Im Folgenden finden Sie einige häufig gestellte Fragen und Tipps zur Problembehandlung für die Zuweisung von Microsoft Entra-Rollen zu Microsoft Entra-Gruppen.
Ich bin ein*e Gruppenadministrator*in, aber die Option „Microsoft Entra-Rollen können der Gruppe zugewiesen werden“ wird nicht angezeigt.
Nur Administratoren für privilegierte Rollen oder globale Administratoren können eine Gruppe erstellen, die zur Rollenzuweisung berechtigt ist. Nur Benutzern in diesen Rollen wird das Steuerelement angezeigt.
Wer kann die Mitgliedschaft von Gruppen ändern, die Microsoft Entra-Rollen zugewiesen sind?
Standardmäßig können nur Administratoren für privilegierte Rollen und globale Administratoren die Mitgliedschaft in einer Gruppe mit Rollenzuweisung verwalten, Sie können jedoch die Verwaltung von Gruppen mit Rollenzuweisung delegieren, indem Sie Gruppenbesitzer hinzufügen.
Ich bin ein Helpdesk-Administrator in meiner Organisation, aber ich kann das Kennwort eines Benutzers mit der Rolle „Verzeichnis lesen“ nicht aktualisieren. Was ist die Ursache?
Der Benutzer hat die Rolle „Verzeichnis lesen“ möglicherweise über eine Gruppe erhalten, der Rollen zugewiesen werden können. Alle Mitglieder und Besitzer bzw. Besitzerinnen von Gruppen, denen Rollen zugewiesen werden können, sind geschützt. Nur Benutzer in der Rolle „Privilegierter Authentifizierungsadministrator“ oder „Globaler Administrator“ können Anmeldeinformationen für einen geschützten Benutzer zurücksetzen.
Ich kann das Kennwort eines Benutzers nicht aktualisieren. Ihm ist keine Rolle mit erweiterten Berechtigungen zugewiesen. Warum geschieht das?
Der Benutzer kann ein Besitzer einer Gruppe sein, der Rollen zugewiesen werden können. Besitzer von Gruppen mit Rollenzuweisung sind geschützt, um Rechteerweiterungen zu vermeiden. Hier ein Beispiel: Die Gruppe „Contoso_Security_Admins“ ist der Rolle „Sicherheitsadministrator“ zugewiesen, wobei Bob der Gruppenbesitzer und Alice die Kennwortadministratorin in der Organisation ist. Wäre dieser Schutz nicht vorhanden, könnte Alice die Anmeldeinformationen von Bob zurücksetzen und seine Identität übernehmen. Anschließend könnte Alice sich selbst oder andere Benutzer der Gruppe „Contoso_Security_Admins“ hinzufügen, um ein Sicherheitsadministrator in der Organisation zu werden. Wenn Sie herausfinden möchten, ob ein Benutzer ein Gruppenbesitzer ist, können Sie die Liste der im Besitz dieses Benutzers befindlichen Objekte abrufen und überprüfen, ob für eine der Gruppen „isAssignableToRole“ auf „true“ festgelegt ist. Wenn das der Fall ist, ist dieser Benutzer geschützt, und das Verhalten ist beabsichtigt. Informationen zum Abrufen von in Besitz befindlichen Objekten finden Sie in den folgenden Dokumentationen:
Kann ich eine Zugriffsüberprüfung für Gruppen erstellen, die Microsoft Entra-Rollen zugewiesen werden können (insbesondere für Gruppen, deren isAssignableToRole-Eigenschaft auf „true“ festgelegt ist)?
Ja, das ist möglich. Globale Administratoren und Administratoren für privilegierte Rollen können Zugriffsüberprüfungen von Gruppen erstellen, denen Rollen zugewiesen werden können.
Kann ich ein Zugriffspaket erstellen und Gruppen hinzufügen, die Microsoft Entra-Rollen zugewiesen werden können?
Ja, das ist möglich. Der globale Administrator und der Benutzeradministrator haben die Möglichkeit, einem Zugriffspaket eine beliebige Gruppe hinzuzufügen. Für den globalen Administrator ändert sich nichts, doch bei den Rollenberechtigungen für den Benutzeradministrator gibt es eine geringfügige Änderung. Wenn Sie einem Zugriffspaket eine Gruppe mit Rollenzuweisung hinzufügen möchten, müssen Sie ein Benutzeradministrator und außerdem Besitzer der Gruppe mit Rollenzuweisung sein. In der folgenden Tabelle sind alle Rollen aufgeführt, die Zugriffspakete in Enterprise License Management erstellen können:
| Microsoft Entra-Verzeichnisrolle | Berechtigungsverwaltungsrolle | Kann Sicherheitsgruppe hinzufügen* | Kann Microsoft 365-Gruppe hinzufügen* | Kann App hinzufügen | Kann SharePoint Online-Website hinzufügen |
|---|---|---|---|---|---|
| Globaler Administrator | – | ✔️ | ✔️ | ✔️ | ✔️ |
| Benutzeradministrator | – | ✔️ | ✔️ | ✔️ | |
| Intune-Administrator | Katalogbesitzer | ✔️ | ✔️ | ||
| Exchange-Administrator | Katalogbesitzer | ✔️ | |||
| Teams-Dienstadministrator | Katalogbesitzer | ✔️ | |||
| SharePoint-Administrator | Katalogbesitzer | ✔️ | ✔️ | ||
| Anwendungsadministrator | Katalogbesitzer | ✔️ | |||
| Cloudanwendungsadministrator | Katalogbesitzer | ✔️ | |||
| Benutzer | Katalogbesitzer | Nur, wenn Gruppenbesitzer | Nur, wenn Gruppenbesitzer | Nur, wenn App-Besitzer |
*Der Gruppe kann keine Rolle zugewiesen werden, d. h. „isAssignableToRole“ = „false“. Wenn einer Gruppe Rollen zugewiesen werden können, muss die Person, die das Zugriffspaket erstellt, auch Besitzer der Gruppe mit Rollenzuweisung sein.
Ich kann unter „Zugewiesene Rollen“ die Option „Zuweisung entfernen“ nicht finden. Wie lösche ich die Rollenzuweisung für einen Benutzer?
Diese Antwort betrifft nur Microsoft Entra ID P1-Organisationen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Select a user.
- Wählen Sie Zugewiesene Rollen aus.
- Wählen Sie eine zu entfernende Rollenzuweisung aus.
- Wählen Sie Zuweisungen entfernen aus, um direkte Rollenzuweisungen zu entfernen.
Zum Entfernen indirekter Rollenzuweisungen entfernen Sie den Benutzer aus der Gruppe, der die Rolle zugewiesen wurde.
Wie kann ich alle Gruppen anzeigen, denen Rollen zugewiesen werden können?
Führen Sie folgende Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Browsen Sie zu Identität>Gruppen>Alle Gruppen.
- Wählen Sie Filter hinzufügen aus.
- Filtern Sie nach Rolle zuweisbar.
Wie kann ich feststellen, welche Rollen einem Prinzipal direkt und indirekt zugewiesen sind?
Führen Sie folgende Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Select a user.
- Wählen Sie Zugewiesene Rollen aus.
- Wenn Sie über eine Microsoft Entra ID P1-Lizenz verfügen, prüfen Sie die Spalte Zuweisungspfad.
- Wenn Sie über eine Microsoft Entra ID P2-Lizenz verfügen, prüfen Sie die Spalte Mitgliedschaft.
Warum wird das Erstellen einer neuen Gruppe für die Zuweisung zu einer Rolle erzwungen?
Wenn Sie einer Rolle eine vorhandene Gruppe zuweisen, kann der vorhandene Gruppenbesitzer dieser Gruppe weitere Mitglieder hinzufügen, ohne dass die neuen Mitglieder wissen, dass sie über diese Rolle verfügen. Da Gruppen mit Rollenzuweisung über komplexe Berechtigungen verfügen, sind zu ihrem Schutz viele Einschränkungen vorhanden. Sie möchten keine Änderungen an der Gruppe, die für die Person, die die Gruppe verwaltet, überraschend wären.