Tilldela, uppdatera, lista eller ta bort anpassade säkerhetsattribut för en användare
Anpassade säkerhetsattribut i Microsoft Entra ID, en del av Microsoft Entra, är affärsspecifika attribut (nyckel/värde-par) som du kan definiera och tilldela till Microsoft Entra-objekt. Du kan till exempel tilldela anpassade säkerhetsattribut för att filtrera dina anställda eller för att avgöra vem som får åtkomst till resurser. I den här artikeln beskrivs hur du tilldelar, uppdaterar, listar eller tar bort anpassade säkerhetsattribut för Microsoft Entra-ID.
Förutsättningar
Om du vill tilldela eller ta bort anpassade säkerhetsattribut för en användare i din Microsoft Entra-klientorganisation behöver du:
- Attributtilldelningsadministratör
- Microsoft.Graph-modul när du använder Microsoft Graph PowerShell
- AzureADPreview version 2.0.2.138 eller senare när du använder Azure AD PowerShell
Viktigt!
Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.
Tilldela anpassade säkerhetsattribut till en användare
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.
Kontrollera att du har definierat anpassade säkerhetsattribut. Mer information finns i Lägga till eller inaktivera anpassade definitioner av säkerhetsattribut i Microsoft Entra-ID.
Bläddra till Identitetsanvändare>>Alla användare.
Leta upp och välj den användare som du vill tilldela anpassade säkerhetsattribut till.
I avsnittet Hantera väljer du Anpassade säkerhetsattribut.
Välj Lägg till tilldelning.
I Attributuppsättning väljer du en attributuppsättning i listan.
I Attributnamn väljer du ett anpassat säkerhetsattribut i listan.
Beroende på egenskaperna för det valda anpassade säkerhetsattributet kan du ange ett enda värde, välja ett värde från en fördefinierad lista eller lägga till flera värden.
- Ange ett värde i rutan Tilldelade värden för freeform, anpassade säkerhetsattribut med en enda värde.
- För fördefinierade anpassade säkerhetsattributvärden väljer du ett värde i listan Tilldelade värden .
- För anpassade säkerhetsattribut med flera värden väljer du Lägg till värden för att öppna fönstret Attributvärden och lägga till dina värden. När du är klar med att lägga till värden väljer du Klar.
När du är klar väljer du Spara för att tilldela användaren anpassade säkerhetsattribut.
Uppdatera tilldelningsvärden för anpassade säkerhetsattribut för en användare
Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.
Bläddra till Identitetsanvändare>>Alla användare.
Leta upp och välj den användare som har ett anpassat värde för tilldelning av säkerhetsattribut som du vill uppdatera.
I avsnittet Hantera väljer du Anpassade säkerhetsattribut.
Leta upp det anpassade värdet för tilldelning av säkerhetsattribut som du vill uppdatera.
När du har tilldelat en användare ett anpassat säkerhetsattribut kan du bara ändra värdet för det anpassade säkerhetsattributet. Du kan inte ändra andra egenskaper för det anpassade säkerhetsattributet, till exempel attributuppsättning eller attributnamn.
Beroende på egenskaperna för det valda anpassade säkerhetsattributet kan du uppdatera ett enda värde, välja ett värde från en fördefinierad lista eller uppdatera flera värden.
När du är klar väljer du Spara.
Filtrera användare baserat på anpassade tilldelningar av säkerhetsattribut
Du kan filtrera listan över anpassade säkerhetsattribut som tilldelats användare på sidan Alla användare.
Logga in på administrationscentret för Microsoft Entra som attributtilldelningsläsare.
Bläddra till Identitetsanvändare>>Alla användare.
Välj Lägg till filter för att öppna fönstret Lägg till filter.
Välj Anpassade säkerhetsattribut.
Välj attributuppsättningen och attributnamnet.
För Operator kan du välja lika med (==), inte lika med (!=) eller börja med.
För Värde anger eller väljer du ett värde.
Om du vill använda filtret väljer du Använd.
Ta bort anpassade tilldelningar av säkerhetsattribut från en användare
Logga in på administrationscentret för Microsoft Entra som attributtilldelningsadministratör.
Bläddra till Identitetsanvändare>>Alla användare.
Leta upp och välj den användare som har de anpassade tilldelningar av säkerhetsattribut som du vill ta bort.
I avsnittet Hantera väljer du Anpassade säkerhetsattribut.
Lägg till bockmarkeringar bredvid alla anpassade säkerhetsattributtilldelningar som du vill ta bort.
Välj Ta bort tilldelning.
PowerShell eller Microsoft Graph API
Om du vill hantera anpassade tilldelningar av säkerhetsattribut för användare i din Microsoft Entra-organisation kan du använda PowerShell eller Microsoft Graph API. Följande exempel kan användas för att hantera tilldelningar.
Tilldela ett anpassat säkerhetsattribut med ett strängvärde till en användare
I följande exempel tilldelas en anpassad säkerhetsattribut med ett strängvärde till en användare.
- Attributuppsättning:
Engineering - Attributet:
ProjectDate - Attributdatatyp: Sträng
- Attributvärde:
"2024-11-15"
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = "2024-11-15"
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Tilldela ett anpassat säkerhetsattribut med ett värde med flera strängar till en användare
I följande exempel tilldelas en anpassad säkerhetsattribut med ett värde med flera strängar till en användare.
- Attributuppsättning:
Engineering - Attributet:
Project - Attributdatatyp: Samling strängar
- Attributvärde:
["Baker","Cascade"]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Baker","Cascade")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Tilldela ett anpassat säkerhetsattribut med ett heltalsvärde till en användare
I följande exempel tilldelas en anpassad säkerhetsattribut med ett heltalsvärde till en användare.
- Attributuppsättning:
Engineering - Attributet:
NumVendors - Attributdatatyp: Heltal
- Attributvärde:
4
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 4
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Tilldela ett anpassat säkerhetsattribut med ett värde med flera heltal till en användare
I följande exempel tilldelas en användare ett anpassat säkerhetsattribut med ett fler heltalsvärde.
- Attributuppsättning:
Engineering - Attributet:
CostCenter - Attributdatatyp: Insamling av heltal
- Attributvärde:
[1001,1003]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"CostCenter@odata.type" = "#Collection(Int32)"
"CostCenter" = @(1001,1003)
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Tilldela ett anpassat säkerhetsattribut med ett booleskt värde till en användare
I följande exempel tilldelas en anpassad säkerhetsattribut med ett booleskt värde till en användare.
- Attributuppsättning:
Engineering - Attributet:
Certification - Attributdatatyp: Boolesk
- Attributvärde:
true
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $true
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Uppdatera en anpassad tilldelning av säkerhetsattribut med ett heltalsvärde för en användare
I följande exempel uppdateras en anpassad tilldelning av säkerhetsattribut med ett heltalsvärde för en användare.
- Attributuppsättning:
Engineering - Attributet:
NumVendors - Attributdatatyp: Heltal
- Attributvärde:
8
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"NumVendors@odata.type" = "#Int32"
"NumVendors" = 8
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Uppdatera en anpassad tilldelning av säkerhetsattribut med ett booleskt värde för en användare
I följande exempel uppdateras en tilldelning av anpassade säkerhetsattribut med ett booleskt värde för en användare.
- Attributuppsättning:
Engineering - Attributet:
Certification - Attributdatatyp: Boolesk
- Attributvärde:
false
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Certification" = $false
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Uppdatera en anpassad tilldelning av säkerhetsattribut med ett värde med flera strängar för en användare
I följande exempel uppdateras en tilldelning av anpassade säkerhetsattribut med ett värde med flera strängar för en användare.
- Attributuppsättning:
Engineering - Attributet:
Project - Attributdatatyp: Samling strängar
- Attributvärde:
("Alpine","Baker")
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project@odata.type" = "#Collection(String)"
"Project" = @("Alpine","Baker")
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Hämta anpassade tilldelningar av säkerhetsattribut för en användare
I följande exempel hämtas tilldelningar av anpassade säkerhetsattribut för en användare.
$userAttributes = Get-MgUser -UserId $userId -Property "customSecurityAttributes"
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Engineering
$userAttributes.CustomSecurityAttributes.AdditionalProperties.Marketing
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
Project@odata.type #Collection(String)
Project {Baker, Alpine}
ProjectDate 2024-11-15
NumVendors 8
CostCenter@odata.type #Collection(Int32)
CostCenter {1001, 1003}
Certification False
Key Value
--- -----
@odata.type #microsoft.graph.customSecurityAttributeValue
EmployeeId KX45897
Om det inte finns några anpassade säkerhetsattribut som tilldelats användaren eller om det anropande huvudnamnet inte har åtkomst är svaret tomt.
Visa en lista över alla användare med en anpassad tilldelning av säkerhetsattribut som är lika med ett värde
I följande exempel visas alla användare med en anpassad tilldelning av säkerhetsattribut som är lika med ett värde. Den hämtar användare med ett anpassat säkerhetsattribut med namnet AppCountry med ett värde som är Canadalika med . Filtervärdet är skiftlägeskänsligt. Du måste lägga till ConsistencyLevel=eventual i begäran eller huvudet. Du måste också inkludera $count=true för att säkerställa att begäran dirigeras korrekt.
- Attributuppsättning:
Marketing - Attributet:
AppCountry - Filter: AppCountry eq "Canada"
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry eq 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
4b4e8090-e9ba-4bdc-b2f0-67c3c7c59489 Jiya Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
efdf3082-64ae-495f-b051-855e2d8df969 Jana Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Datacenter@odata.type, #Collection(String)], [Datacenter, System.Object[]]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, KX19476]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, GS46982]}
Visa en lista över alla användare med en anpassad tilldelning av säkerhetsattribut som börjar med ett värde
I följande exempel visas alla användare med en anpassad tilldelning av säkerhetsattribut som börjar med ett värde. Den hämtar användare med ett anpassat säkerhetsattribut med namnet EmployeeId med ett värde som börjar med GS. Filtervärdet är skiftlägeskänsligt. Du måste lägga till ConsistencyLevel=eventual i begäran eller huvudet. Du måste också inkludera $count=true för att säkerställa att begäran dirigeras korrekt.
- Attributuppsättning:
Marketing - Attributet:
EmployeeId - Filter: EmployeeId startsWith 'GS'
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "startsWith(customSecurityAttributes/Marketing/EmployeeId,'GS')" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
$userAttributes.CustomSecurityAttributes.AdditionalProperties | Format-List
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
efdf3082-64ae-495f-b051-855e2d8df969 Jana Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS36348]}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [AppCountry@odata.type, #Collection(String)], [AppCountry, System.Object[]],
[EmployeeId, GS46982]}
Key : Engineering
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [Project@odata.type, #Collection(String)], [Project, System.Object[]],
[ProjectDate, 2024-11-15]…}
Key : Marketing
Value : {[@odata.type, #microsoft.graph.customSecurityAttributeValue], [EmployeeId, GS45897]}
Visa en lista över alla användare med en anpassad tilldelning av säkerhetsattribut som inte är lika med ett värde
I följande exempel visas alla användare med en anpassad tilldelning av säkerhetsattribut som inte är lika med ett värde. Den hämtar användare med ett anpassat säkerhetsattribut med namnet AppCountry med ett värde som inte är lika Canadamed . Filtervärdet är skiftlägeskänsligt. Du måste lägga till ConsistencyLevel=eventual i begäran eller huvudet. Du måste också inkludera $count=true för att säkerställa att begäran dirigeras korrekt.
- Attributuppsättning:
Marketing - Attributet:
AppCountry - Filter: AppCountry ne "Canada"
$userAttributes = Get-MgUser -CountVariable CountVar -Property "id,displayName,customSecurityAttributes" -Filter "customSecurityAttributes/Marketing/AppCountry ne 'Canada'" -ConsistencyLevel eventual
$userAttributes | select Id,DisplayName,CustomSecurityAttributes
Id DisplayName CustomSecurityAttributes
-- ----------- ------------------------
02d52406-be75-411b-b02f-29d7f38dcf62 Chandra Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
eaea4971-7764-4498-9aeb-776496812e75 Isabella Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
d937580c-692c-451f-a507-6758d3bdf353 Alain Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
d5a1c025-2d79-4ad3-9217-91ac3a4ed8b8 Joe Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
23ad8721-f46c-421a-9785-33b0ef474198 Dara Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
Ta bort en anpassad säkerhetsattributtilldelning med en enda värde från en användare
I följande exempel tar du bort en tilldelning av anpassade säkerhetsattribut med en enda värde från en användare genom att värdet anges till null.
- Attributuppsättning:
Engineering - Attributet:
ProjectDate - Attributvärde:
null
$params = @{
"customSecurityAttributes" = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"ProjectDate" = $null
}
}
}
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/users/$userId" -Body $params
Ta bort en tilldelning av anpassade säkerhetsattribut med flera värden från en användare
I följande exempel tar du bort en tilldelning av anpassade säkerhetsattribut med flera värden från en användare genom att ange värdet till en tom samling.
- Attributuppsättning:
Engineering - Attributet:
Project - Attributvärde:
[]
$customSecurityAttributes = @{
"Engineering" = @{
"@odata.type" = "#Microsoft.DirectoryServices.CustomSecurityAttributeValue"
"Project" = @()
}
}
Update-MgUser -UserId $userId -CustomSecurityAttributes $customSecurityAttributes
Vanliga frågor och svar
Var stöds anpassade tilldelningar av säkerhetsattribut för användare?
Anpassade tilldelningar av säkerhetsattribut för användare stöds i Administrationscenter för Microsoft Entra, PowerShell och Microsoft Graph API:er. Anpassade tilldelningar av säkerhetsattribut stöds inte i Mina appar eller Administrationscenter för Microsoft 365.
Vem kan visa anpassade säkerhetsattribut som tilldelats en användare?
Endast användare som har tilldelats rollerna Attributtilldelningsadministratör eller Attributtilldelningsläsare i klientomfånget kan visa anpassade säkerhetsattribut som tilldelats alla användare i klientorganisationen. Användare kan inte visa anpassade säkerhetsattribut som tilldelats till sin egen profil eller andra användare. Gäster kan inte visa anpassade säkerhetsattribut oavsett vilka gästbehörigheter som angetts för klientorganisationen.
Behöver jag skapa en app för att lägga till anpassade tilldelningar av säkerhetsattribut?
Nej, anpassade säkerhetsattribut kan tilldelas till användarobjekt utan att ett program krävs.
Varför får jag ett felmeddelande när jag försöker spara tilldelningar av anpassade säkerhetsattribut?
Du har inte behörighet att tilldela anpassade säkerhetsattribut till användare. Kontrollera att du har tilldelats rollen Attributtilldelningsadministratör.
Kan jag tilldela anpassade säkerhetsattribut till gäster?
Ja, anpassade säkerhetsattribut kan tilldelas till medlemmar eller gäster i din klientorganisation.
Kan jag tilldela anpassade säkerhetsattribut till katalogsynkroniserade användare?
Ja, katalogsynkroniserade användare från en lokal Active Directory kan tilldelas anpassade säkerhetsattribut.
Är anpassade tilldelningar av säkerhetsattribut tillgängliga för regler för dynamiskt medlemskap?
Nej, anpassade säkerhetsattribut som tilldelats användare stöds inte för att konfigurera regler för dynamiskt medlemskap.
Är anpassade säkerhetsattribut samma som de anpassade attributen i B2C-klientorganisationer?
Nej, anpassade säkerhetsattribut stöds inte i B2C-klienter och är inte relaterade till B2C-funktioner.
Nästa steg
- Lägga till eller inaktivera anpassade säkerhetsattributdefinitioner i Microsoft Entra-ID
- Tilldela, uppdatera, lista eller ta bort anpassade säkerhetsattribut för ett program
- Exempel: Tilldela, uppdatera, lista eller ta bort anpassade säkerhetsattributtilldelningar med hjälp av Microsoft Graph API
- Felsöka anpassade säkerhetsattribut i Microsoft Entra-ID