Problemen met aangepaste beveiligingskenmerken in Microsoft Entra-id oplossen
Symptoom: Kenmerkset toevoegen is uitgeschakeld
Wanneer u bent aangemeld bij het Microsoft Entra-beheercentrum en u probeert de optie Aangepaste beveiligingskenmerken>toevoegen kenmerkset te selecteren, wordt deze uitgeschakeld.
Oorzaak
U hebt geen machtigingen om een kenmerkset toe te voegen. Als u een kenmerkset en aangepaste beveiligingskenmerken wilt toevoegen, moet aan u de rol Beheerder van kenmerkdefinitie zijn toegewezen.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Oplossing
Zorg ervoor dat u de rol Kenmerkdefinitiebeheerder toewijst aan het tenantbereik of het ingestelde bereik van kenmerken. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Symptoom: fout bij het toewijzen van een aangepast beveiligingskenmerk
Wanneer u probeert een aangepaste toewijzing van beveiligingskenmerken op te slaan, krijgt u het volgende bericht:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Oorzaak
U bent niet gemachtigd om aangepaste beveiligingskenmerken toe te wijzen. Als u aangepaste beveiligingskenmerken wilt toewijzen, moet aan u de rol Beheerder van kenmerktoewijzing zijn toegewezen.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Oplossing
Zorg ervoor dat u de rol Kenmerktoewijzingsbeheerder toewijst aan het tenantbereik of het ingestelde bereik van het kenmerk. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Symptoom: kan geen aangepaste beveiligingskenmerken filteren voor gebruikers of toepassingen
Oorzaak 1
U bent niet gemachtigd om aangepaste beveiligingskenmerken te filteren. Als u aangepaste beveiligingskenmerken voor gebruikers of bedrijfstoepassingen wilt lezen en filteren, moet aan u de rol Lezer van kenmerktoewijzing of Beheerder van kenmerktoewijzing zijn toegewezen.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Oplossing 1
Zorg ervoor dat u een van de volgende ingebouwde Microsoft Entra-rollen toewijst aan het tenantbereik of kenmerksetbereik. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Oorzaak 2
U krijgt de rol Lezer voor kenmerktoewijzing of Kenmerktoewijzingsbeheerder toegewezen, maar u hebt geen toegang tot een kenmerkset toegewezen.
Oplossing 2
U kunt het beheer van aangepaste beveiligingskenmerken delegeren in het tenantbereik of aan het ingestelde bereik van het kenmerk. Zorg ervoor dat aan u toegang is verleend tot een kenmerk dat is ingesteld op in het tenantbereik of het kenmerksetbereik. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Oorzaak 3
Er zijn nog geen aangepaste beveiligingskenmerken gedefinieerd en toegewezen voor uw tenant.
Oplossing 3
Aangepaste beveiligingskenmerken toevoegen en toewijzen aan gebruikers of bedrijfstoepassingen. Zie Aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra-id, Toewijzen, bijwerken, weergeven of verwijderen van aangepaste beveiligingskenmerken voor een gebruiker, of Aangepaste beveiligingskenmerken toewijzen, bijwerken, weergeven of verwijderen voor een toepassing voor meer informatie.
Symptoom: aangepaste beveiligingskenmerken kunnen niet worden verwijderd
Oorzaak
U kunt alleen aangepaste beveiligingskenmerkdefinities activeren en deactiveren. Het verwijderen van aangepaste beveiligingskenmerken wordt niet ondersteund. Gedeactiveerde definities tellen niet mee voor de limiet van 500 definities voor de tenant.
Oplossing
Deactiveer de aangepaste beveiligingskenmerken die u niet meer nodig hebt. Zie Aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra-id voor meer informatie.
Symptoom: kan geen roltoewijzing toevoegen aan een kenmerksetbereik met behulp van PIM
Wanneer u probeert een in aanmerking komende Microsoft Entra-roltoewijzing toe te voegen met Behulp van Microsoft Entra Privileged Identity Management (PIM), kunt u het bereik niet instellen op een kenmerkset.
Oorzaak
PIM biedt momenteel geen ondersteuning voor het toevoegen van een in aanmerking komende Microsoft Entra-roltoewijzing op een kenmerksetbereik.
Symptoom : onvoldoende bevoegdheden om de bewerking te voltooien
Wanneer u Graph Explorer probeert te gebruiken om Microsoft Graph API aan te roepen voor aangepaste beveiligingskenmerken, ziet u een bericht dat er ongeveer als volgt uitziet:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Of wanneer u een PowerShell-opdracht probeert te gebruiken, ziet u een bericht dat lijkt op het volgende:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Oorzaak 1
U gebruikt Graph Explorer en u hebt niet toestemming gegeven voor de vereiste machtigingen voor aangepaste beveiligingskenmerken om de API-aanroep te maken.
Oplossing 1
Open het deelvenster Machtigingen, selecteer de juiste machtiging voor het aangepaste beveiligingskenmerk en selecteer Toestemming. Controleer in het venster Machtigingen dat verschijnt de aangevraagde machtigingen.
Oorzaak 2
U krijgt niet de vereiste aangepaste beveiligingskenmerkrol toegewezen om de API-aanroep te maken.
Belangrijk
Globale beheerder en andere beheerdersrollen hebben standaard geen machtigingen voor het lezen, definiëren en toewijzen van aangepaste beveiligingskenmerken.
Oplossing 2
Zorg ervoor dat u de vereiste aangepaste beveiligingskenmerkrol hebt toegewezen. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.
Oorzaak 3
U probeert een toewijzing van een aangepast beveiligingskenmerk met één waarde te verwijderen door deze in te null
stellen op de opdracht Update-MgUser of Update-MgServicePrincipal .
Oplossing 3
Gebruik in plaats daarvan de opdracht Invoke-MgGraphRequest . Zie Een toewijzing van een aangepast beveiligingskenmerk met één waarde verwijderen uit een gebruiker of Aangepaste toewijzing van beveiligingskenmerken verwijderen uit toepassingen voor meer informatie.
Symptoom - Request_UnsupportedQuery fout
Wanneer u Microsoft Graph API probeert aan te roepen voor aangepaste beveiligingskenmerken, ziet u een bericht dat er ongeveer als volgt uitziet:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Oorzaak
De aanvraag is niet juist opgemaakt.
Oplossing
Voeg indien nodig de aanvraag of de header toe ConsistencyLevel=eventual
. Mogelijk moet u ook de aanvraag opnemen $count=true
om ervoor te zorgen dat de aanvraag correct wordt gerouteerd. Zie Voorbeelden: Toewijzingen van aangepaste beveiligingskenmerken toewijzen, bijwerken, weergeven of verwijderen met behulp van de Microsoft Graph API voor meer informatie.