Rozwiązywanie problemów z niestandardowymi atrybutami zabezpieczeń w identyfikatorze Entra firmy Microsoft
Objaw — dodawanie zestawu atrybutów jest wyłączone
Po zalogowaniu się do centrum administracyjnego firmy Microsoft Entra i spróbujesz wybrać opcję Niestandardowe atrybuty zabezpieczeń Dodaj zestaw atrybutów>, jest ona wyłączona.
Przyczyna
Nie masz uprawnień do dodawania zestawu atrybutów. Aby dodać zestaw atrybutów i niestandardowe atrybuty zabezpieczeń, musisz mieć przypisaną rolę Administrator definicji atrybutów.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie
Upewnij się, że masz przypisaną rolę Administrator definicji atrybutów w zakresie dzierżawy lub w zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Objaw — błąd podczas próby przypisania niestandardowego atrybutu zabezpieczeń
Podczas próby zapisania niestandardowego przypisania atrybutu zabezpieczeń zostanie wyświetlony komunikat:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Przyczyna
Nie masz uprawnień do przypisywania niestandardowych atrybutów zabezpieczeń. Aby przypisać niestandardowe atrybuty zabezpieczeń, musisz mieć przypisaną rolę Administrator przypisania atrybutów.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie
Upewnij się, że masz przypisaną rolę Administrator przypisań atrybutów w zakresie dzierżawy lub w zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Objaw — nie można filtrować niestandardowych atrybutów zabezpieczeń dla użytkowników lub aplikacji
Przyczyna 1
Nie masz uprawnień do filtrowania niestandardowych atrybutów zabezpieczeń. Aby odczytywać i filtrować niestandardowe atrybuty zabezpieczeń dla użytkowników lub aplikacji dla przedsiębiorstw, musisz mieć przypisaną rolę Czytelnik przypisań atrybutów lub Administrator przypisania atrybutów.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie 1
Upewnij się, że masz przypisaną jedną z następujących wbudowanych ról firmy Microsoft Entra w zakresie dzierżawy lub zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Przyczyna 2
Przypisano rolę Czytelnik przypisań atrybutów lub Administrator przypisań atrybutów, ale nie przypisano ci dostępu do zestawu atrybutów.
Rozwiązanie 2
Zarządzanie niestandardowymi atrybutami zabezpieczeń można delegować w zakresie dzierżawy lub w zakresie zestawu atrybutów. Upewnij się, że masz przypisany dostęp do atrybutu ustawionego w zakresie dzierżawy lub w zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Przyczyna 3
Nie zdefiniowano jeszcze atrybutów zabezpieczeń niestandardowych i przypisanych do dzierżawy.
Rozwiązanie 3
Dodawanie i przypisywanie niestandardowych atrybutów zabezpieczeń do użytkowników lub aplikacji dla przedsiębiorstw. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w usłudze Microsoft Entra ID, Przypisywanie, aktualizowanie, aktualizowanie, aktualizowanie i usuwanie niestandardowych atrybutów zabezpieczeń dla aplikacji.
Objaw — nie można usunąć niestandardowych atrybutów zabezpieczeń
Przyczyna
Można aktywować i dezaktywować tylko niestandardowe definicje atrybutów zabezpieczeń. Usunięcie niestandardowych atrybutów zabezpieczeń nie jest obsługiwane. Zdezaktywowane definicje nie są liczone do limitu definicji całej dzierżawy 500.
Rozwiązanie
Dezaktywuj niestandardowe atrybuty zabezpieczeń, których już nie potrzebujesz. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Objaw — nie można dodać przypisania roli w zakresie zestawu atrybutów przy użyciu usługi PIM
Podczas próby dodania kwalifikującego się przypisania roli Microsoft Entra przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM) nie można ustawić zakresu na zestaw atrybutów.
Przyczyna
Usługa PIM obecnie nie obsługuje dodawania kwalifikującego się przypisania roli Entra firmy Microsoft w zakresie zestawu atrybutów.
Objaw — niewystarczające uprawnienia do ukończenia operacji
Podczas próby wywołania interfejsu API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń przy użyciu Eksploratora programu Graph zostanie wyświetlony komunikat podobny do następującego:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Lub podczas próby użycia polecenia programu PowerShell zostanie wyświetlony komunikat podobny do następującego:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Przyczyna 1
Używasz Eksploratora programu Graph i nie wyraziłeś zgody na wymagane uprawnienia atrybutu zabezpieczeń niestandardowego do wywołania interfejsu API.
Rozwiązanie 1
Otwórz panel Uprawnienia, wybierz odpowiednie uprawnienia niestandardowego atrybutu zabezpieczeń, a następnie wybierz pozycję Zgoda. W wyświetlonym oknie Uprawnienia, którego dotyczy żądanie, przejrzyj żądane uprawnienia.
Przyczyna 2
Do wywołania interfejsu API nie przypisano wymaganej niestandardowej roli atrybutu zabezpieczeń.
Ważne
Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.
Rozwiązanie 2
Upewnij się, że masz przypisaną wymaganą niestandardową rolę atrybutu zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
Przyczyna 3
Próbujesz usunąć jednowarte niestandardowe przypisanie atrybutu zabezpieczeń, ustawiając go na null
wartość przy użyciu polecenia Update-MgUser lub Update-MgServicePrincipal .
Rozwiązanie 3
Zamiast tego użyj polecenia Invoke-MgGraphRequest. Aby uzyskać więcej informacji, zobacz Usuwanie przypisania atrybutu zabezpieczeń o pojedynczej wartości z użytkownika lub Usuwanie niestandardowych przypisań atrybutów zabezpieczeń z aplikacji.
Objaw — błąd Request_UnsupportedQuery
Podczas próby wywołania interfejsu API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń zostanie wyświetlony komunikat podobny do następującego:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Przyczyna
Żądanie nie jest poprawnie sformatowane.
Rozwiązanie
W razie potrzeby dodaj ConsistencyLevel=eventual
żądanie lub nagłówek. Może być również konieczne dołączenie $count=true
żądania, aby upewnić się, że żądanie jest prawidłowo kierowane. Aby uzyskać więcej informacji, zobacz Przykłady: przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych przypisań atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph.