Solucionar problemas dos atributos de segurança personalizados no Microsoft Entra ID
Sintoma – A opção de adicionar um conjunto de atributos está desabilitada
Quando entrar no Centro de administração do Microsoft Entra e tentar clicar na opção Atributos de segurança personalizados>Adicionar conjunto de atributos esta é desativada.
Causa
Você não tem permissão para adicionar um conjunto de atributos. Para adicionar um conjunto de atributos e atributos de segurança personalizados, você precisa da função de Administrador de Definição de Atributos.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.
Solução
Verifique se você recebeu a função Administrador de Definição de Atributo no escopo do locatário ou no escopo do conjunto de atributos. Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Sintoma ─ Erro ao tentar designar um atributo de segurança personalizado
Ao tentar salvar uma designação de atributo de segurança personalizado, você recebe a seguinte mensagem:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Causa
Você não tem permissão para designar atributos de segurança personalizados. Para designar atributos de segurança personalizados, você precisa da função de Administrador de Designação de Atributos.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.
Solução
Verifique se você recebeu a função Administrador de Atribuição de Atributo no escopo do locatário ou no escopo do conjunto de atributos. Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Sintoma – Não é possível filtrar atributos de segurança personalizados para usuários ou aplicativos
Causa 1
Você não tem permissão para filtrar atributos de segurança personalizados. Para ler e filtrar atributos de segurança personalizados para usuários ou aplicativos empresariais, você precisa da função de Leitor de Designação de Atributos ou de Administrador de Designação de Atributos.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.
Solução 1
Verifique se você recebeu uma das seguintes funções internas do Microsoft Entra no escopo do locatário ou no escopo do conjunto de atributos. Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Causa 2
Você recebeu a função Leitor de Atribuição de Atributo ou Administrador de Atribuição de Atributo, mas não recebeu acesso a um conjunto de atributos.
Solução 2
É possível delegar o gerenciamento de atributos de segurança personalizados no escopo do locatário ou do conjunto de atributos. Certifique-se de ter recebido acesso a um conjunto de atributos no escopo do locatário ou do conjunto de atributos. Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Causa 3
Ainda não há atributos de segurança personalizados definidos e designados para o seu locatário.
Solução 3
Adicione e designe atributos de segurança personalizados a usuários ou aplicativos empresariais. Para saber mais, confira Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID, Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um usuário ou Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um aplicativo.
Sintoma ─ Os atributos de segurança personalizados não podem ser excluídos
Causa
Você só pode ativar e desativar definições de atributo de segurança personalizadas. Não há suporte para a exclusão de atributos de segurança personalizados. As definições desativadas não contam para o limite de definição de 500 de todo o locatário.
Solução
Desative os atributos de segurança personalizados que não são mais necessários. Para saber mais, confira Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID.
Sintoma ─ Não é possível adicionar uma designação de função em um escopo de conjunto de atributos com o PIM
Ao tentar adicionar uma atribuição de função qualificada do Microsoft Entra usando o PIM (Privileged Identity Management) do Microsoft Entra, não é possível definir o escopo para um conjunto de atributos.
Causa
Atualmente, o PIM não dá suporte à adição de uma atribuição de função qualificada do Microsoft Entra em um escopo de conjunto de atributos.
Sintoma – Privilégios insuficientes para concluir a operação
Ao tentar usar o Explorador do Graph para chamar a API do Microsoft Graph para atributos de segurança personalizados, você verá uma mensagem semelhante à seguinte:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Ou ao tentar usar um comando do PowerShell, você verá uma mensagem semelhante à seguinte:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Causa 1
Você está usando o Explorador do Graph e não consentiu com as permissões de atributo de segurança personalizadas necessárias para fazer a chamada à API.
Solução 1
Abra o painel Permissões, selecione a permissão de atributo de segurança personalizada apropriada e selecione Consentimento. Na janela Permissões solicitadas exibida, revise as permissões solicitadas.
Causa 2
Você não recebe a função de atributo de segurança personalizada necessária para fazer a chamada à API.
Importante
Por padrão, o Administrador Global e outras funções de administrador não têm permissão para ler, definir ou designar atributos de segurança personalizados.
Solução 2
Verifique se você recebeu a função de atributo de segurança personalizada necessária. Para saber mais, confira Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Causa 3
Você está tentando remover uma atribuição de atributo de segurança personalizada com valor único definindo-a como null
usando o Update-MgUser ou comando Update-MgServicePrincipal.
Solução 3
Em vez disso, use o comando Invoke-MgGraphRequest. Para obter mais informações, consulte Remover uma atribuição de atributo de segurança personalizada com valor único de um usuário ou Remover atribuições de atributo de segurança personalizadas de aplicativos.
Sintoma – Erro Request_UnsupportedQuery
Ao tentar chamar a API do Microsoft Graph para atributos de segurança personalizados, você verá uma mensagem semelhante à seguinte:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Causa
A solicitação não está formatada corretamente.
Solução
Se necessário, adicione ConsistencyLevel=eventual
à solicitação ou ao cabeçalho. Você também precisa incluir $count=true
para garantir que a solicitação seja roteada corretamente. Para saber mais, confira Exemplos: Atribuir, atualizar, listar ou remover atribuições de atributos de segurança personalizados usando a API do Microsoft Graph.