Устранение неполадок настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
Симптом: возможность добавления набора атрибутов отключена
Причина
У вас нет разрешений на добавление набора атрибутов. Чтобы иметь возможность добавлять наборы атрибутов и настраиваемые атрибуты безопасности, необходимо иметь роль администратора определения атрибутов.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение
Убедитесь, что вы назначаете роль определения атрибутов Администратор istrator в клиенте область или наборе атрибутов область. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Симптом: ошибка при попытке назначить настраиваемый атрибут безопасности
При попытке сохранить назначение настраиваемого атрибута безопасности вы получаете следующее сообщение:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
Причина
У вас нет разрешений на назначение настраиваемых атрибутов безопасности. Чтобы иметь возможность назначать настраиваемые атрибуты безопасности, необходимо иметь роль администратора назначения атрибутов.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение
Убедитесь, что вы назначаете роль назначения атрибутов Администратор istrator в клиенте область или наборе атрибутов область. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Симптом: не удается отфильтровать настраиваемые атрибуты безопасности для пользователей или приложений
Причина 1
У вас нет разрешений на фильтрацию настраиваемых атрибутов безопасности. Чтобы иметь возможность читать и фильтровать настраиваемые атрибуты безопасности для пользователей и корпоративных приложений, необходимо иметь роль читателя назначения атрибутов или администратора назначения атрибутов.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение 1
Убедитесь, что вы назначаете одну из следующих встроенных ролей Microsoft Entra в клиенте область или наборе атрибутов область. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Причина 2
Вы назначаете роль читателя назначения атрибутов или назначение атрибутов Администратор istrator, но вы не получили доступа к набору атрибутов.
Решение 2
Вы можете делегировать управление настраиваемыми атрибутами безопасности в области клиента или области набора атрибутов. Убедитесь, что у вас есть доступ к набору атрибутов в области клиента или области набора атрибутов. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Причина 3
Для вашего клиента не определены и не назначены настраиваемые атрибуты безопасности.
Решение 3
Добавьте настраиваемые атрибуты безопасности и назначьте их пользователям или корпоративным приложениям. Дополнительные сведения см. в разделе "Добавление или отключение определений настраиваемых атрибутов безопасности" в идентификаторе Microsoft Entra ID, назначении, обновлении, списке или удалении настраиваемых атрибутов безопасности для пользователя или "Назначение", "Обновление", "Список" или "Удаление настраиваемых атрибутов безопасности" для приложения.
Симптом: невозможно удалить настраиваемые атрибуты безопасности
Причина
Вы можете активировать и деактивировать определения настраиваемых атрибутов безопасности. Удаление настраиваемых атрибутов безопасности не поддерживается. Деактивированные определения не учитываются в пределах 500 определений клиента.
Решение
Деактивируйте настраиваемые атрибуты безопасности, которые вам больше не нужны. Дополнительные сведения см. в разделе "Добавление или отключение определений настраиваемых атрибутов безопасности" в идентификаторе Microsoft Entra.
Симптом: не удается добавить назначение роли в области набора атрибутов с помощью PIM
При попытке добавить соответствующее назначение ролей Microsoft Entra с помощью Microsoft Entra управление привилегированными пользователями (PIM) невозможно задать для набора атрибутов область.
Причина
PIM в настоящее время не поддерживает добавление подходящего назначения роли Microsoft Entra в наборе атрибутов область.
Симптом. Недостаточно привилегий для завершения операции
При попытке использовать Graph Обозреватель для вызова API Microsoft Graph для пользовательских атрибутов безопасности вы увидите следующее сообщение:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
Или при попытке использовать команду PowerShell вы увидите следующее сообщение:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
Причина 1
Вы используете graph Обозреватель, и вы не предоставили необходимые разрешения пользовательского атрибута безопасности для вызова API.
Решение 1
Откройте панель разрешений, выберите соответствующее разрешение пользовательского атрибута безопасности и выберите "Согласие". В открывшемся окне "Запрошенные разрешения" проверьте запрошенные разрешения.
Причина 2
Для вызова API не назначена требуемая настраиваемая роль атрибута безопасности.
Внимание
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.
Решение 2
Убедитесь, что вам назначена необходимая настраиваемая роль атрибута безопасности. Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Причина 3
Вы пытаетесь удалить однозначное назначение настраиваемого атрибута безопасности, задав его для null использования команды Update-MgUser или Update-MgServicePrincipal .
Решение 3
Используйте вместо этого команду Invoke-MgGraphRequest. Дополнительные сведения см. в разделе "Удаление однозначного назначения настраиваемых атрибутов безопасности" от пользователя или удаления назначений настраиваемых атрибутов безопасности из приложений.
Симптом — ошибка Request_UnsupportedQuery
При попытке вызвать API Microsoft Graph для пользовательских атрибутов безопасности вы увидите следующее сообщение:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
Причина
Запрос не отформатирован правильно.
Решение
При необходимости добавьте ConsistencyLevel=eventual в запрос или заголовок. Возможно, вам также потребуется включить $count=true , чтобы убедиться, что запрос направляется правильно. Дополнительные сведения см. в примерах : назначение, обновление, перечисление или удаление настраиваемых назначений атрибутов безопасности с помощью API Microsoft Graph.
