對 Microsoft Entra ID 中的自訂安全性屬性進行疑難排解
徵兆 - 新增屬性集已停用
登入 [Microsoft Entra 系統管理中心] 並嘗試選取 [自訂安全性屬性]>[新增屬性集] 選項時,它會被停用。
![[Microsoft Entra 系統管理中心] 中停用 [新增屬性集] 選項的螢幕擷取畫面。](media/custom-security-attributes-troubleshoot/attribute-set-add-disabled.png#lightbox)
原因
您沒有新增屬性集的權限。 若要新增屬性集和自訂安全性屬性,您必須獲指派屬性定義管理員角色。
重要
依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。
方案
請確定您已在租用戶範圍或屬性集範圍內獲指派屬性定義管理員角色。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權。
徵兆 - 嘗試指派自訂安全性屬性時發生錯誤
嘗試儲存自訂安全性屬性指派時,您收到下列訊息:
Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes
原因
您無權指派自訂安全性屬性。 若要指派自訂安全性屬性,您必須獲指派屬性指派管理員角色。
重要
依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。
方案
請確定您已在租用戶範圍或屬性集範圍內獲指派屬性指派管理員角色。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權。
徵兆 - 無法篩選使用者或應用程式的自訂安全性屬性
原因 1
您無權篩選自訂安全性屬性。 若要讀取和篩選使用者或企業應用程式的自訂安全性屬性,您必須獲指派屬性指派讀者或屬性指派管理員角色。
重要
依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。
解決方案 1
請確定您已在租用戶範圍或屬性集範圍內獲指派下列其中一項 Microsoft Entra 內建角色。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權。
原因 2
您已獲指派屬性指派讀者或屬性指派管理員角色,但尚未獲指派屬性集的存取權。
解決方案 2
您可以在租用戶範圍或屬性集範圍內委派自訂安全性屬性的管理。 請確定您已在租用戶範圍或屬性集範圍內獲指派屬性集的存取權。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權。
原因 3
沒有任何針對您租用戶定義和指派的自訂安全性屬性。
解決方案 3
新增自訂安全性屬性,並將其指派給使用者或企業應用程式。 如需詳細資訊,請參閱在 Microsoft Entra 中新增或停用自訂安全性屬性、指派、更新、列出或移除使用者的自訂安全性屬性,或指派、更新、列出或移除應用程式的自訂安全性屬性。
徵兆 - 無法刪除自訂安全性屬性
原因
您只能啟動和停用自訂安全性屬性定義。 不支援刪除自訂安全性屬性。 停用的定義不會計入整個租用戶的 500 定義限制。
方案
停用您不再需要的自訂安全性屬性。 如需詳細資訊,請參閱在 Microsoft Entra ID 中新增或停用自訂安全性屬性定義。
徵兆 - 無法在屬性集範圍內使用 PIM 新增角色指派
當您嘗試使用 Microsoft Entra Privileged Identity Management (PIM) 新增合格的 Microsoft Entra 角色指派時,無法將範圍設定為屬性集。
原因
PIM 目前不支援在屬性集範圍內新增合格的 Microsoft Entra 角色指派。
徵兆 - 權限不足,無法完成此作業
嘗試使用 Graph 總管來呼叫自訂安全性屬性的 Microsoft Graph API 時,您會看到類似下面的訊息:
Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.
或者,當您嘗試使用 PowerShell 命令時,您會看到類似下列內容的訊息:
Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied
原因 1
您正在使用 Graph 總管,但尚未同意進行 API 呼叫所需的自訂安全性屬性權限。
解決方案 1
開啟 [權限] 面板、選取適當的自訂安全性屬性權限,然後選取 [同意]。 在出現的 [要求的權限] 視窗中,檢閱要求的權限。
![此螢幕擷取畫面顯示 Graph 總管的 [權限] 面板,其中已選取 CustomSecAttributeDefinition。](media/custom-security-attributes-troubleshoot/graph-explorer-permissions-consent.png#lightbox)
原因 2
您未獲指派所需的自訂安全性屬性角色來進行 API 呼叫。
重要
依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。
解決方案 2
請確定您已獲指派所需的自訂安全性屬性角色。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權。
原因 3
您正在嘗試透過使用 Update-MgUser 或 Update-MgServicePrincipal 命令將單一值自訂安全性屬性指派設為 null 來移除它。
解決方案 3
請改用 Invoke-MgGraphRequest 命令。 如需詳細資訊,請參閱從使用者移除單一值自訂安全性屬性指派或從應用程式移除自訂安全性屬性指派。
徵兆 - Request_UnsupportedQuery 錯誤
當您嘗試呼叫 Microsoft Graph API 來取得自訂安全性屬性時,您會看到類似以下內容的訊息:
Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.
原因
要求的格式不正確。
方案
如有需要,請在要求或標頭中新增 ConsistencyLevel=eventual。 您可能也需要包含 $count=true 以確保要求已正確路由傳送。 如需詳細資訊,請參閱範例:使用 Microsoft Graph API 指派、更新、列出或移除自訂安全性屬性指派。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: