Compartir a través de


Solución de problemas de atributos de seguridad personalizados en Microsoft Entra ID

Síntoma: La adición de un conjunto de atributos está deshabilitada

Cuando inicia sesión en el centro de administración de Microsoft Entra e intenta seleccionar la opción Atributos de seguridad personalizados>Agregar conjunto de atributos, esta está deshabilitada.

Captura de pantalla de la opción Agregar conjunto de atributos desactivada en el Centro de administración de Microsoft Entra.

Causa

No tiene permisos para agregar un conjunto de atributos. Para agregar un conjunto de atributos y atributos de seguridad personalizados, debe tener asignado el rol Administrador de definiciones de atributos.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Solución

Asegúrese de que se le asigna el rol Administrador de definiciones de atributos en el ámbito del inquilino o en el ámbito del conjunto de atributos. Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Síntoma: Error al intentar asignar un atributo de seguridad personalizado

Al intentar guardar una asignación de atributos de seguridad personalizados, recibe el siguiente mensaje:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

Causa

No tiene permisos para asignar atributos de seguridad personalizados. Para asignar atributos de seguridad personalizados, debe tener asignado el rol Administrador de asignaciones de atributos.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Solución

Asegúrese de que se le asigna el rol Administrador de asignaciones de atributos en el ámbito del inquilino o en el ámbito del conjunto de atributos. Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Síntoma: No se pueden filtrar los atributos de seguridad personalizados por usuarios o aplicaciones

Causa 1

No tiene permisos para filtrar los atributos de seguridad personalizados. Para leer y filtrar los atributos de seguridad personalizados por usuarios o aplicaciones empresariales, se le debe asignar el rol Lector de asignaciones de atributos o Administrador de asignaciones de atributos.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Solución 1

Asegúrese de que se le asigna uno de los siguientes roles integrados de Microsoft Entra en el ámbito del inquilino o del conjunto de atributos. Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Causa 2

Se le ha asignado el rol Lector de asignaciones de atributos o Administrador de asignaciones de atributos, pero no se le ha asignado acceso a un conjunto de atributos.

Solución 2

Puede delegar la administración de los atributos de seguridad personalizados en el ámbito del inquilino o en el ámbito del conjunto de atributos. Asegúrese de que se le ha asignado acceso a un conjunto de atributos en el ámbito del inquilino o en el ámbito del conjunto de atributos. Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Causa 3

Todavía no hay ningún atributo de seguridad personalizado definido ni asignado para el inquilino.

Solución 3

Agregue y asigne atributos de seguridad personalizados a usuarios o aplicaciones empresariales. Para obtener más información, consulte Agregar o desactivar definiciones de atributos de seguridad personalizados en Microsoft Entra ID, Asignación, actualización, enumeración o eliminación de atributos de seguridad personalizados para un usuario o Administración de atributos de seguridad personalizados de una aplicación.

Síntoma: No se pueden eliminar los atributos de seguridad personalizados

Causa

Solo puede activar y desactivar definiciones de atributos de seguridad personalizados. No se admite la eliminación de dichos atributos. Las definiciones desactivadas no cuentan para el límite de definición de 500 anchos de inquilino.

Solución

Desactive los atributos de seguridad personalizados que ya no necesite. Para obtener más información, consulte Agregar o desactivar definiciones de atributos de seguridad personalizados en Microsoft Entra ID.

Síntoma: No se puede agregar una asignación de roles en un ámbito de conjunto de atributos mediante PIM

Cuando se intenta agregar una asignación de roles válida de Microsoft Entra usando Microsoft Entra Privileged Identity Management (PIM), no se puede establecer el ámbito en un conjunto de atributos.

Causa

Actualmente, PIM no admite la adición de una asignación de roles válida de Microsoft Entra en un ámbito de conjunto de atributos.

Síntoma: privilegios insuficientes para completar la operación

Al intentar usar Graph Explorer para llamar a Microsoft Graph API para atributos de seguridad personalizados, verá un mensaje similar al siguiente:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Captura de pantalla del Probador de Graph que muestra un mensaje de error de privilegios insuficientes.

O bien, al intentar usar un comando de PowerShell, ve un mensaje similar al siguiente:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

Causa 1

Está usando el explorador de Graph y no ha dado su consentimiento a los permisos de atributo de seguridad personalizados necesarios para realizar la llamada API.

Solución 1

Abra el panel Permisos, seleccione el permiso de atributo de seguridad personalizado adecuado y seleccione Consentir. En la ventana Permisos solicitados que aparece, revise los permisos solicitados.

Captura de pantalla del panel Permisos del Probador de Graph con CustomSecAttributeDefinition seleccionado.

Causa 2

No se le asigna el rol de atributo de seguridad personalizado necesario para realizar la llamada API.

Importante

De forma predeterminada, el rol Administrador global y otros roles de administrador no tienen permisos para leer, definir o asignar atributos de seguridad personalizados.

Solución 2

Asegúrese de que se le asigna el rol de atributo de seguridad personalizado necesario. Para obtener más información, consulte Administración del acceso a atributos de seguridad personalizados en Microsoft Entra ID.

Causa 3

Está intentando quitar una asignación de atributo de seguridad personalizada de un solo valor estableciendo en null usando el comando Update-MgUser o Update-MgServicePrincipal.

Solución 3

Use el comando Invoke-MgGraphRequest en su lugar. Para obtener más información, consulte Quitar una asignación de atributos de seguridad personalizados con un solo valor de un usuario o Quitar asignaciones de atributos de seguridad personalizados de aplicaciones.

Síntoma: Mensaje de error Request_UnsupportedQuery

Al intentar llamar a Microsoft Graph API para obtener atributos de seguridad personalizados, verá un mensaje similar al siguiente:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

Causa

La solicitud no tiene el formato correcto.

Solución

Si es necesario, agregue ConsistencyLevel=eventual en la solicitud o el encabezado. También puede ser necesario incluir $count=true para asegurarse de que la solicitud se enruta correctamente. Para obtener más información, consulte Ejemplos: asignar, actualizar, enumerar o quitar asignaciones de atributos de seguridad personalizados mediante Microsoft Graph API.

Captura de pantalla del Explorador de Graph con el encabezado ConsistencyLevel agregado.

Pasos siguientes