Problembehandlung für benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID

Symptom: „Attributsatz hinzufügen“ ist deaktiviert

Wenn Sie sich beim Microsoft Entra Admin Center angemeldet haben und versuchen, die Option Benutzerdefinierte Sicherheitsattribute>Attributsatz hinzufügen auszuwählen, ist sie deaktiviert.

Screenshot der Option „Attributsatz hinzufügen“ im Microsoft Entra Admin Center deaktiviert.

Ursache

Sie haben keine Berechtigungen zum Hinzufügen eines Attributsatzes. Um einen Attributsatz und benutzerdefinierte Sicherheitsattribute hinzufügen zu können, muss Ihnen die Rolle Administrator für Attributdefinitionen zugewiesen sein.

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Lösung

Stellen Sie sicher, dass Ihnen entweder im Mandantenbereich oder im Attributsatzbereich die Rolle Administrator für Attributdefinitionen zugewiesen ist. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Symptom: Fehler beim Zuweisen eines benutzerdefinierten Sicherheitsattributs

Wenn Sie versuchen, die Zuweisung eines benutzerdefinierten Sicherheitsattributs zu speichern, erhalten Sie die folgende Meldung:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

Ursache

Sie sind nicht berechtigt, benutzerdefinierte Sicherheitsattribute zuzuweisen. Um benutzerdefinierte Sicherheitsattribute zuweisen zu können, muss Ihnen die Rolle Administrator für Attributzuweisungen zugewiesen sein.

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Lösung

Stellen Sie sicher, dass Ihnen entweder im Mandantenbereich oder im Attributsatzbereich die Rolle Administrator für Attributzuweisungen zugewiesen ist. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Symptom: Benutzerdefinierte Sicherheitsattribute für Benutzer oder Anwendungen können nicht gefiltert werden

Ursache 1

Sie sind nicht berechtigt, benutzerdefinierte Sicherheitsattribute zu filtern. Um benutzerdefinierte Sicherheitsattribute für Benutzer oder Unternehmensanwendungen lesen und filtern zu können, muss Ihnen entweder die Rolle Leser von Attributzuweisungen oder Administrator für Attributzuweisungen zugewiesen sein.

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Lösung 1

Stellen Sie sicher, dass Ihnen entweder im Mandantenbereich oder im Attributsatzbereich eine der folgenden integrierten Microsoft Entra-Rollen zugewiesen ist. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Ursache 2

Ihnen ist zwar die Rolle „Leser von Attributzuweisungen“ oder „Administrator für Attributzuweisungen“ zugewiesen, jedoch wurde ihnen kein Zugriff auf einen Attributsatz zugewiesen.

Lösung 2

Sie können die Verwaltung benutzerdefinierter Sicherheitsattribute im Mandantenbereich oder im Attributsatzbereich delegieren. Stellen Sie sicher, dass Ihnen entweder im Mandantenbereich oder im Attributsatzbereich der Zugriff auf einen Attributsatz zugewiesen wurde. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Ursache 3

Für Ihren Mandanten wurden noch keine benutzerdefinierten Sicherheitsattribute definiert und zugewiesen.

Lösung 3

Fügen Sie Benutzern oder Unternehmensanwendungen benutzerdefinierte Sicherheitsattribute hinzu, und weisen Sie diese entsprechend zu. Weitere Informationen finden Sie unter Hinzufügen oder Deaktivieren von Definitionen benutzerdefinierter Sicherheitsattribute in Microsoft Entra ID, unter Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen für Benutzer*innen oder unter Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen für eine Anwendung.

Symptom: Benutzerdefinierte Sicherheitsattribute können nicht gelöscht werden

Ursache

Sie können Definitionen von benutzerdefinierten Sicherheitsattributen nur aktivieren und deaktivieren. Das Löschen benutzerdefinierter Sicherheitsattribute wird nicht unterstützt. Deaktivierte Definitionen werden nicht auf den mandantenweiten Grenzwert von 500 Definitionen angerechnet.

Lösung

Das Deaktivieren benutzerdefinierter Sicherheitsattribute ist nicht mehr erforderlich. Weitere Informationen finden Sie unter Hinzufügen oder Deaktivieren von Definitionen benutzerdefinierter Sicherheitsattribute in Microsoft Entra ID.

Symptom: Mit PIM kann in einem Attributsatzbereich keine Rollenzuweisung hinzugefügt werden

Wenn Sie versuchen, eine berechtigte Microsoft Entra-Rollenzuweisung mit Microsoft Entra Privileged Identity Management (PIM) hinzuzufügen, können Sie den Bereich nicht auf einen Attributsatz festlegen.

Ursache

PIM unterstützt in einem Attributsatzbereich derzeit nicht das Hinzufügen einer berechtigten Microsoft Entra-Rollenzuweisung.

Symptom: Nicht genügend Berechtigungen zum Abschließen des Vorgangs

Wenn Sie versuchen, Graph Explorer zum Aufrufen von Microsoft Graph-API für benutzerdefinierte Sicherheitsattribute zu verwenden, wird eine Meldung ähnlich der folgenden angezeigt:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Screenshot: Graph-Explorer mit einer Fehlermeldung mit unzureichenden Berechtigungen.

Oder wenn Sie versuchen, einen PowerShell-Befehl auszuführen, wird eine Fehlermeldung mit etwa folgendem Wortlaut angezeigt:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

Ursache 1

Sie verwenden Graph Explorer und haben den erforderlichen Berechtigungen für benutzerdefinierte Sicherheitsattribute zum Ausführen des API-Aufrufs nicht zugestimmt.

Lösung 1

Öffnen Sie den Bereich „Berechtigungen“, wählen Sie die entsprechende Berechtigung für das benutzerdefinierte Sicherheitsattribut und Zustimmen aus. Überprüfen Sie im dann angezeigten Fenster „Angeforderte Berechtigungen“ die angeforderten Berechtigungen.

Screenshot: Bereich „Berechtigungen“ des Graph-Explorers mit ausgewählter Option „CustomSecAttributeDefinition“.

Ursache 2

Ihnen wurde die erforderliche Rolle für benutzerdefinierte Sicherheitsattribute für den API-Aufruf nicht zugewiesen.

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Lösung 2

Sorgen Sie dafür, dass Ihnen die erforderliche Rolle für benutzerdefinierte Sicherheitsattribute zugewiesen wird. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf benutzerdefinierte Sicherheitsattribute in Microsoft Entra ID.

Ursache 3

Sie versuchen, eine einwertige benutzerdefinierte Sicherheitsattributzuweisung zu entfernen, indem Sie sie mithilfe des Befehls Update-MgUser oder Update-MgServicePrincipal auf null festlegen.

Lösung 3

Verwenden Sie stattdessen den Befehl Invoke-MgGraphRequest. Weitere Informationen finden Sie unter Entfernen einer einwertigen benutzerdefinierten Sicherheitsattributzuweisung aus einem Benutzer oder Entfernen von benutzerdefinierten Sicherheitsattributzuweisungen aus Anwendungen.

Symptom: Fehler „Request_UnsupportedQuery“

Wenn Sie versuchen, Microsoft Graph-API für benutzerdefinierte Sicherheitsattribute aufzurufen, wird eine Meldung wie die folgende angezeigt:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

Ursache

Die Anforderung ist nicht korrekt formatiert.

Lösung

Fügen Sie bei Bedarf in der Anforderung oder im Header ConsistencyLevel=eventual hinzu. Außerdem muss ggf. $count=true eingeschlossen werden, um sicherzustellen, dass die Anforderung ordnungsgemäß weitergeleitet wird. Weitere Informationen finden Sie unter Beispiele: Zuweisen, Aktualisieren, Auflisten oder Entfernen von benutzerdefinierten Sicherheitsattributen mithilfe der Microsoft Graph-API (Vorschau).

Screenshot: Graph-Tester mit hinzugefügtem ConsistencyLevel-Header

Nächste Schritte