Microsoft Entra ID のカスタム セキュリティ属性のトラブルシューティング

現象 - [Add attribute set](属性セットの追加) が無効になっている

Microsoft Entra 管理センターにサインインし、[カスタム セキュリティ属性]>[属性セットの追加] オプションを選択しようとすると、無効になります。

Microsoft Entra 管理センターで無効になっている [属性セットの追加] オプションのスクリーンショット。

原因

属性セットを追加するアクセス許可がありません。 属性セットとカスタム セキュリティ属性を追加するには、属性定義管理者ロールが割り当てられている必要があります。

重要

既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。

ソリューション

テナント スコープまたは属性セット スコープのいずれかで属性定義管理者ロールが割り当てられていることを確認します。 詳細については、「Microsoft Entra ID でカスタム セキュリティ属性へのアクセスを管理する」をご覧ください。

現象 - カスタム セキュリティ属性を割り当てようとするときにエラーが発生する

カスタム セキュリティ属性の割り当てを保存しようとすると、次のメッセージが表示されます。

Insufficient privileges to save custom security attributes
This account does not have the necessary admin privileges to change custom security attributes

原因

カスタム セキュリティ属性を割り当てるアクセス許可がありません。 カスタム セキュリティ属性を割り当てるには、属性割り当て管理者ロールが割り当てられている必要があります。

重要

既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。

ソリューション

テナント スコープまたは属性セット スコープのいずれかで属性割り当て管理者ロールが割り当てられていることを確認します。 詳細については、「Microsoft Entra ID でカスタム セキュリティ属性へのアクセスを管理する」をご覧ください。

現象 - ユーザーまたはアプリケーションのカスタム セキュリティ属性をフィルター処理できない

原因 1

カスタム セキュリティ属性をフィルター処理するアクセス許可がありません。 ユーザーまたはエンタープライズ アプリケーションのカスタム セキュリティ属性を読み取ってフィルター処理するには、属性割り当て閲覧者または属性割り当て管理者ロールが割り当てられている必要があります。

重要

既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。

解決策 1

テナント スコープまたは属性セット スコープのいずれかで以下の Microsoft Entra 組み込みロールのいずれかが割り当てられていることを確認します。 詳細については、「Microsoft Entra ID でカスタム セキュリティ属性へのアクセスを管理する」を参照してください。

原因 2

属性割り当て閲覧者または属性割り当て管理者のロールが割り当てられていますが、属性セットへのアクセス権が割り当てられていません。

解決策 2

カスタム セキュリティ属性の管理は、テナント スコープまたは属性セット スコープで委任できます。 テナント スコープまたは属性セット スコープのいずれかで属性セットへのアクセス権が割り当てられているようにしてください。 詳細については、「Microsoft Entra ID でカスタム セキュリティ属性へのアクセスを管理する」をご覧ください。

原因 3

テナントに対して定義および割り当てられたカスタム セキュリティ属性はまだありません。

解決策 3

カスタム セキュリティ属性を追加し、ユーザーまたはエンタープライズ アプリケーションに割り当てます。 詳細については、「Microsoft Entra ID でのカスタム セキュリティ属性定義の追加または非アクティブ化」、「ユーザーのカスタム セキュリティ属性の割り当て、更新、一覧表示、削除」、または「アプリケーションのカスタム セキュリティ属性の割り当て、更新、一覧表示、削除」を参照してください。

現象 - カスタム セキュリティ属性を削除できない

原因

カスタム セキュリティ属性定義のみをアクティブ化および非アクティブ化できます。 カスタム セキュリティ属性の削除はサポートされていません。 非アクティブ化された定義は、テナント全体で 500 個の定義の制限にカウントされません。

ソリューション

不要になったカスタム セキュリティ属性を非アクティブ化します。 詳細については、「Microsoft Entra ID でのカスタム セキュリティ属性定義の追加または非アクティブ化」を参照してください。

現象 - PIM を使用して属性セット スコープにロールの割り当てを追加できない

Microsoft Entra Privileged Identity Management (PIM) を使って適格な Microsoft Entra ロールの割り当てを追加しようとする場合、スコープを属性セットに設定することはできません。

原因

PIM では現在、属性セット スコープへの適格な Microsoft Entra ロール割り当ての追加がサポートされません。

症状 - この操作を完了するのに十分な特権がありません

Graph エクスプローラーを使用してカスタム セキュリティ属性の Microsoft Graph API を呼び出そうとすると、次のようなメッセージが表示されます。

Forbidden - 403. You need to consent to the permissions on the Modify permissions (Preview) tab
Authorization_RequestDenied
Insufficient privileges to complete the operation.

Graph エクスプローラーのスクリーンショット。十分な特権がないというエラー メッセージが表示されています。

または、PowerShell コマンドを使用しようとすると、次のようなメッセージが表示されます。

Insufficient privileges to complete the operation.
Status: 403 (Forbidden)
ErrorCode: Authorization_RequestDenied

原因 1

Graph エクスプローラーしていますが、API 呼び出しを行うために必要なカスタム セキュリティ属性のアクセス許可に同意していません。

解決策 1

[アクセス許可] パネルを開き、適切なカスタム セキュリティ属性のアクセス許可を選択して、[同意] を選択します。 表示される [アクセス許可の要求] ウィンドウで、要求されたアクセス許可を確認します。

Graph エクスプローラーの [アクセス許可] パネルのスクリーンショット。CustomSecAttributeDefinition が選択されています。

原因 2

API 呼び出しを行うために必要なカスタム セキュリティ属性ロールが割り当てられていません。

重要

既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。

解決策 2

必要なカスタム セキュリティ属性ロールが割り当てられていることを確認します。 詳細については、「Microsoft Entra ID でカスタム セキュリティ属性へのアクセスを管理する」をご覧ください。

原因 3

Update-MgUser または Update-MgServicePrincipal コマンドを使用して単一値のカスタム セキュリティ属性の割り当てを null に設定することで、この割り当てを削除しようとしています。

解決策 3

代わりに、Invoke-MgGraphRequest コマンドを使用してください。 詳細については、「ユーザーから単一値のカスタム セキュリティ属性の割り当てを削除する」または「アプリケーションからカスタム セキュリティ属性の割り当てを削除する」を参照してください。

症状 - Request_UnsupportedQuery エラー

カスタム セキュリティ属性の Microsoft Graph API を呼び出そうとすると、次のようなメッセージが表示されます。

Bad Request - 400
Request_UnsupportedQuery
Unsupported or invalid query filter clause specified for property '<AttributeSet>_<Attribute>' of resource 'CustomSecurityAttributeValue'.

原因

要求の形式が正しくありません。

ソリューション

必要に応じて、要求またはヘッダーに ConsistencyLevel=eventual を追加します。 要求が正しくルーティングされるように、$count=true を含めることも必要になる場合があります。 詳細については、「例: Microsoft Graph API を使用したカスタム セキュリティ属性割り当ての割り当て、更新、一覧表示、削除」を参照してください。

ConsistencyLevel ヘッダーが追加された Graph エクスプローラーのスクリーンショット。

次のステップ