Atribuir, atualizar, listar ou remover os atributos de segurança personalizados para um usuário

Artigo
11/15/2023

Os Atributos de segurança personalizados na ID do Microsoft Entra, parte do Microsoft Entra, são atributos específicos da empresa (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Por exemplo, você pode atribuir atributo de segurança personalizado para filtrar seus funcionários ou para ajudar a determinar quem obtém acesso aos recursos. Este artigo descreve como atribuir, atualizar, listar ou remover atributos de segurança personalizados na ID do Microsoft Entra.

Pré-requisitos

Para atribuir ou remover atributos de segurança personalizados de um usuário no seu locatário do Microsoft Entra, você precisa:

Administrador de Designação de Atributos
Módulo do Microsoft.Graph ao usar o PowerShell do Microsoft Graph
AzureADPreview versão 2.0.2.138 ou posterior ao usar o Azure AD PowerShell

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.

Designar atributos de segurança personalizados a um usuário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Entre no Centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Certifique-se de que você tenha definido os atributos de segurança personalizados. Para saber mais, confira Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID.
Navegue até Identidade>Usuários>Todos os usuários.
Localize e selecione o usuário ao qual você deseja atribuir atributos de segurança personalizados.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Selecione Adicionar atribuição.
Em conjunto de atributos, selecione um conjunto de atributos na lista.
Em nome do atributo, selecione um atributo de segurança personalizado na lista.
Dependendo das propriedades do atributo de segurança personalizado selecionado, você pode inserir um único valor, selecionar um valor de uma lista predefinida ou adicionar vários valores.
- Para atributos de segurança personalizados de forma livre, de valor único, insira um valor na caixa valores atribuídos.
- Para valores de atributo de segurança personalizados predefinidos, selecione um valor na lista valores atribuídos.
- Para atributos de segurança personalizados com valores múltiplos, selecione Adicionar valores para abrir o painel valores de atributo e adicionar seus valores. Após terminar de adicionar valores, selecione Concluído.
Ao terminar, selecione Salvar para atribuir os atributos de segurança personalizados ao usuário.

Atualizar valores de atribuição de atributo de segurança personalizados para um usuário

Entre no Centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Identidade>Usuários>Todos os usuários.
Localize e selecione o usuário que tem um valor de atribuição de atributo de segurança personalizado que você deseja atualizar.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Localize o valor de atribuição de atributo de segurança personalizado que você deseja atualizar.

Depois de atribuir um atributo de segurança personalizado a um usuário, você só poderá alterar o valor do atributo de segurança personalizado. Não é possível alterar outras propriedades do atributo de segurança personalizado, como o conjunto de atributos ou o nome do atributo.
Dependendo das propriedades do atributo de segurança personalizado selecionado, você pode atualizar um único valor, selecionar um valor de uma lista predefinida ou atualizar vários valores.
Quando terminar, selecione Avançar.

Filtrar usuários com base em atribuições de atributos de segurança personalizados

Você pode filtrar a lista de atributos de segurança personalizados atribuídos aos usuários na página todos os usuários.

Entre no Centro de administração do Microsoft Entra como um Leitor de Atribuição de Atributos.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione Adicionar filtro para abrir o painel Adicionar filtro.
Escolha Atributos de segurança personalizados.
Selecione o conjunto de atributos e o nome do atributo.
Para operador, você pode selecionar Equals (==), not Equals (! =), ou começa com.
Para Valor, inserir ou selecionar um valor.
Para aplicar o filtro, selecione Aplicar.

Remover atribuições de atributo de segurança personalizadas de um usuário

Entre no Centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Identidade>Usuários>Todos os usuários.
Localize e selecione o usuário que tem as atribuições de atributos de segurança personalizados que você deseja remover.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Adicione marcas de seleção ao lado de todas as atribuições de atributo de segurança personalizadas que você deseja remover.
Selecione Remover a atribuição.

PowerShell ou API do Microsoft Graph

Para gerenciar as atribuições de atributos de segurança personalizados dos usuários na sua organização do Microsoft Entra, você pode usar o PowerShell ou a API do Microsoft Graph. Os exemplos a seguir podem ser usados para gerenciar atribuições.

Atribuir um atributo de segurança personalizado com um valor de cadeia de caracteres a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor de cadeia de caracteres a um usuário.

Conjunto de atributos: Engineering
Atributo: ProjectDate
Tipo de dados de atributo: Cadeia de caracteres
Valor do atributo: "2024-11-15"

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" = "2024-11-15"
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "ProjectDate":"2024-11-15"
        }
    }
}

Atribuir um atributo de segurança personalizado com um valor de cadeia de caracteres múltipla a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um usuário.

Conjunto de atributos: Engineering
Atributo: Project
Tipo de dados de atributo: coleção de cadeias de caracteres
Valor do atributo: ["Baker","Cascade"]

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @("Baker","Cascade")
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Set-AzureADMSUser

$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSUser -Id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -CustomSecurityAttributes $attributes

Atribuir um atributo de segurança personalizado com um valor inteiro a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor inteiro a um usuário.

Conjunto de atributos: Engineering
Atributo: NumVendors
Tipo de dados de atributo: inteiro
Valor do atributo: 4

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "NumVendors@odata.type" = "#Int32"
        "NumVendors" = 4
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "NumVendors@odata.type":"#Int32",
            "NumVendors":4
        }
    }
}

Atribuir um atributo de segurança personalizado com um valor multi-inteiro a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor de vários inteiros a um usuário.

Conjunto de atributos: Engineering
Atributo: CostCenter
Tipo de dados de atributo: coleção de inteiros
Valor do atributo: [1001,1003]

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "CostCenter@odata.type" = "#Collection(Int32)"
        "CostCenter" = @(1001,1003)
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "CostCenter@odata.type":"#Collection(Int32)",
            "CostCenter":[1001,1003]
        }
    }
}

Atribuir um atributo de segurança personalizado com um valor Booleano a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor booliano a um usuário.

Conjunto de atributos: Engineering
Atributo: Certification
Tipo de dados de atributo: booliano
Valor do atributo: true

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Certification" = $true
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Certification":true
        }
    }
}

Atualizar uma atribuição de atributo de segurança personalizado com um valor inteiro para um usuário

O exemplo a seguir atualiza uma atribuição de atributo de segurança personalizado com um valor inteiro para um usuário.

Conjunto de atributos: Engineering
Atributo: NumVendors
Tipo de dados de atributo: inteiro
Valor do atributo: 8

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "NumVendors@odata.type" = "#Int32"
        "NumVendors" = 8
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "NumVendors@odata.type":"#Int32",
            "NumVendors":8
        }
    }
}

Atualizar uma atribuição de atributos de segurança personalizados com um valor booliano para um usuário

O exemplo a seguir atualiza uma atribuição de atributo de segurança personalizado com um valor booliano para um usuário.

Conjunto de atributos: Engineering
Atributo: Certification
Tipo de dados de atributo: booliano
Valor do atributo: false

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Certification" = $false
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Certification":false
        }
    }
}

Atualizar uma atribuição de atributo de segurança personalizado com um valor de cadeia de caracteres múltipla para um usuário

O exemplo a seguir atualiza uma atribuição de atributo de segurança personalizado com um valor de várias cadeias de caracteres para um usuário.

Conjunto de atributos: Engineering
Atributo: Project
Tipo de dados de atributo: coleção de cadeias de caracteres
Valor do atributo: ("Alpine","Baker")

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @("Alpine","Baker")
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Alpine","Baker"]
        }
    }
}

Set-AzureADMSUser

$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSUser -Id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -CustomSecurityAttributes $attributesUpdate

Obtenha as atribuições de atributos de segurança personalizados para um usuário

O exemplo a seguir obtém as atribuições de atributo de segurança personalizados para um usuário.

Get-MgUser

$userAttributes = Get-MgUser -UserId $userId -Property "customSecurityAttributes"
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Engineering
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Marketing

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
        [ProjectDate, 2024-11-15]…}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}


Key                   Value
---                   -----
@odata.type           #microsoft.graph.customSecurityAttributeValue
Project@odata.type    #Collection(String)
Project               {Baker, Alpine}
ProjectDate           2024-11-15
NumVendors            8
CostCenter@odata.type #Collection(Int32)
CostCenter            {1001, 1003}
Certification         False


Key         Value
---         -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId  KX45897

Se não houver atributos de segurança personalizados atribuídos ao usuário ou se a entidade de chamada não tiver acesso, a resposta será vazia.

Obter Usuário

GET https://graph.microsoft.com/v1.0/users/{id}?$select=customSecurityAttributes

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(customSecurityAttributes)/$entity",
    "customSecurityAttributes": {
        "Engineering": {
            "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
            "Project@odata.type": "#Collection(String)",
            "Project": [
                "Baker",
                "Alpine"
            ],
            "ProjectDate": "2024-11-15",
            "NumVendors": 8,
            "CostCenter@odata.type": "#Collection(Int32)",
            "CostCenter": [
                1001,
                1003
            ],
            "Certification": false
        },
        "Marketing": {
            "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
            "EmployeeId": "GS45897"
        }
    }
}

Se não houver atributos de segurança personalizados atribuídos ao usuário ou se a entidade de chamada não tiver acesso, a resposta terá a aparência:

{
    "customSecurityAttributes": null
}

Get-AzureADMSUser

$user1 = Get-AzureADMSUser -Id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -Select CustomSecurityAttributes
$user1.CustomSecurityAttributes

Listar todos os usuários com uma atribuição de atributo de segurança personalizado que é igual a um valor

O exemplo a seguir lista todos os usuários com uma atribuição de atributo de segurança personalizado que é igual a um valor. Ele recupera os usuários com um atributo de segurança personalizado chamado AppCountry com um valor igual a Canada. O valor do filtro diferencia maiúsculas de minúsculas. Você precisa adicionar ConsistencyLevel=eventual à solicitação ou ao cabeçalho. Você também deve incluir $count=true para garantir que a solicitação seja roteada corretamente.

Conjunto de atributos: Marketing
Atributo: AppCountry
Filtro: AppCountry eq 'Canada'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry eq 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                                   DisplayName CustomSecurityAttributes
--                                   ----------- ------------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Jiya        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Datacenter@odata.type, #Collection(String)], [Datacenter, System.Object[]]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, KX19476]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, GS46982]}

Listar usuários

GET https://graph.microsoft.com/v1.0/users?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Marketing/AppCountry eq 'Canada'
ConsistencyLevel: eventual

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(id,displayName,customSecurityAttributes)",
    "@odata.count": 2,
    "value": [
        {
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "displayName": "Jiya",
            "customSecurityAttributes": {
                "Engineering": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "Datacenter@odata.type": "#Collection(String)",
                    "Datacenter": [
                        "India"
                    ]
                },
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "India",
                        "Canada"
                    ],
                    "EmployeeId": "KX19476"
                }
            }
        },
        {
            "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
            "displayName": "Jana",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "Canada",
                        "Mexico"
                    ],
                    "EmployeeId": "GS46982"
                }
            }
        }
    ]
}

Listar todos os usuários com uma atribuição de atributo de segurança personalizado que começa com um valor

O exemplo a seguir lista todos os usuários com uma atribuição de atributo de segurança personalizado que começa com um valor. Ele recupera os usuários com um atributo de segurança personalizado chamado EmployeeId com um valor que começa com GS. O valor do filtro diferencia maiúsculas de minúsculas. Você precisa adicionar ConsistencyLevel=eventual à solicitação ou ao cabeçalho. Você também deve incluir $count=true para garantir que a solicitação seja roteada corretamente.

Conjunto de atributos: Marketing
Atributo: EmployeeId
Filtro: EmployeeId startsWith 'GS'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                                   DisplayName CustomSecurityAttributes
--                                   ----------- ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra     Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
11bb11bb-cc22-dd33-ee44-55ff55ff55ff Jana        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe         Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS36348]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, GS46982]}

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
        [ProjectDate, 2024-11-15]…}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}

Listar usuários

GET https://graph.microsoft.com/v1.0/users?$count=true&$select=id,displayName,customSecurityAttributes&$filter=startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')
ConsistencyLevel: eventual

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(id,displayName,customSecurityAttributes)",
    "@odata.count": 3,
    "value": [
        {
            "id": "22cc22cc-dd33-ee44-ff55-66aa66aa66aa",
            "displayName": "Chandra",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS36348"
                }
            }
        },
        {
            "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
            "displayName": "Jana",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "Canada",
                        "Mexico"
                    ],
                    "EmployeeId": "GS46982"
                }
            }
        },
        {
            "id": "33dd33dd-ee44-ff55-aa66-77bb77bb77bb",
            "displayName": "Joe",
            "customSecurityAttributes": {
                "Engineering": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "Project@odata.type": "#Collection(String)",
                    "Project": [
                        "Baker",
                        "Alpine"
                    ],
                    "ProjectDate": "2024-11-15",
                    "NumVendors": 8,
                    "CostCenter@odata.type": "#Collection(Int32)",
                    "CostCenter": [
                        1001,
                        1003
                    ],
                    "Certification": false
                },
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS45897"
                }
            }
        }
    ]
}

Listar todos os usuários com uma atribuição de atributo de segurança personalizado que não é igual a um valor

O exemplo a seguir lista todos os usuários com uma atribuição de atributo de segurança personalizado que não é igual a um valor. Ele recupera os usuários com um atributo de segurança personalizado chamado AppCountry com um valor que não é igual a Canada. O valor do filtro diferencia maiúsculas de minúsculas. Você precisa adicionar ConsistencyLevel=eventual à solicitação ou ao cabeçalho. Você também deve incluir $count=true para garantir que a solicitação seja roteada corretamente.

Conjunto de atributos: Marketing
Atributo: AppCountry
Filtro: AppCountry ne 'Canada'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry ne 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes

Id                                   DisplayName              CustomSecurityAttributes
--                                   -----------              ------------------------
22cc22cc-dd33-ee44-ff55-66aa66aa66aa Chandra                  Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
44ee44ee-ff55-aa66-bb77-88cc88cc88cc Isabella                 Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Alain                    Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
33dd33dd-ee44-ff55-aa66-77bb77bb77bb Joe                      Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
00aa00aa-bb11-cc22-dd33-44ee44ee44ee Dara                     Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Listar usuários

GET https://graph.microsoft.com/v1.0/users?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Marketing/AppCountry ne 'Canada'
ConsistencyLevel: eventual

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(id,displayName,customSecurityAttributes)",
    "@odata.count": 47,
    "value": [
        {
            "id": "22cc22cc-dd33-ee44-ff55-66aa66aa66aa",
            "displayName": "Chandra",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS36348"
                }
            }
        },
        {
            "id": "44ee44ee-ff55-aa66-bb77-88cc88cc88cc",
            "displayName": "Isabella",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "France"
                    ]
                }
            }
        },
        {
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "displayName": "Alain",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "Germany",
                        "Japan"
                    ]
                }
            }
        },
        {
            "id": "33dd33dd-ee44-ff55-aa66-77bb77bb77bb",
            "displayName": "Joe",
            "customSecurityAttributes": {
                "Engineering": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "Project@odata.type": "#Collection(String)",
                    "Project": [
                        "Baker",
                        "Alpine"
                    ],
                    "ProjectDate": "2024-11-15",
                    "NumVendors": 8,
                    "CostCenter@odata.type": "#Collection(Int32)",
                    "CostCenter": [
                        1001,
                        1003
                    ],
                    "Certification": false
                },
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS45897"
                }
            }
        },
        {
            "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
            "displayName": "Dara",
            "customSecurityAttributes": null
        }
    ]
}

Remover uma atribuição de atributo de segurança personalizada de valor único de um usuário

O exemplo a seguir remove uma atribuição de atributo de segurança personalizado de um usuário definindo o valor como nulo.

Conjunto de atributos: Engineering
Atributo: ProjectDate
Valor do atributo: null

Invoke-MgGraphRequest

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/users/$userId" -Body $params

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "ProjectDate":null
        }
    }
}

Remover uma atribuição de atributo de segurança personalizada de vários valores de um usuário

O exemplo a seguir remove uma atribuição de atributo de segurança personalizado com vários valores de um usuário definindo o valor como uma coleção vazia.

Conjunto de atributos: Engineering
Atributo: Project
Valor do atributo: []

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Perguntas frequentes

Onde as atribuições de atributos de segurança personalizados para os usuários têm suporte?

As atribuições de atributos de segurança personalizados para usuários têm suporte no Centro de administração do Microsoft Entra, no PowerShell e nas APIs do Microsoft Graph. Não há suporte para atribuições de atributos de segurança personalizados em Meus aplicativos ou no Centro de administração do Microsoft 365.

Who pode exibir os atributos de segurança personalizados atribuídos a um usuário?

Somente os usuários que receberam as funções administrador de atribuição de atributo ou leitor de atribuição de atributo no escopo do locatário podem exibir os atributos de segurança personalizados atribuídos a todos os usuários no locatário. Os usuários não podem exibir os atributos de segurança personalizados atribuídos ao seu próprio perfil ou a outros usuários. Os convidados não podem exibir os atributos de segurança personalizados, independentemente das permissões de convidado definidas no locatário.

É necessário criar um aplicativo para adicionar atribuições de segurança personalizadas?

Não, os atributos de segurança personalizados podem ser atribuídos a objetos de usuário sem a necessidade de um aplicativo.

Por que continuo recebendo um erro ao tentar salvar as atribuições de atributo de segurança personalizadas?

Você não tem permissão para atribuir atributos de segurança personalizados aos usuários. Certifique-se de que você tenha atribuído a função de administrador de atribuição de atributo.

Posso atribuir atributos de segurança personalizados aos convidados?

Sim, os atributos de segurança personalizados podem ser atribuídos a membros ou convidados em seu locatário.

Posso atribuir atributos de segurança personalizados a usuários sincronizados com o diretório?

Sim, os usuários sincronizados com o diretório de um Active Directory local podem receber atributos de segurança personalizados.

As atribuições de atributos de segurança personalizados estão disponíveis para regras de associação dinâmica?

Não, os atributos de segurança personalizados atribuídos aos usuários não têm suporte para configurar regras de associação dinâmica.

Os atributos de segurança personalizados são os mesmos que os atributos personalizados nos locatários do B2C?

Não, os atributos de segurança personalizados não têm suporte em locatários B2C e não estão relacionados aos recursos do B2C.

Compartilhar via

Atribuir, atualizar, listar ou remover os atributos de segurança personalizados para um usuário

Pré-requisitos

Designar atributos de segurança personalizados a um usuário

Atualizar valores de atribuição de atributo de segurança personalizados para um usuário

Filtrar usuários com base em atribuições de atributos de segurança personalizados

Remover atribuições de atributo de segurança personalizadas de um usuário

PowerShell ou API do Microsoft Graph

Atribuir um atributo de segurança personalizado com um valor de cadeia de caracteres a um usuário

Atribuir um atributo de segurança personalizado com um valor de cadeia de caracteres múltipla a um usuário

Atribuir um atributo de segurança personalizado com um valor inteiro a um usuário

Atribuir um atributo de segurança personalizado com um valor multi-inteiro a um usuário

Atribuir um atributo de segurança personalizado com um valor Booleano a um usuário

Atualizar uma atribuição de atributo de segurança personalizado com um valor inteiro para um usuário

Atualizar uma atribuição de atributos de segurança personalizados com um valor booliano para um usuário

Atualizar uma atribuição de atributo de segurança personalizado com um valor de cadeia de caracteres múltipla para um usuário

Obtenha as atribuições de atributos de segurança personalizados para um usuário

Listar todos os usuários com uma atribuição de atributo de segurança personalizado que é igual a um valor

Listar todos os usuários com uma atribuição de atributo de segurança personalizado que começa com um valor

Listar todos os usuários com uma atribuição de atributo de segurança personalizado que não é igual a um valor

Remover uma atribuição de atributo de segurança personalizada de valor único de um usuário

Remover uma atribuição de atributo de segurança personalizada de vários valores de um usuário

Perguntas frequentes

Próximas etapas

Comentários

Comentários

Recursos adicionais