Poniżej przedstawiono kilka typowych pytań i wskazówek dotyczących rozwiązywania problemów dotyczących przypisywania ról firmy Microsoft do grup Entra firmy Microsoft.
Jestem administratorem grup, ale nie widzę przełącznika "Role firmy Microsoft Entra można przypisać do grupy".
Administratorzy ról uprzywilejowanych mogą utworzyć grupę, która kwalifikuje się do przypisania roli. Użytkownicy z tą rolą mogą zobaczyć ten przełącznik.
Kto może zmodyfikować członkostwo grup przypisanych do ról firmy Microsoft Entra?
Domyślnie administrator ról uprzywilejowanych zarządza członkostwem w grupie z możliwością przypisywania ról, ale można delegować zarządzanie grupami, które można przypisać do ról, dodając właścicieli grup.
Jestem administratorem pomocy technicznej w mojej organizacji, ale nie mogę zaktualizować hasła użytkownika, który jest czytelnikiem katalogu. Dlaczego tak się dzieje?
Użytkownik mógł uzyskać dostęp do czytelników katalogu za pomocą grupy możliwej do przypisania roli. Wszyscy członkowie i właściciele grup z możliwością przypisywania ról są chronieni. Użytkownicy z rolą Administrator uwierzytelniania uprzywilejowanego mogą resetować poświadczenia dla chronionego użytkownika.
Nie mogę zaktualizować hasła użytkownika. Nie mają przypisanej wyższej roli uprzywilejowanej. Dlaczego tak się dzieje?
Użytkownik może być właścicielem grupy z możliwością przypisania ról. Chronimy właścicieli grup z możliwością przypisywania ról, aby uniknąć podniesienia uprawnień. Przykładem może być przypisana grupa Contoso_Security_Admins do roli Administrator zabezpieczeń, gdzie Bob jest właścicielem grupy, a Alice jest administratorem haseł w organizacji. Bez tej ochrony Alice może zresetować poświadczenia Boba i przejąć swoją tożsamość. Alicja może następnie dodać siebie lub każdą osobę do grupy Contoso_Security_Admins, aby zostać administratorem zabezpieczeń w organizacji. Aby dowiedzieć się, czy użytkownik jest właścicielem grupy, uzyskaj dostęp do listy obiektów należących do tego użytkownika i sprawdź, czy którakolwiek z grup ma wartość isAssignableToRole ustawioną na true. Jeśli tak, to ten użytkownik jest chroniony, a zachowanie jest zgodnie z projektem. Zapoznaj się z następującą dokumentacją dotyczącą uzyskiwania dostępu do obiektów należących do użytkownika:
Czy mogę utworzyć przegląd dostępu dla grup, które można przypisać do ról firmy Microsoft Entra (w szczególności grup z właściwością isAssignableToRole ustawioną na true)?
Tak, możesz. Administratorzy ról uprzywilejowanych mogą tworzyć przeglądy dostępu w grupach z możliwością przypisywania ról.
Czy mogę utworzyć pakiet dostępu i umieścić grupy, które można przypisać do ról firmy Microsoft Entra w nim?
Tak, możesz. Administrator użytkowników ma uprawnienia do umieszczania dowolnej grupy w pakiecie dostępu. Nic się nie zmienia w przypadku administratora globalnego, ale istnieje niewielka zmiana uprawnień roli administratorów użytkowników. Aby umieścić grupę z możliwością przypisywania ról do pakietu dostępu, musisz być administratorem użytkowników, a także właścicielem grupy z możliwością przypisywania ról. Oto pełna tabela przedstawiająca, kto może utworzyć pakiet dostępu w usłudze Enterprise License Management:
| Rola katalogu Entra firmy Microsoft | Rola zarządzania upoważnieniami | Może dodać grupę zabezpieczeń* | Może dodać grupę platformy Microsoft 365* | Może dodać aplikację | Może dodać witrynę usługi SharePoint Online |
|---|---|---|---|---|---|
| Globalny administrator usługi | nie dotyczy | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrator użytkowników | nie dotyczy | ✔️ | ✔️ | ✔️ | |
| Administrator usługi Intune | Właściciel wykazu | ✔️ | ✔️ | ||
| Administrator programu Exchange | Właściciel wykazu | ✔️ | |||
| Administrator usługi Teams | Właściciel wykazu | ✔️ | |||
| SharePoint Administrator | Właściciel wykazu | ✔️ | ✔️ | ||
| Administrator aplikacji | Właściciel wykazu | ✔️ | |||
| Administrator aplikacji w chmurze | Właściciel wykazu | ✔️ | |||
| User | Właściciel wykazu | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel aplikacji |
*Grupa nie może przypisywać ról; oznacza to, isAssignableToRole = false. Jeśli grupa jest przypisywana rolą, osoba tworząca pakiet dostępu musi być również właścicielem grupy z możliwością przypisywania ról.
Nie mogę znaleźć opcji "Usuń przypisanie" w obszarze "Przypisane role". Jak mogę usunąć przypisanie roli do użytkownika?
Ta odpowiedź ma zastosowanie tylko do organizacji Microsoft Entra ID P1.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika.
- Wybierz pozycję Przypisane role.
- Wybierz przypisanie roli, które chcesz usunąć.
- Wybierz pozycję Usuń przypisania, aby usunąć bezpośrednie przypisania ról.
Aby usunąć przypisania ról pośrednich, usuń użytkownika z grupy, do której przypisano rolę.
Jak mogę zobaczyć wszystkie grupy, które można przypisać do ról?
Wykonaj te kroki:
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
- Wybierz pozycję Dodaj filtry.
- Filtruj do roli, do których można przypisać.
Jak mogę wiedzieć, która rola jest przypisana bezpośrednio i pośrednio do podmiotu zabezpieczeń?
Wykonaj te kroki:
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika.
- Wybierz pozycję Przypisane role.
- Jeśli masz licencję Microsoft Entra ID P1, wyświetl kolumnę Ścieżka przypisania.
- Jeśli masz licencję Microsoft Entra ID P2, wyświetl kolumnę Członkostwo .
Dlaczego wymuszamy utworzenie nowej grupy na potrzeby przypisywania jej do roli?
Jeśli przypiszesz istniejącą grupę do roli, istniejący właściciel grupy może dodać innych członków do tej grupy bez świadomości, że będą mieć rolę. Ponieważ grupy z możliwością przypisywania ról są zaawansowane, ustaliliśmy ograniczenia w celu ich ochrony. Nie chcesz, aby zmiany w grupie byłyby zaskakujące dla osoby zarządzającej grupą.