Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID
Os atributos de segurança personalizados no Microsoft Entra ID são atributos específicos do negócio (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Este artigo descreve como adicionar, editar ou desativar definições de atributos de segurança personalizados.
Pré-requisitos
Para adicionar ou desativar definições de atributos de segurança personalizados, você deve ter:
- Administrador de Definição de Atributo
- Módulo Microsoft.Graph ao usar o Microsoft Graph PowerShell
- AzureADPreview versão 2.0.2.138 ou posterior ao usar o Azure AD PowerShell
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Adicionar um conjunto de atributos
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Um conjunto de atributos é uma coleção de atributos relacionados. Todos os atributos de segurança personalizados devem fazer parte de um conjunto de atributos. Os conjuntos de atributos não podem ser renomeados ou excluídos.
Entre no centro de administração do Microsoft Entra como um Administrador de Definição de Atributo.
Navegue até Atributos de segurança personalizados de proteção>.
Clique em Adicionar conjunto de atributos para adicionar um novo conjunto de atributos.
Se Adicionar conjunto de atributos estiver desativado, certifique-se de que lhe foi atribuída a função de Administrador de Definição de Atributo. Para obter mais informações, consulte Solucionar problemas de atributos de segurança personalizados.
Insira um nome, uma descrição e o número máximo de atributos.
Um nome de conjunto de atributos pode ter 32 caracteres sem espaços ou caracteres especiais. Depois de especificar um nome, não é possível renomeá-lo. Para obter mais informações, consulte Limites e restrições.
Quando terminar, clique em Adicionar.
O novo conjunto de atributos aparece na lista de conjuntos de atributos.
Adicionar uma definição de atributo de segurança personalizada
Entre no centro de administração do Microsoft Entra como um Administrador de Definição de Atributo.
Navegue até Atributos de segurança personalizados de proteção>.
Na página Atributos de segurança personalizados, localize um conjunto de atributos existente ou clique em Adicionar conjunto de atributos para adicionar um novo conjunto de atributos.
Todas as definições de atributos de segurança personalizados devem fazer parte de um conjunto de atributos.
Clique para abrir o conjunto de atributos selecionado.
Clique em Adicionar atributo para adicionar um novo atributo de segurança personalizado ao conjunto de atributos.
Na caixa Nome do atributo , insira um nome de atributo de segurança personalizado.
Um nome de atributo de segurança personalizado pode ter 32 caracteres sem espaços ou caracteres especiais. Depois de especificar um nome, não é possível renomeá-lo. Para obter mais informações, consulte Limites e restrições.
Na caixa Descrição, insira uma descrição opcional.
Uma descrição pode ter 128 caracteres. Se necessário, pode alterar posteriormente a descrição.
Na lista Tipo de dados, selecione o tipo de dados para o atributo de segurança personalizado.
Tipo de dados Description Booleano Um valor booleano que pode ser true, True, false ou False. Número inteiro Um inteiro de 32 bits. String Uma cadeia de caracteres que pode ter X caracteres. Em Permitir a atribuição de vários valores, selecione Sim ou Não.
Selecione Sim para permitir que vários valores sejam atribuídos a esse atributo de segurança personalizado. Selecione Não para permitir que apenas um único valor seja atribuído a este atributo de segurança personalizado.
Em Permitir apenas que valores predefinidos sejam atribuídos, selecione Sim ou Não.
Selecione Sim para exigir que este atributo de segurança personalizado receba valores de uma lista de valores predefinida. Selecione Não para permitir que este atributo de segurança personalizado receba valores definidos pelo usuário ou valores potencialmente predefinidos.
Se Somente permitir que valores predefinidos sejam atribuídos for Sim, clique em Adicionar valor para adicionar valores predefinidos.
Um valor ativo está disponível para atribuição a objetos. Um valor que não está ativo está definido, mas ainda não está disponível para atribuição.
Quando terminar, clique em Guardar.
O novo atributo de segurança personalizado aparece na lista de atributos de segurança personalizados.
Se você quiser incluir valores predefinidos, siga as etapas na próxima seção.
Editar uma definição de atributo de segurança personalizada
Depois de adicionar uma nova definição de atributo de segurança personalizada, você poderá editar posteriormente algumas das propriedades. Algumas propriedades são imutáveis e não podem ser alteradas.
Entre no centro de administração do Microsoft Entra como um Administrador de Definição de Atributo.
Navegue até Atributos de segurança personalizados de proteção>.
Clique no conjunto de atributos que inclui o atributo de segurança personalizado que você deseja editar.
Na lista de atributos de segurança personalizados, clique nas reticências do atributo de segurança personalizado que pretende editar e, em seguida, selecione Editar atributo.
Edite as propriedades que estão habilitadas.
Se Somente permitir que valores predefinidos sejam atribuídos for Sim, clique em Adicionar valor para adicionar valores predefinidos. Clique em um valor predefinido existente para alterar a configuração Está ativo? .
Desativar uma definição de atributo de segurança personalizada
Depois de adicionar uma definição de atributo de segurança personalizada, não é possível excluí-la. No entanto, você pode desativar uma definição de atributo de segurança personalizada.
Entre no centro de administração do Microsoft Entra como um Administrador de Definição de Atributo.
Navegue até Atributos de segurança personalizados de proteção>.
Clique no conjunto de atributos que inclui o atributo de segurança personalizado que você deseja desativar.
Na lista de atributos de segurança personalizados, adicione uma marca de seleção ao lado do atributo de segurança personalizado que você deseja desativar.
Clique em Desativar atributo.
Na caixa de diálogo Desativar atributo exibida, clique em Sim.
O atributo de segurança personalizado é desativado e movido para a lista de atributos desativados.
PowerShell ou API do Microsoft Graph
Para gerenciar definições personalizadas de atributos de segurança em sua organização do Microsoft Entra, você também pode usar o PowerShell ou a API do Microsoft Graph. Os exemplos a seguir gerenciam conjuntos de atributos e definições de atributos de segurança personalizados.
Obter todos os conjuntos de atributos
O exemplo a seguir obtém todos os conjuntos de atributos.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Obter os principais conjuntos de atributos
O exemplo a seguir obtém os principais conjuntos de atributos.
Get-MgDirectoryAttributeSet -Top 10
Obter conjuntos de atributos em ordem
O exemplo a seguir obtém conjuntos de atributos em ordem.
Get-MgDirectoryAttributeSet -Sort "Id"
Obter um conjunto de atributos
O exemplo a seguir obtém um conjunto de atributos.
- Conjunto de atributos:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Adicionar um conjunto de atributos
O exemplo a seguir adiciona um novo conjunto de atributos.
- Conjunto de atributos:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Atualizar um conjunto de atributos
O exemplo a seguir atualiza um conjunto de atributos.
- Conjunto de atributos:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Obter todas as definições de atributos de segurança personalizados
O exemplo a seguir obtém todas as definições de atributo de segurança personalizadas.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtrar definições de atributos de segurança personalizados
Os exemplos a seguir filtram definições de atributos de segurança personalizados.
- Filtrar: Nome do atributo eq 'Projeto' e status eq 'Disponível'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtrar: Atributo conjunto eq 'Engenharia' e status eq 'Disponível' e tipo de dados eq 'String'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Obter uma definição de atributo de segurança personalizada
O exemplo a seguir obtém uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizada
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizado.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate - Tipo de dados do atributo: String
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizada que ofereça suporte a vários valores predefinidos
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizada que oferece suporte a vários valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: Coleção de cadeias de caracteres
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Adicionar uma definição de atributo de segurança personalizada com uma lista de valores predefinidos
O exemplo a seguir adiciona uma nova definição de atributo de segurança personalizada com uma lista de valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: Coleção de cadeias de caracteres
- Valores predefinidos:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Atualizar uma definição de atributo de segurança personalizada
O exemplo a seguir atualiza uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Atualizar os valores predefinidos para uma definição de atributo de segurança personalizada
O exemplo a seguir atualiza os valores predefinidos para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de dados de atributo: Coleção de cadeias de caracteres
- Atualizar valor predefinido:
Baker - Novo valor predefinido:
Skagit
Nota
Para essa solicitação, você deve adicionar o cabeçalho OData-Version e atribuir-lhe o valor 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Desativar uma definição de atributo de segurança personalizada
O exemplo a seguir desativa uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Obter todos os valores predefinidos
O exemplo a seguir obtém todos os valores predefinidos para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Obter um valor predefinido
O exemplo a seguir obtém um valor predefinido para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Adicionar um valor predefinido
O exemplo a seguir adiciona um valor predefinido para uma definição de atributo de segurança personalizada.
Você pode adicionar valores predefinidos para atributos de segurança personalizados que foram usePreDefinedValuesOnly definidos como true.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Desativar um valor predefinido
O exemplo a seguir desativa um valor predefinido para uma definição de atributo de segurança personalizada.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Perguntas mais frequentes
É possível excluir definições de atributos de segurança personalizados?
Não, não é possível excluir definições de atributos de segurança personalizados. Você só pode desativar definições de atributos de segurança personalizados. Depois de desativar um atributo de segurança personalizado, ele não pode mais ser aplicado aos objetos do Microsoft Entra. As atribuições de atributos de segurança personalizados para a definição de atributo de segurança personalizada desativada não são removidas automaticamente. Não há limite para o número de atributos de segurança personalizados desativados. Você pode ter 500 definições de atributo de segurança personalizado ativo por locatário com 100 valores predefinidos permitidos por definição de atributo de segurança personalizado.