Upravit

Sdílet prostřednictvím

Řešení potíží s rolemi Microsoft Entra přiřazenými ke skupinám

  • Časté otázky

Tady jsou některé běžné otázky a tipy pro řešení potíží pro přiřazování rolí Microsoft Entra ke skupinám Microsoft Entra.

Jsem správce skupin, ale nemůžu zobrazit přepínač Role Microsoft Entra se dají přiřadit skupině.

Správci privilegovaných rolí mohou vytvořit skupinu, která má nárok na přiřazení role. Tento přepínač můžou zobrazit uživatelé s touto rolí.

Kdo může změnit členství ve skupinách přiřazených k rolím Microsoft Entra?

Správce privilegovaných rolí ve výchozím nastavení spravuje členství ve skupině s možností přiřazení role, ale správu skupin, které lze přiřadit, můžete delegovat přidáním vlastníků skupin.

Jsem správcem helpdesku v mé organizaci, ale nemůžu aktualizovat heslo uživatele, který je čtenářem adresáře. Proč k tomu dochází?

Uživatel mohl mít přístup ke čtenářům adresáře prostřednictvím skupiny s možností přiřazení role. Jsou chráněni všichni členové a vlastníci skupin, které je možné přiřadit role. Uživatelé s rolí Správce privilegovaného ověřování můžou resetovat přihlašovací údaje pro chráněného uživatele.

Nemůžu aktualizovat heslo uživatele. Nemají přiřazenou žádnou vyšší privilegovanou roli. Proč se to děje?

Uživatel může být vlastníkem skupiny s možností přiřazení role. Chráníme vlastníky skupin, které je možné přiřadit role, abychom se vyhnuli zvýšení oprávnění. Příkladem může být, pokud je skupina Contoso_Security_Admins přiřazená k roli Správce zabezpečení, kde Bob je vlastníkem skupiny a Alice je správcem hesel v organizaci. Bez této ochrany by Alice mohla resetovat přihlašovací údaje Boba a převzít jeho identitu. Alice pak může do skupiny přidat sebe nebo kohokoliv, Contoso_Security_Admins skupinu, aby se stala správcem zabezpečení v organizaci. Pokud chcete zjistit, jestli je uživatel vlastníkem skupiny, přejděte do seznamu vlastněných objektů pro tohoto uživatele a zjistěte, jestli některá ze skupin má nastavenou hodnotu True. Pokud ano, je tento uživatel chráněn a chování je záměrně. Informace o přístupu k vlastněným objektům najdete v následující dokumentaci:

Můžu vytvořit kontrolu přístupu u skupin, které je možné přiřadit k rolím Microsoft Entra (konkrétně skupiny s vlastností isAssignableToRole nastavenou na true)?

Ano, můžete. Správci privilegovaných rolí můžou vytvářet kontroly přístupu u skupin s možností přiřazení rolí.

Můžu vytvořit přístupový balíček a vložit do něj skupiny, které se dají přiřadit k rolím Microsoft Entra?

Ano, můžete. Správce uživatele má oprávnění k vložení jakékoli skupiny do přístupového balíčku. U globálního správce se nic nemění, ale v oprávněních role Správce uživatelů se mírně změní. Pokud chcete skupinu přiřaditelnou roli do přístupového balíčku, musíte být správcem uživatele a také vlastníkem skupiny s možností přiřazení role. Tady je úplná tabulka, která ukazuje, kdo může vytvořit přístupový balíček ve správě licencí Enterprise:

Role adresáře Microsoft Entra Role správy nároků Může přidat skupinu zabezpečení* Může přidat skupinu Microsoft 365* Může přidat aplikaci Může přidat web SharePointu Online.
Globální správce Není k dispozici ✔️ ✔️ ✔️ ✔️
Správce uživatelů Není k dispozici ✔️ ✔️ ✔️
Správce Intune Vlastník katalogu ✔️ ✔️    
Správce Exchange Vlastník katalogu   ✔️    
Správce služby Teams Vlastník katalogu   ✔️    
Správce SharePointu Vlastník katalogu   ✔️   ✔️
Správce aplikace Vlastník katalogu     ✔️  
Správce cloudových aplikací Vlastník katalogu     ✔️  
Uživatelská Vlastník katalogu Pouze v případě, že vlastník skupiny Pouze v případě, že vlastník skupiny Pouze v případě, že vlastník aplikace  

*Skupina není přiřaditelná role; to znamená isAssignableToRole = false. Pokud je skupina přiřaditelná role, musí být osoba, která vytváří přístupový balíček, také vlastníkem skupiny s možností přiřazení role.

V části Přiřazené role nemůžu najít možnost Odebrat přiřazení. Návody odstranit přiřazení role uživateli?

Tato odpověď platí jenom pro organizace Microsoft Entra ID P1.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. Zvolte uživatele.
  4. Vyberte Přiřazené role.
  5. Vyberte přiřazení role, které chcete odebrat.
  6. Výběrem možnosti Odebrat přiřazení odeberete přímá přiřazení rolí.

Pokud chcete odebrat nepřímá přiřazení rolí, odeberte uživatele ze skupiny, která má přiřazenou roli.

Návody zobrazit všechny skupiny, které se dají přiřadit role?

Postupujte následovně:

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte do skupin>identit>Všechny skupiny.
  3. Vyberte Přidat filtry.
  4. Filtrovat podle role, které lze přiřadit.

Návody vědět, která role se k objektu zabezpečení přiřadí přímo a nepřímo?

Postupujte následovně:

  1. Přihlaste se do Centra pro správu Microsoft Entra.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. Zvolte uživatele.
  4. Vyberte Přiřazené role.
  5. Pokud máte licenci Microsoft Entra ID P1, zobrazte sloupec Cesta přiřazení.
  6. Pokud máte licenci Microsoft Entra ID P2, zobrazte sloupec Členství .

Proč vynucujeme vytvoření nové skupiny pro přiřazení k roli?

Pokud přiřadíte existující skupinu k roli, může stávající vlastník skupiny do této skupiny přidat další členy, aniž by si noví členové uvědomili, že budou mít tuto roli. Vzhledem k tomu, že skupiny s možností přiřazení rolí jsou výkonné, zavedli jsme omezení pro jejich ochranu. Nechcete, aby se změny ve skupině změnily, které by byly pro osobu, která skupinu spravuje, překvapivá.

Další kroky