Solucionar problemas de atributos de segurança personalizados no Microsoft Entra ID
Sintoma - Adicionar conjunto de atributos está desativado
Quando tem sessão iniciada no centro de administração do Microsoft Entra e tenta selecionar a opção Adicionar conjunto de atributos>de segurança personalizados, esta é desativada.
Motivo
Você não tem permissões para adicionar um conjunto de atributos. Para adicionar um conjunto de atributos e atributos de segurança personalizados, você deve receber a função de Administrador de Definição de Atributo. Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Solução
Certifique-se de que lhe foi atribuída a função de Administrador de Definição de Atributo no âmbito do inquilino ou no âmbito do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Sintoma - Erro ao tentar atribuir um atributo de segurança personalizado
Quando tenta guardar uma atribuição de atributo de segurança personalizada, recebe a mensagem:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Motivo
Você não tem permissões para atribuir atributos de segurança personalizados. Para atribuir atributos de segurança personalizados, você deve receber a função de Administrador de Atribuição de Atributos . Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Solução
Certifique-se de que lhe foi atribuída a função de Administrador de Atribuição de Atributos no âmbito do inquilino ou do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Sintoma - Não é possível filtrar atributos de segurança personalizados para usuários ou aplicativos
Causa 1
Você não tem permissões para filtrar atributos de segurança personalizados. Para ler e filtrar atributos de segurança personalizados para usuários ou aplicativos corporativos, você deve receber a função Leitor de Atribuição de Atributos ou Administrador de Atribuição de Atributos. Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Solução 1
Certifique-se de que lhe foi atribuída uma das seguintes funções internas do Microsoft Entra no âmbito do inquilino ou do âmbito do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Causa 2
Você recebe a função de Leitor de Atribuição de Atributos ou Administrador de Atribuição de Atributos, mas não lhe foi atribuído acesso a um conjunto de atributos.
Solução 2
Você pode delegar o gerenciamento de atributos de segurança personalizados no escopo do locatário ou no escopo do conjunto de atributos. Verifique se você recebeu acesso a um atributo definido no escopo do locatário ou no escopo do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Causa 3
Ainda não há atributos de segurança personalizados definidos e atribuídos para seu locatário.
Solução 3
Adicione e atribua atributos de segurança personalizados a usuários ou aplicativos corporativos. Para obter mais informações, consulte Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID, Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um usuário ou Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um aplicativo.
Sintoma - Os atributos de segurança personalizados não podem ser excluídos
Motivo
Você só pode ativar e desativar definições de atributos de segurança personalizados. Não há suporte para a exclusão de atributos de segurança personalizados. As definições desativadas não contam para o limite de definição de 500 em todo o locatário.
Solução
Desative os atributos de segurança personalizados de que não precisa mais. Para obter mais informações, consulte Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID.
Sintoma - Não é possível adicionar uma atribuição de função em um escopo de conjunto de atributos usando o PIM
Quando você tenta adicionar uma atribuição de função qualificada do Microsoft Entra usando o Microsoft Entra Privileged Identity Management (PIM), você não pode definir o escopo para um conjunto de atributos.
Motivo
Atualmente, o PIM não oferece suporte à adição de uma atribuição de função qualificada do Microsoft Entra em um escopo de conjunto de atributos.
Sintoma - Privilégios insuficientes para concluir a operação
Quando você tenta usar o Graph Explorer para chamar a API do Microsoft Graph para atributos de segurança personalizados, você vê uma mensagem semelhante à seguinte:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Ou quando você tenta usar um comando do PowerShell, você vê uma mensagem semelhante à seguinte:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Causa 1
Você está usando o Graph Explorer e não consentiu com as permissões de atributo de segurança personalizado necessárias para fazer a chamada de API.
Solução 1
Abra o painel Permissões, selecione a permissão de atributo de segurança personalizada apropriada e selecione Consentimento. Na janela Permissões solicitadas exibida, revise as permissões solicitadas.
Causa 2
Você não recebe a função de atributo de segurança personalizada necessária para fazer a chamada de API. Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.
Solução 2
Certifique-se de que lhe foi atribuída a função de atributo de segurança personalizada necessária. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.
Causa 3
Você está tentando remover uma atribuição de atributo de segurança personalizada de valor único definindo-a para usar o comando Update-MgUser ou Update-MgServicePrincipal.null
Solução 3
Em vez disso, use o comando Invoke-MgGraphRequest . Para obter mais informações, consulte Remover uma atribuição de atributo de segurança personalizada de valor único de um usuário ou Remover atribuições de atributo de segurança personalizado de aplicativos.
Sintoma - erro Request_UnsupportedQuery
Quando você tenta chamar a API do Microsoft Graph para atributos de segurança personalizados, você vê uma mensagem semelhante à seguinte:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Motivo
A solicitação não está formatada corretamente.
Solução
Se necessário, adicione ConsistencyLevel=eventual a solicitação ou o cabeçalho. Também pode ser necessário incluir $count=true para garantir que a solicitação seja roteada corretamente. Para obter mais informações, consulte Exemplos: atribuir, atualizar, listar ou remover atribuições de atributos de segurança personalizados usando a API do Microsoft Graph.
