Verwalten benutzerdefinierter Sicherheitsattribute für eine Anwendung

Benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID sind geschäftsspezifische Attribute (Schlüssel-Wert-Paare), die Sie definieren und Microsoft Entra-Objekten zuweisen können. Beispielsweise können Sie ein benutzerdefiniertes Sicherheitsattribut zuweisen, um Ihre Anwendungen zu filtern oder um zu bestimmen, wer Zugriff erhält. In diesem Artikel erfahren Sie, wie Sie benutzerdefinierte Sicherheitsattribute für Microsoft Entra-Unternehmensanwendungen zuweisen, aktualisieren, auflisten oder entfernen.

Voraussetzungen

Zum Zuweisen oder Entfernen benutzerdefinierter Sicherheitsattribute für eine Anwendung in Ihrem Microsoft Entra-Mandanten benötigen Sie Folgendes:

• Administrator für Attributzuweisungen
• Stellen Sie sicher, dass Sie über vorhandene benutzerdefinierte Sicherheitsattribute verfügen. Informationen zum Erstellen eines Sicherheitsattributs finden Sie unter Hinzufügen oder Deaktivieren von benutzerdefinierten Sicherheitsattributen in Microsoft Entra ID.

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Attributen für eine Anwendung

Erfahren Sie, wie Sie mit benutzerdefinierten Attributen für Anwendungen in Microsoft Entra ID arbeiten.

Zuweisen benutzerdefinierter Sicherheitsattribute zu einer Anwendung

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Sicherheitsattribute über das Microsoft Entra Admin Center zuzuweisen.

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für Attributzuweisungen an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

3. Suchen Sie die Anwendung, der Sie ein benutzerdefiniertes Sicherheitsattribut hinzufügen möchten, und wählen Sie sie aus.

4. Wählen Sie im Abschnitt „Verwalten“ die Option Benutzerdefinierte Sicherheitsattribute aus.

5. Wählen Sie Zuweisung hinzufügen aus.

6. Wählen Sie unter Attributsatzeinen Attributsatz aus der Liste aus.

7. Wählen Sie unter Attributnameein benutzerdefiniertes Sicherheitsattribut aus der Liste aus.

8. Abhängig von den Eigenschaften des ausgewählten benutzerdefinierten Sicherheitsattributs können Sie einen einzelnen Wert eingeben, einen Wert aus einer vordefinierten Liste auswählen oder mehrere Werte hinzufügen.

   • Geben Sie für einwertige, benutzerdefinierte Sicherheitsattribute im Feld Zugewiesene Werte einen Wert ein.
   • Wählen Sie für vordefinierte, benutzerdefinierte Sicherheitsattributwerte einen Wert aus der Liste Zugewiesene Werte aus.
   • Wählen Sie für mehrwertige, benutzerdefinierte Sicherheitsattribute Werte hinzufügen aus, um den Bereich Attributwerte zu öffnen und Ihre Werte hinzuzufügen. Wenn Sie mit dem Hinzufügen von Werten fertig sind, wählen Sie Fertigaus.

   

9. Wählen Sie anschließend Speichern aus, um der Anwendung die benutzerdefinierten Sicherheitsattribute zu zuweisen.

Aktualisieren benutzerdefinierter Werte für die Zuweisung von Sicherheitsattributen für eine Anwendung

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für Attributzuweisungen an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

3. Suchen Sie die Anwendung mit einem benutzerdefinierten Sicherheitsattributzuweisungswert, den Sie aktualisieren möchten, und wählen Sie sie aus.

4. Wählen Sie im Abschnitt „Verwalten“ die Option Benutzerdefinierte Sicherheitsattribute aus.

5. Suchen Sie den Zuweisungswert des benutzerdefinierten Sicherheitsattributs, den Sie aktualisieren möchten.

   Sobald Sie einer Anwendung ein benutzerdefiniertes Sicherheitsattribut zugewiesen haben, können Sie den Wert des benutzerdefinierten Sicherheitsattributs nur noch ändern. Sie können keine anderen Eigenschaften des benutzerdefinierten Sicherheitsattributs ändern, z. B. Attributsatz oder benutzerdefinierter Name des Sicherheitsattributs.

6. Abhängig von den Eigenschaften des ausgewählten benutzerdefinierten Sicherheitsattributs können Sie einen einzelnen Wert aktualisieren, einen Wert aus einer vordefinierten Liste auswählen oder mehrere Werte aktualisieren.

7. Wenn Sie fertig sind, wählen Sie Speichern aus.

Filtern von Anwendungen basierend auf benutzerdefinierten Sicherheitsattributen

Sie können die Liste der benutzerdefinierten Sicherheitsattribute, die Anwendungen zugewiesen sind, auf der Seite Alle Anwendungen filtern.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Leser von Attributzuweisungen an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

3. Wählen Sie Filter hinzufügen aus, um den Bereich “Feld auswählen“ zu öffnen.

   Wenn Filter hinzufügen nicht angezeigt wird, wählen Sie auf das Banner aus, um die Vorschau der Unternehmensanwendungssuche zu aktivieren.

4. Wählen Sie unter Filterdie Option Benutzerdefiniertes Sicherheitsattributaus.

5. Wählen Sie Den Attributsatz und den Attributnamen aus.

6. Für Operatorkönnen Sie gleich (==), ungleich (!=) auswählen oder mit beginnen.

7. Für Wert, wählen Sie oder geben Sie einen Wert ein.

   

8. Um den Filter anzuwenden, wählen Sie Anwenden aus.

Entfernen benutzerdefinierter Zuweisungen von Sicherheitsattributen aus Anwendungen

1. Melden Sie sich beim Microsoft Entra-Admin Center als Administrator für Attributzuweisung an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

3. Suchen Sie die Anwendung mit den benutzerdefinierten Zuweisungen von Sicherheitsattributen, die Sie entfernen möchten, und wählen Sie sie aus.

4. Wählen Sie im Abschnitt Verwalten die Option Benutzerdefinierte Sicherheitsattribute (Vorschau)aus.

5. Fügen Sie neben allen benutzerdefinierten Sicherheitsattributzuweisungen, die Sie entfernen möchten, Häkchen hinzu.

6. Wählen Sie Zuweisung entfernen aus.

Azure AD PowerShell

Um benutzerdefinierte Sicherheitsattributzuweisungen für Anwendungen in Ihrer Microsoft Entra-Organisation zu verwalten, können Sie PowerShell verwenden. Die folgenden Befehle können zum Verwalten von Zuweisungen verwendet werden.

Zuweisen eines benutzerdefinierten Sicherheitsattributs mit einem mit einem Wert bestehend aus mehreren Zeichenfolgen zu einer Anwendung (Dienstprinzipal) mit Azure AD PowerShell

Verwenden Sie den Befehl Set-AzureADMSServicePrincipal, um einer Anwendung (Dienstprinzipal) ein benutzerdefiniertes Sicherheitsattribut mit einem Wert mit mehreren Zeichenfolgen zuzuweisen.

• Attributsatz: Engineering
• Attribut: Project
• Attributdatentyp: Auflistung von Zeichenfolgen
• Attributwert: ("Baker","Cascade")

$attributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Baker","Cascade")
    }
}
Set-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20 -CustomSecurityAttributes $attributes

Aktualisieren eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen für eine Anwendung (Dienstprinzipal) mit Azure AD PowerShell

Stellen Sie den neuen Satz von Attributwerten bereit, den Sie in der Anwendung berücksichtigen möchten. In diesem Beispiel fügen wir einen weiteren Wert für das Attribut „Projekt“ hinzu.

• Attributsatz: Engineering
• Attribut: Project
• Attributdatentyp: Auflistung von Zeichenfolgen
• Attributwert: ("Alpine","Baker")

$attributesUpdate = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        Project = @("Alpine","Baker")
    }
}
Set-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20 -CustomSecurityAttributes $attributesUpdate 

Abrufen der benutzerdefinierten Sicherheitsattributzuweisungen für eine Anwendung (Dienstprinzipal) mit Azure AD PowerShell

Verwenden Sie den Befehl Get-AzureADMSServicePrincipal, um die benutzerdefinierten Zuweisungen von Sicherheitsattributen für eine Anwendung (Dienstprinzipal) abzurufen.

Get-AzureADMSServicePrincipal -Select CustomSecurityAttributes
Get-AzureADMSServicePrincipal -Id 7d194b0c-bf17-40ff-9f7f-4b671de8dc20  -Select "CustomSecurityAttributes, Id"

Microsoft Graph PowerShell

Um benutzerdefinierte Sicherheitsattributzuweisungen für Anwendungen in Ihrer Microsoft Entra-Organisation zu verwalten, können Sie Microsoft Graph und PowerShell verwenden. Die folgenden Befehle können zum Verwalten von Zuweisungen verwendet werden.

Zuweisen eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen zu einer Anwendung (Dienstprinzipal) mit Microsoft Graph PowerShell

Verwenden Sie den Befehl Update-MgServicePrincipal, um einer Anwendung (Dienstprinzipal) ein benutzerdefiniertes Sicherheitsattribut mit einem Wert mit mehreren Zeichenfolgen zuzuweisen.

Angesichts der Werte

• Attributsatz: Engineering
• Attribut: ProjectDate
• Attributdatentyp: Zeichenfolge
• Attributwert: "2024-11-15"

#Retrieve the servicePrincipal

$ServicePrincipal = (Get-MgServicePrincipal -Filter "displayName eq 'TestApp'").Id

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "ProjectDate" ="2024-11-15"
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Aktualisieren eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen für eine Anwendung (Dienstprinzipal) mit Microsoft Graph PowerShell

Stellen Sie den neuen Satz von Attributwerten bereit, den Sie in der Anwendung berücksichtigen möchten. In diesem Beispiel fügen wir einen weiteren Wert für das Attribut „Projekt“ hinzu.

Angesichts der Werte

• Attributsatz: Engineering
• Attribut: Project
• Attributdatentyp: Auflistung von Zeichenfolgen
• Attributwert: ["Baker","Cascade"]

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project@odata.type" = "#Collection(String)"
        "Project" = @(
            "Baker"
            "Cascade"
        )
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Filtern von Anwendungen basierend auf benutzerdefinierten Sicherheitsattributen mit Microsoft Graph PowerShell

In diesem Beispiel wird eine Liste von Anwendungen mit einer Zuweisung von benutzerdefinierten Sicherheitsattributen gefiltert, die dem angegebenen Wert entspricht.

$appAttributes = Get-MgServicePrincipal -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Engineering/Project eq 'Baker'" -ConsistencyLevel eventual
$appAttributes | select Id,DisplayName,CustomSecurityAttributes  | Format-List
$appAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List

Id                       : 7d194b0c-bf17-40ff-9f7f-4b671de8dc20
DisplayName              : TestApp
CustomSecurityAttributes : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue

Key   : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [ProjectDate, 2024-11-15], [Project@odata.type, #Collection(String)], [Project, System.Object[]]}

Entfernen benutzerdefinierter Zuweisungen von Sicherheitsattributen aus Anwendungen mit Microsoft Graph PowerShell

In diesem Beispiel entfernen wir die Zuweisung eines benutzerdefinierten Sicherheitsattributs, das einzelne Werte unterstützt.

$params = @{
    "customSecurityAttributes" = @{
        "Engineering" = @{
            "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
            "ProjectDate" = $null
        }
    }
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipal" -Body $params

In diesem Beispiel entfernen wir die Zuweisung eines benutzerdefinierten Sicherheitsattributs, das mehrere Werte unterstützt.

$customSecurityAttributes = @{
    Engineering = @{
        "@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
        "Project" = @()
    }
}
Update-MgServicePrincipal -ServicePrincipalId $ServicePrincipal -CustomSecurityAttributes $customSecurityAttributes

Microsoft Graph-API

Um benutzerdefinierte Sicherheitsattributzuweisungen für Anwendungen in Ihrer Microsoft Entra-Organisation zu verwalten, können Sie die Microsoft Graph-API verwenden. Führen Sie die folgenden API-Aufrufe zum Verwalten von Zuweisungen durch.

Weitere ähnliche Beispiele für die Microsoft Graph-API für Benutzer finden Sie unter Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen für einen Benutzer und Beispiele: Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributzuweisungen mithilfe der Microsoft Graph-API.

Zuweisen eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen zu einer Anwendung (Dienstprinzipal) mit der Microsoft Graph API

Mithilfe der API Update servicePrincipal können Sie einer Anwendung ein benutzerdefiniertes Sicherheitsattribut mit einem Zeichenfolgenwert zuweisen.

Angesichts der Werte

• Attributsatz: Engineering
• Attribut: Project
• Attributdatentyp: Zeichenfolge
• Attributwert: "Baker"

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project": "Baker"
        }
    }
}

Aktualisieren eines benutzerdefinierten Sicherheitsattributs mit einem Wert bestehend aus mehreren Zeichenfolgen für eine Anwendung (Dienstprinzipal) mit der Microsoft Graph API

Stellen Sie den neuen Satz von Attributwerten bereit, den Sie in der Anwendung berücksichtigen möchten. In diesem Beispiel fügen wir einen weiteren Wert für das Attribut „Projekt“ hinzu.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project@odata.type":"#Collection(String)",
            "Project":["Baker","Cascade"]
        }
    }
}

Filtern von Anwendungen basierend auf benutzerdefinierten Sicherheitsattributen mit der Microsoft Graph API

In diesem Beispiel wird eine Liste von Anwendungen mit einer Zuweisung von benutzerdefinierten Sicherheitsattributen gefiltert, die dem angegebenen Wert entspricht. Beim Filterwert muss die Groß-/Kleinschreibung beachtet werden. Sie müssen ConsistencyLevel=eventual in der Anforderung oder im Header hinzufügen. Außerdem muss $count=true eingeschlossen werden, um sicherzustellen, dass die Anforderung ordnungsgemäß weitergeleitet wird.

GET https://graph.microsoft.com/v1.0/servicePrincipals?$count=true&$select=id,displayName,customSecurityAttributes&$filter=customSecurityAttributes/Engineering/Project eq 'Baker'
ConsistencyLevel: eventual

Entfernen von Zuweisungen benutzerdefinierter Sicherheitsattribute aus einer Anwendung mit der Microsoft Graph API

In diesem Beispiel entfernen wir die Zuweisung eines benutzerdefinierten Sicherheitsattributs, das mehrere Werte unterstützt.

PATCH https://graph.microsoft.com/v1.0/servicePrincipals/{id}
Content-type: application/json

{
    "customSecurityAttributes":
    {
        "Engineering":
        {
            "@odata.type":"#Microsoft.DirectoryServices.CustomSecurityAttributeValue",
            "Project":[]
        }
    }
}

Nächste Schritte

• Hinzufügen oder Deaktivieren von benutzerdefinierten Sicherheitsattributen in Microsoft Entra ID
• Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen für einen Benutzer
• Problembehandlung für benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID