針對 Microsoft Entra 識別碼中的自訂安全性屬性進行疑難解答

  • 文章

徵兆 - 已停用新增屬性集

登入 Microsoft Entra 系統管理中心時,您嘗試選取 [自訂安全性屬性新增屬性>集] 選項,則會停用。

Screenshot of Add attribute set option disabled in Microsoft Entra admin center.

原因

您沒有新增屬性集的許可權。 若要新增屬性集和自定義安全性屬性,您必須指派屬性定義 管理員 istrator 角色。 根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。

方案

請確定您已在租用戶範圍或屬性集範圍指派屬性定義 管理員 istrator 角色。 如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

徵兆 - 嘗試指派自定義安全性屬性時發生錯誤

當您試著儲存自訂安全性屬性指派時,會收到下列訊息:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

原因

您沒有指定自訂安全性屬性的許可權。 若要指派自定義安全性屬性,您必須指派屬性指派 管理員 istrator 角色。 根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。

方案

請確定您已在租用戶範圍或屬性集範圍上指派屬性指派 管理員 istrator 角色。 如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

徵兆 - 無法篩選使用者或應用程式的自定義安全性屬性

原因 1

您沒有篩選自訂安全性屬性的許可權。 若要讀取和篩選使用者或企業應用程式的自定義安全性屬性,您必須獲指派屬性指派讀取器屬性指派 管理員 istrator 角色。 根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。

解決方案 1

請確定您已在租用戶範圍或屬性集範圍指派下列其中一個 Microsoft Entra 內建角色。 如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

原因 2

您已獲指派屬性指派讀取器或屬性指派 管理員 istrator 角色,但尚未獲指派屬性集的存取權。

解決方案 2

您可以在租使用者範圍或屬性集範圍委派自定義安全性屬性的管理。 請確定您已獲指派存取權給租用戶範圍或屬性集範圍的屬性集。 如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

原因 3

尚未為您的租用戶定義和指派自定義安全性屬性。

解決方案3

將自訂安全性屬性新增並指派給用戶或企業應用程式。 如需詳細資訊,請參閱 在 Microsoft Entra IDAssign、update、list 或 remove 自定義安全性屬性中新增或停用自定義安全性屬性定義,或 指派、更新、列出或移除應用程式的自定義安全性屬性。

徵兆 - 無法刪除自訂安全性屬性

原因

您只能啟用和停用自訂安全性屬性定義。 不支援刪除自定義安全性屬性。 停用的定義不會計入整個租使用者 500 定義限制。

方案

停用您不再需要的自定義安全性屬性。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中新增或停用自定義安全性屬性定義。

徵兆 - 無法使用 PIM 在屬性集範圍新增角色指派

當您嘗試使用 Microsoft Entra Privileged Identity Management (PIM) 新增合格的 Microsoft Entra 角色指派時,您無法將範圍設定為屬性集。

原因

PIM 目前不支援在屬性集範圍新增合格的 Microsoft Entra 角色指派。

徵兆 - 許可權不足,無法完成作業

當您嘗試使用 Graph 總 管呼叫 Microsoft Graph API 進行自定義安全性屬性時,您會看到類似下列的訊息:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Screenshot of Graph Explorer displaying an insufficient privileges error message.

或者,當您嘗試使用 PowerShell 命令時,您會看到類似下列的訊息:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

原因 1

您使用 Graph 總管,但尚未同意必要的自定義安全性屬性許可權,才能進行 API 呼叫。

解決方案 1

開啟 [許可權] 面板,選取適當的自定義安全性屬性許可權,然後選取 [ 同意]。 在出現的 [要求的許可權] 視窗中,檢閱要求的許可權。

Screenshot of Graph Explorer Permissions panel with CustomSecAttributeDefinition selected.

原因 2

您未獲指派必要的自定義安全性屬性角色來呼叫 API。 根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。

解決方案 2

請確定您已獲指派必要的自定義安全性屬性角色。 如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

原因 3

您嘗試使用 Update-MgUser 或 Update-MgServicePrincipal 命令來null移除單一值自定義安全性屬性指派。

解決方案3

請改用 Invoke-MgGraphRequest 命令。 如需詳細資訊,請參閱 從使用者 移除單一值自定義安全性屬性指派,或 從應用程式移除自定義安全性屬性指派。

徵兆 - Request_UnsupportedQuery錯誤

當您嘗試呼叫 Microsoft Graph API 進行自定義安全性屬性時,您會看到類似下列的訊息:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

原因

要求的格式不正確。

方案

如有需要,請在要求或標頭中新增 ConsistencyLevel=eventual 。 您可能也需要包含 $count=true ,以確保要求已正確路由傳送。 如需詳細資訊,請參閱 範例:使用 Microsoft Graph API 指派、更新、列出或移除自定義安全性屬性指派。

Screenshot of Graph Explorer with ConsistencyLevel header added.

下一步