Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft

  • Artykuł

Niestandardowe atrybuty zabezpieczeń w identyfikatorze Entra firmy microsoft to atrybuty specyficzne dla firmy (pary klucz-wartość), które można definiować i przypisywać do obiektów entra firmy Microsoft. W tym artykule opisano sposób dodawania, edytowania lub dezaktywowania niestandardowych definicji atrybutów zabezpieczeń.

Wymagania wstępne

Aby dodać lub dezaktywować niestandardowe definicje atrybutów zabezpieczeń, musisz mieć następujące elementy:

Ważne

Domyślnie globalny Administracja istrator i inne role administratora nie mają uprawnień do odczytywania, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Dodawanie zestawu atrybutów

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Zestaw atrybutów jest kolekcją powiązanych atrybutów. Wszystkie niestandardowe atrybuty zabezpieczeń muszą być częścią zestawu atrybutów. Nie można zmienić nazwy ani usunąć zestawów atrybutów.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator definicji atrybutu.

  2. Przejdź do opcji Ochrona>atrybutów zabezpieczeń niestandardowych.

  3. Kliknij pozycję Dodaj zestaw atrybutów, aby dodać nowy zestaw atrybutów.

    Jeśli opcja Dodaj zestaw atrybutów jest wyłączona, upewnij się, że masz przypisaną rolę Definicja atrybutu Administracja istrator. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z niestandardowymi atrybutami zabezpieczeń.

  4. Wprowadź nazwę, opis i maksymalną liczbę atrybutów.

    Nazwa zestawu atrybutów może zawierać 32 znaki bez spacji ani znaków specjalnych. Po określeniu nazwy nie można jej zmienić. Aby uzyskać więcej informacji, zobacz Limity i ograniczenia.

    Screenshot of New attribute set pane in Microsoft Entra admin center.

  5. Po zakończeniu kliknij przycisk Dodaj.

    Nowy zestaw atrybutów zostanie wyświetlony na liście zestawów atrybutów.

Dodawanie niestandardowej definicji atrybutu zabezpieczeń

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator definicji atrybutu.

  2. Przejdź do opcji Ochrona>atrybutów zabezpieczeń niestandardowych.

  3. Na stronie Niestandardowe atrybuty zabezpieczeń znajdź istniejący zestaw atrybutów lub kliknij pozycję Dodaj zestaw atrybutów, aby dodać nowy zestaw atrybutów.

    Wszystkie niestandardowe definicje atrybutów zabezpieczeń muszą być częścią zestawu atrybutów.

  4. Kliknij, aby otworzyć wybrany zestaw atrybutów.

  5. Kliknij pozycję Dodaj atrybut , aby dodać nowy niestandardowy atrybut zabezpieczeń do zestawu atrybutów.

    Screenshot of New attribute pane in Microsoft Entra admin center.

  6. W polu Nazwa atrybutu wprowadź niestandardową nazwę atrybutu zabezpieczeń.

    Niestandardowa nazwa atrybutu zabezpieczeń może zawierać 32 znaki bez spacji ani znaków specjalnych. Po określeniu nazwy nie można jej zmienić. Aby uzyskać więcej informacji, zobacz Limity i ograniczenia.

  7. W polu Opis wprowadź opcjonalny opis.

    Opis może mieć długość 128 znaków. W razie potrzeby możesz później zmienić opis.

  8. Z listy Typ danych wybierz typ danych dla niestandardowego atrybutu zabezpieczeń.

    Typ danych opis
    Logiczny Wartość logiczna, która może mieć wartość true, True, false lub False.
    Integer 32-bitowa liczba całkowita.
    String Ciąg, który może mieć długość X znaków.

  9. W obszarze Zezwalaj na przypisanie wielu wartości wybierz pozycję Tak lub Nie.

    Wybierz pozycję Tak , aby zezwolić na przypisanie wielu wartości do tego niestandardowego atrybutu zabezpieczeń. Wybierz pozycję Nie , aby zezwolić tylko na przypisanie pojedynczej wartości do tego niestandardowego atrybutu zabezpieczeń.

  10. W obszarze Zezwalaj tylko na przypisywanie wstępnie zdefiniowanych wartości wybierz pozycję Tak lub Nie.

    Wybierz pozycję Tak , aby wymagać przypisania wartości tego niestandardowego atrybutu zabezpieczeń z listy wstępnie zdefiniowanych wartości. Wybierz pozycję Nie , aby zezwolić temu niestandardowemu atrybutowi zabezpieczeń na przypisanie wartości zdefiniowanych przez użytkownika lub potencjalnie wstępnie zdefiniowanych wartości.

  11. Jeśli zezwalaj tylko na przypisanie wstępnie zdefiniowanych wartości to Tak, kliknij przycisk Dodaj wartość , aby dodać wstępnie zdefiniowane wartości.

    Aktywna wartość jest dostępna dla przypisania do obiektów. Zdefiniowano wartość, która nie jest aktywna, ale nie jest jeszcze dostępna dla przypisania.

    Screenshot of New attribute pane with Add predefined value pane in Microsoft Entra admin center.

  12. Po skończeniu kliknij przycisk Zapisz.

    Nowy niestandardowy atrybut zabezpieczeń zostanie wyświetlony na liście atrybutów zabezpieczeń niestandardowych.

  13. Jeśli chcesz uwzględnić wstępnie zdefiniowane wartości, wykonaj kroki opisane w następnej sekcji.

Edytowanie niestandardowej definicji atrybutu zabezpieczeń

Po dodaniu nowej niestandardowej definicji atrybutu zabezpieczeń można później edytować niektóre właściwości. Niektóre właściwości są niezmienne i nie można ich zmienić.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator definicji atrybutu.

  2. Przejdź do opcji Ochrona>atrybutów zabezpieczeń niestandardowych.

  3. Kliknij zestaw atrybutów zawierający niestandardowy atrybut zabezpieczeń, który chcesz edytować.

  4. Na liście niestandardowych atrybutów zabezpieczeń kliknij wielokropek niestandardowego atrybutu zabezpieczeń, który chcesz edytować, a następnie wybierz pozycję Edytuj atrybut.

  5. Edytuj właściwości, które są włączone.

  6. Jeśli zezwalaj tylko na przypisanie wstępnie zdefiniowanych wartości to Tak, kliknij przycisk Dodaj wartość , aby dodać wstępnie zdefiniowane wartości. Kliknij istniejącą wstępnie zdefiniowaną wartość, aby zmienić ustawienie Czy jest aktywne?

    Screenshot of Add predefined value pane in Microsoft Entra admin center.

Dezaktywowanie niestandardowej definicji atrybutu zabezpieczeń

Po dodaniu niestandardowej definicji atrybutu zabezpieczeń nie można go usunąć. Można jednak dezaktywować niestandardową definicję atrybutu zabezpieczeń.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako Administracja istrator definicji atrybutu.

  2. Przejdź do opcji Ochrona>atrybutów zabezpieczeń niestandardowych.

  3. Kliknij zestaw atrybutów zawierający niestandardowy atrybut zabezpieczeń, który chcesz dezaktywować.

  4. Na liście niestandardowych atrybutów zabezpieczeń dodaj znacznik wyboru obok niestandardowego atrybutu zabezpieczeń, który chcesz dezaktywować.

  5. Kliknij pozycję Dezaktywuj atrybut.

  6. W wyświetlonym oknie dialogowym Dezaktywuj atrybut kliknij przycisk Tak.

    Niestandardowy atrybut zabezpieczeń jest dezaktywowany i przenoszony do listy Dezaktywowane atrybuty.

Program PowerShell lub interfejs API programu Microsoft Graph

Aby zarządzać niestandardowymi definicjami atrybutów zabezpieczeń w organizacji firmy Microsoft Entra, możesz również użyć programu PowerShell lub interfejsu API programu Microsoft Graph. W poniższych przykładach można zarządzać zestawami atrybutów i niestandardowymi definicjami atrybutów zabezpieczeń.

Pobieranie wszystkich zestawów atrybutów

Poniższy przykład pobiera wszystkie zestawy atrybutów.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Description          : Attributes for marketing team
Id                   : Marketing
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Pobieranie najważniejszych zestawów atrybutów

Poniższy przykład pobiera najważniejsze zestawy atrybutów.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Top 10

Pobieranie zestawów atrybutów w kolejności

Poniższy przykład pobiera zestawy atrybutów w kolejności.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Sort "Id"

Pobieranie zestawu atrybutów

Poniższy przykład pobiera zestaw atrybutów.

  • Zestaw atrybutów: Engineering

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}

Dodawanie zestawu atrybutów

W poniższym przykładzie dodano nowy zestaw atrybutów.

  • Zestaw atrybutów: Engineering

New-MgDirectoryAttributeSet

$params = @{
    Id = "Engineering"
    Description = "Attributes for engineering team"
    MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params

Id          Description                     MaxAttributesPerSet
--          -----------                     -------------------
Engineering Attributes for engineering team 25

Aktualizowanie zestawu atrybutów

Poniższy przykład aktualizuje zestaw atrybutów.

  • Zestaw atrybutów: Engineering

Update-MgDirectoryAttributeSet

$params = @{
    description = "Attributes for engineering team"
    maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params

Pobieranie wszystkich niestandardowych definicji atrybutów zabezpieczeń

Poniższy przykład pobiera wszystkie niestandardowe definicje atrybutów zabezpieczeń.

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Marketing
Description             : Country where is application is used
Id                      : Marketing_AppCountry
IsCollection            : True
IsSearchable            : True
Name                    : AppCountry
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Filtrowanie niestandardowych definicji atrybutów zabezpieczeń

W poniższych przykładach filtruj niestandardowe definicje atrybutów zabezpieczeń.

  • Filtr: Nazwa atrybutu eq 'Project' i status eq 'Available'

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}
  • Filtr: Zestaw atrybutów eq "Engineering" i status eq "Available" i typ danych eq "String"

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Pobieranie niestandardowej definicji atrybutu zabezpieczeń

Poniższy przykład pobiera niestandardową definicję atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: ProjectDate

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Dodawanie niestandardowej definicji atrybutu zabezpieczeń

W poniższym przykładzie dodano nową niestandardową definicję atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: ProjectDate
  • Typ danych atrybutu: Ciąg

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Target completion date"
    isCollection = $false
    isSearchable = $true
    name = "ProjectDate"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Dodawanie niestandardowej definicji atrybutu zabezpieczeń obsługującej wiele wstępnie zdefiniowanych wartości

W poniższym przykładzie dodano nową niestandardową definicję atrybutu zabezpieczeń, która obsługuje wiele wstępnie zdefiniowanych wartości.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project
  • Typ danych atrybutu: kolekcja ciągów

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Dodawanie niestandardowej definicji atrybutu zabezpieczeń z listą wstępnie zdefiniowanych wartości

Poniższy przykład dodaje nową niestandardową definicję atrybutu zabezpieczeń z listą wstępnie zdefiniowanych wartości.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project
  • Typ danych atrybutu: kolekcja ciągów
  • Wstępnie zdefiniowane wartości: Alpine, , BakerCascade

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
    allowedValues = @(
        @{
            id = "Alpine"
            isActive = $true
        }
        @{
            id = "Baker"
            isActive = $true
        }
        @{
            id = "Cascade"
            isActive = $true
        }
    )
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Aktualizowanie niestandardowej definicji atrybutu zabezpieczeń

Poniższy przykład aktualizuje niestandardową definicję atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: ProjectDate

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Aktualizowanie wstępnie zdefiniowanych wartości dla niestandardowej definicji atrybutu zabezpieczeń

Poniższy przykład aktualizuje wstępnie zdefiniowane wartości dla niestandardowej definicji atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project
  • Typ danych atrybutu: kolekcja ciągów
  • Zaktualizuj wstępnie zdefiniowaną wartość: Baker
  • Nowa wstępnie zdefiniowana wartość: Skagit

Invoke-MgGraphRequest

Uwaga

W przypadku tego żądania należy dodać nagłówek OData-Version i przypisać mu wartość 4.01.

$params = @{
    "allowedValues@delta" = @(
        @{
            id = "Baker"
            isActive = $false
        }
        @{
            id = "Skagit"
            isActive = $true
        }
    )
}
$header = @{
    "OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params

Dezaktywowanie niestandardowej definicji atrybutu zabezpieczeń

Poniższy przykład dezaktywuje niestandardową definicję atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Pobieranie wszystkich wstępnie zdefiniowanych wartości

Poniższy przykład pobiera wszystkie wstępnie zdefiniowane wartości dla niestandardowej definicji atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List

Id                   : Skagit
IsActive             : True
AdditionalProperties : {}

Id                   : Baker
IsActive             : False
AdditionalProperties : {}

Id                   : Cascade
IsActive             : True
AdditionalProperties : {}

Id                   : Alpine
IsActive             : True
AdditionalProperties : {}

Pobieranie wstępnie zdefiniowanej wartości

Poniższy przykład pobiera wstępnie zdefiniowaną wartość dla niestandardowej definicji atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project
  • Wstępnie zdefiniowana wartość: Alpine

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Dodawanie wstępnie zdefiniowanej wartości

Poniższy przykład dodaje wstępnie zdefiniowaną wartość dla niestandardowej definicji atrybutu zabezpieczeń.

Możesz dodać wstępnie zdefiniowane wartości dla niestandardowych atrybutów zabezpieczeń, które mają usePreDefinedValuesOnly ustawioną wartość true.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project
  • Wstępnie zdefiniowana wartość: Alpine

New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    id = "Alpine"
    isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Dezaktywowanie wstępnie zdefiniowanej wartości

Poniższy przykład dezaktywuje wstępnie zdefiniowaną wartość dla niestandardowej definicji atrybutu zabezpieczeń.

  • Zestaw atrybutów: Engineering
  • Atrybut: Project
  • Wstępnie zdefiniowana wartość: Alpine

Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params

Często zadawane pytania

Czy można usunąć niestandardowe definicje atrybutów zabezpieczeń?

Nie, nie można usunąć niestandardowych definicji atrybutów zabezpieczeń. Można dezaktywować tylko niestandardowe definicje atrybutów zabezpieczeń. Po dezaktywowaniu niestandardowego atrybutu zabezpieczeń nie można go już zastosować do obiektów Microsoft Entra. Niestandardowe przypisania atrybutów zabezpieczeń dla dezaktywowanej niestandardowej definicji atrybutu zabezpieczeń nie są automatycznie usuwane. Nie ma limitu liczby dezaktywowanych atrybutów zabezpieczeń niestandardowych. Można mieć 500 aktywnych niestandardowych definicji atrybutów zabezpieczeń na dzierżawę z 100 dozwolonymi wstępnie zdefiniowanymi wartościami na niestandardową definicję atrybutu zabezpieczeń.

Następne kroki