Incorporación o desactivación de definiciones de atributos de seguridad personalizados en Microsoft Entra ID
Los atributos de seguridad personalizados de Microsoft Entra ID son atributos específicos de la empresa (pares clave-valor) que puede definir y asignar a objetos de Microsoft Entra. En este artículo se describe cómo agregar, editar o desactivar definiciones de atributos de seguridad personalizados.
Requisitos previos
Para agregar o desactivar definiciones de atributos de seguridad personalizados, debe tener:
- Administrador de definiciones de atributos
- Módulo Microsoft.Graph cuando se usa Microsoft Graph PowerShell
- Versión 2.0.2.138 o posterior de AzureADPreview si usa Azure AD PowerShell
Importante
De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.
Agregar un conjunto de atributos
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Un conjunto de atributos es una colección de atributos relacionados. Todos los atributos de seguridad personalizados deben formar parte de un conjunto de atributos. No se puede cambiar el nombre ni eliminar los conjuntos de atributos.
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
Haga clic en Agregar conjunto de atributos para agregar un nuevo conjunto de atributos.
Si la opción Agregar conjunto de atributos está deshabilitada, asegúrese de que se le ha asignado el rol Administrador de definición de atributos. Para más información, consulte Troubleshoot custom security attributes (Solución de problemas de atributos de seguridad personalizados).
Escriba un nombre, una descripción y un número máximo de atributos.
Un nombre de conjunto de atributos puede tener 32 caracteres sin espacios ni caracteres especiales. Una vez que haya especificado un nombre, no puede cambiarlo. Para obtener detalles, consulte Límites y restricciones.
Cuando haya finalizado, haga clic en Agregar.
El nuevo conjunto de atributos aparece en la lista de conjuntos de atributos.
Agregar una definición de atributos de seguridad personalizados
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
En la página Atributos de seguridad personalizados, busque un conjunto de atributos existente o haga clic en Agregar conjunto de atributos para agregar un nuevo conjunto de atributos.
Todas las definiciones de atributos de seguridad personalizados deben formar parte de un conjunto de atributos.
Haga clic para abrir el conjunto de atributos seleccionado.
Haga clic en Agregar atributo para agregar un nuevo atributo de seguridad personalizado al conjunto de atributos.
En el cuadro Nombre del atributo, escriba un nombre de atributo de seguridad personalizado.
Un nombre de atributo de seguridad personalizado puede tener 32 caracteres sin espacios ni caracteres especiales. Una vez que haya especificado un nombre, no puede cambiarlo. Para obtener detalles, consulte Límites y restricciones.
En el cuadro Descripción, escriba una descripción opcional.
Una descripción puede tener 128 caracteres. Si es necesario, puede cambiar la descripción más adelante.
En la lista Tipo de datos, seleccione el tipo de datos para el atributo de seguridad personalizado.
Tipo de datos Descripción Booleano Valor booleano que puede ser true, True, false o False. Entero Entero de 32 bits. String Cadena que puede tener una longitud de X caracteres. En Permitir que se asignen varios valores, seleccione Sí o No.
Seleccione Sí para permitir que se asignen varios valores a este atributo de seguridad personalizado. Seleccione No para permitir que solo se asigne un valor a este atributo de seguridad personalizado.
En Permitir que solo se asignen valores predefinidos, seleccione Sí o No.
Seleccione Sí para requerir que se asignen valores de una lista de valores predefinidos a este atributo de seguridad personalizado. Seleccione No para permitir que a este atributo de seguridad personalizado se le asignen valores definidos por el usuario o valores potencialmente predefinidos.
Si Permitir que solo se asignen valores predefinidos está en Sí, haga clic en Agregar valor para agregar valores predefinidos.
Hay un valor activo disponible para la asignación a objetos. Se define un valor que no está activo, pero aún no está disponible para la asignación.
Cuando termine, haga clic en Guardar.
El nuevo atributo de seguridad personalizado aparece en la lista de atributos de seguridad personalizados.
Si desea incluir valores predefinidos, siga los pasos de la sección siguiente.
Edición de una definición de atributos de seguridad personalizados
Tras agregar una nueva definición de atributo de seguridad personalizado, podrá editar algunas de las propiedades. Algunas propiedades son inmutables y no se pueden cambiar.
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
Haga clic en el conjunto de atributos que incluye el atributo de seguridad personalizado que desea editar.
En la lista de atributos de seguridad personalizados, haga clic en los puntos suspensivos del atributo de seguridad personalizado que desea editar y, a continuación, seleccione Editar atributo.
Edite las propiedades que están habilitadas.
Si Permitir que solo se asignen valores predefinidos está en Sí, haga clic en Agregar valor para agregar valores predefinidos. Haga clic en un valor predefinido existente para cambiar la configuración ¿Está activo?.
Desactivar una definición de atributos de seguridad personalizados
Una vez que agregue una definición de atributo de seguridad personalizado, no podrá eliminarlo. Sin embargo, puede desactivar una definición de atributo de seguridad personalizado.
Inicie sesión en el centro de administración de Microsoft Entra como administrador de definición de atributos.
Vaya a Protección>Atributos de seguridad personalizados.
Haga clic en el conjunto de atributos que incluye el atributo de seguridad personalizado que desea desactivar.
En la lista de atributos de seguridad personalizados, agregue una marca de verificación junto al atributo de seguridad personalizado que desea desactivar.
Haga clic en Desactivar atributo.
En el cuadro de diálogo Desactivar atributo que aparece, haga clic en Sí.
El atributo de seguridad personalizado se desactiva y se mueve a la lista Atributos desactivados.
PowerShell o Microsoft Graph API
Para administrar las definiciones de atributos de seguridad personalizados de la organización de Microsoft Entra, puede usar PowerShell o Microsoft Graph API. En los ejemplos siguientes se administran conjuntos de atributos y definiciones de atributos de seguridad personalizados.
Obtener todos los conjuntos de atributos
En el ejemplo siguiente se obtienen todos los conjuntos de atributos.
Get-MgDirectoryAttributeSet | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {}
Description : Attributes for marketing team
Id : Marketing
MaxAttributesPerSet : 25
AdditionalProperties : {}
Obtener los conjuntos de atributos principales
En el ejemplo siguiente se obtienen los conjuntos de atributos principales.
Get-MgDirectoryAttributeSet -Top 10
Obtener los conjuntos de atributos en orden
En el ejemplo siguiente se obtienen los conjuntos de atributos por orden.
Get-MgDirectoryAttributeSet -Sort "Id"
Obtener un conjunto de atributos
En el ejemplo siguiente se obtiene un conjunto de atributos.
- Conjunto de atributos:
Engineering
Get-MgDirectoryAttributeSet -AttributeSetId "Engineering" | Format-List
Description : Attributes for engineering team
Id : Engineering
MaxAttributesPerSet : 25
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/attributeSets/$entity]}
Agregar un conjunto de atributos
En el ejemplo siguiente se agrega un nuevo conjunto de atributos.
- Conjunto de atributos:
Engineering
$params = @{
Id = "Engineering"
Description = "Attributes for engineering team"
MaxAttributesPerSet = 25
}
New-MgDirectoryAttributeSet -BodyParameter $params
Id Description MaxAttributesPerSet
-- ----------- -------------------
Engineering Attributes for engineering team 25
Actualizar un conjunto de atributos
En el ejemplo siguiente se actualiza un conjunto de atributos.
- Conjunto de atributos:
Engineering
Update-MgDirectoryAttributeSet
$params = @{
description = "Attributes for engineering team"
maxAttributesPerSet = 20
}
Update-MgDirectoryAttributeSet -AttributeSetId "Engineering" -BodyParameter $params
Obtener todas las definiciones de atributos de seguridad personalizados
En el ejemplo siguiente se obtienen todas las definiciones de atributos de seguridad personalizados.
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
AllowedValues :
AttributeSet : Marketing
Description : Country where is application is used
Id : Marketing_AppCountry
IsCollection : True
IsSearchable : True
Name : AppCountry
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Filtrar las definiciones de atributos de seguridad personalizados
En el ejemplo siguiente se filtran las definiciones de atributos de seguridad personalizados.
- Filtro: nombre de atributo eq 'Project' y estado eq 'Available'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "name eq 'Project' and status eq 'Available'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
- Filtro: conjunto de atributos eq 'Engineering' y estado eq 'Available' y tipo de datos eq 'String'
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -Filter "attributeSet eq 'Engineering' and status eq 'Available' and type eq 'String'" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {}
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {}
Obtener una definición de atributos de seguridad personalizados
En el ejemplo siguiente se obtiene la definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Get-MgDirectoryCustomSecurityAttributeDefinition
Get-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Agregar una definición de atributos de seguridad personalizados
En el ejemplo siguiente se agrega una nueva definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate - Tipo de datos del atributo: cadena
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Target completion date"
isCollection = $false
isSearchable = $true
name = "ProjectDate"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $false
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Target completion date
Id : Engineering_ProjectDate
IsCollection : False
IsSearchable : True
Name : ProjectDate
Status : Available
Type : String
UsePreDefinedValuesOnly : False
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Agregar una definición de atributo de seguridad personalizado que admita varios valores predefinidos
En el ejemplo siguiente se agrega una nueva definición de atributo de seguridad personalizado que admite varios valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de datos del atributo: colección de cadenas
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Agregar una definición de atributo de seguridad personalizado con una lista de valores predefinidos
En el ejemplo siguiente se agrega una nueva definición de atributo de seguridad personalizado con una lista de varios valores predefinidos.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de datos del atributo: colección de cadenas
- Valores predefinidos:
Alpine,Baker,Cascade
New-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
attributeSet = "Engineering"
description = "Active projects for user"
isCollection = $true
isSearchable = $true
name = "Project"
status = "Available"
type = "String"
usePreDefinedValuesOnly = $true
allowedValues = @(
@{
id = "Alpine"
isActive = $true
}
@{
id = "Baker"
isActive = $true
}
@{
id = "Cascade"
isActive = $true
}
)
}
New-MgDirectoryCustomSecurityAttributeDefinition -BodyParameter $params | Format-List
AllowedValues :
AttributeSet : Engineering
Description : Active projects for user
Id : Engineering_Project
IsCollection : True
IsSearchable : True
Name : Project
Status : Available
Type : String
UsePreDefinedValuesOnly : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions/$entity]}
Actualización de una definición de atributo de seguridad personalizado
En el ejemplo siguiente se actualiza la definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
ProjectDate
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
description = "Target completion date (YYYY/MM/DD)"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Actualización de los valores predefinidos de una definición de atributo de seguridad personalizado
En el ejemplo siguiente se actualizan los valores predefinidos para una definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
Project - Tipo de datos del atributo: colección de cadenas
- Actualizar un valor predefinido:
Baker - Nuevo valor predefinido:
Skagit
Nota
Para esta solicitud, debe agregar el encabezado OData-Version y asignarle el valor 4.01.
$params = @{
"allowedValues@delta" = @(
@{
id = "Baker"
isActive = $false
}
@{
id = "Skagit"
isActive = $true
}
)
}
$header = @{
"OData-Version" = 4.01
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/directory/customSecurityAttributeDefinitions/Engineering_Project5" -Headers $header -Body $params
Desactivar una definición de atributos de seguridad personalizados
En el ejemplo siguiente se desactiva la definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
Project
Update-MgDirectoryCustomSecurityAttributeDefinition
$params = @{
status = "Deprecated"
}
Update-MgDirectoryCustomSecurityAttributeDefinition -CustomSecurityAttributeDefinitionId "Engineering_ProjectDate" -BodyParameter $params
Obtener todos los valores predefinidos
En el ejemplo siguiente se obtienen todos los valores predefinidos para una definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
Project
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" | Format-List
Id : Skagit
IsActive : True
AdditionalProperties : {}
Id : Baker
IsActive : False
AdditionalProperties : {}
Id : Cascade
IsActive : True
AdditionalProperties : {}
Id : Alpine
IsActive : True
AdditionalProperties : {}
Obtener un valor predefinido
En el ejemplo siguiente se obtiene el valor predefinido para una definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
Get-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Agregar un valor predefinido
En el ejemplo siguiente se agrega el valor predefinido para una definición de atributo de seguridad personalizado.
Puede agregar valores predefinidos para atributos de seguridad personalizados que tengan usePreDefinedValuesOnly establecido en true.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
id = "Alpine"
isActive = $true
}
New-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -BodyParameter $params | Format-List
Id : Alpine
IsActive : True
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#directory/customSecurityAttributeDefinitions('Engineering_Project')/al
lowedValues/$entity]}
Desactivar un valor predefinido
En el ejemplo siguiente se desactiva el valor predefinido para una definición de atributo de seguridad personalizado.
- Conjunto de atributos:
Engineering - Atributo:
Project - Valor predefinido:
Alpine
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue
$params = @{
isActive = $false
}
Update-MgDirectoryCustomSecurityAttributeDefinitionAllowedValue -CustomSecurityAttributeDefinitionId "Engineering_Project" -AllowedValueId "Alpine" -BodyParameter $params
Preguntas más frecuentes
¿Se pueden eliminar definiciones de atributos de seguridad personalizados?
No, no puede eliminar definiciones de atributos de seguridad personalizados. Solo puede desactivar definiciones de atributos de seguridad personalizados. Una vez que se desactiva un atributo de seguridad personalizado, ya no se puede aplicar a los objetos de Microsoft Entra. Las asignaciones de atributos de seguridad personalizados de la definición del atributo de seguridad personalizado que se ha desactivado no se quitan automáticamente. No hay ningún límite en el número de atributos de seguridad personalizados desactivados. Puede tener 500 definiciones de atributos de seguridad personalizados activas por inquilino con 100 valores predefinidos permitidos por definición de atributo de seguridad personalizado.