Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um usuário

Artigo
11/15/2023

Os atributos de segurança personalizados no Microsoft Entra ID, parte do Microsoft Entra, são atributos específicos do negócio (pares chave-valor) que você pode definir e atribuir aos objetos do Microsoft Entra. Por exemplo, você pode atribuir um atributo de segurança personalizado para filtrar seus funcionários ou para ajudar a determinar quem tem acesso aos recursos. Este artigo descreve como atribuir, atualizar, listar ou remover atributos de segurança personalizados para o Microsoft Entra ID.

Pré-requisitos

Para atribuir ou remover atributos de segurança personalizados para um usuário em seu locatário do Microsoft Entra, você precisa:

Administrador de Atribuição de Atributos
Módulo Microsoft.Graph ao usar o Microsoft Graph PowerShell
AzureADPreview versão 2.0.2.138 ou posterior ao usar o Azure AD PowerShell

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Atribuir atributos de segurança personalizados a um usuário

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Certifique-se de que definiu atributos de segurança personalizados. Para obter mais informações, consulte Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID.
Navegue até Identidade>de usuários Todos os usuários.>
Localize e selecione o usuário ao qual você deseja atribuir atributos de segurança personalizados.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Selecione Adicionar atribuição.
Em Conjunto de atributos, selecione um conjunto de atributos na lista.
Em Nome do atributo, selecione um atributo de segurança personalizado na lista.
Dependendo das propriedades do atributo de segurança personalizado selecionado, você pode inserir um único valor, selecionar um valor de uma lista predefinida ou adicionar vários valores.
- Para atributos de segurança personalizados de forma livre e valor único, insira um valor na caixa Valores atribuídos.
- Para valores de atributos de segurança personalizados predefinidos, selecione um valor na lista Valores atribuídos.
- Para atributos de segurança personalizados com vários valores, selecione Adicionar valores para abrir o painel Valores de atributo e adicionar seus valores. Quando terminar de adicionar valores, selecione Concluído.
Quando terminar, selecione Salvar para atribuir os atributos de segurança personalizados ao usuário.

Atualizar valores de atribuição de atributos de segurança personalizados para um usuário

Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Identidade>de usuários Todos os usuários.>
Localize e selecione o usuário que tem um valor de atribuição de atributo de segurança personalizado que você deseja atualizar.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Encontre o valor de atribuição de atributo de segurança personalizado que você deseja atualizar.

Depois de atribuir um atributo de segurança personalizado a um usuário, você só pode alterar o valor do atributo de segurança personalizado. Não é possível alterar outras propriedades do atributo de segurança personalizado, como conjunto de atributos ou nome do atributo.
Dependendo das propriedades do atributo de segurança personalizado selecionado, você pode atualizar um único valor, selecionar um valor de uma lista predefinida ou atualizar vários valores.
Depois de terminar, selecione Guardar.

Filtrar usuários com base em atribuições de atributos de segurança personalizados

Você pode filtrar a lista de atributos de segurança personalizados atribuídos aos usuários na página Todos os usuários.

Entre no centro de administração do Microsoft Entra como um Leitor de Atribuição de Atributos.
Navegue até Identidade>de usuários Todos os usuários.>
Selecione Adicionar filtro para abrir o painel Adicionar filtro .
Selecione Atributos de segurança personalizados.
Selecione o conjunto de atributos e o nome do atributo.
Para Operador, você pode selecionar igual (), não igual (==!=), ou começa com.
Em Valor, insira ou selecione um valor.
Para aplicar o filtro, selecione Aplicar.

Remover atribuições de atributos de segurança personalizados de um usuário

Entre no centro de administração do Microsoft Entra como um Administrador de Atribuição de Atributos.
Navegue até Identidade>de usuários Todos os usuários.>
Localize e selecione o usuário que tem as atribuições de atributo de segurança personalizadas que você deseja remover.
Na seção Gerenciar, selecione Atributos de segurança personalizados.
Adicione marcas de seleção ao lado de todas as atribuições de atributos de segurança personalizados que você deseja remover.
Selecione Remover atribuição.

PowerShell ou API do Microsoft Graph

Para gerenciar atribuições de atributos de segurança personalizados para usuários em sua organização do Microsoft Entra, você pode usar o PowerShell ou a API do Microsoft Graph. Os exemplos a seguir podem ser usados para gerenciar atribuições.

Atribuir um atributo de segurança personalizado com um valor de cadeia de caracteres a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor de cadeia de caracteres a um usuário.

Conjunto de atributos: Engineering
Atributo: ProjectDate
Tipo de dados do atributo: String
Valor do atributo: "2024-11-15"

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" = "2024-11-15"
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "ProjectDate":"2024-11-15"
        }
    }
}

Atribuir um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um usuário.

Conjunto de atributos: Engineering
Atributo: Project
Tipo de dados de atributo: Coleção de cadeias de caracteres
Valor do atributo: ["Baker","Cascade"]

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @("Baker","Cascade")
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Set-AzureADMSUser

$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSUser -Id dbb22700-a7de-4372-ae78-0098ee60e55e -CustomSecurityAttributes $attributes

Atribuir um atributo de segurança personalizado com um valor inteiro a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor inteiro a um usuário.

Conjunto de atributos: Engineering
Atributo: NumVendors
Tipo de dados do atributo: Inteiro
Valor do atributo: 4

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "NumVendors@odata.type" = "#Int32"
        "NumVendors" = 4
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "NumVendors@odata.type":"#Int32",
            "NumVendors":4
        }
    }
}

Atribuir um atributo de segurança personalizado com um valor de vários inteiros a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor inteiro múltiplo a um usuário.

Conjunto de atributos: Engineering
Atributo: CostCenter
Tipo de dados de atributo: Coleção de inteiros
Valor do atributo: [1001,1003]

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "CostCenter@odata.type" = "#Collection(Int32)"
        "CostCenter" = @(1001,1003)
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "CostCenter@odata.type":"#Collection(Int32)",
            "CostCenter":[1001,1003]
        }
    }
}

Atribuir um atributo de segurança personalizado com um valor booleano a um usuário

O exemplo a seguir atribui um atributo de segurança personalizado com um valor booleano a um usuário.

Conjunto de atributos: Engineering
Atributo: Certification
Tipo de dados do atributo: Boolean
Valor do atributo: true

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Certification" = $true
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Certification":true
        }
    }
}

Atualizar uma atribuição de atributo de segurança personalizada com um valor inteiro para um usuário

O exemplo a seguir atualiza uma atribuição de atributo de segurança personalizada com um valor inteiro para um usuário.

Conjunto de atributos: Engineering
Atributo: NumVendors
Tipo de dados do atributo: Inteiro
Valor do atributo: 8

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "NumVendors@odata.type" = "#Int32"
        "NumVendors" = 8
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "NumVendors@odata.type":"#Int32",
            "NumVendors":8
        }
    }
}

Atualizar uma atribuição de atributo de segurança personalizada com um valor booleano para um usuário

O exemplo a seguir atualiza uma atribuição de atributo de segurança personalizada com um valor booleano para um usuário.

Conjunto de atributos: Engineering
Atributo: Certification
Tipo de dados do atributo: Boolean
Valor do atributo: false

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Certification" = $false
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Certification":false
        }
    }
}

Atualizar uma atribuição de atributo de segurança personalizada com um valor de várias cadeias de caracteres para um usuário

O exemplo a seguir atualiza uma atribuição de atributo de segurança personalizada com um valor de várias cadeias de caracteres para um usuário.

Conjunto de atributos: Engineering
Atributo: Project
Tipo de dados de atributo: Coleção de cadeias de caracteres
Valor do atributo: ("Alpine","Baker")

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @("Alpine","Baker")
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Alpine","Baker"]
        }
    }
}

Set-AzureADMSUser

$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSUser -Id dbb22700-a7de-4372-ae78-0098ee60e55e -CustomSecurityAttributes $attributesUpdate

Obter as atribuições de atributo de segurança personalizadas para um usuário

O exemplo a seguir obtém as atribuições de atributo de segurança personalizadas para um usuário.

Get-MgUser

$userAttributes = Get-MgUser -UserId $userId -Property "customSecurityAttributes"
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Engineering
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Marketing

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
        [ProjectDate, 2024-11-15]…}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}


Key                   Value
---                   -----
@odata.type           #microsoft.graph.customSecurityAttributeValue
Project@odata.type    #Collection(String)
Project               {Baker, Alpine}
ProjectDate           2024-11-15
NumVendors            8
CostCenter@odata.type #Collection(Int32)
CostCenter            {1001, 1003}
Certification         False


Key         Value
---         -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId  KX45897

Se não houver atributos de segurança personalizados atribuídos ao usuário ou se a entidade chamadora não tiver acesso, a resposta estará vazia.

Obter utilizador

GET https://graph.microsoft.com/v1.0/users/{id}?$select=customSecurityAttributes

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(customSecurityAttributes)/$entity",
    "customSecurityAttributes": {
        "Engineering": {
            "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
            "Project@odata.type": "#Collection(String)",
            "Project": [
                "Baker",
                "Alpine"
            ],
            "ProjectDate": "2024-11-15",
            "NumVendors": 8,
            "CostCenter@odata.type": "#Collection(Int32)",
            "CostCenter": [
                1001,
                1003
            ],
            "Certification": false
        },
        "Marketing": {
            "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
            "EmployeeId": "GS45897"
        }
    }
}

Se não houver atributos de segurança personalizados atribuídos ao usuário ou se a entidade chamadora não tiver acesso, a resposta será semelhante a:

{
    "customSecurityAttributes": null
}

Get-AzureADMSUser

$user1 = Get-AzureADMSUser -Id dbb22700-a7de-4372-ae78-0098ee60e55e -Select CustomSecurityAttributes
$user1.CustomSecurityAttributes

Listar todos os usuários com uma atribuição de atributo de segurança personalizada igual a um valor

O exemplo a seguir lista todos os usuários com uma atribuição de atributo de segurança personalizada que é igual a um valor. Ele recupera usuários com um atributo de segurança personalizado nomeado AppCountry com um valor igual a Canada. O valor do filtro diferencia maiúsculas de minúsculas. Você deve adicionar ConsistencyLevel=eventual a solicitação ou o cabeçalho. Você também deve incluir $count=true para garantir que a solicitação seja encaminhada corretamente.

Conjunto de atributos: Marketing
Atributo: AppCountry
Filtrar: AppCountry eq 'Canadá'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry eq 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                                   DisplayName CustomSecurityAttributes
--                                   ----------- ------------------------
4b4e8090-e9ba-4bdc-b2f0-67c3c7c59489 Jiya        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
efdf3082-64ae-495f-b051-855e2d8df969 Jana        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Datacenter@odata.type, #Collection(String)], [Datacenter, System.Object[]]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, KX19476]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, GS46982]}

Lista de utilizadores

GET https://graph.microsoft.com/v1.0/users?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Marketing/AppCountry eq 'Canada'
ConsistencyLevel: eventual

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(id,displayName,customSecurityAttributes)",
    "@odata.count": 2,
    "value": [
        {
            "id": "4b4e8090-e9ba-4bdc-b2f0-67c3c7c59489",
            "displayName": "Jiya",
            "customSecurityAttributes": {
                "Engineering": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "Datacenter@odata.type": "#Collection(String)",
                    "Datacenter": [
                        "India"
                    ]
                },
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "India",
                        "Canada"
                    ],
                    "EmployeeId": "KX19476"
                }
            }
        },
        {
            "id": "efdf3082-64ae-495f-b051-855e2d8df969",
            "displayName": "Jana",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "Canada",
                        "Mexico"
                    ],
                    "EmployeeId": "GS46982"
                }
            }
        }
    ]
}

Listar todos os usuários com uma atribuição de atributo de segurança personalizada que começa com um valor

O exemplo a seguir lista todos os usuários com uma atribuição de atributo de segurança personalizada que começa com um valor. Ele recupera usuários com um atributo de segurança personalizado nomeado EmployeeId com um valor que começa com GS. O valor do filtro diferencia maiúsculas de minúsculas. Você deve adicionar ConsistencyLevel=eventual a solicitação ou o cabeçalho. Você também deve incluir $count=true para garantir que a solicitação seja encaminhada corretamente.

Conjunto de atributos: Marketing
Atributo: EmployeeId
Filtrar: EmployeeId começaCom 'GS'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                                   DisplayName CustomSecurityAttributes
--                                   ----------- ------------------------
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra     Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
efdf3082-64ae-495f-b051-855e2d8df969 Jana        Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe         Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS36348]}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
        [EmployeeId, GS46982]}

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
        [ProjectDate, 2024-11-15]…}

Key   : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}

Lista de utilizadores

GET https://graph.microsoft.com/v1.0/users?$count=true&$select=id,displayName,customSecurityAttributes&$filter=startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')
ConsistencyLevel: eventual

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(id,displayName,customSecurityAttributes)",
    "@odata.count": 3,
    "value": [
        {
            "id": "02d52406-be75-411b-b02f-29d7f38dcf62",
            "displayName": "Chandra",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS36348"
                }
            }
        },
        {
            "id": "efdf3082-64ae-495f-b051-855e2d8df969",
            "displayName": "Jana",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "Canada",
                        "Mexico"
                    ],
                    "EmployeeId": "GS46982"
                }
            }
        },
        {
            "id": "d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8",
            "displayName": "Joe",
            "customSecurityAttributes": {
                "Engineering": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "Project@odata.type": "#Collection(String)",
                    "Project": [
                        "Baker",
                        "Alpine"
                    ],
                    "ProjectDate": "2024-11-15",
                    "NumVendors": 8,
                    "CostCenter@odata.type": "#Collection(Int32)",
                    "CostCenter": [
                        1001,
                        1003
                    ],
                    "Certification": false
                },
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS45897"
                }
            }
        }
    ]
}

Listar todos os usuários com uma atribuição de atributo de segurança personalizada que não seja igual a um valor

O exemplo a seguir lista todos os usuários com uma atribuição de atributo de segurança personalizada que não é igual a um valor. Ele recupera usuários com um atributo de segurança personalizado nomeado AppCountry com um valor que não é igual a Canada. O valor do filtro diferencia maiúsculas de minúsculas. Você deve adicionar ConsistencyLevel=eventual a solicitação ou o cabeçalho. Você também deve incluir $count=true para garantir que a solicitação seja encaminhada corretamente.

Conjunto de atributos: Marketing
Atributo: AppCountry
Filtrar: AppCountry ne 'Canada'

Get-MgUser

$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry ne 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes

Id                                   DisplayName              CustomSecurityAttributes
--                                   -----------              ------------------------
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra                  Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
eaea4971-7764-4498-9aeb-776496812e75 Isabella                 Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
d937580c-692c-451f-a507-6758d3bdf353 Alain                    Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe                      Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
23ad8721-f46c-421a-9785-33b0ef474198 Dara                     Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Lista de utilizadores

GET https://graph.microsoft.com/v1.0/users?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Marketing/AppCountry ne 'Canada'
ConsistencyLevel: eventual

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(id,displayName,customSecurityAttributes)",
    "@odata.count": 47,
    "value": [
        {
            "id": "02d52406-be75-411b-b02f-29d7f38dcf62",
            "displayName": "Chandra",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS36348"
                }
            }
        },
        {
            "id": "eaea4971-7764-4498-9aeb-776496812e75",
            "displayName": "Isabella",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "France"
                    ]
                }
            }
        },
        {
            "id": "d937580c-692c-451f-a507-6758d3bdf353",
            "displayName": "Alain",
            "customSecurityAttributes": {
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "AppCountry@odata.type": "#Collection(String)",
                    "AppCountry": [
                        "Germany",
                        "Japan"
                    ]
                }
            }
        },
        {
            "id": "d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8",
            "displayName": "Joe",
            "customSecurityAttributes": {
                "Engineering": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "Project@odata.type": "#Collection(String)",
                    "Project": [
                        "Baker",
                        "Alpine"
                    ],
                    "ProjectDate": "2024-11-15",
                    "NumVendors": 8,
                    "CostCenter@odata.type": "#Collection(Int32)",
                    "CostCenter": [
                        1001,
                        1003
                    ],
                    "Certification": false
                },
                "Marketing": {
                    "@odata.type": "#microsoft.graph.customSecurityAttributeValue",
                    "EmployeeId": "GS45897"
                }
            }
        },
        {
            "id": "23ad8721-f46c-421a-9785-33b0ef474198",
            "displayName": "Dara",
            "customSecurityAttributes": null
        }
    ]
}

Remover uma atribuição de atributo de segurança personalizada de valor único de um usuário

O exemplo a seguir remove uma atribuição de atributo de segurança personalizado de valor único de um usuário definindo o valor como null.

Conjunto de atributos: Engineering
Atributo: ProjectDate
Valor do atributo: null

Invoke-MgGraphRequest

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/users/$userId" -Body $params

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "ProjectDate":null
        }
    }
}

Remover uma atribuição de atributo de segurança personalizada de vários valores de um usuário

O exemplo a seguir remove uma atribuição de atributo de segurança personalizada de vários valores de um usuário definindo o valor como uma coleção vazia.

Conjunto de atributos: Engineering
Atributo: Project
Valor do atributo: []

Update-MgUser

$customSecurityAttributes = @{
    "Engineering" = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes

Atualizar usuário

PATCH https://graph.microsoft.com/v1.0/users/{id}
{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Perguntas mais frequentes

Onde há suporte para atribuições de atributos de segurança personalizados para usuários?

Há suporte para atribuições de atributos de segurança personalizados para usuários no centro de administração do Microsoft Entra, PowerShell e APIs do Microsoft Graph. Não há suporte para atribuições de atributos de segurança personalizados em Meus Aplicativos ou no Centro de administração do Microsoft 365.

Quem pode visualizar os atributos de segurança personalizados atribuídos a um utilizador?

Somente os usuários aos quais foram atribuídas as funções de Administrador de Atribuição de Atributos ou Leitor de Atribuição de Atributos no escopo do locatário podem exibir atributos de segurança personalizados atribuídos a quaisquer usuários no locatário. Os usuários não podem exibir os atributos de segurança personalizados atribuídos ao seu próprio perfil ou a outros usuários. Os convidados não podem exibir os atributos de segurança personalizados, independentemente das permissões de convidado definidas no locatário.

Preciso criar um aplicativo para adicionar atribuições de atributos de segurança personalizados?

Não, atributos de segurança personalizados podem ser atribuídos a objetos de usuário sem a necessidade de um aplicativo.

Por que continuo recebendo um erro ao tentar salvar atribuições de atributos de segurança personalizados?

Você não tem permissões para atribuir atributos de segurança personalizados aos usuários. Certifique-se de que lhe foi atribuída a função de Administrador de Atribuição de Atributos.

Posso atribuir atributos de segurança personalizados aos hóspedes?

Sim, atributos de segurança personalizados podem ser atribuídos a membros ou convidados em seu locatário.

Posso atribuir atributos de segurança personalizados a usuários sincronizados com diretórios?

Sim, os usuários sincronizados de diretório de um Ative Directory local podem receber atributos de segurança personalizados.

As atribuições de atributos de segurança personalizados estão disponíveis para regras de associação dinâmica?

Não, os atributos de segurança personalizados atribuídos aos usuários não são suportados para configurar regras de associação dinâmica.

Os atributos de segurança personalizados são os mesmos que os atributos personalizados em locatários B2C?

Não, os atributos de segurança personalizados não são suportados em locatários B2C e não estão relacionados a recursos B2C.

Share via

Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um usuário

Pré-requisitos

Atribuir atributos de segurança personalizados a um usuário

Atualizar valores de atribuição de atributos de segurança personalizados para um usuário

Filtrar usuários com base em atribuições de atributos de segurança personalizados

Remover atribuições de atributos de segurança personalizados de um usuário

PowerShell ou API do Microsoft Graph

Atribuir um atributo de segurança personalizado com um valor de cadeia de caracteres a um usuário

Atribuir um atributo de segurança personalizado com um valor de várias cadeias de caracteres a um usuário

Atribuir um atributo de segurança personalizado com um valor inteiro a um usuário

Atribuir um atributo de segurança personalizado com um valor de vários inteiros a um usuário

Atribuir um atributo de segurança personalizado com um valor booleano a um usuário

Atualizar uma atribuição de atributo de segurança personalizada com um valor inteiro para um usuário

Atualizar uma atribuição de atributo de segurança personalizada com um valor booleano para um usuário

Atualizar uma atribuição de atributo de segurança personalizada com um valor de várias cadeias de caracteres para um usuário

Obter as atribuições de atributo de segurança personalizadas para um usuário

Listar todos os usuários com uma atribuição de atributo de segurança personalizada igual a um valor

Listar todos os usuários com uma atribuição de atributo de segurança personalizada que começa com um valor

Listar todos os usuários com uma atribuição de atributo de segurança personalizada que não seja igual a um valor

Remover uma atribuição de atributo de segurança personalizada de valor único de um usuário

Remover uma atribuição de atributo de segurança personalizada de vários valores de um usuário

Perguntas mais frequentes

Próximos passos

Recursos adicionais