Aggiungere o disattivare definizioni di attributi di sicurezza personalizzati in Microsoft Entra ID
Gli attributi di sicurezza personalizzati in Microsoft Entra ID sono attributi specifici dell'azienda (coppie chiave-valore) che è possibile definire e assegnare agli oggetti Microsoft Entra. Questo articolo descrive come aggiungere, modificare o disattivare definizioni di attributi di sicurezza personalizzati.
Prerequisiti
Per aggiungere o disattivare definizioni di attributi di sicurezza personalizzati, è necessario disporre di:
- Definizione dell'attributo Amministrazione istrator
- Modulo Microsoft.Graph quando si usa Microsoft Graph PowerShell
- AzureADPreview versione 2.0.2.138 o successiva quando si usa Azure AD PowerShell
Importante
Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati.
Aggiungere un set di attributi
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Un set di attributi è una raccolta di attributi correlati. Tutti gli attributi di sicurezza personalizzati devono far parte di un set di attributi. I set di attributi non possono essere rinominati o eliminati.
Accedere all'interfaccia di amministrazione di Microsoft Entra come definizione di attributo Amministrazione istrator.
Passare a Protezione>attributi di sicurezza personalizzati.
Fare clic su Aggiungi set di attributi per aggiungere un nuovo set di attributi.
Se Aggiungi set di attributi è disabilitato, assicurarsi di aver assegnato il ruolo Definizione attributo Amministrazione istrator. Per altre informazioni, vedere Risolvere i problemi relativi agli attributi di sicurezza personalizzati.
Immettere un nome, una descrizione e un numero massimo di attributi.
Un nome del set di attributi può essere di 32 caratteri senza spazi o caratteri speciali. Dopo aver specificato un nome, non è possibile rinominarlo. Per altre informazioni, vedere Limiti e vincoli.
Al termine, fare clic su Aggiungi.
Il nuovo set di attributi viene visualizzato nell'elenco dei set di attributi.
Aggiungere una definizione di attributo di sicurezza personalizzata
Accedere all'interfaccia di amministrazione di Microsoft Entra come definizione di attributo Amministrazione istrator.
Passare a Protezione>attributi di sicurezza personalizzati.
Nella pagina Attributi di sicurezza personalizzati trovare un set di attributi esistente o fare clic su Aggiungi set di attributi per aggiungere un nuovo set di attributi.
Tutte le definizioni di attributi di sicurezza personalizzate devono far parte di un set di attributi.
Fare clic per aprire il set di attributi selezionato.
Fare clic su Aggiungi attributo per aggiungere un nuovo attributo di sicurezza personalizzato al set di attributi.
Nella casella Nome attributo immettere un nome di attributo di sicurezza personalizzato.
Un nome di attributo di sicurezza personalizzato può essere di 32 caratteri senza spazi o caratteri speciali. Dopo aver specificato un nome, non è possibile rinominarlo. Per altre informazioni, vedere Limiti e vincoli.
Nella casella Descrizione immettere una descrizione facoltativa.
Una descrizione può contenere una lunghezza di 128 caratteri. Se necessario, è possibile modificare successivamente la descrizione.
Nell'elenco Tipo di dati selezionare il tipo di dati per l'attributo di sicurezza personalizzato.
Tipo di dati Descrizione Boolean Valore booleano che può essere true, True, false o False. Intero Un valore integer a 32 bit. String Stringa che può essere lunga X caratteri. Per Consenti l'assegnazione di più valori, selezionare Sì o No.
Selezionare Sì per consentire l'assegnazione di più valori a questo attributo di sicurezza personalizzato. Selezionare No per consentire solo l'assegnazione di un singolo valore a questo attributo di sicurezza personalizzato.
Per Consenti solo l'assegnazione di valori predefiniti selezionare Sì o No.
Selezionare Sì per richiedere che a questo attributo di sicurezza personalizzato vengano assegnati valori da un elenco di valori predefiniti. Selezionare No per consentire a questo attributo di sicurezza personalizzato di assegnare valori definiti dall'utente o valori potenzialmente predefiniti.
Se consenti l'assegnazione dei valori predefiniti è Sì, fai clic su Aggiungi valore per aggiungere valori predefiniti.
Per l'assegnazione a oggetti è disponibile un valore attivo. Viene definito un valore non attivo, ma non ancora disponibile per l'assegnazione.
Al termine fare clic su Salva.
Il nuovo attributo di sicurezza personalizzato viene visualizzato nell'elenco degli attributi di sicurezza personalizzati.
Se si desidera includere valori predefiniti, seguire la procedura descritta nella sezione successiva.
Modificare una definizione di attributo di sicurezza personalizzata
Dopo aver aggiunto una nuova definizione di attributo di sicurezza personalizzata, è possibile modificare alcune delle proprietà in un secondo momento. Alcune proprietà non sono modificabili e non possono essere modificate.
Accedere all'interfaccia di amministrazione di Microsoft Entra come definizione di attributo Amministrazione istrator.
Passare a Protezione>attributi di sicurezza personalizzati.
Fare clic sul set di attributi che include l'attributo di sicurezza personalizzato che si desidera modificare.
Nell'elenco degli attributi di sicurezza personalizzati fare clic sui puntini di sospensione per l'attributo di sicurezza personalizzato che si desidera modificare e quindi selezionare Modifica attributo.
Modificare le proprietà abilitate.
Se consenti l'assegnazione dei valori predefiniti è Sì, fai clic su Aggiungi valore per aggiungere valori predefiniti. Fare clic su un valore predefinito esistente per modificare l'impostazione È attiva?
Disattivare una definizione di attributo di sicurezza personalizzata
Dopo aver aggiunto una definizione di attributo di sicurezza personalizzata, non è possibile eliminarla. Tuttavia, è possibile disattivare una definizione di attributo di sicurezza personalizzata.
Accedere all'interfaccia di amministrazione di Microsoft Entra come definizione di attributo Amministrazione istrator.
Passare a Protezione>attributi di sicurezza personalizzati.
Fare clic sul set di attributi che include l'attributo di sicurezza personalizzato da disattivare.
Nell'elenco degli attributi di sicurezza personalizzati aggiungere un segno di spunta accanto all'attributo di sicurezza personalizzato da disattivare.
Fare clic su Disattiva attributo.
Nella finestra di dialogo Disattiva attributo visualizzata fare clic su Sì.
L'attributo di sicurezza personalizzato viene disattivato e spostato nell'elenco Attributi disattivati.
PowerShell o l'API Microsoft Graph
Per gestire definizioni di attributi di sicurezza personalizzate nell'organizzazione Microsoft Entra, è anche possibile usare PowerShell o l'API Microsoft Graph. Gli esempi seguenti gestiscono i set di attributi e le definizioni di attributi di sicurezza personalizzati.
Ottenere tutti i set di attributi
Nell'esempio seguente vengono visualizzati tutti i set di attributi.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Ottenere i set di attributi principali
L'esempio seguente ottiene i set di attributi principali.
Get-MgDirectoryAttributeSet -Top 10
Ottenere set di attributi in ordine
L'esempio seguente ottiene i set di attributi in ordine.
Get-MgDirectoryAttributeSet -Sort "Id"
Ottenere un set di attributi
L'esempio seguente ottiene un set di attributi.
- Set di attributi:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Aggiungere un set di attributi
Nell'esempio seguente viene aggiunto un nuovo set di attributi.
- Set di attributi:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Aggiornare un set di attributi
Nell'esempio seguente viene aggiornato un set di attributi.
- Set di attributi:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Ottenere tutte le definizioni degli attributi di sicurezza personalizzati
Nell'esempio seguente vengono recuperate tutte le definizioni di attributi di sicurezza personalizzate.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtrare le definizioni degli attributi di sicurezza personalizzati
Negli esempi seguenti vengono filtrate le definizioni degli attributi di sicurezza personalizzati.
- Filtro: nome attributo eq 'Project' e status eq 'Available'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtro: set di attributi eq 'Engineering' e status eq 'Available' e tipo di dati eq 'String'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Ottenere una definizione di attributo di sicurezza personalizzata
Nell'esempio seguente viene recuperata una definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Aggiungere una definizione di attributo di sicurezza personalizzata
Nell'esempio seguente viene aggiunta una nuova definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
ProjectDate - Tipo di dati attributo: String
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Aggiungere una definizione di attributo di sicurezza personalizzata che supporti più valori predefiniti
Nell'esempio seguente viene aggiunta una nuova definizione di attributo di sicurezza personalizzata che supporta più valori predefiniti.
- Set di attributi:
Engineering - Attributo:
Project - Tipo di dati attributo: raccolta di stringhe
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Aggiungere una definizione di attributo di sicurezza personalizzata con un elenco di valori predefiniti
Nell'esempio seguente viene aggiunta una nuova definizione di attributo di sicurezza personalizzata con un elenco di valori predefiniti.
- Set di attributi:
Engineering - Attributo:
Project - Tipo di dati attributo: raccolta di stringhe
- Valori predefiniti:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Aggiornare una definizione di attributo di sicurezza personalizzata
Nell'esempio seguente viene aggiornata una definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Aggiornare i valori predefiniti per una definizione di attributo di sicurezza personalizzata
Nell'esempio seguente vengono aggiornati i valori predefiniti per una definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
Project - Tipo di dati attributo: raccolta di stringhe
- Aggiornare il valore predefinito:
Baker - Nuovo valore predefinito:
Skagit
Nota
Per questa richiesta, è necessario aggiungere l'intestazione OData-Version e assegnargli il valore 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Disattivare una definizione di attributo di sicurezza personalizzata
Nell'esempio seguente viene disattivata una definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Ottenere tutti i valori predefiniti
Nell'esempio seguente vengono restituiti tutti i valori predefiniti per una definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Ottenere un valore predefinito
Nell'esempio seguente viene restituito un valore predefinito per una definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
Project - Valore predefinito:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Aggiungere un valore predefinito
Nell'esempio seguente viene aggiunto un valore predefinito per una definizione di attributo di sicurezza personalizzata.
È possibile aggiungere valori predefiniti per gli attributi usePreDefinedValuesOnly di sicurezza personalizzati impostati su true.
- Set di attributi:
Engineering - Attributo:
Project - Valore predefinito:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Disattivare un valore predefinito
Nell'esempio seguente viene disattivato un valore predefinito per una definizione di attributo di sicurezza personalizzata.
- Set di attributi:
Engineering - Attributo:
Project - Valore predefinito:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Domande frequenti
È possibile eliminare definizioni di attributi di sicurezza personalizzate?
No, non è possibile eliminare definizioni di attributi di sicurezza personalizzate. È possibile disattivare solo definizioni di attributi di sicurezza personalizzati. Dopo aver disattivato un attributo di sicurezza personalizzato, non può più essere applicato agli oggetti Microsoft Entra. Le assegnazioni di attributi di sicurezza personalizzate per la definizione dell'attributo di sicurezza personalizzato disattivato non vengono rimosse automaticamente. Non esiste alcun limite al numero di attributi di sicurezza personalizzati disattivati. È possibile avere 500 definizioni di attributi di sicurezza personalizzate attive per ogni tenant con 100 valori predefiniti consentiti per ogni definizione di attributo di sicurezza personalizzato.