Risolvere i problemi relativi agli attributi di sicurezza personalizzati in Microsoft Entra ID

Sintomo - L'aggiunta del set di attributi è disabilitata

Dopo aver eseguito l'accesso all'Interfaccia di amministrazione di Microsoft Entra e si tenta di selezionare l'opzione Attributi di sicurezza personalizzati>Aggiungi set di attributi, è disabilitata.

Screenshot dell'opzione Aggiungi set di attributi disabilitata nell'interfaccia di amministrazione di Microsoft Entra.

Causa

Non si dispone delle autorizzazioni per aggiungere un set di attributi. Per aggiungere un set di attributi e attributi di sicurezza personalizzati, è necessario avere il ruolo di Amministratore definizione di attributi.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Soluzione

Assicurarsi di avere assegnato il ruolo di Amministratore definizione attributi nell'ambito tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Sintomo - Errore durante il tentativo di assegnazione di un attributo di sicurezza personalizzato

Quando si tenta di salvare un'assegnazione di attributo di sicurezza personalizzato, viene visualizzato il messaggio:

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

Causa

Non si dispone delle autorizzazioni per assegnare attributi di sicurezza personalizzati. Per assegnare attributi di sicurezza personalizzati, è necessario avere il ruolo di Amministratore assegnazione attributi.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Soluzione

Assicurarsi di avere assegnato il ruolo di Amministratore assegnazione attributi nell'ambito tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Sintomo - Impossibile filtrare gli attributi di sicurezza personalizzati per utenti o applicazioni

Causa 1

Non si dispone delle autorizzazioni per filtrare gli attributi di sicurezza personalizzati. Per leggere e filtrare gli attributi di sicurezza personalizzati per gli utenti o le applicazioni aziendali, è necessario avere il ruolo diLettore assegnazione attributi o Amministratore assegnazione attributi.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Soluzione 1

Assicurarsi di aver assegnato uno dei seguenti ruoli predefiniti di Microsoft Entra nell'ambito tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Causa 2

È stato assegnato il ruolo di Lettore assegnazione attributi o Amministratore assegnazione attributi, tuttavia non è stato assegnato l'accesso a un set di attributi.

Soluzione 2

È possibile delegare la gestione degli attributi di sicurezza personalizzati nell'ambito del tenant o nell'ambito del set di attributi. Assicurarsi che sia stato assegnato l'accesso a un set di attributi nell'ambito del tenant o nell'ambito del set di attributi. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Causa 3

Non sono ancora stati definiti e assegnati attributi di sicurezza personalizzati per il tenant.

Soluzione 3

Aggiungere e assegnare attributi di sicurezza personalizzati agli utenti o alle applicazioni aziendali. Per altre informazioni, vedere Aggiungere o disattivare le definizioni di attributi di sicurezza personalizzati in Microsoft Entra ID, Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un utente, o Assegnare, aggiornare, elencare o rimuovere attributi di sicurezza personalizzati per un'applicazione.

Sintomo- Impossibile eliminare gli attributi di sicurezza personalizzati

Causa

È possibile soltanto attivare e disattivare le definizioni di attributi di sicurezza personalizzati. L'eliminazione degli attributi di sicurezza personalizzati non è supportata. Le definizioni disattivate non vengono conteggiate per il limite di 500 definizioni del tenant.

Soluzione

Disattivare gli attributi di sicurezza personalizzati non più necessari. Per altre informazioni, vedere Aggiungere o disattivare le definizioni di attributi di sicurezza personalizzati in Microsoft Entra ID.

Sintomo - Impossibile aggiungere un'assegnazione di ruolo in un ambito del set di attributi tramite PIM

Quando si tenta di aggiungere un'assegnazione di ruolo idoneo in Microsoft Entra tramite Microsoft Entra Privileged Identity Management (PIM),, non è possibile impostare l'ambito per un set di attributi.

Causa

Attualmente, PIM non supporta l'aggiunta di un'assegnazione di ruolo idoneo in Microsoft Entra nell'ambito del set di attributi.

Sintomo - Privilegi non sufficienti per completare l'operazione

Quando si tenta di usare Graph explorer per chiamare l'API Microsoft Graph per gli attributi di sicurezza personalizzati, viene visualizzato un messaggio simile al seguente:

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Screenshot di Graph explorer che mostra un messaggio di errore relativo ai privilegi non sufficienti.

Oppure, quando si tenta di usare un comando di PowerShell, viene visualizzato un messaggio simile al seguente:

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

Causa 1

Si sta utilizzando Graph explorer senza avere fornito il consenso per le autorizzazioni necessarie per l'attributo di sicurezza personalizzato per effettuare la chiamata API.

Soluzione 1

Aprire il pannello Autorizzazioni, selezionare l'autorizzazione appropriata per l'attributo di sicurezza personalizzato e scegliere Consenti. Nella finestra Autorizzazioni richieste che viene visualizzata, esaminare le autorizzazioni richieste.

Screenshot del pannello Autorizzazioni di Graph explorer con l'opzione CustomSecAttributeDefinition selezionata.

Causa 2

Non è stato assegnato il ruolo di attributo di sicurezza personalizzato necessario per effettuare la chiamata API.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Soluzione 2

Verificare che sia stato assegnato il ruolo di attributo di sicurezza personalizzato richiesto. Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Causa 3

Si sta tentando di rimuovere un'assegnazione di attributo di sicurezza personalizzato a valore singolo impostandola su null utilizzando il comando Update-MgUser o Update-MgServicePrincipal.

Soluzione 3

Utilizzare, invece, il comando Invoke-MgGraphRequest. Per altre informazioni, vedere Rimuovere un'assegnazione di attributo di sicurezza personalizzato a valore singolo da un utente o Rimuovere assegnazioni di attributi di sicurezza personalizzati dalle applicazioni.

Sintomo - Errore Request_UnsupportedQuery

Quando si tenta di chiamare l'API Microsoft Graph per gli attributi di sicurezza personalizzati, viene visualizzato un messaggio simile al seguente:

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

Causa

La richiesta non è formattata correttamente.

Soluzione

Se necessario, aggiungere ConsistencyLevel=eventual nella richiesta o nell'intestazione. Potrebbe anche essere necessario includere $count=true per assicurarsi che la richiesta venga indirizzata correttamente. Per altre informazioni, vedere Esempi: assegnare, aggiornare, elencare o rimuovere assegnazioni di attributi di sicurezza personalizzati usando l'API Microsoft Graph.

Screenshot di Graph explorer con l'aggiunta dell'intestazione ConsistencyLevel.

Passaggi successivi