Partilhar via


Solucionar problemas de atributos de segurança personalizados no Microsoft Entra ID

Sintoma - Adicionar conjunto de atributos está desativado

Quando tem sessão iniciada no centro de administração do Microsoft Entra e tenta selecionar a opção Adicionar conjunto de atributos>de segurança personalizados, esta é desativada.

Captura de ecrã da opção Adicionar conjunto de atributos desativada no centro de administração do Microsoft Entra.

Motivo

Você não tem permissões para adicionar um conjunto de atributos. Para adicionar um conjunto de atributos e atributos de segurança personalizados, você deve receber a função de Administrador de Definição de Atributo.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Solução

Certifique-se de que lhe foi atribuída a função de Administrador de Definição de Atributo no âmbito do inquilino ou no âmbito do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Sintoma - Erro ao tentar atribuir um atributo de segurança personalizado

Quando tenta guardar uma atribuição de atributo de segurança personalizada, recebe a mensagem:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

Motivo

Você não tem permissões para atribuir atributos de segurança personalizados. Para atribuir atributos de segurança personalizados, você deve receber a função de Administrador de Atribuição de Atributos .

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Solução

Certifique-se de que lhe foi atribuída a função de Administrador de Atribuição de Atributos no âmbito do inquilino ou do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Sintoma - Não é possível filtrar atributos de segurança personalizados para usuários ou aplicativos

Causa 1

Você não tem permissões para filtrar atributos de segurança personalizados. Para ler e filtrar atributos de segurança personalizados para usuários ou aplicativos corporativos, você deve receber a função Leitor de Atribuição de Atributos ou Administrador de Atribuição de Atributos.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Solução 1

Certifique-se de que lhe foi atribuída uma das seguintes funções internas do Microsoft Entra no âmbito do inquilino ou do âmbito do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Causa 2

Você recebe a função de Leitor de Atribuição de Atributos ou Administrador de Atribuição de Atributos, mas não lhe foi atribuído acesso a um conjunto de atributos.

Solução 2

Você pode delegar o gerenciamento de atributos de segurança personalizados no escopo do locatário ou no escopo do conjunto de atributos. Verifique se você recebeu acesso a um atributo definido no escopo do locatário ou no escopo do conjunto de atributos. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Causa 3

Ainda não há atributos de segurança personalizados definidos e atribuídos para seu locatário.

Solução 3

Adicione e atribua atributos de segurança personalizados a usuários ou aplicativos corporativos. Para obter mais informações, consulte Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID, Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um usuário ou Atribuir, atualizar, listar ou remover atributos de segurança personalizados para um aplicativo.

Sintoma - Os atributos de segurança personalizados não podem ser excluídos

Motivo

Você só pode ativar e desativar definições de atributos de segurança personalizados. Não há suporte para a exclusão de atributos de segurança personalizados. As definições desativadas não contam para o limite de definição de 500 em todo o locatário.

Solução

Desative os atributos de segurança personalizados de que não precisa mais. Para obter mais informações, consulte Adicionar ou desativar definições de atributos de segurança personalizados no Microsoft Entra ID.

Sintoma - Não é possível adicionar uma atribuição de função em um escopo de conjunto de atributos usando o PIM

Quando você tenta adicionar uma atribuição de função qualificada do Microsoft Entra usando o Microsoft Entra Privileged Identity Management (PIM), você não pode definir o escopo para um conjunto de atributos.

Motivo

Atualmente, o PIM não oferece suporte à adição de uma atribuição de função qualificada do Microsoft Entra em um escopo de conjunto de atributos.

Sintoma - Privilégios insuficientes para concluir a operação

Quando você tenta usar o Graph Explorer para chamar a API do Microsoft Graph para atributos de segurança personalizados, você vê uma mensagem semelhante à seguinte:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Captura de ecrã do Graph Explorer a apresentar uma mensagem de erro de privilégios insuficientes.

Ou quando você tenta usar um comando do PowerShell, você vê uma mensagem semelhante à seguinte:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

Causa 1

Você está usando o Graph Explorer e não consentiu com as permissões de atributo de segurança personalizado necessárias para fazer a chamada de API.

Solução 1

Abra o painel Permissões, selecione a permissão de atributo de segurança personalizada apropriada e selecione Consentimento. Na janela Permissões solicitadas exibida, revise as permissões solicitadas.

Captura de ecrã do painel Permissões do Graph Explorer com CustomSecAttributeDefinition selecionado.

Causa 2

Você não recebe a função de atributo de segurança personalizada necessária para fazer a chamada de API.

Importante

Por padrão, o Administrador Global e outras funções de administrador não têm permissões para ler, definir ou atribuir atributos de segurança personalizados.

Solução 2

Certifique-se de que lhe foi atribuída a função de atributo de segurança personalizada necessária. Para obter mais informações, consulte Gerenciar o acesso a atributos de segurança personalizados no Microsoft Entra ID.

Causa 3

Você está tentando remover uma atribuição de atributo de segurança personalizada de valor único definindo-a para usar o comando Update-MgUser ou Update-MgServicePrincipal.null

Solução 3

Em vez disso, use o comando Invoke-MgGraphRequest . Para obter mais informações, consulte Remover uma atribuição de atributo de segurança personalizada de valor único de um usuário ou Remover atribuições de atributo de segurança personalizado de aplicativos.

Sintoma - erro Request_UnsupportedQuery

Quando você tenta chamar a API do Microsoft Graph para atributos de segurança personalizados, você vê uma mensagem semelhante à seguinte:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

Motivo

A solicitação não está formatada corretamente.

Solução

Se necessário, adicione ConsistencyLevel=eventual a solicitação ou o cabeçalho. Também pode ser necessário incluir $count=true para garantir que a solicitação seja roteada corretamente. Para obter mais informações, consulte Exemplos: atribuir, atualizar, listar ou remover atribuições de atributos de segurança personalizados usando a API do Microsoft Graph.

Captura de ecrã do Graph Explorer com o cabeçalho ConsistencyLevel adicionado.

Próximos passos