Hantera anpassade säkerhetsattribut för ett program

  • Artikel

Anpassade säkerhetsattribut i Microsoft Entra-ID är affärsspecifika attribut (nyckel/värde-par) som du kan definiera och tilldela till Microsoft Entra-objekt. Du kan till exempel tilldela anpassade säkerhetsattribut för att filtrera dina program eller för att avgöra vem som får åtkomst. I den här artikeln beskrivs hur du tilldelar, uppdaterar, listar eller tar bort anpassade säkerhetsattribut för Microsoft Entra-företagsprogram.

Förutsättningar

Om du vill tilldela eller ta bort anpassade säkerhetsattribut för ett program i din Microsoft Entra-klientorganisation behöver du:

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Tilldela, uppdatera, lista eller ta bort anpassade attribut för ett program

Lär dig hur du arbetar med anpassade attribut för program i Microsoft Entra-ID.

Tilldela anpassade säkerhetsattribut till ett program

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Utför följande steg för att tilldela anpassade säkerhetsattribut via administrationscentret för Microsoft Entra.

  1. Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Leta upp och välj det program som du vill lägga till ett anpassat säkerhetsattribut i.

  4. I avsnittet Hantera väljer du Anpassade säkerhetsattribut.

  5. Välj Lägg till tilldelning.

  6. I Attributuppsättning väljer du en attributuppsättning i listan.

  7. I Attributnamn väljer du ett anpassat säkerhetsattribut i listan.

  8. Beroende på egenskaperna för det valda anpassade säkerhetsattributet kan du ange ett enda värde, välja ett värde från en fördefinierad lista eller lägga till flera värden.

    • Ange ett värde i rutan Tilldelade värden för freeform, anpassade säkerhetsattribut med en enda värde.
    • För fördefinierade anpassade säkerhetsattributvärden väljer du ett värde i listan Tilldelade värden .
    • För anpassade säkerhetsattribut med flera värden väljer du Lägg till värden för att öppna fönstret Attributvärden och lägga till dina värden. När du är klar med att lägga till värden väljer du Klar.

    Screenshot shows how to assign a custom security attribute to an application.

  9. När du är klar väljer du Spara för att tilldela programmet anpassade säkerhetsattribut.

Uppdatera tilldelningsvärden för anpassade säkerhetsattribut för ett program

  1. Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Leta upp och välj det program som har ett anpassat värde för tilldelning av säkerhetsattribut som du vill uppdatera.

  4. I avsnittet Hantera väljer du Anpassade säkerhetsattribut.

  5. Leta upp det anpassade värdet för tilldelning av säkerhetsattribut som du vill uppdatera.

    När du har tilldelat ett anpassat säkerhetsattribut till ett program kan du bara ändra värdet för det anpassade säkerhetsattributet. Du kan inte ändra andra egenskaper för det anpassade säkerhetsattributet, till exempel attributuppsättning eller namn på anpassade säkerhetsattribut.

  6. Beroende på egenskaperna för det valda anpassade säkerhetsattributet kan du uppdatera ett enda värde, välja ett värde från en fördefinierad lista eller uppdatera flera värden.

  7. När du är klar väljer du Spara.

Filtrera program baserat på anpassade säkerhetsattribut

Du kan filtrera listan över anpassade säkerhetsattribut som tilldelats program på sidan Alla program .

  1. Logga in på administrationscentret för Microsoft Entra som minst en attributtilldelningsläsare.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Välj Lägg till filter för att öppna fönstret Välj ett fält.

    Om du inte ser Lägg till filter väljer du banderollen för att aktivera sökförhandsgranskningen för Företagsprogram.

  4. För Filter väljer du Anpassat säkerhetsattribut.

  5. Välj attributuppsättningen och attributnamnet.

  6. För Operator kan du välja lika med (==), inte lika med (!=) eller börja med.

  7. För Värde anger eller väljer du ett värde.

    Screenshot showing a custom security attribute filter for applications.

  8. Om du vill använda filtret väljer du Använd.

Ta bort anpassade tilldelningar av säkerhetsattribut från program

  1. Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Leta upp och välj det program som har de anpassade tilldelningar av säkerhetsattribut som du vill ta bort.

  4. I avsnittet Hantera väljer du Anpassade säkerhetsattribut (förhandsversion).

  5. Lägg till bockmarkeringar bredvid alla anpassade säkerhetsattributtilldelningar som du vill ta bort.

  6. Välj Ta bort tilldelning.

Azure AD PowerShell

Om du vill hantera anpassade tilldelningar av säkerhetsattribut för program i din Microsoft Entra-organisation kan du använda PowerShell. Följande kommandon kan användas för att hantera tilldelningar.

Tilldela ett anpassat säkerhetsattribut med ett värde med flera strängar till ett program (tjänstens huvudnamn) med Hjälp av Azure AD PowerShell

Använd kommandot Set-AzureADMSServicePrincipal för att tilldela ett anpassat säkerhetsattribut med ett värde med flera strängar till ett program (tjänstens huvudnamn).

  • Attributuppsättning: Engineering
  • Attributet: Project
  • Attributdatatyp: Samling strängar
  • Attributvärde: ("Baker","Cascade")
$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20 -CustomSecurityAttributes $attributes

Uppdatera ett anpassat säkerhetsattribut med ett värde med flera strängar för ett program (tjänstens huvudnamn) med Hjälp av Azure AD PowerShell

Ange den nya uppsättningen attributvärden som du vill reflektera över programmet. I det här exemplet lägger vi till ytterligare ett värde för projektattribut.

  • Attributuppsättning: Engineering
  • Attributet: Project
  • Attributdatatyp: Samling strängar
  • Attributvärde: ("Alpine","Baker")
$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20 -CustomSecurityAttributes $attributesUpdate

Hämta tilldelningar av anpassade säkerhetsattribut för ett program (tjänstens huvudnamn) med Hjälp av Azure AD PowerShell

Använd kommandot Get-AzureADMSServicePrincipal för att hämta tilldelningar av anpassade säkerhetsattribut för ett program (tjänstens huvudnamn).

Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20  -Select "CustomSecurityAttributes, Id"

Microsoft Graph PowerShell

Om du vill hantera anpassade tilldelningar av säkerhetsattribut för program i din Microsoft Entra-organisation kan du använda Microsoft Graph PowerShell. Följande kommandon kan användas för att hantera tilldelningar.

Tilldela ett anpassat säkerhetsattribut med ett värde med flera strängar till ett program (tjänstens huvudnamn) med hjälp av Microsoft Graph PowerShell

Använd kommandot Update-MgServicePrincipal för att tilldela ett anpassat säkerhetsattribut med ett värde med flera strängar till ett program (tjänstens huvudnamn).

Med tanke på värdena

  • Attributuppsättning: Engineering
  • Attributet: ProjectDate
  • Attributdatatyp: Sträng
  • Attributvärde: "2024-11-15"
#Retrieve the servicePrincipal

$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" ="2024-11-15"
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Uppdatera ett anpassat säkerhetsattribut med ett värde med flera strängar för ett program (tjänstens huvudnamn) med hjälp av Microsoft Graph PowerShell

Ange den nya uppsättningen attributvärden som du vill reflektera över programmet. I det här exemplet lägger vi till ytterligare ett värde för projektattribut.

Med tanke på värdena

  • Attributuppsättning: Engineering
  • Attributet: Project
  • Attributdatatyp: Samling strängar
  • Attributvärde: ["Baker","Cascade"]
$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @(
            "Baker"
            "Cascade"
        )
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Filtrera program baserat på anpassade säkerhetsattribut med Hjälp av Microsoft Graph PowerShell

Det här exemplet filtrerar en lista över program med en anpassad tilldelning av säkerhetsattribut som är lika med det angivna värdet.

$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes  | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                       : 7d194b0c-bf17-40ff-9f7f-4b671de8dc20
DisplayName              : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}

Ta bort anpassade tilldelningar av säkerhetsattribut från program med Microsoft Graph PowerShell

I det här exemplet tar vi bort en anpassad tilldelning av säkerhetsattribut som stöder enkla värden.


$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params

I det här exemplet tar vi bort en anpassad tilldelning av säkerhetsattribut som stöder flera värden.

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Microsoft Graph API

Om du vill hantera anpassade tilldelningar av säkerhetsattribut för program i din Microsoft Entra-organisation kan du använda Microsoft Graph-API:et. Gör följande API-anrop för att hantera tilldelningar.

Andra liknande Microsoft Graph API-exempel för användare finns i Tilldela, uppdatera, lista eller ta bort anpassade säkerhetsattribut för en användare och Exempel: Tilldela, uppdatera, lista eller ta bort anpassade säkerhetsattributtilldelningar med hjälp av Microsoft Graph API.

Tilldela ett anpassat säkerhetsattribut med ett värde med flera strängar till ett program (tjänstens huvudnamn) med hjälp av Microsoft Graph API

Använd API:et Update servicePrincipal för att tilldela ett anpassat säkerhetsattribut med ett strängvärde till ett program.

Med tanke på värdena

  • Attributuppsättning: Engineering
  • Attributet: Project
  • Attributdatatyp: Sträng
  • Attributvärde: "Baker"
PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project": "Baker"
        }
    }
}

Uppdatera ett anpassat säkerhetsattribut med ett värde med flera strängar för ett program (tjänstens huvudnamn) med hjälp av Microsoft Graph API

Ange den nya uppsättningen attributvärden som du vill reflektera över programmet. I det här exemplet lägger vi till ytterligare ett värde för projektattribut.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Filtrera program baserat på anpassade säkerhetsattribut med hjälp av Microsoft Graph API

Det här exemplet filtrerar en lista över program med en anpassad tilldelning av säkerhetsattribut som är lika med det angivna värdet. Filtervärdet är skiftlägeskänsligt. Du måste lägga till ConsistencyLevel=eventual i begäran eller huvudet. Du måste också inkludera $count=true för att säkerställa att begäran dirigeras korrekt.

GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual

Ta bort anpassade tilldelningar av säkerhetsattribut från ett program med Hjälp av Microsoft Graph API

I det här exemplet tar vi bort en anpassad tilldelning av säkerhetsattribut som stöder flera värden.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Nästa steg