Přidání nebo deaktivace vlastních definic atributů zabezpečení v MICROSOFT Entra ID

  • Článek

Vlastní atributy zabezpečení v Microsoft Entra ID jsou atributy specifické pro firmu (páry klíč-hodnota), které můžete definovat a přiřadit k objektům Microsoft Entra. Tento článek popisuje, jak přidat, upravit nebo deaktivovat definice vlastních atributů zabezpečení.

Požadavky

Pokud chcete přidat nebo deaktivovat definice vlastních atributů zabezpečení, musíte mít:

Důležité

Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.

Přidání sady atributů

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Sada atributů je kolekce souvisejících atributů. Všechny vlastní atributy zabezpečení musí být součástí sady atributů. Sady atributů nelze přejmenovat ani odstranit.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako definice atributu Správa istrator.

  2. Přejděte k vlastním atributům zabezpečení ochrany>.

  3. Chcete-li přidat novou sadu atributů, klikněte na přidat sadu atributů.

    Pokud je sada atributů Přidat zakázaná, ujistěte se, že máte přiřazenou roli definice atributu Správa istrator. Další informace naleznete v tématu Řešení potíží s vlastními atributy zabezpečení.

  4. Zadejte název, popis a maximální počet atributů.

    Název sady atributů může být 32 znaků bez mezer nebo speciálních znaků. Jakmile zadáte název, nemůžete ho přejmenovat. Další informace najdete v tématu Omezení a omezení.

    Screenshot of New attribute set pane in Microsoft Entra admin center.

  5. Po dokončení klikněte na Přidat.

    Nová sada atributů se zobrazí v seznamu sad atributů.

Přidání vlastní definice atributu zabezpečení

  1. Přihlaste se do Centra pro správu Microsoft Entra jako definice atributu Správa istrator.

  2. Přejděte k vlastním atributům zabezpečení ochrany>.

  3. Na stránce Vlastní atributy zabezpečení vyhledejte existující sadu atributů nebo klepněte na tlačítko Přidat sadu atributů a přidejte novou sadu atributů.

    Všechny definice atributů vlastního zabezpečení musí být součástí sady atributů.

  4. Kliknutím otevřete vybranou sadu atributů.

  5. Klepněte na tlačítko Přidat atribut pro přidání nového vlastního atributu zabezpečení do sady atributů.

    Screenshot of New attribute pane in Microsoft Entra admin center.

  6. Do pole Název atributu zadejte vlastní název atributu zabezpečení.

    Název vlastního atributu zabezpečení může být 32 znaků bez mezer nebo speciálních znaků. Jakmile zadáte název, nemůžete ho přejmenovat. Další informace najdete v tématu Omezení a omezení.

  7. Do pole Popis zadejte volitelný popis.

    Popis může mít délku 128 znaků. V případě potřeby můžete později změnit popis.

  8. V seznamu Datový typ vyberte datový typ pro vlastní atribut zabezpečení.

    Datový typ Popis
    Logické Logická hodnota, která může být true, True, false nebo False.
    Celé číslo 32bitové celé číslo.
    String Řetězec, který může být dlouhý X znaků.

  9. Pokud chcete povolit přiřazení více hodnot, vyberte Ano nebo Ne.

    Pokud chcete povolit přiřazení více hodnot k tomuto vlastnímu atributu zabezpečení, vyberte Ano . Pokud chcete, aby se k tomuto vlastnímu atributu zabezpečení přiřadil jenom jedna hodnota, vyberte Ne .

  10. Pokud chcete povolit přiřazení pouze předdefinovaných hodnot, vyberte Ano nebo Ne.

    Pokud chcete, aby byl tento vlastní atribut zabezpečení přiřazený z předdefinovaného seznamu hodnot, vyberte ano . Výběrem možnosti Ne povolíte přiřazení uživatelem definovaných hodnot nebo potenciálně předdefinovaných hodnot tohoto vlastního atributu zabezpečení.

  11. Pokud je možnost Přiřadit pouze předdefinované hodnoty, klikněte na tlačítko Přidat hodnotu a přidejte předdefinované hodnoty.

    Aktivní hodnota je k dispozici pro přiřazení k objektům. Hodnota, která není aktivní, je definována, ale zatím není k dispozici pro přiřazení.

    Screenshot of New attribute pane with Add predefined value pane in Microsoft Entra admin center.

  12. Jakmile budete hotoví, klikněte na Uložit.

    Nový vlastní atribut zabezpečení se zobrazí v seznamu vlastních atributů zabezpečení.

  13. Pokud chcete zahrnout předdefinované hodnoty, postupujte podle kroků v další části.

Úprava definice vlastního atributu zabezpečení

Jakmile přidáte novou definici vlastního atributu zabezpečení, můžete později některé vlastnosti upravit. Některé vlastnosti jsou neměnné a nelze je změnit.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako definice atributu Správa istrator.

  2. Přejděte k vlastním atributům zabezpečení ochrany>.

  3. Klikněte na sadu atributů, která obsahuje vlastní atribut zabezpečení, který chcete upravit.

  4. V seznamu vlastních atributů zabezpečení klikněte na tři tečky pro vlastní atribut zabezpečení, který chcete upravit, a pak vyberte Upravit atribut.

  5. Upravte povolené vlastnosti.

  6. Pokud je možnost Přiřadit pouze předdefinované hodnoty, klikněte na tlačítko Přidat hodnotu a přidejte předdefinované hodnoty. Chcete-li změnit aktivní nastavení, klikněte na existující předdefinovanou hodnotu.

    Screenshot of Add predefined value pane in Microsoft Entra admin center.

Deaktivace definice vlastního atributu zabezpečení

Jakmile přidáte vlastní definici atributu zabezpečení, nemůžete ji odstranit. Můžete však deaktivovat vlastní definici atributu zabezpečení.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako definice atributu Správa istrator.

  2. Přejděte k vlastním atributům zabezpečení ochrany>.

  3. Klikněte na sadu atributů, která obsahuje vlastní atribut zabezpečení, který chcete deaktivovat.

  4. V seznamu vlastních atributů zabezpečení přidejte značku zaškrtnutí vedle vlastního atributu zabezpečení, který chcete deaktivovat.

  5. Klikněte na Deaktivovat atribut.

  6. V dialogovém okně Deaktivovat atribut, který se zobrazí, klikněte na tlačítko Ano.

    Vlastní atribut zabezpečení se deaktivuje a přesune do seznamu deaktivovaných atributů.

PowerShell nebo rozhraní Microsoft Graph API

Ke správě vlastních definic atributů zabezpečení ve vaší organizaci Microsoft Entra můžete použít také PowerShell nebo rozhraní Microsoft Graph API. Následující příklady spravují sady atributů a definice vlastních atributů zabezpečení.

Získání všech sad atributů

Následující příklad získá všechny sady atributů.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Description          : Attributes for marketing team
Id                   : Marketing
MaxAttributesPerSet  : 25
AdditionalProperties : {}

Získání hlavních sad atributů

Následující příklad získá horní sady atributů.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Top 10

Získání sad atributů v pořadí

Následující příklad získá sady atributů v pořadí.

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -Sort "Id"

Získání sady atributů

Následující příklad získá sadu atributů.

  • Sada atributů: Engineering

Get-MgDirectoryAttributeSet

Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List

Description          : Attributes for engineering team
Id                   : Engineering
MaxAttributesPerSet  : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}

Přidání sady atributů

Následující příklad přidá novou sadu atributů.

  • Sada atributů: Engineering

New-MgDirectoryAttributeSet

$params = @{
    Id = "Engineering"
    Description = "Attributes for engineering team"
    MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params

Id          Description                     MaxAttributesPerSet
--          -----------                     -------------------
Engineering Attributes for engineering team 25

Aktualizace sady atributů

Následující příklad aktualizuje sadu atributů.

  • Sada atributů: Engineering

Update-MgDirectoryAttributeSet

$params = @{
    description = "Attributes for engineering team"
    maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params

Získání všech definic atributů vlastního zabezpečení

Následující příklad získá všechny definice vlastních atributů zabezpečení.

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Marketing
Description             : Country where is application is used
Id                      : Marketing_AppCountry
IsCollection            : True
IsSearchable            : True
Name                    : AppCountry
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Filtrování vlastních definic atributů zabezpečení

Následující příklady filtrují vlastní definice atributů zabezpečení.

  • Filtr: Název atributu eq 'Project' and status eq 'Available'

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}
  • Filtr: Atribut set eq 'Engineering' and status eq 'Available' and data type eq 'String'

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {}

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {}

Získání vlastní definice atributu zabezpečení

Následující příklad získá vlastní definici atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: ProjectDate

Get-MgDirectoryCustomSecurityAttributeDefinition

Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Přidání vlastní definice atributu zabezpečení

Následující příklad přidá novou definici atributu vlastního zabezpečení.

  • Sada atributů: Engineering
  • Atribut: ProjectDate
  • Datový typ atributu: String

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Target completion date"
    isCollection = $false
    isSearchable = $true
    name = "ProjectDate"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Target completion date
Id                      : Engineering_ProjectDate
IsCollection            : False
IsSearchable            : True
Name                    : ProjectDate
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : False
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Přidání vlastní definice atributu zabezpečení, která podporuje více předdefinovaných hodnot

Následující příklad přidá novou definici atributu vlastního zabezpečení, která podporuje více předdefinovaných hodnot.

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Přidání definice vlastního atributu zabezpečení se seznamem předdefinovaných hodnot

Následující příklad přidá novou definici atributu vlastního zabezpečení se seznamem předdefinovaných hodnot.

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců
  • Předdefinované hodnoty: Alpine, BakerCascade

New-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    attributeSet = "Engineering"
    description = "Active projects for user"
    isCollection = $true
    isSearchable = $true
    name = "Project"
    status = "Available"
    type = "String"
    usePreDefinedValuesOnly = $true
    allowedValues = @(
        @{
            id = "Alpine"
            isActive = $true
        }
        @{
            id = "Baker"
            isActive = $true
        }
        @{
            id = "Cascade"
            isActive = $true
        }
    )
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List

AllowedValues           :
AttributeSet            : Engineering
Description             : Active projects for user
Id                      : Engineering_Project
IsCollection            : True
IsSearchable            : True
Name                    : Project
Status                  : Available
Type                    : String
UsePreDefinedValuesOnly : True
AdditionalProperties    : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}

Aktualizace definice vlastního atributu zabezpečení

Následující příklad aktualizuje definici vlastního atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: ProjectDate

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Aktualizace předdefinovaných hodnot pro definici vlastního atributu zabezpečení

Následující příklad aktualizuje předdefinované hodnoty pro definici vlastního atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project
  • Datový typ atributu: Kolekce řetězců
  • Aktualizace předdefinované hodnoty: Baker
  • Nová předdefinovaná hodnota: Skagit

Invoke-MgGraphRequest

Poznámka:

Pro tento požadavek musíte přidat hlavičku OData-Version a přiřadit ji hodnotu 4.01.

$params = @{
    "allowedValues@delta" = @(
        @{
            id = "Baker"
            isActive = $false
        }
        @{
            id = "Skagit"
            isActive = $true
        }
    )
}
$header = @{
    "OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params

Deaktivace definice vlastního atributu zabezpečení

Následující příklad deaktivuje definici vlastního atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project

Update-MgDirectoryCustomSecurityAttributeDefinition

$params = @{
    status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params

Získání všech předdefinovaných hodnot

Následující příklad získá všechny předdefinované hodnoty pro vlastní definici atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List

Id                   : Skagit
IsActive             : True
AdditionalProperties : {}

Id                   : Baker
IsActive             : False
AdditionalProperties : {}

Id                   : Cascade
IsActive             : True
AdditionalProperties : {}

Id                   : Alpine
IsActive             : True
AdditionalProperties : {}

Získání předdefinované hodnoty

Následující příklad získá předdefinovanou hodnotu pro vlastní definici atributu zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project
  • Předdefinovaná hodnota: Alpine

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Přidání předdefinované hodnoty

Následující příklad přidá předdefinovanou hodnotu pro vlastní definici atributu zabezpečení.

Můžete přidat předdefinované hodnoty pro vlastní atributy zabezpečení, které jsou nastaveny usePreDefinedValuesOnly na true.

  • Sada atributů: Engineering
  • Atribut: Project
  • Předdefinovaná hodnota: Alpine

New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    id = "Alpine"
    isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List

Id                   : Alpine
IsActive             : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
                       lowedValues/$entity]}

Deaktivace předdefinované hodnoty

Následující příklad deaktivuje předdefinovanou hodnotu pro definici atributu vlastního zabezpečení.

  • Sada atributů: Engineering
  • Atribut: Project
  • Předdefinovaná hodnota: Alpine

Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue

$params = @{
    isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params

Nejčastější dotazy

Můžete odstranit vlastní definice atributů zabezpečení?

Ne, nemůžete odstranit vlastní definice atributů zabezpečení. Můžete deaktivovat pouze vlastní definice atributů zabezpečení. Jakmile deaktivujete vlastní atribut zabezpečení, už se nedá použít na objekty Microsoft Entra. Přiřazení vlastních atributů zabezpečení pro deaktivovanou definici atributu zabezpečení se automaticky neodeberou. Počet deaktivovaných vlastních atributů zabezpečení není nijak omezený. Na tenanta můžete mít 500 aktivních definic atributů vlastního zabezpečení s 100 povolenými předdefinovanými hodnotami na definici atributu vlastního zabezpečení.

Další kroky