Rozwiązywanie problemów z niestandardowymi atrybutami zabezpieczeń w identyfikatorze Entra firmy Microsoft
Objaw — dodawanie zestawu atrybutów jest wyłączone
Po zalogowaniu się do centrum administracyjnego Microsoft Entra i próbie wyboru opcji Własne atrybuty zabezpieczeń>Dodaj zestaw atrybutów, jest ona wyłączona.
Przyczyna
Nie masz uprawnień do dodawania zestawu atrybutów. Aby dodać zestaw atrybutów i niestandardowe atrybuty zabezpieczeń, musisz mieć przypisaną rolę Administrator definicji atrybutów.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie
Upewnij się, że masz przypisaną rolę Administratora definicji atrybutów w zakresie dzierżawy lub w zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Objaw — błąd podczas próby przypisania niestandardowego atrybutu zabezpieczeń
Podczas próby zapisania niestandardowego przypisania atrybutu zabezpieczeń zostanie wyświetlony komunikat:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Przyczyna
Nie masz uprawnień do przypisywania niestandardowych atrybutów zabezpieczeń. Aby przypisać niestandardowe atrybuty zabezpieczeń, musisz mieć przypisaną rolę Administrator przypisania atrybutów.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie
Upewnij się, że masz przypisaną rolę Administrator przypisań atrybutów na poziomie dzierżawy lub na poziomie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Objaw — nie można filtrować niestandardowych atrybutów zabezpieczeń dla użytkowników lub aplikacji
Przyczyna 1
Nie masz uprawnień do filtrowania niestandardowych atrybutów zabezpieczeń. Aby odczytywać i filtrować niestandardowe atrybuty zabezpieczeń dla użytkowników lub aplikacji przedsiębiorstwa, musisz mieć przypisaną rolę Czytelnik przypisań atrybutów lub Administrator przypisań atrybutów.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie 1
Upewnij się, że przypisano Ci jedną z następujących wbudowanych ról Microsoft Entra w zakresie dzierżawy lub zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Przyczyna 2
Przypisano ci rolę Czytelnika przypisań atrybutów lub Administratora przypisań atrybutów, ale nie przydzielono ci dostępu do zestawu atrybutów.
Rozwiązanie 2
Zarządzanie niestandardowymi atrybutami zabezpieczeń można delegować na poziomie dzierżawy lub na poziomie zestawu atrybutów. Upewnij się, że masz przypisany dostęp do zestawu atrybutów w zakresie dzierżawy lub w zakresie samego zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Przyczyna 3
Nie zdefiniowano ani nie przypisano jeszcze atrybutów zabezpieczeń niestandardowych dla Twojej dzierżawy.
Rozwiązanie 3
Dodawanie i przypisywanie niestandardowych atrybutów zabezpieczeń do użytkowników lub aplikacji dla przedsiębiorstw. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w usłudze Microsoft Entra ID, Przypisywanie, aktualizowanie, wyświetlanie lub usuwanie niestandardowych atrybutów zabezpieczeń dla użytkownika lub Przypisywanie, aktualizowanie, wyświetlanie lub usuwanie niestandardowych atrybutów zabezpieczeń dla aplikacji.
Objaw — nie można usunąć niestandardowych atrybutów zabezpieczeń
Przyczyna
Można aktywować i dezaktywować tylko niestandardowe definicje atrybutów zabezpieczeń. Usunięcie niestandardowych atrybutów zabezpieczeń nie jest obsługiwane. Nieaktywne definicje nie wliczają się do limitu 500 definicji na dzierżawę.
Rozwiązanie
Dezaktywuj niestandardowe atrybuty zabezpieczeń, których już nie potrzebujesz. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Symptom — nie można przypisać roli na poziomie zestawu atrybutów za pomocą PIM.
Podczas próby dodania kwalifikowanego przypisania roli Microsoft Entra przy użyciu Microsoft Entra Privileged Identity Management (PIM), nie można ustawić zakresu na zestaw atrybutów.
Przyczyna
Usługa PIM obecnie nie obsługuje dodawania kwalifikującego się przypisania roli Entra firmy Microsoft w zakresie zestawu atrybutów.
Objaw — niewystarczające uprawnienia do ukończenia operacji
Podczas próby wywołania interfejsu API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń przy użyciu Eksploratora programu Graph zostanie wyświetlony komunikat podobny do następującego:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Lub podczas próby użycia polecenia programu PowerShell zostanie wyświetlony komunikat podobny do następującego:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Przyczyna 1
Używasz Eksploratora Graph i jeszcze nie zgodziłeś się na wymagane uprawnienia niestandardowego atrybutu zabezpieczeń do wywołania interfejsu API.
Rozwiązanie 1
Otwórz panel Uprawnienia, wybierz odpowiednie uprawnienia niestandardowego atrybutu zabezpieczeń, a następnie wybierz pozycję Zgoda. W oknie Uprawnienia, które się pojawi, przejrzyj żądane uprawnienia.
Przyczyna 2
Nie masz przypisanej wymaganej niestandardowej roli atrybutu zabezpieczeń do wywołania interfejsu API.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie 2
Upewnij się, że masz przypisaną wymaganą niestandardową rolę atrybutu zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Przyczyna 3
Próbujesz usunąć przypisanie jednowartościowego niestandardowego atrybutu zabezpieczeń, ustawiając go na null przy użyciu polecenia Update-MgUser lub Update-MgServicePrincipal.
Rozwiązanie 3
Zamiast tego użyj polecenia Invoke-MgGraphRequest. Aby uzyskać więcej informacji, zobacz Usuwanie przypisania atrybutu zabezpieczeń o pojedynczej wartości z użytkownika lub Usuwanie niestandardowych przypisań atrybutów zabezpieczeń z aplikacji.
Objaw: błąd Request_UnsupportedQuery
Podczas próby wywołania interfejsu API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń zostanie wyświetlony komunikat podobny do następującego:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Przyczyna
Żądanie nie jest poprawnie sformatowane.
Rozwiązanie
W razie potrzeby dodaj ConsistencyLevel=eventual w żądaniu lub nagłówku. Może być również konieczne dołączenie $count=true, aby upewnić się, że żądanie jest prawidłowo kierowane. Aby uzyskać więcej informacji, zobacz Przykłady: przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych przypisań atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph.
