dell'attributo.

6. Per Operatore è possibile selezionare uguale a (==), non uguale a (!=) o inizia con .

7. In Valore immettere o selezionare un valore.

   

8. Per applicare il filtro, selezionare Applica.

Rimuovere assegnazioni di attributi di sicurezza personalizzati dalle applicazioni

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come assegnazione di attributi Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali.

3. Trovare e selezionare l'applicazione con le assegnazioni di attributi di sicurezza personalizzate da rimuovere.

4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati (anteprima).

5. Aggiungere segni di spunta accanto a tutte le assegnazioni di attributi di sicurezza personalizzate da rimuovere.

6. Selezionare Rimuovi assegnazione.

Azure AD PowerShell

Per gestire le assegnazioni di attributi di sicurezza personalizzati per le applicazioni nell'organizzazione Microsoft Entra, è possibile usare PowerShell. I comandi seguenti possono essere usati per gestire le assegnazioni.

Assegnare un attributo di sicurezza personalizzato con un valore multi-stringa a un'applicazione (entità servizio) usando Azure AD PowerShell

Usare il comando Set-AzureADMSServicePrincipal per assegnare un attributo di sicurezza personalizzato con un valore multistrido a un'applicazione (entità servizio).

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: raccolta di stringhe
• Valore attributo: ("Baker","Cascade")

$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20 -CustomSecurityAttributes $attributes

Aggiornare un attributo di sicurezza personalizzato con un valore multi-stringa per un'applicazione (entità servizio) usando Azure AD PowerShell

Specificare il nuovo set di valori di attributo da riflettere sull'applicazione. In questo esempio viene aggiunto un altro valore per l'attributo del progetto.

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: raccolta di stringhe
• Valore attributo: ("Alpine","Baker")

$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20 -CustomSecurityAttributes $attributesUpdate 

Ottenere le assegnazioni di attributi di sicurezza personalizzati per un'applicazione (entità servizio) usando Azure AD PowerShell

Usare il comando Get-AzureADMSServicePrincipal per ottenere le assegnazioni di attributi di sicurezza personalizzati per un'applicazione (entità servizio).

Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20  -Select "CustomSecurityAttributes, Id"

PowerShell di Microsoft Graph

Per gestire assegnazioni di attributi di sicurezza personalizzati per le applicazioni nell'organizzazione Microsoft Entra, è possibile usare Microsoft Graph PowerShell. I comandi seguenti possono essere usati per gestire le assegnazioni.

Assegnare un attributo di sicurezza personalizzato con un valore multistrido a un'applicazione (entità servizio) usando Microsoft Graph PowerShell

Usare il comando Update-MgServicePrincipal per assegnare un attributo di sicurezza personalizzato con un valore multistrido a un'applicazione (entità servizio).

Dati i valori

• Set di attributi: Engineering
• Attributo: ProjectDate
• Tipo di dati attributo: String
• Valore attributo: "2024-11-15"

#Retrieve the servicePrincipal

$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" ="2024-11-15"
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Aggiornare un attributo di sicurezza personalizzato con un valore multi-stringa per un'applicazione (entità servizio) usando Microsoft Graph PowerShell

Specificare il nuovo set di valori di attributo da riflettere sull'applicazione. In questo esempio viene aggiunto un altro valore per l'attributo del progetto.

Dati i valori

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: raccolta di stringhe
• Valore attributo: ["Baker","Cascade"]

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @(
            "Baker"
            "Cascade"
        )
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Filtrare le applicazioni in base agli attributi di sicurezza personalizzati usando Microsoft Graph PowerShell

In questo esempio viene filtrato un elenco di applicazioni con un'assegnazione di attributo di sicurezza personalizzata che corrisponde al valore specificato.

$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes  | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                       : 7d194b0c-bf17-40ff-9f7f-4b671de8dc20
DisplayName              : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}

Rimuovere assegnazioni di attributi di sicurezza personalizzati dalle applicazioni usando Microsoft Graph PowerShell

In questo esempio viene rimossa un'assegnazione di attributo di sicurezza personalizzata che supporta valori singoli.

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params

In questo esempio viene rimossa un'assegnazione di attributo di sicurezza personalizzata che supporta più valori.

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

API di Microsoft Graph

Per gestire le assegnazioni di attributi di sicurezza personalizzati per le applicazioni nell'organizzazione Microsoft Entra, è possibile usare l'API Microsoft Graph. Effettuare le chiamate API seguenti per gestire le assegnazioni.

Per altri esempi di API Microsoft Graph simili per gli utenti, vedere Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un utente ed esempi: Assegnare, aggiornare, elencare o rimuovere assegnazioni di attributi di sicurezza personalizzati usando l'API Microsoft Graph.

Assegnare un attributo di sicurezza personalizzato con un valore multi-stringa a un'applicazione (entità servizio) usando l'API Microsoft Graph

Usare l'API Update servicePrincipal per assegnare un attributo di sicurezza personalizzato con un valore stringa a un'applicazione.

Dati i valori

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: String
• Valore attributo: "Baker"

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project": "Baker"
        }
    }
}

Aggiornare un attributo di sicurezza personalizzato con un valore multistrido per un'applicazione (entità servizio) usando l'API Microsoft Graph

Specificare il nuovo set di valori di attributo da riflettere sull'applicazione. In questo esempio viene aggiunto un altro valore per l'attributo del progetto.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Filtrare le applicazioni in base agli attributi di sicurezza personalizzati usando l'API Microsoft Graph

In questo esempio viene filtrato un elenco di applicazioni con un'assegnazione di attributo di sicurezza personalizzata che corrisponde al valore specificato. Il valore del filtro fa distinzione tra maiuscole e minuscole. È necessario aggiungere ConsistencyLevel=eventual nella richiesta o nell'intestazione . È anche necessario includere $count=true per assicurarsi che la richiesta venga indirizzata correttamente.

GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual

Rimuovere assegnazioni di attributi di sicurezza personalizzati da un'applicazione usando l'API Microsoft Graph

In questo esempio viene rimossa un'assegnazione di attributo di sicurezza personalizzata che supporta più valori.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Passaggi successivi

• Aggiungere o disattivare attributi di sicurezza personalizzati in Microsoft Entra ID
• Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un utente
• Risolvere i problemi relativi agli attributi di sicurezza personalizzati in Microsoft Entra ID