Aangepaste beveiligingskenmerken voor een toepassing beheren
Aangepaste beveiligingskenmerken in Microsoft Entra-id zijn bedrijfsspecifieke kenmerken (sleutel-waardeparen) die u kunt definiëren en toewijzen aan Microsoft Entra-objecten. U kunt bijvoorbeeld aangepast beveiligingskenmerk toewijzen om uw toepassingen te filteren of om te bepalen wie toegang krijgt. In dit artikel wordt beschreven hoe u aangepaste beveiligingskenmerken voor Microsoft Entra-bedrijfstoepassingen toewijst, bijwerkt, vermeldt of verwijdert.
Voorwaarden
Als u aangepaste beveiligingskenmerken voor een toepassing in uw Microsoft Entra-tenant wilt toewijzen of verwijderen, hebt u het volgende nodig:
- Kenmerktoewijzingsbeheerder
- Zorg ervoor dat u bestaande aangepaste beveiligingskenmerken hebt. Zie Aangepaste beveiligingskenmerken toevoegen of deactiveren in Microsoft Entra ID voor meer informatie over het maken van een beveiligingskenmerk.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen.
Aangepaste kenmerken voor een toepassing toewijzen, bijwerken, weergeven of verwijderen
Meer informatie over het werken met aangepaste kenmerken voor toepassingen in Microsoft Entra ID.
Aangepaste beveiligingskenmerken toewijzen aan een toepassing
Fooi
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Voer de volgende stappen uit om aangepaste beveiligingskenmerken toe te wijzen via het Microsoft Entra-beheercentrum.
Meld u aan bij het Microsoft Entra-beheercentrum als een kenmerktoewijzingsbeheerder.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Zoek en selecteer de toepassing waaraan u een aangepast beveiligingskenmerk wilt toevoegen.
Selecteer aangepaste beveiligingskenmerken in de sectie Beheren.
Selecteer Opdracht toevoegen.
Selecteer in kenmerkset een kenmerkset in de lijst.
Selecteer in Kenmerknaam een aangepast beveiligingskenmerk in de lijst.
Afhankelijk van de eigenschappen van het geselecteerde aangepaste beveiligingskenmerk kunt u één waarde invoeren, een waarde selecteren in een vooraf gedefinieerde lijst of meerdere waarden toevoegen.
- Voor vrije vorm, aangepaste beveiligingskenmerken met één waarde, voert u een waarde in het vak Toegewezen waarden in.
- Voor vooraf gedefinieerde waarden voor aangepaste beveiligingskenmerken selecteert u een waarde in de lijst Toegewezen waarden .
- Voor aangepaste beveiligingskenmerken met meerdere waarden selecteert u Waarden toevoegen om het deelvenster Kenmerkwaarden te openen en uw waarden toe te voegen. Wanneer u klaar bent met het toevoegen van waarden, selecteert u Gereed.
Wanneer u klaar bent, selecteert u Opslaan om de aangepaste beveiligingskenmerken toe te wijzen aan de toepassing.
Aangepaste toewijzingswaarden voor beveiligingskenmerken voor een toepassing bijwerken
Meld u aan bij het Microsoft Entra-beheercentrum als een kenmerktoewijzingsbeheerder.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Zoek en selecteer de toepassing met een aangepaste waarde voor de toewijzing van beveiligingskenmerken die u wilt bijwerken.
Selecteer aangepaste beveiligingskenmerken in de sectie Beheren.
Zoek de waarde voor de toewijzing van aangepaste beveiligingskenmerken die u wilt bijwerken.
Nadat u een aangepast beveiligingskenmerk aan een toepassing hebt toegewezen, kunt u alleen de waarde van het aangepaste beveiligingskenmerk wijzigen. U kunt geen andere eigenschappen van het aangepaste beveiligingskenmerk wijzigen, zoals de kenmerkset of de naam van het aangepaste beveiligingskenmerk.
Afhankelijk van de eigenschappen van het geselecteerde aangepaste beveiligingskenmerk kunt u één waarde bijwerken, een waarde selecteren in een vooraf gedefinieerde lijst of meerdere waarden bijwerken.
Wanneer u klaar bent, selecteert u Opslaan.
Toepassingen filteren op basis van aangepaste beveiligingskenmerken
U kunt de lijst met aangepaste beveiligingskenmerken filteren die zijn toegewezen aan toepassingen op de pagina Alle toepassingen .
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een kenmerktoewijzingslezer.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Selecteer Filters toevoegen om het deelvenster Een veld kiezen te openen.
Als u filters toevoegen niet ziet, selecteert u de banner om de zoekvoorbeelden voor bedrijfstoepassingen in te schakelen.
Selecteer voor Filters het kenmerk Aangepaste beveiliging.
Selecteer uw kenmerkset en kenmerknaam.
Voor Operator kunt u gelijk zijn aan (==), niet gelijk aan (!=) selecteren of beginnen met.
Bij Waarde voert u een waarde in of selecteert u deze.
Als u het filter wilt toepassen, selecteert u Toepassen.
Aangepaste toewijzingen van beveiligingskenmerken verwijderen uit toepassingen
Meld u als beheerder van kenmerktoewijzing aan bij het Microsoft Entra-beheercentrum.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Zoek en selecteer de toepassing met de aangepaste toewijzingen van beveiligingskenmerken die u wilt verwijderen.
Selecteer aangepaste beveiligingskenmerken (preview) in de sectie Beheren.
Voeg vinkjes toe naast alle toewijzingen van aangepaste beveiligingskenmerken die u wilt verwijderen.
Selecteer Toewijzing verwijderen.
Azure AD PowerShell
Als u aangepaste toewijzingen van beveiligingskenmerken voor toepassingen in uw Microsoft Entra-organisatie wilt beheren, kunt u PowerShell gebruiken. De volgende opdrachten kunnen worden gebruikt om toewijzingen te beheren.
Een aangepast beveiligingskenmerk met een waarde met meerdere tekenreeksen toewijzen aan een toepassing (service-principal) met behulp van Azure AD PowerShell
Gebruik de opdracht Set-AzureADMSServicePrincipal om een aangepast beveiligingskenmerk met een waarde met meerdere tekenreeksen toe te wijzen aan een toepassing (service-principal).
- Kenmerkset:
Engineering - Attribuut:
Project - Kenmerkgegevenstype: Verzameling tekenreeksen
- Kenmerkwaarde:
("Baker","Cascade")
$attributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Baker","Cascade")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributes
Een aangepast beveiligingskenmerk bijwerken met een waarde voor meerdere tekenreeksen voor een toepassing (service-principal) met behulp van Azure AD PowerShell
Geef de nieuwe set kenmerkwaarden op die u wilt weergeven op de toepassing. In dit voorbeeld voegen we nog een waarde toe voor het projectkenmerk.
- Kenmerkset:
Engineering - Attribuut:
Project - Kenmerkgegevenstype: Verzameling tekenreeksen
- Kenmerkwaarde:
("Alpine","Baker")
$attributesUpdate = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
Project = @("Alpine","Baker")
}
}
Set-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -CustomSecurityAttributes $attributesUpdate
De toewijzingen van aangepaste beveiligingskenmerken voor een toepassing (service-principal) ophalen met behulp van Azure AD PowerShell
Gebruik de opdracht Get-AzureADMSServicePrincipal om de toewijzingen van aangepaste beveiligingskenmerken voor een toepassing (service-principal) op te halen.
Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id aaaaaaaa-bbbb-cccc-1111-222222222222 -Select "CustomSecurityAttributes, Id"
Microsoft Graph PowerShell
Als u aangepaste toewijzingen van beveiligingskenmerken voor toepassingen in uw Microsoft Entra-organisatie wilt beheren, kunt u Microsoft Graph PowerShell gebruiken. De volgende opdrachten kunnen worden gebruikt om toewijzingen te beheren.
Een aangepast beveiligingskenmerk met een waarde met meerdere tekenreeksen toewijzen aan een toepassing (service-principal) met behulp van Microsoft Graph PowerShell
Gebruik de opdracht Update-MgServicePrincipal om een aangepast beveiligingskenmerk met een waarde met meerdere tekenreeksen toe te wijzen aan een toepassing (service-principal).
Gegeven de waarden
- Kenmerkset:
Engineering - Attribuut:
ProjectDate - Kenmerkgegevenstype: Tekenreeks
- Kenmerkwaarde:
"2024-11-15"
#Retrieve the servicePrincipal
$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" ="2024-11-15"
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Een aangepast beveiligingskenmerk bijwerken met een waarde voor meerdere tekenreeksen voor een toepassing (service-principal) met behulp van Microsoft Graph PowerShell
Geef de nieuwe set kenmerkwaarden op die u wilt weergeven op de toepassing. In dit voorbeeld voegen we nog een waarde toe voor het projectkenmerk.
Gegeven de waarden
- Kenmerkset:
Engineering - Attribuut:
Project - Kenmerkgegevenstype: Verzameling tekenreeksen
- Kenmerkwaarde:
["Baker","Cascade"]
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @(
"Baker"
"Cascade"
)
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Toepassingen filteren op basis van aangepaste beveiligingskenmerken met Behulp van Microsoft Graph PowerShell
In dit voorbeeld wordt een lijst met toepassingen gefilterd met een aangepaste toewijzing van beveiligingskenmerken die gelijk is aan de opgegeven waarde.
$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id : aaaaaaaa-bbbb-cccc-1111-222222222222
DisplayName : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}
Aangepaste toewijzingen van beveiligingskenmerken verwijderen uit toepassingen met Behulp van Microsoft Graph PowerShell
In dit voorbeeld verwijderen we een aangepaste toewijzing van beveiligingskenmerken die ondersteuning biedt voor enkele waarden.
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params
In dit voorbeeld verwijderen we een aangepaste toewijzing van beveiligingskenmerken die ondersteuning biedt voor meerdere waarden.
$customSecurityAttributes = @{
Engineering = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes
Microsoft Graph API
Als u aangepaste toewijzingen van beveiligingskenmerken voor toepassingen in uw Microsoft Entra-organisatie wilt beheren, kunt u de Microsoft Graph API gebruiken. Voer de volgende API-aanroepen uit om toewijzingen te beheren.
Zie Voor andere vergelijkbare Microsoft Graph API-voorbeelden voor gebruikers aangepaste beveiligingskenmerken toewijzen, bijwerken, weergeven of verwijderen voor een gebruiker en voorbeelden: Toewijzen, bijwerken, weergeven of verwijderen van aangepaste toewijzingen van beveiligingskenmerken met behulp van de Microsoft Graph API.
Een aangepast beveiligingskenmerk met een waarde met meerdere tekenreeksen toewijzen aan een toepassing (service-principal) met behulp van Microsoft Graph API
Gebruik de Update servicePrincipal-API om een aangepast beveiligingskenmerk met een tekenreekswaarde toe te wijzen aan een toepassing.
Gegeven de waarden
- Kenmerkset:
Engineering - Attribuut:
Project - Kenmerkgegevenstype: Tekenreeks
- Kenmerkwaarde:
"Baker"
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project": "Baker"
}
}
}
Een aangepast beveiligingskenmerk bijwerken met een waarde voor meerdere tekenreeksen voor een toepassing (service-principal) met behulp van Microsoft Graph API
Geef de nieuwe set kenmerkwaarden op die u wilt weergeven op de toepassing. In dit voorbeeld voegen we nog een waarde toe voor het projectkenmerk.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project@odata.type":"#Collection(String)",
"Project":["Baker","Cascade"]
}
}
}
Toepassingen filteren op basis van aangepaste beveiligingskenmerken met behulp van Microsoft Graph API
In dit voorbeeld wordt een lijst met toepassingen gefilterd met een aangepaste toewijzing van beveiligingskenmerken die gelijk is aan de opgegeven waarde. De filterwaarde is hoofdlettergevoelig. U moet de aanvraag of de header toevoegen ConsistencyLevel=eventual . U moet ook opnemen $count=true om ervoor te zorgen dat de aanvraag correct wordt gerouteerd.
GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual
Aangepaste toewijzingen van beveiligingskenmerken uit een toepassing verwijderen met behulp van Microsoft Graph API
In dit voorbeeld verwijderen we een aangepaste toewijzing van beveiligingskenmerken die ondersteuning biedt voor meerdere waarden.
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json
{
"customSecurityAttributes":
{
"Engineering":
{
"@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
"Project":[]
}
}
}