Problemen met aangepaste beveiligingskenmerken in Microsoft Entra-id oplossen

  • Artikel

Symptoom: Kenmerkset toevoegen is uitgeschakeld

Wanneer u bent aangemeld bij het Microsoft Entra-beheercentrum en u probeert de optie Aangepaste beveiligingskenmerken>toevoegen kenmerkset te selecteren, wordt deze uitgeschakeld.

Screenshot of Add attribute set option disabled in Microsoft Entra admin center.

Oorzaak

U hebt geen machtigingen om een kenmerkset toe te voegen. Als u een kenmerkset en aangepaste beveiligingskenmerken wilt toevoegen, moet aan u de rol Beheerder van kenmerkdefinitie zijn toegewezen. Globale Beheer istrator- en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen.

Oplossing

Zorg ervoor dat u de rol Kenmerkdefinitie hebt toegewezen Beheer istrator op het bereik van de tenant of in het kenmerksetbereik. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Symptoom: fout bij het toewijzen van een aangepast beveiligingskenmerk

Wanneer u probeert een aangepaste toewijzing van beveiligingskenmerken op te slaan, krijgt u het volgende bericht:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

Oorzaak

U bent niet gemachtigd om aangepaste beveiligingskenmerken toe te wijzen. Als u aangepaste beveiligingskenmerken wilt toewijzen, moet aan u de rol Beheerder van kenmerktoewijzing zijn toegewezen. Globale Beheer istrator- en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen.

Oplossing

Zorg ervoor dat u de rol Kenmerktoewijzing hebt toegewezen Beheer istrator op het bereik van de tenant of het setbereik van het kenmerk. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Symptoom: kan geen aangepaste beveiligingskenmerken filteren voor gebruikers of toepassingen

Oorzaak 1

U bent niet gemachtigd om aangepaste beveiligingskenmerken te filteren. Als u aangepaste beveiligingskenmerken voor gebruikers of bedrijfstoepassingen wilt lezen en filteren, moet aan u de rol Lezer van kenmerktoewijzing of Beheerder van kenmerktoewijzing zijn toegewezen. Globale Beheer istrator- en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen.

Oplossing 1

Zorg ervoor dat u een van de volgende ingebouwde Microsoft Entra-rollen toewijst aan het tenantbereik of kenmerksetbereik. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Oorzaak 2

U krijgt de rol Kenmerktoewijzingslezer of Kenmerktoewijzing toegewezen Beheer istrator, maar u hebt geen toegang gekregen tot een kenmerkset.

Oplossing 2

U kunt het beheer van aangepaste beveiligingskenmerken delegeren in het tenantbereik of aan het ingestelde bereik van het kenmerk. Zorg ervoor dat aan u toegang is verleend tot een kenmerk dat is ingesteld op in het tenantbereik of het kenmerksetbereik. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Oorzaak 3

Er zijn nog geen aangepaste beveiligingskenmerken gedefinieerd en toegewezen voor uw tenant.

Oplossing 3

Aangepaste beveiligingskenmerken toevoegen en toewijzen aan gebruikers of bedrijfstoepassingen. Zie Aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra-id, Toewijzen, bijwerken, weergeven of verwijderen van aangepaste beveiligingskenmerken voor een gebruiker, of Aangepaste beveiligingskenmerken toewijzen, bijwerken, weergeven of verwijderen voor een toepassing voor meer informatie.

Symptoom: aangepaste beveiligingskenmerken kunnen niet worden verwijderd

Oorzaak

U kunt alleen aangepaste beveiligingskenmerkdefinities activeren en deactiveren. Het verwijderen van aangepaste beveiligingskenmerken wordt niet ondersteund. Gedeactiveerde definities tellen niet mee voor de limiet van 500 definities voor de tenant.

Oplossing

Deactiveer de aangepaste beveiligingskenmerken die u niet meer nodig hebt. Zie Aangepaste beveiligingskenmerkdefinities toevoegen of deactiveren in Microsoft Entra-id voor meer informatie.

Symptoom: kan geen roltoewijzing toevoegen aan een kenmerksetbereik met behulp van PIM

Wanneer u probeert een in aanmerking komende Microsoft Entra-roltoewijzing toe te voegen met Behulp van Microsoft Entra Privileged Identity Management (PIM), kunt u het bereik niet instellen op een kenmerkset.

Oorzaak

PIM biedt momenteel geen ondersteuning voor het toevoegen van een in aanmerking komende Microsoft Entra-roltoewijzing op een kenmerksetbereik.

Symptoom : onvoldoende bevoegdheden om de bewerking te voltooien

Wanneer u Graph Explorer probeert te gebruiken om Microsoft Graph API aan te roepen voor aangepaste beveiligingskenmerken, ziet u een bericht dat er ongeveer als volgt uitziet:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Screenshot of Graph Explorer displaying an insufficient privileges error message.

Of wanneer u een PowerShell-opdracht probeert te gebruiken, ziet u een bericht dat lijkt op het volgende:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

Oorzaak 1

U gebruikt Graph Explorer en u hebt niet toestemming gegeven voor de vereiste machtigingen voor aangepaste beveiligingskenmerken om de API-aanroep te maken.

Oplossing 1

Open het deelvenster Machtigingen, selecteer de juiste machtiging voor het aangepaste beveiligingskenmerk en selecteer Toestemming. Controleer in het venster Machtigingen dat verschijnt de aangevraagde machtigingen.

Screenshot of Graph Explorer Permissions panel with CustomSecAttributeDefinition selected.

Oorzaak 2

U krijgt niet de vereiste aangepaste beveiligingskenmerkrol toegewezen om de API-aanroep te maken. Globale Beheer istrator- en andere beheerdersrollen hebben standaard geen machtigingen om aangepaste beveiligingskenmerken te lezen, te definiëren of toe te wijzen.

Oplossing 2

Zorg ervoor dat u de vereiste aangepaste beveiligingskenmerkrol hebt toegewezen. Zie Toegang tot aangepaste beveiligingskenmerken beheren in Microsoft Entra-id voor meer informatie.

Oorzaak 3

U probeert een toewijzing van een aangepast beveiligingskenmerk met één waarde te verwijderen door deze in te null stellen op de opdracht Update-MgUser of Update-MgServicePrincipal .

Oplossing 3

Gebruik in plaats daarvan de opdracht Invoke-MgGraphRequest . Zie Een toewijzing van een aangepast beveiligingskenmerk met één waarde verwijderen uit een gebruiker of Aangepaste toewijzing van beveiligingskenmerken verwijderen uit toepassingen voor meer informatie.

Symptoom - Request_UnsupportedQuery fout

Wanneer u Microsoft Graph API probeert aan te roepen voor aangepaste beveiligingskenmerken, ziet u een bericht dat er ongeveer als volgt uitziet:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

Oorzaak

De aanvraag is niet juist opgemaakt.

Oplossing

Voeg indien nodig de aanvraag of de header toe ConsistencyLevel=eventual . Mogelijk moet u ook de aanvraag opnemen $count=true om ervoor te zorgen dat de aanvraag correct wordt gerouteerd. Zie Voorbeelden: Toewijzingen van aangepaste beveiligingskenmerken toewijzen, bijwerken, weergeven of verwijderen met behulp van de Microsoft Graph API voor meer informatie.

Screenshot of Graph Explorer with ConsistencyLevel header added.

Volgende stappen