Íme néhány gyakori kérdés és hibaelhárítási tipp a Microsoft Entra-szerepkörök Microsoft Entra-csoportokhoz való hozzárendeléséhez.
Csoportok Rendszergazda istrator vagyok, de nem látom a "Microsoft Entra-szerepkörök hozzárendelhetők a csoporthoz" kapcsolót.
Csak a kiemelt szerepkörök Rendszergazda istratorok vagy a globális Rendszergazda istratorok hozhatnak létre olyan csoportot, amely jogosult a szerepkör-hozzárendelésre. Ezt a vezérlőt csak az ezekben a szerepkörökben lévő felhasználók látják.
Ki módosíthatja a Microsoft Entra-szerepkörökhöz rendelt csoportok tagságát?
Alapértelmezés szerint csak a Privileged Role Rendszergazda istrator és a Global Rendszergazda istrator kezeli a szerepkör-hozzárendelhető csoportok tagságát, de a szerepkör-hozzárendelhető csoportok kezelését csoporttulajdonosok hozzáadásával delegálhatja.
Segélyszolgálati Rendszergazda istrator vagyok a szervezetemben, de nem tudom frissíteni a címtárolvasók felhasználójának jelszavát. Miért történik ez meg?
Előfordulhat, hogy a felhasználó egy szerepkörhöz hozzárendelhető csoporttal szerezte be a címtárolvasót. A szerepkörhöz hozzárendelhető csoportok minden tagja és tulajdonosa védett. Csak a Privileged Authentication Rendszergazda istrator vagy globális Rendszergazda istrator szerepkörrel rendelkező felhasználók állíthatják alaphelyzetbe a védett felhasználók hitelesítő adatait.
Nem tudom frissíteni a felhasználó jelszavát. Nincs hozzárendelve magasabb szintű emelt szintű szerepkör. Miért történik?
A felhasználó lehet egy szerepkörhöz hozzárendelhető csoport tulajdonosa. A szerepkörhöz hozzárendelhető csoportok tulajdonosait a jogosultságok emelésének elkerülése érdekében védjük. Ilyen lehet például, ha egy csoport Contoso_Security_Rendszergazda biztonsági Rendszergazda istrator szerepkörhöz van rendelve, ahol Bob a csoport tulajdonosa, Alice pedig a jelszó Rendszergazda istrator a szervezetben. Ha ez a védelem nem jelenik meg, Alice visszaállíthatja Bob hitelesítő adatait, és átveheti a személyazonosságát. Ezt követően Alice hozzáadhatja magát vagy bárkit a csoporthoz Contoso_Security_Rendszergazda csoporthoz, hogy biztonsági Rendszergazda istrator legyen a szervezetben. Ha meg szeretné tudni, hogy egy felhasználó csoporttulajdonos-e, kérje le a felhasználó tulajdonában lévő objektumok listáját, és ellenőrizze, hogy a csoportok valamelyikében az IsAssignableToRole értéke igaz-e. Ha igen, akkor a felhasználó védelem alatt áll, és a viselkedés tervezéssel történik. A saját objektumok lekéréséhez tekintse meg ezeket a dokumentációkat:
Létrehozhatok hozzáférési felülvizsgálatot a Microsoft Entra-szerepkörökhöz hozzárendelhető csoportokról (konkrétan az isAssignableToRole tulajdonsággal rendelkező csoportokról) ?
Igen, válthat. A globális Rendszergazda istratorok és a kiemelt szerepkörök Rendszergazda istratorok hozzáférési felülvizsgálatokat hozhatnak létre a szerepkörhöz hozzárendelhető csoportokon.
Létrehozhatok egy hozzáférési csomagot, és olyan csoportokat helyezhetek el benne, amelyek hozzárendelhetők a Microsoft Entra szerepköreihez?
Igen, válthat. A globális Rendszergazda istrator és a felhasználói Rendszergazda istrator bármilyen csoportot egy hozzáférési csomagba helyezhet. A globális Rendszergazda istrator esetében semmi sem változik, de a felhasználói Rendszergazda istrator szerepkör-engedélyei kismértékben módosulnak. Ha egy szerepkör-hozzárendelhető csoportot egy hozzáférési csomagba szeretne helyezni, felhasználónak Rendszergazda istratornak kell lennie, és a szerepkör-hozzárendelhető csoport tulajdonosának is kell lennie. Az alábbi teljes táblázat azt mutatja be, hogy ki hozhat létre hozzáférési csomagot az Enterprise License Managementben:
| Microsoft Entra címtárszerepkör | Jogosultságkezelési szerepkör | Biztonsági csoport hozzáadása* | Microsoft 365-csoport hozzáadása* | Alkalmazás hozzáadása | SharePoint Online-webhely hozzáadása |
|---|---|---|---|---|---|
| Globális rendszergazda | n.a. | ✔️ | ✔️ | ✔️ | ✔️ |
| Felhasználói rendszergazda | n.a. | ✔️ | ✔️ | ✔️ | |
| Intune-rendszergazda | Katalógus tulajdonosa | ✔️ | ✔️ | ||
| Exchange-rendszergazda | Katalógus tulajdonosa | ✔️ | |||
| Teams service Rendszergazda istrator | Katalógus tulajdonosa | ✔️ | |||
| SharePoint Rendszergazda istrator | Katalógus tulajdonosa | ✔️ | ✔️ | ||
| alkalmazás-rendszergazda | Katalógus tulajdonosa | ✔️ | |||
| Felhőalkalmazás-Rendszergazda istrator | Katalógus tulajdonosa | ✔️ | |||
| User | Katalógus tulajdonosa | Csak akkor, ha a csoport tulajdonosa | Csak akkor, ha a csoport tulajdonosa | Csak akkor, ha az alkalmazás tulajdonosa |
*A csoport nem rendelhető hozzá szerepkörhöz; azaz isAssignableToRole = false. Ha egy csoport szerepkör-hozzárendelhető, akkor a hozzáférési csomagot létrehozó személynek is a szerepkör-hozzárendelhető csoport tulajdonosának kell lennie.
Nem találom a "Hozzárendelés eltávolítása" lehetőséget a "Hozzárendelt szerepkörök" területen. Hogyan törölni egy felhasználó szerepkör-hozzárendelését?
Ez a válasz csak a Microsoft Entra ID P1-szervezetekre vonatkozik.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
- Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
- Válasszon ki egy felhasználót.
- Válassza ki a hozzárendelt szerepköröket.
- Jelölje ki az eltávolítani kívánt szerepkör-hozzárendelést.
- Válassza a Hozzárendelések eltávolítása lehetőséget a közvetlen szerepkör-hozzárendelések eltávolításához.
A közvetett szerepkör-hozzárendelések eltávolításához távolítsa el a felhasználót a szerepkörhöz rendelt csoportból.
Hogyan látni az összes szerepkörhöz hozzárendelhető csoportot?
Tegye a következők egyikét:
- Jelentkezzen be a Microsoft Entra felügyeleti központjába.
- Tallózással keresse meg a Minden csoport identitáscsoportot>>.
- Válassza a Szűrők hozzáadása lehetőséget.
- Szűrés hozzárendelhető szerepkörre.
Hogyan tudja, hogy a rendszer mely szerepköröket rendeli közvetlenül és közvetetten egy taghoz?
Tegye a következők egyikét:
- Jelentkezzen be a Microsoft Entra felügyeleti központjába.
- Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
- Válasszon ki egy felhasználót.
- Válassza ki a hozzárendelt szerepköröket.
- Ha Microsoft Entra ID P1 licenccel rendelkezik, tekintse meg a Hozzárendelési útvonal oszlopot .
- Ha Microsoft Entra ID P2-licenccel rendelkezik, tekintse meg a Tagság oszlopot.
Miért kényszerítjük ki egy új csoport létrehozását a szerepkörhöz való hozzárendeléshez?
Ha egy meglévő csoportot rendel egy szerepkörhöz, a meglévő csoport tulajdonosa felvehet más tagokat ebbe a csoportba anélkül, hogy az új tagok észrevennék, hogy ők lesznek a szerepkörük. Mivel a szerepkör-hozzárendeléssel rendelkező csoportok hatékonyak, számos korlátozást alkalmazunk a védelemre. Nem szeretne olyan módosításokat végrehajtani a csoporton, amelyek meglepőek lennének a csoportot kezelő személy számára.