Устранение неполадок настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
Симптом: возможность добавления набора атрибутов отключена
При входе в
Причина
У вас нет разрешений на добавление набора атрибутов. Чтобы иметь возможность добавлять наборы атрибутов и настраиваемые атрибуты безопасности, необходимо иметь роль администратора определения атрибутов.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение
Убедитесь, что вам назначена роль Администратор определения атрибутов либо на уровне арендатора, либо на уровне набора атрибутов. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Симптом: ошибка при попытке назначить настраиваемый атрибут безопасности
При попытке сохранить назначение настраиваемого атрибута безопасности вы получаете следующее сообщение:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Причина
У вас нет разрешений на назначение настраиваемых атрибутов безопасности. Чтобы иметь возможность назначать настраиваемые атрибуты безопасности, необходимо иметь роль администратора назначения атрибутов.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение
Убедитесь, что вам назначена роль Администратора назначения атрибутов либо на уровне арендатора, либо на уровне набора атрибутов. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Симптом. Не удается отфильтровать настраиваемые атрибуты безопасности для пользователей или приложений
Причина 1
У вас нет разрешений на фильтрацию настраиваемых атрибутов безопасности. Чтобы иметь возможность читать и фильтровать настраиваемые атрибуты безопасности для пользователей и корпоративных приложений, необходимо иметь роль читателя назначения атрибутов или администратора назначения атрибутов.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение 1
Убедитесь, что вам назначена одна из следующих встроенных ролей Microsoft Entra на уровне арендатора или уровне набора атрибутов. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Причина 2
Вам назначена роль "Читатель назначения атрибутов" или "Администратор назначения атрибутов", но вы не получили доступа к набору атрибутов.
Решение 2
Вы можете делегировать управление настраиваемыми атрибутами безопасности на уровне арендатора или на уровне набора атрибутов. Убедитесь, что вам предоставлен доступ к набору атрибутов на уровне арендатора или уровне набора атрибутов. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Причина 3
Для вашего клиента не определены и не назначены настраиваемые атрибуты безопасности.
Решение 3
Добавьте настраиваемые атрибуты безопасности и назначьте их пользователям или корпоративным приложениям. Дополнительные сведения см. в разделе "Добавление или отключение определений настраиваемых атрибутов безопасности" в идентификаторе Microsoft Entra ID, назначении, обновлении, списке или удалении настраиваемых атрибутов безопасности для пользователя или "Назначение", "Обновление", "Список" или "Удаление настраиваемых атрибутов безопасности" для приложения.
Симптом. Не удается удалить настраиваемые атрибуты безопасности
Причина
Вы можете активировать и деактивировать определения настраиваемых атрибутов безопасности. Удаление настраиваемых атрибутов безопасности не поддерживается. Деактивированные определения не учитываются в пределах 500 определений клиента.
Решение
Деактивируйте настраиваемые атрибуты безопасности, которые вам больше не нужны. Дополнительные сведения см. в разделе "Добавление или отключение определений настраиваемых атрибутов безопасности" в идентификаторе Microsoft Entra.
Симптом: Невозможно добавить назначение роли в рамках области набора атрибутов с помощью средства PIM
Когда вы пытаетесь добавить подходящее назначение роли Microsoft Entra с помощью Microsoft Entra Privileged Identity Management (PIM), вы не можете задать область как набор атрибутов.
Причина
PIM в настоящее время не поддерживает добавление допустимого назначения роли Microsoft Entra в масштабе набора атрибутов.
Симптом – недостаточно привилегий для завершения операции
При попытке вызвать API Microsoft Graph для пользовательских атрибутов безопасности вы увидите следующее сообщение:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Или при попытке использовать команду PowerShell вы увидите следующее сообщение:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Причина 1
Вы используете Обозреватель Graph, и вы не предоставили согласие на необходимые разрешения настраиваемых атрибутов безопасности для вызова API.
Решение 1
Откройте панель разрешений, выберите соответствующее разрешение пользовательского атрибута безопасности и выберите "Согласие". В открывшемся окне "Запрошенные разрешения" проверьте запрошенные разрешения.
Причина 2
У вас нет назначенной требуемой настраиваемой роли атрибута безопасности для вызова API.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение 2
Убедитесь, что вам назначена необходимая роль с настраиваемым атрибутом безопасности. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Причина 3
Вы пытаетесь удалить назначение настраиваемого атрибута безопасности с одним значением, установив его на null
с помощью команды Update-MgUser или Update-MgServicePrincipal.
Решение 3
Используйте вместо этого команду Invoke-MgGraphRequest. Дополнительные сведения см. в разделе "Удаление одноуровневого назначения настраиваемых атрибутов безопасности для пользователя" или "Удаление назначений настраиваемых атрибутов безопасности из приложений".
Симптом — ошибка Request_UnsupportedQuery
При попытке вызвать API Microsoft Graph для пользовательских атрибутов безопасности вы увидите следующее сообщение:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Причина
Запрос не отформатирован правильно.
Решение
При необходимости добавьте ConsistencyLevel=eventual
в запрос или заголовок. Возможно, вам также потребуется включить $count=true
, чтобы убедиться, что запрос направляется правильно. Дополнительные сведения см. в примерах : назначение, обновление, перечисление или удаление настраиваемых назначений атрибутов безопасности с помощью API Microsoft Graph.