Управление настраиваемыми атрибутами безопасности для приложения
Настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это бизнес-атрибуты (пары "ключ-значение"), которые можно определить и назначить объектам Microsoft Entra. Например, можно назначить настраиваемый атрибут безопасности для фильтрации приложений или помочь определить, кто получает доступ. В этой статье описывается назначение, обновление, перечисление или удаление настраиваемых атрибутов безопасности для корпоративных приложений Microsoft Entra.
Необходимые условия
Чтобы назначить или удалить настраиваемые атрибуты безопасности для приложения в клиенте Microsoft Entra, вам потребуется:
- Администратор назначения атрибутов
- Убедитесь, что у вас есть настраиваемые атрибуты безопасности. Сведения о создании атрибута безопасности см. в разделе "Добавление или отключение настраиваемых атрибутов безопасности" в идентификаторе Microsoft Entra.
Важный
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности.
Назначение, обновление, перечисление или удаление пользовательских атрибутов для приложения
Узнайте, как работать с пользовательскими атрибутами для приложений в идентификаторе Microsoft Entra.
Назначение пользовательских атрибутов безопасности приложению
Кончик
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Выполните следующие действия, чтобы назначить настраиваемые атрибуты безопасности через Центр администрирования Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Найдите и выберите приложение, к которому нужно добавить настраиваемый атрибут безопасности.
В разделе "Управление" выберите настраиваемые атрибуты безопасности.
Выберите " Добавить назначение".
В наборе атрибутов выберите набор атрибутов из списка.
В имени атрибута выберите настраиваемый атрибут безопасности из списка.
В зависимости от свойств выбранного настраиваемого атрибута безопасности можно ввести одно значение, выбрать значение из предопределенного списка или добавить несколько значений.
- Для бесплатной формы настраиваемые атрибуты безопасности с одним значением введите значение в поле "Назначенные значения ".
- Для предопределенных значений настраиваемых атрибутов безопасности выберите значение из списка назначенных значений .
- Для многозначных настраиваемых атрибутов безопасности выберите " Добавить значения ", чтобы открыть область "Значения атрибутов" и добавить значения. После завершения добавления значений нажмите кнопку "Готово".
По завершении нажмите кнопку "Сохранить ", чтобы назначить пользовательские атрибуты безопасности приложению.
Обновление значений назначения настраиваемых атрибутов безопасности для приложения
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Найдите и выберите приложение с пользовательским значением назначения атрибута безопасности, которое нужно обновить.
В разделе "Управление" выберите настраиваемые атрибуты безопасности.
Найдите значение назначения настраиваемых атрибутов безопасности, которое требуется обновить.
После назначения пользовательского атрибута безопасности приложению можно изменить только значение настраиваемого атрибута безопасности. Вы не можете изменить другие свойства настраиваемого атрибута безопасности, например набор атрибутов или имя пользовательского атрибута безопасности.
В зависимости от свойств выбранного настраиваемого атрибута безопасности можно обновить одно значение, выбрать значение из предопределенного списка или обновить несколько значений.
По завершении нажмите кнопку "Сохранить".
Фильтрация приложений на основе настраиваемых атрибутов безопасности
Список настраиваемых атрибутов безопасности, назначенных приложениям, можно отфильтровать на странице "Все приложения ".
Войдите в Центр администрирования Microsoft Entra как минимум средство чтения назначений атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Выберите " Добавить фильтры" , чтобы открыть область "Выбор поля".
Если вы не видите фильтры добавления, выберите баннер, чтобы включить предварительную версию поиска корпоративных приложений.
Для фильтров выберите настраиваемый атрибут безопасности.
Выберите набор атрибутов и имя атрибута.
Для оператора можно выбрать равные (==), не равные (!=) или начинаться с.
Для значения введите или выберите значение.
Чтобы применить фильтр, нажмите кнопку "Применить".
Удаление пользовательских назначений атрибутов безопасности из приложений
Войдите в Центр администрирования Microsoft Entra в качестве администратора назначения атрибутов.
Перейдите к приложениям Identity>Applications>Enterprise.
Найдите и выберите приложение с настраиваемыми назначениями атрибутов безопасности, которые нужно удалить.
В разделе "Управление" выберите настраиваемые атрибуты безопасности (предварительная версия).
Добавьте флажки рядом со всеми назначениями настраиваемых атрибутов безопасности, которые вы хотите удалить.
Выберите " Удалить назначение".
Azure AD PowerShell
Для управления пользовательскими назначениями атрибутов безопасности для приложений в организации Microsoft Entra можно использовать PowerShell. Для управления назначениями можно использовать следующие команды.
Назначение настраиваемого атрибута безопасности с многостроовым значением приложению (субъект-служба) с помощью Azure AD PowerShell
Используйте команду Set-AzureADMSServicePrincipal, чтобы назначить настраиваемый атрибут безопасности с многострочное значение приложению (субъект-служба).
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
- Значение атрибута:
("Baker","Cascade")
$attributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Baker","Cascade")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributes
Обновление настраиваемого атрибута безопасности с помощью многострочной строки для приложения (субъекта-службы) с помощью Azure AD PowerShell
Укажите новый набор значений атрибутов, которые вы хотите отразить в приложении. В этом примере мы добавим еще одно значение для атрибута проекта.
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
- Значение атрибута:
("Alpine","Baker")
$attributesUpdate = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Alpine","Baker")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributesUpdate
Получение настраиваемых назначений атрибутов безопасности для приложения (субъекта-службы) с помощью Azure AD PowerShell
Используйте команду Get-AzureADMSServicePrincipal, чтобы получить пользовательские назначения атрибутов безопасности для приложения (субъекта-службы).
Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -Select "CustomSecurityAttributes, Id"
Microsoft Graph PowerShell
Для управления назначениями настраиваемых атрибутов безопасности для приложений в организации Microsoft Entra можно использовать Microsoft Graph PowerShell. Для управления назначениями можно использовать следующие команды.
Назначение пользовательского атрибута безопасности с многостроовым значением приложению (субъект-служба) с помощью Microsoft Graph PowerShell
Используйте команду Update-MgServicePrincipal, чтобы назначить настраиваемый атрибут безопасности с многострочное значение приложению (субъект-служба).
Учитывая значения
- Набор атрибутов:
Engineering - Атрибут:
ProjectDate - Тип данных атрибута: String
- Значение атрибута:
"2024-11-15"
#Retrieve the servicePrincipal
$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" ="2024-11-15"
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Обновление настраиваемого атрибута безопасности с помощью многостроочного значения для приложения (субъекта-службы) с помощью Microsoft Graph PowerShell
Укажите новый набор значений атрибутов, которые вы хотите отразить в приложении. В этом примере мы добавим еще одно значение для атрибута проекта.
Учитывая значения
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
- Значение атрибута:
["Baker","Cascade"]
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @(
"Baker"
"Cascade"
)
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Фильтрация приложений на основе настраиваемых атрибутов безопасности с помощью Microsoft Graph PowerShell
В этом примере фильтруется список приложений с назначением настраиваемых атрибутов безопасности, равным указанному значению.
$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}
Удаление пользовательских назначений атрибутов безопасности из приложений с помощью Microsoft Graph PowerShell
В этом примере мы удаляем настраиваемое назначение атрибута безопасности, поддерживающее отдельные значения.
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params
В этом примере мы удаляем настраиваемое назначение атрибута безопасности, поддерживающее несколько значений.
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Microsoft Graph API
Для управления назначениями настраиваемых атрибутов безопасности для приложений в организации Microsoft Entra можно использовать API Microsoft Graph. Выполните следующие вызовы API для управления назначениями.
Другие аналогичные примеры API Microsoft Graph для пользователей см. в разделе "Назначение, обновление, обновление, список" или удаление настраиваемых атрибутов безопасности для пользователя и примеров. Назначение, обновление, список или удаление настраиваемых назначений атрибутов безопасности с помощью API Microsoft Graph.
Назначение пользовательского атрибута безопасности с многостроовым значением приложению (субъект-служба) с помощью API Microsoft Graph
Используйте API Update ServicePrincipal, чтобы назначить настраиваемый атрибут безопасности со строковым значением для приложения.
Учитывая значения
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: String
- Значение атрибута:
"Baker"
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project": "Baker"
}
}
}
Обновление настраиваемого атрибута безопасности с помощью многостроочного значения для приложения (субъекта-службы) с помощью API Microsoft Graph
Укажите новый набор значений атрибутов, которые вы хотите отразить в приложении. В этом примере мы добавим еще одно значение для атрибута проекта.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project":["Baker","Cascade"]
}
}
}
Фильтрация приложений на основе настраиваемых атрибутов безопасности с помощью API Microsoft Graph
В этом примере фильтруется список приложений с назначением настраиваемых атрибутов безопасности, равным указанному значению. Значение фильтра учитывает регистр. Необходимо добавить ConsistencyLevel=eventual в запрос или заголовок. Необходимо также включить $count=true , чтобы убедиться, что запрос направляется правильно.
GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual
Удаление настраиваемых назначений атрибутов безопасности из приложения с помощью API Microsoft Graph
В этом примере мы удаляем настраиваемое назначение атрибута безопасности, поддерживающее несколько значений.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project":[]
}
}
}