Felsöka anpassade säkerhetsattribut i Microsoft Entra-ID

  • Artikel

Symptom – Lägg till attributuppsättning är inaktiverat

När du är inloggad på administrationscentret för Microsoft Entra och du försöker välja alternativet Anpassade säkerhetsattribut>Lägg till attributuppsättning är det inaktiverat.

Screenshot of Add attribute set option disabled in Microsoft Entra admin center.

Orsak

Du har inte behörighet att lägga till en attributuppsättning. Om du vill lägga till en attributuppsättning och anpassade säkerhetsattribut måste du tilldelas rollen Administratör för attributdefinition. Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Lösning

Kontrollera att du har tilldelats rollen Attributdefinitionsadministratör i antingen klientomfånget eller attributuppsättningsomfånget. Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Symptom – Fel när du försöker tilldela ett anpassat säkerhetsattribut

När du försöker spara en anpassad tilldelning av säkerhetsattribut får du meddelandet:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

Orsak

Du har inte behörighet att tilldela anpassade säkerhetsattribut. Om du vill tilldela anpassade säkerhetsattribut måste du tilldelas rollen Administratör för attributtilldelning. Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Lösning

Kontrollera att du har tilldelats rollen Administratör för attributtilldelning i omfånget för klientorganisationen eller attributuppsättningen. Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Symptom – Det går inte att filtrera anpassade säkerhetsattribut för användare eller program

Orsak 1

Du har inte behörighet att filtrera anpassade säkerhetsattribut. Om du vill läsa och filtrera anpassade säkerhetsattribut för användare eller företagsprogram måste du tilldelas rollen Attributtilldelningsläsare eller Attributtilldelningsadministratör. Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Lösning 1

Kontrollera att du har tilldelats någon av följande inbyggda Microsoft Entra-roller i antingen klientomfånget eller attributuppsättningsomfånget. Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Orsak 2

Du har tilldelats rollen Attributtilldelningsläsare eller Attributtilldelningsadministratör, men du har inte tilldelats åtkomst till en attributuppsättning.

Lösning 2

Du kan delegera hanteringen av anpassade säkerhetsattribut i klientomfånget eller i attributuppsättningsomfånget. Kontrollera att du har tilldelats åtkomst till en attributuppsättning i klientomfånget eller attributuppsättningsomfånget. Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Orsak 3

Det finns ännu inga anpassade säkerhetsattribut som har definierats och tilldelats för din klientorganisation.

Lösning 3

Lägg till och tilldela anpassade säkerhetsattribut till användare eller företagsprogram. Mer information finns i Lägga till eller inaktivera anpassade säkerhetsattributdefinitioner i Microsoft Entra-ID, Tilldela, uppdatera, lista eller ta bort anpassade säkerhetsattribut för en användare, eller Tilldela, uppdatera, lista eller ta bort anpassade säkerhetsattribut för ett program.

Symptom – Anpassade säkerhetsattribut kan inte tas bort

Orsak

Du kan bara aktivera och inaktivera anpassade definitioner av säkerhetsattribut. Borttagning av anpassade säkerhetsattribut stöds inte. Inaktiverade definitioner räknas inte mot klientorganisationens breda definitionsgräns på 500.

Lösning

Inaktivera de anpassade säkerhetsattribut som du inte längre behöver. Mer information finns i Lägga till eller inaktivera anpassade definitioner av säkerhetsattribut i Microsoft Entra-ID.

Symptom – Det går inte att lägga till en rolltilldelning i ett attributuppsättningsomfång med hjälp av PIM

När du försöker lägga till en berättigad Microsoft Entra-rolltilldelning med Microsoft Entra Privileged Identity Management (PIM) kan du inte ange omfånget till en attributuppsättning.

Orsak

PIM stöder för närvarande inte att lägga till en berättigad Microsoft Entra-rolltilldelning i ett attributuppsättningsomfång.

Symptom – Otillräcklig behörighet för att slutföra åtgärden

När du försöker använda Graph Explorer för att anropa Microsoft Graph API för anpassade säkerhetsattribut visas ett meddelande som liknar följande:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Screenshot of Graph Explorer displaying an insufficient privileges error message.

Eller när du försöker använda ett PowerShell-kommando visas ett meddelande som liknar följande:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

Orsak 1

Du använder Graph Explorer och du har inte samtyckt till de behörigheter som krävs för anpassade säkerhetsattribut för att göra API-anropet.

Lösning 1

Öppna panelen Behörigheter, välj lämplig behörighet för anpassade säkerhetsattribut och välj Medgivande. Granska de begärda behörigheterna i fönstret Behörigheter som begärs.

Screenshot of Graph Explorer Permissions panel with CustomSecAttributeDefinition selected.

Orsak 2

Du har inte tilldelats den nödvändiga rollen för anpassade säkerhetsattribut för att göra API-anropet. Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Lösning 2

Kontrollera att du har tilldelats den nödvändiga rollen för anpassade säkerhetsattribut. Mer information finns i Hantera åtkomst till anpassade säkerhetsattribut i Microsoft Entra-ID.

Orsak 3

Du försöker ta bort en anpassad säkerhetsattributtilldelning med en enda värde genom att ange den till null med kommandot Update-MgUser eller Update-MgServicePrincipal .

Lösning 3

Använd kommandot Invoke-MgGraphRequest i stället. Mer information finns i Ta bort en tilldelning av anpassade säkerhetsattribut med en enda värde från en användare eller Ta bort tilldelningar av anpassade säkerhetsattribut från program.

Symptom – Request_UnsupportedQuery fel

När du försöker anropa Microsoft Graph API för anpassade säkerhetsattribut visas ett meddelande som liknar följande:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

Orsak

Begäran är inte korrekt formaterad.

Lösning

Om det behövs lägger du till ConsistencyLevel=eventual i begäran eller huvudet. Du kan också behöva inkludera $count=true för att säkerställa att begäran dirigeras korrekt. Mer information finns i Exempel: Tilldela, uppdatera, lista eller ta bort anpassade tilldelningar av säkerhetsattribut med hjälp av Microsoft Graph API.

Screenshot of Graph Explorer with ConsistencyLevel header added.

Nästa steg