以下是將Microsoft Entra 角色指派 Microsoft給 entra 群組的一些常見問題和疑難解答秘訣。
我是「群組管理員」,但看不到 [可以將 Microsoft Entra 角色指派到群組] 按鈕。
特殊權限角色管理員可以建立符合角色指派資格的群組。 具有此角色的使用者可以檢視此按鈕。
誰可以修改指派給 Microsoft Entra 角色的群組成員資格?
根據預設,特殊許可權角色管理員會管理可指派角色群組的成員資格,但您可以藉由新增群組擁有者來委派角色指派群組的管理。
我是組織中的「服務台管理員」,但無法更新「目錄讀取者」使用者的密碼。 為什麼會發生這種情況?
使用者可能已透過可指派角色的群組來存取目錄讀取者。 可指派角色群組的所有成員和擁有者都會受到保護。 具備「特殊權限驗證管理員」角色的使用者可以重設受保護使用者的認證。
我無法更新使用者的密碼。 他們未獲指派任何較高的特殊權限角色。 為什麼會發生這種情況?
使用者可以是可指派角色群組的擁有者。 我們會保護可指派角色群組的擁有者,以避免提高權限。 例如,如果群組Contoso_Security_Admins指派給安全性系統管理員角色,其中 Bob 是群組擁有者,Alice 是組織內的密碼管理員。 如果沒有這項保護,Alice 可以重設 Bob 的認證,並接管他的身分識別。 接著,Alice 可以將自己或任何人新增至群組Contoso_Security_Admins群組,成為組織中的安全性系統管理員。 若要了解使用者是否為群組擁有者,請存取該用戶擁有的物件清單,並查看是否有任何群組 isAssignableToRole 設定為 true。 如果是,則該使用者會受到保護,而且行為是設計而成。 請參閱下列檔,以存取擁有的物件:
我可以在可指派給 Microsoft Entra 角色的群組 (尤其是,將 isAssignableToRole 屬性設定為 true 的群組),建立存取權檢閱嗎?
是的,可以。 特殊權限角色管理員可以在可指派角色群組上,建立存取權檢閱。
我是否可以建立存取套件,並將可指派給 Microsoft Entra 角色的群組放入其中?
是的,可以。 使用者管理員有權限將任何群組放進存取套件中。 「全域管理員」沒有任何變更,但「使用者管理員」角色權限有些許變更。 若要將可指派角色群組放入存取套件中,您必須是「使用者管理員」,也必須是可指派角色群組的擁有者。 下列完整表格顯示誰可以在企業授權管理中建立存取套件:
Microsoft Entra 目錄角色 | 權利管理角色 | 可以新增安全性群組* | 可以新增 Microsoft 365 群組* | 可以新增應用程式 | 可以新增 SharePoint Online 網站 |
---|---|---|---|---|---|
全域管理員 | n/a | ✔️ | ✔️ | ✔️ | ✔️ |
使用者管理員 | n/a | ✔️ | ✔️ | ✔️ | |
Intune 管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
Exchange 系統管理員 | 目錄擁有者 | ✔️ | |||
Teams 服務管理員 | 目錄擁有者 | ✔️ | |||
SharePoint 管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
應用程式系統管理員 | 目錄擁有者 | ✔️ | |||
雲端應用程式管理員 | 目錄擁有者 | ✔️ | |||
User | 目錄擁有者 | 只有當群組擁有者 | 只有當群組擁有者 | 只有當應用程式擁有者 |
*群組不是可指派角色群組;即 isAssignableToRole = false。 如果群組可指派角色群組,則建立存取套件的人員也必須是可指派角色群組的擁有者。
我在 [指派的角色] 中找不到 [移除指派] 選項。 如何刪除使用者的角色指派?
此答案僅適用於 Microsoft Entra ID P1 組織。
- 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 選取使用者。
- 選取 [指派的角色]。
- 選取您想移除的角色指派。
- 選取 [移除指派],以移除直接角色指派。
若要移除間接角色指派,請從已獲指派角色的群組中移除使用者。
如何查看可指派角色的所有群組?
執行下列步驟:
- 登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [群組] > [所有群組]。
- 選取 [新增篩選]。
- 篩選至 [可指派角色]。
如何知道直接和間接指派給主體的角色?
執行下列步驟:
- 登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 選取使用者。
- 選取 [指派的角色]。
- 如果您有 Microsoft Entra ID P1 授權,請檢視 [指派路徑] 資料行。
- 如果您有 Microsoft Entra ID P2 授權,請檢視 [成員資格] 資料行。
為什麼要強制建立新的群組以將它指派給角色?
如果您將現有群組指派給某個角色,現有群組擁有者就可以在此群組中新增其他成員,而不會有新的成員意識到他們將擁有該角色。 由於可指派角色的群組功能強大,因此我們已建立保護這些群組的限制。 您不想要對管理群組的人員感到驚訝的群組進行變更。