Udostępnij za pośrednictwem


Rozwiązywanie problemów z niestandardowymi atrybutami zabezpieczeń w identyfikatorze Entra firmy Microsoft

Objaw — dodawanie zestawu atrybutów jest wyłączone

Po zalogowaniu się do centrum administracyjnego firmy Microsoft Entra i spróbujesz wybrać opcję Niestandardowe atrybuty zabezpieczeń Dodaj zestaw atrybutów>, jest ona wyłączona.

Zrzut ekranu przedstawiający wyłączoną opcję Dodaj zestaw atrybutów w centrum administracyjnym firmy Microsoft Entra.

Przyczyna

Nie masz uprawnień do dodawania zestawu atrybutów. Aby dodać zestaw atrybutów i niestandardowe atrybuty zabezpieczeń, musisz mieć przypisaną rolę Administrator definicji atrybutów.

Ważne

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Rozwiązanie

Upewnij się, że masz przypisaną rolę Administrator definicji atrybutów w zakresie dzierżawy lub w zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Objaw — błąd podczas próby przypisania niestandardowego atrybutu zabezpieczeń

Podczas próby zapisania niestandardowego przypisania atrybutu zabezpieczeń zostanie wyświetlony komunikat:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

Przyczyna

Nie masz uprawnień do przypisywania niestandardowych atrybutów zabezpieczeń. Aby przypisać niestandardowe atrybuty zabezpieczeń, musisz mieć przypisaną rolę Administrator przypisania atrybutów.

Ważne

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Rozwiązanie

Upewnij się, że masz przypisaną rolę Administrator przypisań atrybutów w zakresie dzierżawy lub w zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Objaw — nie można filtrować niestandardowych atrybutów zabezpieczeń dla użytkowników lub aplikacji

Przyczyna 1

Nie masz uprawnień do filtrowania niestandardowych atrybutów zabezpieczeń. Aby odczytywać i filtrować niestandardowe atrybuty zabezpieczeń dla użytkowników lub aplikacji dla przedsiębiorstw, musisz mieć przypisaną rolę Czytelnik przypisań atrybutów lub Administrator przypisania atrybutów.

Ważne

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Rozwiązanie 1

Upewnij się, że masz przypisaną jedną z następujących wbudowanych ról firmy Microsoft Entra w zakresie dzierżawy lub zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Przyczyna 2

Przypisano rolę Czytelnik przypisań atrybutów lub Administrator przypisań atrybutów, ale nie przypisano ci dostępu do zestawu atrybutów.

Rozwiązanie 2

Zarządzanie niestandardowymi atrybutami zabezpieczeń można delegować w zakresie dzierżawy lub w zakresie zestawu atrybutów. Upewnij się, że masz przypisany dostęp do atrybutu ustawionego w zakresie dzierżawy lub w zakresie zestawu atrybutów. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Przyczyna 3

Nie zdefiniowano jeszcze atrybutów zabezpieczeń niestandardowych i przypisanych do dzierżawy.

Rozwiązanie 3

Dodawanie i przypisywanie niestandardowych atrybutów zabezpieczeń do użytkowników lub aplikacji dla przedsiębiorstw. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w usłudze Microsoft Entra ID, Przypisywanie, aktualizowanie, aktualizowanie, aktualizowanie i usuwanie niestandardowych atrybutów zabezpieczeń dla aplikacji.

Objaw — nie można usunąć niestandardowych atrybutów zabezpieczeń

Przyczyna

Można aktywować i dezaktywować tylko niestandardowe definicje atrybutów zabezpieczeń. Usunięcie niestandardowych atrybutów zabezpieczeń nie jest obsługiwane. Zdezaktywowane definicje nie są liczone do limitu definicji całej dzierżawy 500.

Rozwiązanie

Dezaktywuj niestandardowe atrybuty zabezpieczeń, których już nie potrzebujesz. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Objaw — nie można dodać przypisania roli w zakresie zestawu atrybutów przy użyciu usługi PIM

Podczas próby dodania kwalifikującego się przypisania roli Microsoft Entra przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM) nie można ustawić zakresu na zestaw atrybutów.

Przyczyna

Usługa PIM obecnie nie obsługuje dodawania kwalifikującego się przypisania roli Entra firmy Microsoft w zakresie zestawu atrybutów.

Objaw — niewystarczające uprawnienia do ukończenia operacji

Podczas próby wywołania interfejsu API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń przy użyciu Eksploratora programu Graph zostanie wyświetlony komunikat podobny do następującego:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Zrzut ekranu przedstawiający Eksploratora programu Graph z komunikatem o błędzie niewystarczające uprawnienia.

Lub podczas próby użycia polecenia programu PowerShell zostanie wyświetlony komunikat podobny do następującego:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

Przyczyna 1

Używasz Eksploratora programu Graph i nie wyraziłeś zgody na wymagane uprawnienia atrybutu zabezpieczeń niestandardowego do wywołania interfejsu API.

Rozwiązanie 1

Otwórz panel Uprawnienia, wybierz odpowiednie uprawnienia niestandardowego atrybutu zabezpieczeń, a następnie wybierz pozycję Zgoda. W wyświetlonym oknie Uprawnienia, którego dotyczy żądanie, przejrzyj żądane uprawnienia.

Zrzut ekranu przedstawiający panel Uprawnienia Eksploratora programu Graph z wybraną pozycją CustomSecAttributeDefinition.

Przyczyna 2

Do wywołania interfejsu API nie przypisano wymaganej niestandardowej roli atrybutu zabezpieczeń.

Ważne

Domyślnie administrator globalny i inne role administratora nie mają uprawnień do odczytu, definiowania ani przypisywania niestandardowych atrybutów zabezpieczeń.

Rozwiązanie 2

Upewnij się, że masz przypisaną wymaganą niestandardową rolę atrybutu zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do niestandardowych atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.

Przyczyna 3

Próbujesz usunąć jednowarte niestandardowe przypisanie atrybutu zabezpieczeń, ustawiając go na null wartość przy użyciu polecenia Update-MgUser lub Update-MgServicePrincipal .

Rozwiązanie 3

Zamiast tego użyj polecenia Invoke-MgGraphRequest. Aby uzyskać więcej informacji, zobacz Usuwanie przypisania atrybutu zabezpieczeń o pojedynczej wartości z użytkownika lub Usuwanie niestandardowych przypisań atrybutów zabezpieczeń z aplikacji.

Objaw — błąd Request_UnsupportedQuery

Podczas próby wywołania interfejsu API programu Microsoft Graph dla niestandardowych atrybutów zabezpieczeń zostanie wyświetlony komunikat podobny do następującego:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

Przyczyna

Żądanie nie jest poprawnie sformatowane.

Rozwiązanie

W razie potrzeby dodaj ConsistencyLevel=eventual żądanie lub nagłówek. Może być również konieczne dołączenie $count=true żądania, aby upewnić się, że żądanie jest prawidłowo kierowane. Aby uzyskać więcej informacji, zobacz Przykłady: przypisywanie, aktualizowanie, wyświetlanie listy lub usuwanie niestandardowych przypisań atrybutów zabezpieczeń przy użyciu interfejsu API programu Microsoft Graph.

Zrzut ekranu przedstawiający Eksploratora programu Graph z dodanym nagłówkiem ConsistencyLevel.

Następne kroki