Poniżej przedstawiono kilka typowych pytań i wskazówek dotyczących rozwiązywania problemów dotyczących przypisywania ról firmy Microsoft do grup firmy Microsoft Entra.
Jestem Administracja istratorem grup, ale nie widzę przełącznika "Role entra firmy Microsoft można przypisać do grupy".
Tylko role uprzywilejowane Administracja istratory lub globalne Administracja istratory mogą utworzyć grupę, która kwalifikuje się do przypisania roli. Ta kontrolka jest widoczna tylko dla użytkowników w tych rolach.
KtoTo może zmodyfikować członkostwo grup przypisanych do ról firmy Microsoft Entra?
Domyślnie tylko role uprzywilejowane Administracja istrator i globalny Administracja istrator zarządzają członkostwem grupy z możliwością przypisania roli, ale można delegować zarządzanie grupami, które można przypisać do ról, dodając właścicieli grup.
Jestem administratorem pomocy technicznej Administracja istratorem w mojej organizacji, ale nie mogę zaktualizować hasła użytkownika, który jest czytelnikiem katalogu. Dlaczego tak się dzieje?
Użytkownik mógł zdobyć czytelników katalogu za pomocą grupy możliwej do przypisania roli. Wszyscy członkowie i właściciele grup z możliwością przypisywania ról są chronieni. Tylko użytkownicy w rolach Administracja istratora uprzywilejowanego lub globalnego Administracja istratora mogą resetować poświadczenia dla chronionego użytkownika.
Nie mogę zaktualizować hasła użytkownika. Nie mają przypisanej wyższej roli uprzywilejowanej. Dlaczego tak się dzieje?
Użytkownik może być właścicielem grupy z możliwością przypisania ról. Chronimy właścicieli grup z możliwością przypisywania ról, aby uniknąć podniesienia uprawnień. Przykładem może być przypisanie grupy Contoso_Security_Administracja do roli Administracja istratora zabezpieczeń, gdzie Bob jest właścicielem grupy, a Alicja to password Administracja istrator w organizacji. Jeśli ta ochrona nie była obecna, Alice może zresetować poświadczenia Boba i przejąć jego tożsamość. Następnie Alice może dodać siebie lub każdą osobę do grupy Contoso_Security_Administracja s, aby zostać Administracja istratorem zabezpieczeń w organizacji. Aby dowiedzieć się, czy użytkownik jest właścicielem grupy, pobierz listę obiektów należących do tego użytkownika i sprawdź, czy którakolwiek z grup ma wartość isAssignableToRole ustawioną na true. Jeśli tak, to ten użytkownik jest chroniony, a zachowanie jest zgodnie z projektem. Zapoznaj się z tymi dokumentacjami dotyczącymi pobierania obiektów należących do firmy:
Czy mogę utworzyć przegląd dostępu dla grup, które można przypisać do ról firmy Microsoft Entra (w szczególności grup z właściwością isAssignableToRole ustawioną na true)?
Tak, możesz. Globalne Administracja istratory i Administracja istratory ról uprzywilejowanych mogą tworzyć przeglądy dostępu dla grup z możliwością przypisywania ról.
Czy mogę utworzyć pakiet dostępu i umieścić grupy, które można przypisać do ról firmy Microsoft Entra w nim?
Tak, możesz. Globalny Administracja istrator i Administracja istrator użytkowników mają możliwość umieszczania dowolnej grupy w pakiecie dostępu. Nic się nie zmienia w przypadku globalnego Administracja istratora, ale istnieje niewielka zmiana uprawnień roli Administracja istrator użytkownika. Aby umieścić grupę z możliwością przypisania ról do pakietu dostępu, musisz być użytkownikiem Administracja istratorem, a także właścicielem grupy z możliwością przypisania roli. Oto pełna tabela przedstawiająca, kto może utworzyć pakiet dostępu w usłudze Enterprise License Management:
| Rola katalogu Entra firmy Microsoft | Rola zarządzania upoważnieniami | Może dodać grupę zabezpieczeń* | Może dodać grupę platformy Microsoft 365* | Może dodać aplikację | Może dodać witrynę usługi SharePoint Online |
|---|---|---|---|---|---|
| Globalny administrator usługi | nie dotyczy | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrator użytkowników | nie dotyczy | ✔️ | ✔️ | ✔️ | |
| Administrator usługi Intune | Właściciel wykazu | ✔️ | ✔️ | ||
| Administrator programu Exchange | Właściciel wykazu | ✔️ | |||
| Administracja istrator usługi Teams | Właściciel wykazu | ✔️ | |||
| Administracja istrator programu SharePoint | Właściciel wykazu | ✔️ | ✔️ | ||
| Administrator aplikacji | Właściciel wykazu | ✔️ | |||
| Administracja istrator aplikacji w chmurze | Właściciel wykazu | ✔️ | |||
| User | Właściciel wykazu | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel aplikacji |
*Grupa nie może przypisywać ról; oznacza to, isAssignableToRole = false. Jeśli grupa jest przypisywana rolą, osoba tworząca pakiet dostępu musi być również właścicielem grupy z możliwością przypisywania ról.
Nie mogę znaleźć opcji "Usuń przypisanie" w obszarze "Przypisane role". Jak mogę usunąć przypisanie roli do użytkownika?
Ta odpowiedź ma zastosowanie tylko do organizacji Microsoft Entra ID P1.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika.
- Wybierz pozycję Przypisane role.
- Wybierz przypisanie roli, które chcesz usunąć.
- Wybierz pozycję Usuń przypisania, aby usunąć bezpośrednie przypisania ról.
Aby usunąć przypisania ról pośrednich, usuń użytkownika z grupy, do której przypisano rolę.
Jak mogę zobaczyć wszystkie grupy, które można przypisać do ról?
Wykonaj te kroki:
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
- Wybierz pozycję Dodaj filtry.
- Filtruj do roli, do których można przypisać.
Jak mogę wiedzieć, która rola jest przypisana bezpośrednio i pośrednio do podmiotu zabezpieczeń?
Wykonaj te kroki:
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika.
- Wybierz pozycję Przypisane role.
- Jeśli masz licencję Microsoft Entra ID P1, wyświetl kolumnę Ścieżka przypisania.
- Jeśli masz licencję Microsoft Entra ID P2, wyświetl kolumnę Członkostwo .
Dlaczego wymuszamy utworzenie nowej grupy na potrzeby przypisywania jej do roli?
Jeśli przypiszesz istniejącą grupę do roli, istniejący właściciel grupy może dodać innych członków do tej grupy bez świadomości, że będą mieć rolę. Ponieważ grupy z możliwością przypisywania ról są zaawansowane, wprowadzamy wiele ograniczeń w celu ich ochrony. Nie chcesz, aby zmiany w grupie byłyby zaskakujące dla osoby zarządzającej grupą.