Gestire attributi di sicurezza personalizzati per un’applicazione

Gli attributi di sicurezza personalizzati in Microsoft Entra ID sono attributi specifici dell'azienda (coppie chiave-valore) che è possibile definire e assegnare agli oggetti Microsoft Entra. Ad esempio, è possibile assegnare un attributo di sicurezza personalizzato per filtrare le applicazioni o per determinare chi ottiene l'accesso. Questo articolo descrive come assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per le applicazioni aziendali Microsoft Entra.

Prerequisiti

Per assegnare o rimuovere attributi di sicurezza personalizzati per un’applicazione nel tenant di Microsoft Entra, è necessario:

• Amministratore assegnazione di attributi
• Assicurarsi di avere degli attributi di sicurezza personalizzati esistenti. Per informazioni su come creare un attributo di sicurezza, vedere Aggiungere o disattivare attributi di sicurezza personalizzati in Microsoft Entra ID.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Assegnare, aggiornare, elencare o rimuovere attributi di personalizzati per un'applicazione

Informazioni su come usare attributi personalizzati per le applicazioni in Microsoft Entra ID.

Assegnare attributi di sicurezza personalizzato a un'applicazione

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Seguire questa procedura per assegnare attributi di sicurezza personalizzati tramite l'interfaccia di amministrazione di Microsoft Entra.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.

2. Passare a Identità>Applicazioni>Applicazioni aziendali.

3. Trovare e selezionare l’applicazione a cui aggiungere un attributo di sicurezza personalizzato.

4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati.

5. Selezionare Aggiungi assegnazione.

6. Nel set Attributi, selezionare un set di attributi dall'elenco.

7. In Nome attributo selezionare un attributo di sicurezza personalizzato dall'elenco.

8. A seconda delle proprietà dell'attributo di sicurezza personalizzato selezionato, è possibile immettere un singolo valore, selezionare un valore da un elenco predefinito o aggiungere più valori.

   • Per gli attributi di sicurezza personalizzati a valore singolo in formato libero, immettere un valore nella casella Valori assegnati.
   • Per i valori predefiniti degli attributi di sicurezza personalizzati, selezionare un valore dall'elenco Valori assegnati.
   • Per gli attributi di sicurezza personalizzati multivalore, selezionare Aggiungi valori per aprire il riquadro Valori attributo e aggiungere i valori. Al termine dell'aggiunta di valori, selezionare Fatto.

   

9. Al termine, selezionare Salva per assegnare gli attributi di sicurezza personalizzati all'applicazione.

Aggiornamento dei valori di assegnazione degli attributi di sicurezza personalizzati per un’applicazione

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.

2. Passare a Identità>Applicazioni>Applicazioni aziendali.

3. Trovare e selezionare l'applicazione con un valore di assegnazione dell'attributo di sicurezza personalizzato che si vuole aggiornare.

4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati.

5. Trovare il valore di assegnazione dell'attributo di sicurezza personalizzato che si vuole aggiornare.

   Dopo aver assegnato un attributo di sicurezza personalizzato a un’applicazione, è possibile modificare solo il valore dell'attributo di sicurezza personalizzato. Non è possibile modificare altre proprietà dell'attributo di sicurezza personalizzato, ad esempio il set di attributi o il nome dell'attributo di sicurezza personalizzato.

6. A seconda delle proprietà dell'attributo di sicurezza personalizzato selezionato, è possibile aggiornare un singolo valore, selezionare un valore da un elenco predefinito o aggiornare più valori.

7. Al termine, seleziona Salva.

Filtrare le applicazioni in base agli attributi di sicurezza personalizzati

È possibile filtrare l'elenco degli attributi di sicurezza personalizzati assegnati alle applicazioni nella pagina Tutte le applicazioni.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Lettore assegnazione di attributi.

2. Passare a Identità>Applicazioni>Applicazioni aziendali.

3. Selezionare Aggiungi filtri per aprire il riquadro Preleva un campo.

   Se non viene visualizzato Aggiungi filtri, selezionare il banner per abilitare l'anteprima della ricerca delle applicazioni aziendali.

4. Per i Filtri, selezionare Attributo di sicurezza personalizzato.

5. Selezionare il set di attributi e il nome dell'attributo desiderati.

6. Per Operatore è possibile selezionare uguale a (==), non uguale a (!=) o inizia con.

7. In Valore immettere o selezionare un valore.

8. Selezionare Applica per applicare il filtro.

Rimuovere assegnazioni di attributi di sicurezza personalizzati dalle applicazioni

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Amministratore assegnazione di attributi.

2. Passare a Identità>Applicazioni>Applicazioni aziendali.

3. Trovare e selezionare l'applicazione con le assegnazioni di attributi di sicurezza personalizzati da rimuovere.

4. Nella sezione Gestisci selezionare Attributi di sicurezza personalizzati (anteprima).

5. Aggiungere segni di spunta accanto a tutte le assegnazioni di attributi di sicurezza personalizzati da rimuovere.

6. Selezionare Elimina assegnazione.

Azure AD PowerShell

Per gestire assegnazioni di attributi di sicurezza personalizzati per le applicazioni dell'organizzazione Microsoft Entra, è possibile usare PowerShell. I comandi seguenti possono essere usati per gestire le assegnazioni.

Assegnare un attributo di sicurezza personalizzato con un valore multi-stringa a un'applicazione (entità servizio) usando Azure AD PowerShell

Usare il comando Set-AzureADMSServicePrincipal per assegnare un attributo di sicurezza personalizzato con un valore multistrido a un'applicazione (entità servizio).

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: raccolta di stringhe
• Valore dell'attributo: ("Baker","Cascade")

$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributes

Aggiornare un attributo di sicurezza personalizzato con un valore multi-stringa per un'applicazione (entità servizio) usando Azure AD PowerShell

Specificare il nuovo set di valori di attributo da riflettere sull'applicazione. In questo esempio viene aggiunto un altro valore per l'attributo del progetto.

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: raccolta di stringhe
• Valore dell'attributo: ("Alpine","Baker")

$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributesUpdate 

Ottenere le assegnazioni di attributi di sicurezza personalizzati per un'applicazione (entità servizio) usando Azure AD PowerShell

Usare il comando Get-AzureADMSServicePrincipal per ottenere le assegnazioni di attributi di sicurezza personalizzati per un'applicazione (entità servizio).

Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222  -Select "CustomSecurityAttributes, Id"

Microsoft Graph PowerShell

Per gestire assegnazioni di attributi di sicurezza personalizzati per le applicazioni dell'organizzazione Microsoft Entra, è possibile usare PowerShell di Microsoft Graph. I comandi seguenti possono essere usati per gestire le assegnazioni.

Assegnare un attributo di sicurezza personalizzato con un valore multistrido a un'applicazione (entità servizio) usando Microsoft Graph PowerShell

Usare il comando Update-MgServicePrincipal per assegnare un attributo di sicurezza personalizzato con un valore multistrido a un'applicazione (entità servizio).

Dati i valori

• Set di attributi: Engineering
• Attributo: ProjectDate
• Tipo di dati attributo: stringa
• Valore dell'attributo: "2024-11-15"

#Retrieve the servicePrincipal

$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" ="2024-11-15"
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Aggiornare un attributo di sicurezza personalizzato con un valore multi-stringa per un'applicazione (entità servizio) usando Microsoft Graph PowerShell

Specificare il nuovo set di valori di attributo da riflettere sull'applicazione. In questo esempio viene aggiunto un altro valore per l'attributo del progetto.

Dati i valori

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: raccolta di stringhe
• Valore dell'attributo: ["Baker","Cascade"]

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @(
            "Baker"
            "Cascade"
        )
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Filtrare le applicazioni in base agli attributi di sicurezza personalizzati usando Microsoft Graph PowerShell

In questo esempio viene filtrato un elenco di applicazioni con un'assegnazione di attributo di sicurezza personalizzata che corrisponde al valore specificato.

$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes  | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                       : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName              : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}

Rimuovere assegnazioni di attributi di sicurezza personalizzati dalle applicazioni usando Microsoft Graph PowerShell

In questo esempio viene rimossa un'assegnazione di attributo di sicurezza personalizzata che supporta valori singoli.

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params

In questo esempio viene rimossa un'assegnazione di attributo di sicurezza personalizzata che supporta più valori.

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

API di Microsoft Graph

Per gestire assegnazioni di attributi di sicurezza personalizzati per le applicazioni dell'organizzazione Microsoft Entra, è possibile usare l'API Microsoft Graph. Effettuare le chiamate API seguenti per gestire le assegnazioni.

Per altri esempi di API Microsoft Graph simili per gli utenti, vedere Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un utente ed Esempi: Assegnare, aggiornare, elencare o rimuovere assegnazioni di attributi di sicurezza personalizzati usando l'API Microsoft Graph.

Assegnare un attributo di sicurezza personalizzato con un valore multi-stringa a un'applicazione (entità servizio) usando l'API Microsoft Graph

Usare l'API Update servicePrincipal per assegnare un attributo di sicurezza personalizzato con un valore stringa a un'applicazione.

Dati i valori

• Set di attributi: Engineering
• Attributo: Project
• Tipo di dati attributo: stringa
• Valore dell'attributo: "Baker"

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project": "Baker"
        }
    }
}

Aggiornare un attributo di sicurezza personalizzato con un valore multistrido per un'applicazione (entità servizio) usando l'API Microsoft Graph

Specificare il nuovo set di valori di attributo da riflettere sull'applicazione. In questo esempio viene aggiunto un altro valore per l'attributo del progetto.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Filtrare le applicazioni in base agli attributi di sicurezza personalizzati usando l'API Microsoft Graph

In questo esempio viene filtrato un elenco di applicazioni con un'assegnazione di attributo di sicurezza personalizzata che corrisponde al valore specificato. Il valore del filtro distingue tra maiuscole e minuscole. È necessario aggiungere ConsistencyLevel=eventual nella richiesta o nell'intestazione. Potrebbe anche essere necessario includere $count=true per assicurarsi che la richiesta venga indirizzata correttamente.

GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual

Rimuovere assegnazioni di attributi di sicurezza personalizzati da un'applicazione usando l'API Microsoft Graph

In questo esempio viene rimossa un'assegnazione di attributo di sicurezza personalizzata che supporta più valori.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Passaggi successivi

• Aggiungere o disattivare attributi di sicurezza personalizzati in Microsoft Entra ID
• Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un utente
• Risolvere i problemi relativi agli attributi di sicurezza personalizzati in Microsoft Entra ID