Di seguito sono riportate alcune domande comuni e suggerimenti per la risoluzione dei problemi per l'assegnazione dei ruoli di Microsoft Entra ai gruppi di Microsoft Entra.
I'm a Groups Administrator but I can't see the 'Microsoft Entra roles can be assigned to the group' switch.
Gli amministratori dei ruoli con privilegi possono creare un gruppo idoneo per l'assegnazione di ruolo. Gli utenti con questo ruolo possono visualizzare questa opzione.
Chi può modificare l'appartenenza ai gruppi assegnati ai ruoli di Microsoft Entra?
Per impostazione predefinita, l'amministratore del ruolo con privilegi gestisce l'appartenenza a un gruppo assegnabile di ruolo, ma è possibile delegare la gestione dei gruppi assegnabili ai ruoli aggiungendo proprietari del gruppo.
Io sono un amministratore del supporto tecnico nell'organizzazione, ma non è possibile aggiornare la password di un utente che è un lettore di directory. Perché succede?
È possibile che l'utente abbia eseguito l'accesso ai lettori di directory tramite un gruppo assegnabile a ruoli. Tutti i membri e i proprietari dei gruppi assegnabili a ruoli sono protetti. Gli utenti con il ruolo Amministratore autenticazione con privilegi possono reimpostare le credenziali per un utente protetto.
Non è possibile aggiornare la password di un utente. Non hanno alcun ruolo con privilegi più elevati assegnati. Perché sta succedendo?
L'utente può essere un proprietario di un gruppo assegnabile a ruoli. Proteggiamo i proprietari di gruppi assegnabili a ruoli per evitare l'elevazione dei privilegi. Un esempio può essere se un gruppo Contoso_Security_Admins viene assegnato al ruolo Amministratore della sicurezza, dove Bob è il proprietario del gruppo e Alice è l'amministratore password all'interno dell'organizzazione. Senza questa protezione, Alice potrebbe reimpostare le credenziali di Bob e assumere la sua identità. Alice potrebbe quindi aggiungere se stessa o chiunque al gruppo Contoso_Security_Admins gruppo per diventare un amministratore della sicurezza nell'organizzazione. Per verificare se un utente è proprietario di un gruppo, accedere all'elenco di oggetti di proprietà per tale utente e verificare se uno dei gruppi ha isAssignableToRole impostato su true. In caso affermativo, l'utente è protetto e il comportamento è progettato. Per accedere agli oggetti di proprietà, vedere la documentazione seguente:
È possibile creare una verifica di accesso sui gruppi che possono essere assegnati ai ruoli di Microsoft Entra (in particolare i gruppi con la proprietà isAssignableToRole impostata su true)?
Si, puoi. Gli amministratori dei ruoli con privilegi possono creare verifiche di accesso nei gruppi assegnabili ai ruoli.
È possibile creare un pacchetto di accesso e inserire i gruppi che possono essere assegnati ai ruoli di Microsoft Entra?
Si, puoi. L'amministratore utenti ha le autorizzazioni per inserire qualsiasi gruppo in un pacchetto di accesso. Nessuna modifica per l'amministratore globale, ma è stata apportata una leggera modifica alle autorizzazioni del ruolo amministratore utenti. Per inserire un gruppo assegnabile di ruolo in un pacchetto di accesso, è necessario essere un amministratore utente e anche il proprietario del gruppo assegnabile di ruolo. Ecco la tabella completa che mostra chi può creare un pacchetto di accesso in Enterprise License Management:
| Ruolo della directory di Microsoft Entra | Ruolo di gestione entitlement | Può aggiungere un gruppo di sicurezza* | Può aggiungere un gruppo di Microsoft 365* | Può aggiungere app | Può aggiungere un sito di SharePoint Online |
|---|---|---|---|---|---|
| Amministratore globale | n/d | ✔️ | ✔️ | ✔️ | ✔️ |
| Amministratore utenti | n/d | ✔️ | ✔️ | ✔️ | |
| Amministratore di Intune | Proprietario catalogo | ✔️ | ✔️ | ||
| Amministratore di Exchange | Proprietario catalogo | ✔️ | |||
| Amministratore del servizio Teams | Proprietario catalogo | ✔️ | |||
| Amministratore di SharePoint | Proprietario catalogo | ✔️ | ✔️ | ||
| Amministratore applicazione | Proprietario catalogo | ✔️ | |||
| Amministratore dell'applicazione cloud | Proprietario catalogo | ✔️ | |||
| User | Proprietario catalogo | Solo se è proprietario del gruppo | Solo se è proprietario del gruppo | Solo se è proprietario dell'app |
*Il gruppo non è assegnabile al ruolo; ovvero isAssignableToRole = false. Se un gruppo è assegnabile a ruoli, la persona che crea il pacchetto di accesso deve anche essere proprietario del gruppo assegnabile al ruolo.
Non è possibile trovare l'opzione "Rimuovi assegnazione" in "Ruoli assegnati". Ricerca per categorie eliminare l'assegnazione di ruolo a un utente?
Questa risposta è applicabile solo alle organizzazioni Microsoft Entra ID P1.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
- Passare a Identità>Utenti>Tutti gli utenti.
- Seleziona un utente.
- Selezionare Ruoli assegnati.
- Selezionare un'assegnazione di ruolo da rimuovere.
- Selezionare Rimuovi assegnazioni per rimuovere le assegnazioni di ruolo dirette.
Per rimuovere le assegnazioni di ruolo indirette, rimuovere l'utente dal gruppo a cui è stato assegnato il ruolo.
Ricerca per categorie visualizzare tutti i gruppi assegnabili ai ruoli?
Seguire questa procedura:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra.
- Passare a Identità>Gruppi>Tutti i gruppi.
- Selezionare Aggiungi filtri.
- Filtrare in Role assignable (Assegnabile ruolo).
Ricerca per categorie sapere quale ruolo viene assegnato a un'entità di sicurezza direttamente e indirettamente?
Seguire questa procedura:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra.
- Passare a Identità>Utenti>Tutti gli utenti.
- Seleziona un utente.
- Selezionare Ruoli assegnati.
- Se si dispone di una licenza microsoft Entra ID P1, visualizzare la colonna Percorso di assegnazione.
- Se si dispone di una licenza Microsoft Entra ID P2, visualizzare la colonna Appartenenza .
Perché si applica la creazione di un nuovo gruppo per assegnarlo al ruolo?
Se si assegna un gruppo esistente a un ruolo, il proprietario del gruppo esistente potrebbe aggiungere altri membri a questo gruppo senza che i nuovi membri abbiano il ruolo. Poiché i gruppi assegnabili a ruoli sono potenti, sono state stabilite restrizioni per proteggerli. Non si vogliono modificare il gruppo che sarebbe sorprendente per la persona che gestisce il gruppo.