Устранение неполадок ролей Microsoft Entra, назначенных группам

Ниже приведены некоторые распространенные вопросы и советы по устранению неполадок для назначения ролей Microsoft Entra группам Microsoft Entra.

Я администратор групп, но я не вижу переключателя "Роли Microsoft Entra можно назначить группе".

Администраторы привилегированных ролей могут создать группу, которая имеет право на назначение ролей. Пользователи с этой ролью могут видеть этот переключатель.

Кто может изменить членство в группах, назначенных ролям Microsoft Entra?

По умолчанию администратор привилегированных ролей управляет членством в группе, назначаемой ролями, но вы можете делегировать управление группами, назначаемыми ролями, добавив владельцев групп.

Я являюсь администратором службы поддержки в моей организации, но не могу обновить пароль пользователя с ролью читателя каталога. Почему так происходит?

Пользователь может получить доступ к читателю каталогов с помощью группы, назначаемой ролем. Защищены все члены и владельцы групп, назначаемых ролями. Пользователи с ролью администратора привилегированной проверки подлинности могут сбрасывать учетные данные для защищенного пользователя.

Не удается обновить пароль пользователя. Им не назначена привилегированная роль более высокого уровня. Почему это происходит?

Пользователь может быть владельцем группы c назначением роли. Мы защищаем владельцев групп c назначением роли, чтобы избежать повышения привилегий. Например, если группе Contoso_Security_Admins назначена роль администратора безопасности, где Боб является владельцем группы, а Алиса является администратором паролей в организации. Без этой защиты Алиса может сбросить учетные данные Боба и взять на себя его личность. Затем Алиса может добавить себя или кого-либо в группу Contoso_Security_Admins, чтобы стать администратором безопасности в организации. Чтобы узнать, является ли пользователь владельцем группы, получите доступ к списку принадлежащих ей объектов и проверьте, имеет ли какая-либо из групп значение true. Если да, этот пользователь защищен и такое поведение ожидаемо. Ознакомьтесь со следующей документацией по доступу к принадлежащим объектам:

Можно ли создать проверку доступа для групп, которые могут быть назначены ролям Microsoft Entra (в частности, группам с свойствомAssignableToRole задано значение true)?

Да, вы можете. Администраторы привилегированных ролей могут создавать проверки доступа для групп, назначаемых ролями.

Можно ли создать пакет доступа и поместить группы, которые можно назначить ролям Microsoft Entra?

Да, вы можете. Администратор пользователя имеет разрешения на размещение любой группы в пакете доступа. Для глобального администратора все остается неизменным, но в разрешениях роли администратора пользователей будет небольшое изменение. Чтобы поместить назначаемую ролью группу в пакет для доступа, необходимо быть администратором пользователей, а также владельцем группы c назначением роли. Ниже приведена полная таблица, в которой показано, кто может создать пакет для доступа в средстве управления корпоративными лицензиями.

Роль каталога Microsoft Entra Роль управления правами Может добавить группу безопасности* Может добавить группу Microsoft 365* Может добавить приложение Может добавить сайт SharePoint Online
Глобальный администратор Н/Д ✔️ ✔️ ✔️ ✔️
Администратор пользователей Н/Д ✔️ ✔️ ✔️
Администратор Intune Владелец каталога ✔️ ✔️    
Администратор Exchange Владелец каталога   ✔️    
Администратор службы Teams Владелец каталога   ✔️    
Администратор SharePoint Владелец каталога   ✔️   ✔️
Администратор приложений Владелец каталога     ✔️  
Администратор облачных приложений Владелец каталога     ✔️  
User Владелец каталога Только для владельцев группы Только для владельцев группы Только для владельцев приложения  

* Группа не поддерживает назначение роли, то есть isAssignableToRole = false. Если группа поддерживает назначение роли, пользователь, создающий пакет для доступа, также должен быть владельцем группы c назначением роли.

Не удается найти параметр "Удалить назначение" в разделе "Назначенные роли". Как удалить назначение роли пользователю?

Этот ответ применим только к организациям Microsoft Entra ID P1.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите пользователя.
  4. Щелкните Назначенные роли.
  5. Выберите назначение роли, которое нужно удалить.
  6. Выберите " Удалить назначения", чтобы удалить прямые назначения ролей.

Чтобы удалить непрямые назначения ролей, удалите пользователя из группы, которая была назначена роли.

Как просмотреть все группы c назначением ролей?

Выполните следующие действия:

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите к группам>удостоверений>Все группы.
  3. Щелкните Добавить фильтры.
  4. Примените фильтр Группы с назначением роли.

Как понять, какая роль назначена участнику напрямую и косвенно?

Выполните следующие действия:

  1. Войдите в центр администрирования Microsoft Entra.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите пользователя.
  4. Щелкните Назначенные роли.
  5. Если у вас есть лицензия Microsoft Entra ID P1, просмотрите столбец пути назначения.
  6. Если у вас есть лицензия Microsoft Entra ID P2, просмотрите столбец "Членство ".

Почему требуется создать новую облачную группу для назначения ее роли?

Если роль назначается имеющейся группе, существующий владелец группы может добавить в эту группу других членов, которые не будут знать, что им назначена такая роль. Так как группы, назначаемые ролями, являются мощными, мы установили ограничения для их защиты. Не стоит вносить в группу изменения, которые окажутся неожиданностью для управляющего ею пользователя.