Risolvere i problemi relativi agli attributi di sicurezza personalizzati in Microsoft Entra ID
Sintomo - L'aggiunta del set di attributi è disabilitata
Dopo aver eseguito l'accesso all'Interfaccia di amministrazione di Microsoft Entra e si tenta di selezionare l'opzione Attributi di sicurezza personalizzati>Aggiungi set di attributi, è disabilitata.
Causa
Non si dispone delle autorizzazioni per aggiungere un set di attributi. Per aggiungere un set di attributi e attributi di sicurezza personalizzati, è necessario avere il ruolo di Amministratore definizione di attributi.
Importante
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.
Soluzione
Assicurarsi di avere assegnato il ruolo di Amministratore definizione attributi nell'ambito tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
Sintomo - Errore durante il tentativo di assegnazione di un attributo di sicurezza personalizzato
Quando si tenta di salvare un'assegnazione di attributo di sicurezza personalizzato, viene visualizzato il messaggio:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Causa
Non si dispone delle autorizzazioni per assegnare attributi di sicurezza personalizzati. Per assegnare attributi di sicurezza personalizzati, è necessario avere il ruolo di Amministratore assegnazione attributi.
Importante
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.
Soluzione
Assicurarsi di avere assegnato il ruolo di Amministratore assegnazione attributi nell'ambito tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
Sintomo - Impossibile filtrare gli attributi di sicurezza personalizzati per utenti o applicazioni
Causa 1
Non si dispone delle autorizzazioni per filtrare gli attributi di sicurezza personalizzati. Per leggere e filtrare gli attributi di sicurezza personalizzati per gli utenti o le applicazioni aziendali, è necessario avere il ruolo diLettore assegnazione attributi o Amministratore assegnazione attributi.
Importante
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.
Soluzione 1
Assicurarsi di aver assegnato uno dei seguenti ruoli predefiniti di Microsoft Entra nell'ambito tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
Causa 2
È stato assegnato il ruolo di Lettore assegnazione attributi o Amministratore assegnazione attributi, tuttavia non è stato assegnato l'accesso a un set di attributi.
Soluzione 2
È possibile delegare la gestione degli attributi di sicurezza personalizzati nell'ambito del tenant o nell'ambito del set di attributi. Assicurarsi che sia stato assegnato l'accesso a un set di attributi nell'ambito del tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
Causa 3
Non sono ancora stati definiti e assegnati attributi di sicurezza personalizzati per il tenant.
Soluzione 3
Aggiungere e assegnare attributi di sicurezza personalizzati agli utenti o alle applicazioni aziendali. Per altre informazioni, vedere Aggiungere o disattivare le definizioni di attributi di sicurezza personalizzati in Microsoft Entra ID, Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un utente, o Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un'applicazione.
Sintomo- Impossibile eliminare gli attributi di sicurezza personalizzati
Causa
È possibile soltanto attivare e disattivare le definizioni di attributi di sicurezza personalizzati. L'eliminazione degli attributi di sicurezza personalizzati non è supportata. Le definizioni disattivate non vengono conteggiate per il limite di 500 definizioni del tenant.
Soluzione
Disattivare gli attributi di sicurezza personalizzati non più necessari. Per altre informazioni, vedere Aggiungere o disattivare le definizioni di attributi di sicurezza personalizzati in Microsoft Entra ID.
Sintomo - Impossibile aggiungere un'assegnazione di ruolo in un ambito del set di attributi tramite PIM
Quando si tenta di aggiungere un'assegnazione di ruolo idoneo in Microsoft Entra tramite Microsoft Entra Privileged Identity Management (PIM),, non è possibile impostare l'ambito per un set di attributi.
Causa
Attualmente, PIM non supporta l'aggiunta di un'assegnazione di ruolo idoneo in Microsoft Entra nell'ambito del set di attributi.
Sintomo - Privilegi non sufficienti per completare l'operazione
Quando si tenta di usare Graph explorer per chiamare l'API Microsoft Graph per gli attributi di sicurezza personalizzati, viene visualizzato un messaggio simile al seguente:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Oppure, quando si tenta di usare un comando di PowerShell, viene visualizzato un messaggio simile al seguente:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Causa 1
Si sta utilizzando Graph explorer senza avere fornito il consenso per le autorizzazioni necessarie per l'attributo di sicurezza personalizzato per effettuare la chiamata API.
Soluzione 1
Aprire il pannello Autorizzazioni, selezionare l'autorizzazione appropriata per l'attributo di sicurezza personalizzato e scegliere Consenti. Nella finestra Autorizzazioni richieste che viene visualizzata, esaminare le autorizzazioni richieste.
Causa 2
Non è stato assegnato il ruolo di attributo di sicurezza personalizzato necessario per effettuare la chiamata API.
Importante
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.
Soluzione 2
Verificare che sia stato assegnato il ruolo di attributo di sicurezza personalizzato richiesto. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
Causa 3
Si sta tentando di rimuovere un'assegnazione di attributo di sicurezza personalizzato a valore singolo impostandola su null utilizzando il comando Update-MgUser o Update-MgServicePrincipal.
Soluzione 3
Utilizzare, invece, il comando Invoke-MgGraphRequest. Per altre informazioni, vedere Rimuovere un'assegnazione di attributo di sicurezza personalizzato a valore singolo da un utente o Rimuovere assegnazioni di attributi di sicurezza personalizzati dalle applicazioni.
Sintomo - Errore Request_UnsupportedQuery
Quando si tenta di chiamare l'API Microsoft Graph per gli attributi di sicurezza personalizzati, viene visualizzato un messaggio simile al seguente:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Causa
La richiesta non è formattata correttamente.
Soluzione
Se necessario, aggiungere ConsistencyLevel=eventual nella richiesta o nell'intestazione. Potrebbe anche essere necessario includere $count=true per assicurarsi che la richiesta venga indirizzata correttamente. Per altre informazioni, vedere Esempi: assegnare, aggiornare, elencare o rimuovere assegnazioni di attributi di sicurezza personalizzati usando l'API Microsoft Graph.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per