Добавление или отключение определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
Настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra — это бизнес-атрибуты (пары "ключ-значение"), которые можно определить и назначить объектам Microsoft Entra. В этой статье описывается, как добавлять, изменять или деактивировать определения настраиваемых атрибутов безопасности.
Необходимые компоненты
Чтобы добавить или отключить определения настраиваемых атрибутов безопасности, необходимо:
- Администратор определения атрибутов
- Модуль Microsoft.Graph при использовании Microsoft Graph PowerShell
- AzureADPreview версии 2.0.2.138 или более поздней при использовании Azure AD PowerShell
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Добавление набора атрибутов
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Набор атрибутов — это коллекция связанных атрибутов. Все настраиваемые атрибуты безопасности должны входить в набор атрибутов. Наборы атрибутов нельзя переименовать или удалить.
Войдите в Центр администрирования Microsoft Entra в качестве определения атрибутов Администратор istrator.
Перейдите к атрибутам пользовательской безопасности защиты>.
Щелкните элемент Add attribute set (Добавить набор атрибутов), чтобы добавить новый набор атрибутов.
Если параметр Add attribute set (Добавить набор атрибутов) отключен, убедитесь, что назначена роль администратора определения атрибутов. Дополнительные сведения см. в статье Устранение неполадок с настраиваемыми атрибутами безопасности.
Введите имя, описание и максимальное число атрибутов.
Имя набора атрибутов может содержать 32 символа без пробелов или специальных знаков. После указания имени атрибут нельзя переименовать. Дополнительные сведения см. в разделе Ограничения.
В завершение нажмите Add.
В списке наборов атрибутов появится новый набор атрибутов.
Добавление определения настраиваемого атрибута безопасности
Войдите в Центр администрирования Microsoft Entra в качестве определения атрибутов Администратор istrator.
Перейдите к атрибутам пользовательской безопасности защиты>.
На странице Custom security attributes (Настраиваемые атрибуты безопасности) найдите существующий набор атрибутов или щелкните команду Add attribute set (Добавить набор атрибутов), чтобы добавить новый набор атрибутов.
Все определения настраиваемых атрибутов безопасности должны быть частью набора атрибутов.
Щелкните, чтобы открыть выбранный набор атрибутов.
Щелкните команду Add attribute (Добавить атрибут), чтобы добавить новый настраиваемый атрибут безопасности в набор атрибутов.
В поле Имя атрибута введите имя настраиваемого атрибута безопасности.
Имя настраиваемого атрибута безопасности может содержать 32 символа без пробелов или специальных знаков. После указания имени атрибут нельзя переименовать. Дополнительные сведения см. в разделе Ограничения.
В поле Описание введите необязательное описание.
Описание может состоять из 128 символов. При необходимости можно изменить описание.
В списке Тип данных выберите тип данных для настраиваемого атрибута безопасности.
Тип данных Description Boolean Логическое значение, которое может быть true, True, false или False. Целое 32-битное целое число. Строка Строка, длина которой может составлять X символов. Для параметра Allow multiple values to be assigned (Разрешить присваивать несколько значений) выберите значение Да или Нет.
Выберите вариант Да, чтобы разрешить присваивать несколько значений этому настраиваемому атрибуту безопасности. Выберите вариант Нет, чтобы разрешить присваивать этому настраиваемому атрибуту безопасности только одно значение.
Для параметра Only allow predefined values to be assigned (Разрешить присваивать только предопределенные значения) выберите значение Да или Нет.
Выберите вариант Да, чтобы этому настраиваемому атрибуту безопасности можно было присваивать только значения из списка предопределенных значений. Выберите вариант Нет, чтобы этому настраиваемому атрибуту безопасности можно было присваивать определяемые пользователем значения или потенциально предопределенные значения.
Если для параметра Only allow predefined values to be assigned (Разрешить присваивать только предопределенные значения) выбрано значение Да, щелкните команду Добавить значение, чтобы добавить предопределенные значения.
Активное значение доступно для назначения объектам. Неактивное значение определено, но еще не доступно для назначения.
По завершении щелкните Сохранить.
Новый настраиваемый атрибут безопасности появится в списке настраиваемых атрибутов безопасности.
Если вы хотите включить предварительно определенные значения, выполните инструкции из следующего раздела.
Изменение определения настраиваемого атрибута безопасности
После добавления нового определения настраиваемого атрибута безопасности можно позже изменить некоторые свойства. Некоторые свойства нельзя изменять.
Войдите в Центр администрирования Microsoft Entra в качестве определения атрибутов Администратор istrator.
Перейдите к атрибутам пользовательской безопасности защиты>.
Щелкните набор атрибутов, включающий настраиваемый атрибут безопасности, который нужно изменить.
В списке настраиваемых атрибутов безопасности щелкните многоточие для настраиваемого атрибута безопасности, который требуется изменить, а затем выберите пункт "Изменить атрибут".
Измените включенные свойства.
Если для параметра Only allow predefined values to be assigned (Разрешить присваивать только предопределенные значения) выбрано значение Да, щелкните команду Добавить значение, чтобы добавить предопределенные значения. Щелкните существующее предопределенное значение, чтобы изменить параметр Активно?
Отключение определения настраиваемого атрибута безопасности
После добавления определения настраиваемого атрибута безопасности его нельзя удалить. Однако можно отключить определение настраиваемого атрибута безопасности.
Войдите в Центр администрирования Microsoft Entra в качестве определения атрибутов Администратор istrator.
Перейдите к атрибутам пользовательской безопасности защиты>.
Щелкните набор атрибутов, включающий настраиваемый атрибут безопасности, который нужно деактивировать.
В списке настраиваемых атрибутов безопасности добавьте флажок рядом с настраиваемым атрибутом безопасности, который нужно деактивировать.
Щелкните команду Deactivate attribute (Деактивировать атрибут).
В открывшемся диалоговом окне Deactivate attribute (Деактивация атрибута), щелкните значение Да.
Настраиваемый атрибут безопасности деактивируется и перемещается в список деактивированных атрибутов.
API PowerShell или Microsoft Graph
Для управления определениями настраиваемых атрибутов безопасности в организации Microsoft Entra можно также использовать POWERShell или API Microsoft Graph. В следующих примерах можно управлять наборами атрибутов и пользовательскими определениями атрибутов безопасности.
Получение всех наборов атрибутов
В следующем примере возвращаются все наборы атрибутов.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Получение основных наборов атрибутов
В следующем примере возвращается верхний набор атрибутов.
Get-MgDirectoryAttributeSet -Top 10
Получение наборов атрибутов по порядку
В следующем примере показано, как задать наборы атрибутов.
Get-MgDirectoryAttributeSet -Sort "Id"
Получение набора атрибутов
В следующем примере возвращается набор атрибутов.
- Набор атрибутов:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Добавление набора атрибутов
В следующем примере добавляется новый набор атрибутов.
- Набор атрибутов:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Обновление набора атрибутов
В следующем примере обновляется набор атрибутов.
- Набор атрибутов:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Получение всех определений настраиваемых атрибутов безопасности
В следующем примере возвращаются все определения настраиваемых атрибутов безопасности.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Фильтрация определений настраиваемых атрибутов безопасности
В следующих примерах фильтруется пользовательские определения атрибутов безопасности.
- Фильтр: имя атрибута — "Project", состояние —"Available".
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Фильтр: набор атрибутов — "Engineering", состояние —"Available", тип данных —"String".
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Получение определения настраиваемого атрибута безопасности
В следующем примере возвращается определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Добавление определения настраиваемого атрибута безопасности
В следующем примере добавляется новое определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
ProjectDate - Тип данных атрибута: строка
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Добавление определения настраиваемого атрибута безопасности, которое поддерживает несколько предопределенных значений.
В следующем примере добавляется новое пользовательское определение атрибута безопасности, которое поддерживает несколько предопределенных значений.
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Добавление определения настраиваемого атрибута безопасности со списком предопределенных значений
В следующем примере добавляется новое определение настраиваемого атрибута безопасности со списком предопределенных значений.
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
- Предопределенные значения:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Обновление определения настраиваемого атрибута безопасности
В следующем примере обновляется определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Обновление предопределенных значений для определения пользовательского атрибута безопасности
В следующем примере обновляются предопределенные значения для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project - Тип данных атрибута: коллекция строк
- Изменение предопределенного значения:
Baker - Новое предопределенное значение:
Skagit
Примечание.
Для этого запроса необходимо добавить заголовок OData-Version и присвоить ему значение 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Отключение определения настраиваемого атрибута безопасности
В следующем примере деактивируется определение настраиваемого атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Получение всех предопределенных значений
В следующем примере возвращаются все предопределенные значения для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Получение предопределенного значения
В следующем примере возвращается предопределенное значение для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project - Предопределенное значение:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Добавление предопределенного значения
В следующем примере добавляется предопределенное значение для определения пользовательского атрибута безопасности.
Вы можете добавить стандартные значения для пользовательских атрибутов безопасности со значением true для usePreDefinedValuesOnly.
- Набор атрибутов:
Engineering - Атрибут:
Project - Предопределенное значение:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Деактивация предопределенного значения
В следующем примере деактивируется предопределенное значение для определения пользовательского атрибута безопасности.
- Набор атрибутов:
Engineering - Атрибут:
Project - Предопределенное значение:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Часто задаваемые вопросы
Можно ли удалять определения настраиваемых атрибутов безопасности?
Нет, удалять определения настраиваемых атрибутов безопасности нельзя. Вы можете только деактивировать определения настраиваемых атрибутов безопасности. После отключения настраиваемого атрибута безопасности он больше не может применяться к объектам Microsoft Entra. Назначения настраиваемых атрибутов безопасности для определения деактивированного настраиваемого атрибута безопасности не удаляются автоматически. Число деактивированных настраиваемых атрибутов безопасности не ограничено. Можно использовать 500 активных определений настраиваемых атрибутов безопасности для каждого арендатора со 100 разрешенными предопределенными значениями на определение настраиваемого атрибута безопасности.
Следующие шаги
- Управление доступом к пользовательским атрибутам безопасности в идентификаторе Microsoft Entra
- Назначение, обновление, перечисление или удаление пользовательских атрибутов безопасности для пользователя
- Назначение, обновление, перечисление или удаление настраиваемых атрибутов безопасности для приложения