Lezen in het Engels

Delen via

Aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra-id

  • Artikel

aangepaste beveiligingskenmerken in Microsoft Entra ID zijn bedrijfsspecifieke kenmerken (sleutel-waardeparen) die u kunt definiëren en toewijzen aan Microsoft Entra-objecten. In dit artikel wordt beschreven hoe u aangepaste definities van beveiligingskenmerken toevoegt, bewerkt of deactiveren.

Voorwaarden

Als u aangepaste beveiligingskenmerkendefinities wilt toevoegen of deactiveren, moet u het volgende hebben:

Belangrijk

globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren of toewijzen van aangepaste beveiligingskenmerken.

Een kenmerkset toevoegen

Een kenmerkenset is een verzameling gerelateerde kenmerken. Alle aangepaste beveiligingskenmerken moeten deel uitmaken van een kenmerkenset. Kenmerksets kunnen niet worden gewijzigd of verwijderd.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Kenmerkdefinitiebeheerder.

  2. Navigeer naar Protection>Aangepaste beveiligingskenmerken.

  3. Selecteer Kenmerkset toevoegen om een nieuwe kenmerkset toe te voegen.

    Zorg ervoor dat, als de kenmerkset Toevoegen is uitgeschakeld, u de rol van Kenmerkdefinitiebeheerder hebt toegewezen gekregen. Zie Problemen met aangepaste beveiligingskenmerken oplossenvoor meer informatie.

  4. Voer een naam, beschrijving en maximum aantal kenmerken in.

    Een kenmerksetnaam kan 32 tekens zijn zonder spaties of speciale tekens. Nadat u een naam hebt opgegeven, kunt u de naam ervan niet wijzigen. Zie Limieten en beperkingenvoor meer informatie.

    Schermopname van het deelvenster Nieuwe kenmerkenset in het Microsoft Entra-beheercentrum.

  5. Wanneer u klaar bent, selecteert u Toevoegen.

    De nieuwe kenmerkenet wordt weergegeven in de lijst met kenmerksets.

Een definitie van een aangepast beveiligingskenmerk toevoegen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Kenmerkdefinitiebeheerder.

  2. Navigeer naar Protection>Aangepaste beveiligingskenmerken.

  3. Zoek op de pagina Aangepaste beveiligingskenmerken een bestaande kenmerkenset of selecteer Kenmerkset toevoegen om een nieuwe kenmerkset toe te voegen.

    Alle aangepaste beveiligingskenmerkdefinities moeten deel uitmaken van een kenmerkenset.

  4. Selecteer deze optie om de geselecteerde kenmerkenet te openen.

  5. Selecteer kenmerk toevoegen om een nieuw aangepast beveiligingskenmerk toe te voegen aan de kenmerkenset.

    Schermopname van het deelvenster Nieuwe kenmerk in het Microsoft Entra-beheercentrum.

  6. Voer in het vak Kenmerknaam een aangepaste naam van het beveiligingskenmerk in.

    Een aangepaste naam van het beveiligingskenmerk mag uit 32 tekens bestaan zonder spaties of speciale tekens. Nadat u een naam hebt opgegeven, kunt u de naam ervan niet wijzigen. Zie Limieten en beperkingenvoor meer informatie.

  7. Voer in het vak Beschrijving een optionele beschrijving in.

    Een beschrijving kan 128 tekens lang zijn. Indien nodig kunt u de beschrijving later wijzigen.

  8. Selecteer in de lijst gegevenstype het gegevenstype voor het aangepaste beveiligingskenmerk.

    Gegevenstype Beschrijving
    Booleaans Een Booleaanse waarde die true, True, false of False kan zijn.
    Geheel getal Een 32-bits geheel getal.
    Snaar Een tekenreeks die X tekens lang kan zijn.

  9. Selecteer voor Toestaan dat er meerdere waarden worden toegewezen, Ja of Nee.

    Selecteer Ja om toe te staan dat meerdere waarden worden toegewezen aan dit aangepaste beveiligingskenmerk. Selecteer Geen om slechts één waarde toe te staan aan dit aangepaste beveiligingskenmerk.

  10. Selecteer voor Alleen vooraf gedefinieerde waarden mogen worden toegewezenJa of Nee-.

    Selecteer Ja om te vereisen dat dit aangepaste beveiligingskenmerk waarden uit een vooraf gedefinieerde waardenlijst moet krijgen. Selecteer Geen om toe te staan dat aan dit aangepaste beveiligingskenmerk door de gebruiker gedefinieerde waarden of mogelijk vooraf gedefinieerde waarden worden toegewezen.

  11. Als alleen vooraf gedefinieerde waarden mag worden toegewezen is Ja, selecteert u Waarde toevoegen om vooraf gedefinieerde waarden toe te voegen.

    Er is een actieve waarde beschikbaar voor toewijzing aan objecten. Een waarde die niet actief is, is gedefinieerd, maar is nog niet beschikbaar voor toewijzing.

    Schermafbeelding van het nieuwe kenmerkvenster met het paneel 'Vooraf gedefinieerde waarden toevoegen' in het Microsoft Entra-beheercentrum.

  12. Wanneer u klaar bent, selecteert u Opslaan.

    Het nieuwe aangepaste beveiligingskenmerk wordt weergegeven in de lijst met aangepaste beveiligingskenmerken.

  13. Als u vooraf gedefinieerde waarden wilt opnemen, volgt u de stappen in de volgende sectie.

Een definitie van een aangepast beveiligingskenmerk bewerken

Nadat u een nieuwe definitie van een aangepast beveiligingskenmerk hebt toegevoegd, kunt u later enkele eigenschappen bewerken. Sommige eigenschappen zijn onveranderbaar en kunnen niet worden gewijzigd.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Kenmerkdefinitiebeheerder.

  2. Navigeer naar Protection>Aangepaste beveiligingskenmerken.

  3. Selecteer de kenmerkenet die het aangepaste beveiligingskenmerk bevat dat u wilt bewerken.

  4. Selecteer in de lijst met aangepaste beveiligingskenmerken het beletselteken voor het aangepaste beveiligingskenmerk dat u wilt bewerken en klik dan op Kenmerk bewerken.

  5. Bewerk de eigenschappen die zijn ingeschakeld.

  6. Als alleen vooraf gedefinieerde waarden mag worden toegewezen is Ja, selecteert u Waarde toevoegen om vooraf gedefinieerde waarden toe te voegen. Selecteer een bestaande vooraf gedefinieerde waarde om de instelling Is actief? te wijzigen.

    Schermopname van het deelvenster Toevoegen van een vooraf gedefinieerde waarde in het Microsoft Entra-beheercentrum.

Een definitie van een aangepast beveiligingskenmerk deactiveren

Nadat u een aangepaste definitie van het beveiligingskenmerk hebt toegevoegd, kunt u deze niet verwijderen. U kunt echter een definitie van een aangepast beveiligingskenmerk deactiveren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als Kenmerkdefinitiebeheerder.

  2. Navigeer naar Protection>Aangepaste beveiligingskenmerken.

  3. Selecteer de kenmerkenet die het aangepaste beveiligingskenmerk bevat dat u wilt deactiveren.

  4. Voeg in de lijst met aangepaste beveiligingskenmerken een vinkje toe naast het aangepaste beveiligingskenmerk dat u wilt deactiveren.

  5. Selecteer kenmerk deactiveren.

  6. Selecteer in het dialoogvenster Kenmerk deactiveren dat wordt weergegeven Ja.

    Het aangepaste beveiligingskenmerk wordt gedeactiveerd en verplaatst naar de lijst met gedeactiveerde kenmerken.

PowerShell of Microsoft Graph API

Als u aangepaste beveiligingskenmerkdefinities in uw Microsoft Entra-organisatie wilt beheren, kunt u ook PowerShell of Microsoft Graph API gebruiken. In de volgende voorbeelden worden kenmerksets en aangepaste definities van beveiligingskenmerken beheerd.

Alle kenmerksets ophalen

In het volgende voorbeeld worden alle kenmerksets opgehaald.

Get-MgDirectoryAttributeSet

PowerShell 
Get-MgDirectoryAttributeSet | Format-List
Output 
Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Description          : Attributes for marketing team
Id                   : Marketing
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Top kenmerksets ophalen

In het volgende voorbeeld worden de belangrijkste kenmerksets opgehaald.

Get-MgDirectoryAttributeSet

PowerShell 
Get-MgDirectoryAttributeSet -Top 10

Kenmerksets in volgorde ophalen

In het volgende voorbeeld worden kenmerksets in een bepaalde volgorde opgehaald.

Get-MgDirectoryAttributeSet

PowerShell 
Get-MgDirectoryAttributeSet -Sort "Id"

Een kenmerkset ophalen

In het volgende voorbeeld wordt een kenmerkset toegewezen.

  • Kenmerkset: Engineering

Get-MgDirectoryAttributeSet

PowerShell 
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Output 
Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}

Een kenmerkset toevoegen

In het volgende voorbeeld wordt een nieuwe kenmerkenet toegevoegd.

  • Kenmerkset: Engineering

New-MgDirectoryAttributeSet

PowerShell 
$params = @{
    Id = "Engineering"
    Description = "Attributes for engineering team"
    MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Output 
Id          Description                     MaxAttributesPerSet
--          -----------                     -------------------
Engineering Attributes for engineering team 25

Een kenmerkset bijwerken

In het volgende voorbeeld wordt een kenmerkenset bijgewerkt.

  • Kenmerkset: Engineering

Update-MgDirectoryAttributeSet

PowerShell 
$params = @{
    description = "Attributes for engineering team"
    maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params

Alle definities van aangepaste beveiligingskenmerken ophalen

In het volgende voorbeeld worden alle definities van aangepaste beveiligingskenmerken opgehaald.

Get-MgDirectoryCustomSecurityAttributeDefinition-

PowerShell 
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
Output 
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Marketing
Description             : Country where is application is used
Id                      : Marketing_AppCountry
IsCollection            : True
IsSearchable            : True
Name                    : AppCountry
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Aangepaste beveiligingskenmerkdefinities filteren

In de volgende voorbeelden worden aangepaste beveiligingskenmerkdefinities gefilterd.

  • Filter: Kenmerknaam is 'Project' en status is 'Beschikbaar'

Get-MgDirectoryCustomSecurityAttributeDefinition-

PowerShell 
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
Output 
AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}
  • Filter: Kenmerkset is 'Engineering' en status is 'Beschikbaar' en gegevenstype is 'Tekst'

Get-MgDirectoryCustomSecurityAttributeDefinition-

PowerShell 
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
Output 
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Een definitie van een aangepast beveiligingskenmerk ophalen

In het volgende voorbeeld wordt een aangepaste definitie van het beveiligingskenmerk opgehaald.

  • Kenmerkset: Engineering
  • Kenmerk: ProjectDate

Get-MgDirectoryCustomSecurityAttributeDefinition-

PowerShell 
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
Output 
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Een definitie van een aangepast beveiligingskenmerk toevoegen

In het volgende voorbeeld wordt een nieuwe definitie van het aangepaste beveiligingskenmerk toegevoegd.

  • Kenmerkset: Engineering
  • Kenmerk: ProjectDate
  • Kenmerkgegevenstype: Tekenreeks

New-MgDirectoryCustomSecurityAttributeDefinition-

PowerShell 
$params = @{
    attributeSet = "Engineering"
    description = "Target completion date"
    isCollection = $false
    isSearchable = $true
    name = "ProjectDate"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
Output 
AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Een aangepaste definitie van het beveiligingskenmerk toevoegen die ondersteuning biedt voor meerdere vooraf gedefinieerde waarden

In het volgende voorbeeld wordt een nieuwe definitie van het aangepaste beveiligingskenmerk toegevoegd die ondersteuning biedt voor meerdere vooraf gedefinieerde waarden.

  • Kenmerkset: Engineering
  • Kenmerk: Project
  • Kenmerkgegevenstype: Verzameling tekenreeksen

New-MgDirectoryCustomSecurityAttributeDefinition-

PowerShell 
$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
Output 
AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Een definitie van een aangepast beveiligingskenmerk toevoegen met een lijst met vooraf gedefinieerde waarden

In het volgende voorbeeld wordt een nieuwe definitie van het aangepaste beveiligingskenmerk toegevoegd met een lijst met vooraf gedefinieerde waarden.

  • Kenmerkset: Engineering
  • Kenmerk: Project
  • Kenmerkgegevenstype: Verzameling tekenreeksen
  • Vooraf gedefinieerde waarden: Alpine, Baker, Cascade

New-MgDirectoryCustomSecurityAttributeDefinition-

PowerShell 
$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
    allowedValues = @(
        @{
            id = "Alpine"
            isActive = $true
        }
        @{
            id = "Baker"
            isActive = $true
        }
        @{
            id = "Cascade"
            isActive = $true
        }
    )
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
Output 
AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Een definitie van een aangepast beveiligingskenmerk bijwerken

In het volgende voorbeeld wordt een definitie van een aangepast beveiligingskenmerk bijgewerkt.

  • Kenmerkset: Engineering
  • Kenmerk: ProjectDate

Update-MgDirectoryCustomSecurityAttributeDefinition

PowerShell 
$params = @{
    description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

De vooraf gedefinieerde waarden bijwerken voor een aangepaste definitie van het beveiligingskenmerk

In het volgende voorbeeld worden de vooraf gedefinieerde waarden bijgewerkt voor een definitie van een aangepast beveiligingskenmerk.

  • Kenmerkset: Engineering
  • Kenmerk: Project
  • Kenmerkgegevenstype: Verzameling tekenreeksen
  • Vooraf gedefinieerde waarde bijwerken: Baker
  • Nieuwe vooraf gedefinieerde waarde: Skagit

Invoke-MgGraphRequest

Notitie

Voor deze aanvraag moet u de OData-version header toevoegen en deze de waarde 4.01toewijzen.

PowerShell 
$params = @{
    "allowedValues@delta" = @(
        @{
            id = "Baker"
            isActive = $false
        }
        @{
            id = "Skagit"
            isActive = $true
        }
    )
}
$header = @{
    "OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params

Een definitie van een aangepast beveiligingskenmerk deactiveren

In het volgende voorbeeld wordt een definitie van een aangepast beveiligingskenmerk gedeactiveerd.

  • Kenmerkset: Engineering
  • Kenmerk: Project

Update-MgDirectoryCustomSecurityAttributeDefinition

PowerShell 
$params = @{
    status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Alle vooraf gedefinieerde waarden ophalen

In het volgende voorbeeld worden alle vooraf gedefinieerde waarden opgehaald voor een definitie van een aangepast beveiligingskenmerk.

  • Kenmerkset: Engineering
  • Kenmerk: Project

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

PowerShell 
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Output 
Id                   : Skagit
IsActive             : True
AdditionalProperties : {}

Id                   : Baker
IsActive             : False
AdditionalProperties : {}

Id                   : Cascade
IsActive             : True
AdditionalProperties : {}

Id                   : Alpine
IsActive             : True
AdditionalProperties : {}

Een vooraf gedefinieerde waarde ophalen

In het volgende voorbeeld wordt een vooraf gedefinieerde waarde opgehaald voor een definitie van een aangepast beveiligingskenmerk.

  • Kenmerkset: Engineering
  • Kenmerk: Project
  • Vooraf gedefinieerde waarde: Alpine

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

PowerShell 
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Output 
Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Een vooraf gedefinieerde waarde toevoegen

In het volgende voorbeeld wordt een vooraf gedefinieerde waarde toegevoegd voor een definitie van een aangepast beveiligingskenmerk.

U kunt vooraf gedefinieerde waarden toevoegen voor aangepaste beveiligingskenmerken die zijn ingesteld usePreDefinedValuesOnly op true.

  • Kenmerkset: Engineering
  • Kenmerk: Project
  • Vooraf gedefinieerde waarde: Alpine

New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

PowerShell 
$params = @{
    id = "Alpine"
    isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Output 
Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Een vooraf gedefinieerde waarde deactiveren

In het volgende voorbeeld wordt een vooraf gedefinieerde waarde gedeactiveerd voor een definitie van een aangepast beveiligingskenmerk.

  • Kenmerkset: Engineering
  • Kenmerk: Project
  • Vooraf gedefinieerde waarde: Alpine

Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

PowerShell 
$params = @{
    isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params

Veelgestelde vragen

Kunt u aangepaste definities van beveiligingskenmerken verwijderen?

Nee, u kunt aangepaste definities van beveiligingskenmerken niet verwijderen. U kunt alleen aangepaste beveiligingskenmerkdefinities deactiveren. Zodra u een aangepast beveiligingskenmerk hebt gedeactiveerd, kan het niet meer worden toegepast op de Microsoft Entra-objecten. Aangepaste toewijzingen van beveiligingskenmerken voor de gedeactiveerde definitie van aangepaste beveiligingskenmerken worden niet automatisch verwijderd. Er is geen limiet voor het aantal gedeactiveerde aangepaste beveiligingskenmerken. U kunt 500 actieve definities van aangepaste beveiligingskenmerken per tenant hebben met 100 toegestane vooraf gedefinieerde waarden per definitie van aangepast beveiligingskenmerk.

Volgende stappen