Hier volgen enkele veelgestelde vragen en tips voor probleemoplossing voor het toewijzen van Microsoft Entra-rollen aan Microsoft Entra-groepen.
Ik ben een groeps-Beheer istrator, maar ik zie de schakeloptie 'Microsoft Entra-rollen kunnen worden toegewezen aan de groep'.
Alleen bevoorrechte rollen Beheer istrators of globale Beheer istrators kunnen een groep maken die in aanmerking komt voor roltoewijzing. Alleen gebruikers in deze rollen zien dit besturingselement.
Wie kunt u het lidmaatschap wijzigen van groepen die zijn toegewezen aan Microsoft Entra-rollen?
Standaard beheren alleen bevoorrechte rollen Beheer istrator en Global Beheer istrator het lidmaatschap van een roltoewijzingsgroep, maar u kunt het beheer van roltoewijzingsgroepen delegeren door groepseigenaren toe te voegen.
Ik ben een helpdesk-Beheer istrator in mijn organisatie, maar ik kan het wachtwoord van een gebruiker die een directorylezer is, niet bijwerken. Waarom gebeurt dat?
De gebruiker heeft mogelijk Adreslijstlezers gekregen door middel van een groep die kan worden toegewezen aan rollen. Alle leden en eigenaren van roltoewijzingsgroepen zijn beveiligd. Alleen gebruikers in de rollen Privileged Authentication Beheer istrator of Global Beheer istrator kunnen referenties voor een beveiligde gebruiker opnieuw instellen.
Ik kan het wachtwoord van een gebruiker niet bijwerken. Er is geen rol met hogere bevoegdheden toegewezen. Waarom gebeurt het?
De gebruiker kan eigenaar zijn van een roltoewijzingsgroep. We beschermen eigenaren van roltoewijzingsgroepen om uitbreiding van bevoegdheden te voorkomen. Een voorbeeld hiervan is als een groep Contoso_Security_Beheer is toegewezen aan de rol Security Beheer istrator, waarbij Bob de groepseigenaar is en Alice wachtwoord is Beheer istrator in de organisatie. Als deze beveiliging niet aanwezig was, kon Alice de referenties van Bob opnieuw instellen en zijn identiteit overnemen. Daarna kan Alice zichzelf of iedereen toevoegen aan de groep Contoso_Security_Beheer s groep om een beveiligings-Beheer istrator in de organisatie te worden. Als u wilt controleren of een gebruiker een groepseigenaar is, haalt u de lijst met objecten in eigendom van die gebruiker op en controleert u of een van de groepen isAssignableToRole is ingesteld op true. Zo ja, dan is die gebruiker beveiligd en is het gedrag standaard. Raadpleeg deze documentatie voor het verkrijgen van objecten in eigendom:
Kan ik een toegangsbeoordeling maken voor groepen die kunnen worden toegewezen aan Microsoft Entra-rollen (met name groepen met de eigenschap isAssignableToRole ingesteld op true)?
Ja, dat kan. Globale Beheer istrators en bevoorrechte rollen Beheer istrators kunnen toegangsbeoordelingen maken voor groepen die aan rollen kunnen worden toegewezen.
Kan ik een toegangspakket maken en groepen plaatsen die kunnen worden toegewezen aan Microsoft Entra-rollen?
Ja, dat kan. Global Beheer istrator en User Beheer istrator hebben de mogelijkheid om een groep in een toegangspakket te plaatsen. Er zijn geen wijzigingen voor globale Beheer istrator, maar er is een kleine wijziging in de rolmachtigingen van de gebruiker Beheer istrator. Als u een roltoewijzingsbare groep in een toegangspakket wilt plaatsen, moet u een gebruiker Beheer istrator zijn en ook eigenaar van de roltoewijzingsgroep. Hier volgt de volledige tabel waarin wordt weergegeven wie toegangspakket kan maken in Enterprise License Management:
| Maprol Microsoft Entra | Rechtenbeheerrol | Kan beveiligingsgroep toevoegen* | Kan Microsoft 365-groep toevoegen* | Kan een app toevoegen | Kan SharePoint Online-site toevoegen |
|---|---|---|---|---|---|
| Globale beheerder | N.v.t. | ✔️ | ✔️ | ✔️ | ✔️ |
| Gebruikersbeheerder | N.v.t. | ✔️ | ✔️ | ✔️ | |
| Intune-beheerder | Cataloguseigenaar | ✔️ | ✔️ | ||
| Exchange-beheerder | Cataloguseigenaar | ✔️ | |||
| Teams-service Beheer istrator | Cataloguseigenaar | ✔️ | |||
| SharePoint-beheerder | Cataloguseigenaar | ✔️ | ✔️ | ||
| Toepassingsbeheerder | Cataloguseigenaar | ✔️ | |||
| Cloudtoepassing Beheer istrator | Cataloguseigenaar | ✔️ | |||
| User | Cataloguseigenaar | Alleen indien groepseigenaar | Alleen indien groepseigenaar | Alleen indien app-eigenaar |
*Groep kan niet worden toegewezen; isAssignableToRole = false. Als een groep rollen kan worden toegewezen, moet de persoon die het toegangspakket maakt ook eigenaar zijn van de roltoewijzingsgroep.
Ik kan de optie Toewijzing verwijderen niet vinden in Toegewezen rollen. Hoe kan ik roltoewijzing aan een gebruiker verwijderen?
Dit antwoord is alleen van toepassing op Microsoft Entra ID P1-organisaties.
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
- Blader naar Identiteit>Gebruikers>Alle gebruikers.
- Een gebruiker selecteren.
- Selecteer dan Toegewezen rollen.
- Selecteer een roltoewijzing die u wilt verwijderen.
- Selecteer Toewijzingen verwijderen om directe roltoewijzingen te verwijderen.
Als u indirecte roltoewijzingen wilt verwijderen, verwijdert u de gebruiker uit de groep waaraan de rol is toegewezen.
Hoe kan ik alle groepen zien die rollen kunnen toewijzen?
Volg vervolgens deze stappen:
- Meld u aan bij het Microsoft Entra-beheercentrum.
- Blader naar Identiteitsgroepen>>Alle groepen.
- Selecteer Filters toevoegen.
- Filter op rol die kan worden toegewezen.
Hoe kan ik weten welke rol direct en indirect aan een principal wordt toegewezen?
Volg vervolgens deze stappen:
- Meld u aan bij het Microsoft Entra-beheercentrum.
- Blader naar Identiteit>Gebruikers>Alle gebruikers.
- Een gebruiker selecteren.
- Selecteer dan Toegewezen rollen.
- Als u een Licentie voor Microsoft Entra ID P1 hebt, bekijkt u de kolom Toewijzingspad .
- Als u een Licentie voor Microsoft Entra ID P2 hebt, bekijkt u de kolom Lidmaatschap .
Waarom wordt afgedwongen dat er een nieuwe groep wordt gemaakt om deze toe te wijzen aan een rol?
Als u een bestaande groep aan een rol toewijst, kan de bestaande groepseigenaar andere leden aan deze groep toevoegen zonder dat de nieuwe leden zich realiseren dat ze de rol hebben. Omdat roltoewijsbare groepen krachtig zijn, plaatsen we veel beperkingen om ze te beschermen. U wilt geen wijzigingen aan de groep die verrassend zou zijn voor de persoon die de groep beheert.