Csoportokhoz rendelt Microsoft Entra-szerepkörök hibaelhárítása

Az alábbiakban néhány gyakori kérdést és hibaelhárítási tippet találhat a Microsoft Entra-szerepkörök Microsoft Entra-csoportokhoz való hozzárendeléséhez.

Csoportadminisztrátor vagyok, de nem látom a "Microsoft Entra-szerepkörök hozzárendelhetők a csoporthoz" kapcsolót.

A kiemelt szerepkörgazdák létrehozhatnak egy csoportot, amely jogosult a szerepkör-hozzárendelésre. Az ezzel a szerepkörrel rendelkező felhasználók láthatják ezt a kapcsolót.

Ki módosíthatja a Microsoft Entra-szerepkörökhöz rendelt csoportok tagságát?

Alapértelmezés szerint a kiemelt szerepkör-rendszergazda kezeli a szerepkör-hozzárendelhető csoportok tagságát, de a szerepkör-hozzárendelhető csoportok felügyeletét csoporttulajdonosok hozzáadásával delegálhatja.

A szervezetem ügyfélszolgálati rendszergazdája vagyok, de nem tudom frissíteni a címtárolvasók felhasználójának jelszavát. Miért történik ez meg?

Előfordulhat, hogy a felhasználó egy szerepkörhöz hozzárendelhető csoporttal fért hozzá a címtárolvasókhoz. A szerepkörhöz hozzárendelhető csoportok minden tagja és tulajdonosa védett. A Privileged Authentication Administrator szerepkörrel rendelkező felhasználók visszaállíthatják a védett felhasználók hitelesítő adatait.

Nem tudom frissíteni a felhasználó jelszavát. Nincs hozzájuk rendelve magasabb jogosultságú szerepkör. Miért történik?

A felhasználó lehet egy szerepkörhöz hozzárendelhető csoport tulajdonosa. A szerepkörhöz hozzárendelhető csoportok tulajdonosait a jogosultságok emelésének elkerülése érdekében védjük. Ilyen lehet például, ha egy csoport Contoso_Security_Admins van hozzárendelve biztonsági rendszergazdai szerepkörhöz, ahol Bob a csoport tulajdonosa, Alice pedig a szervezet jelszóadminisztrátora. E védelem nélkül Alice visszaállíthatja Bob hitelesítő adatait, és átveheti a személyazonosságát. Alice ezután hozzáadhatja magát vagy bárkit a csoporthoz Contoso_Security_Admins csoporthoz, hogy biztonsági rendszergazda legyen a szervezetben. Ha meg szeretné tudni, hogy egy felhasználó csoporttulajdonos-e, keresse meg az adott felhasználó tulajdonában lévő objektumok listáját, és ellenőrizze, hogy a csoportok bármelyike igaz értékre van-e állítva. Ha igen, akkor a felhasználó védelem alatt áll, és a viselkedés tervezéssel történik. A saját objektumok eléréséhez tekintse meg a következő dokumentációt:

• Get-MgUserOwnedObject
• Saját tulajdonú objektumok listázása

Létrehozhatok hozzáférési felülvizsgálatot a Microsoft Entra-szerepkörökhöz hozzárendelhető csoportokról (konkrétan az isAssignableToRole tulajdonsággal rendelkező csoportokról) ?

Igen, megteheti. A kiemelt szerepkörgazdák hozzáférési felülvizsgálatokat hozhatnak létre a szerepkörhöz hozzárendelhető csoportokon.

Létrehozhatok egy hozzáférési csomagot, és olyan csoportokat helyezhetek el benne, amelyek hozzárendelhetők a Microsoft Entra szerepköreihez?

Igen, megteheted. A felhasználói rendszergazda jogosult arra, hogy bármilyen csoportot egy hozzáférési csomagba helyezzen. A globális rendszergazda esetében semmi sem változik, de a felhasználói rendszergazda szerepkör-engedélyei némileg módosulnak. Ha egy szerepkör-hozzárendelhető csoportot egy hozzáférési csomagba szeretne helyezni, felhasználói rendszergazdának és a szerepkör-hozzárendelhető csoport tulajdonosának kell lennie. Az alábbi teljes táblázat azt mutatja be, hogy ki hozhat létre hozzáférési csomagot az Enterprise License Managementben:

Microsoft Entra címtárszerepkör	Jogosultságkezelési szerepkör	Lehetőség van biztonsági csoport hozzáadására	Képes Microsoft 365-csoportot hozzáadni	Alkalmazás hozzáadható	SharePoint Online-webhely hozzáadása
Globális rendszergazda	n.a.	✔️	✔️	✔️	✔️
Felhasználói rendszergazda	n.a.	✔️	✔️	✔️
Intune-rendszergazda	Katalógus tulajdonosa	✔️	✔️
Exchange-rendszergazda	Katalógus tulajdonosa		✔️
Teams szolgáltatásadminisztrátor	Katalógus tulajdonosa		✔️
SharePoint-rendszergazda	Katalógus tulajdonosa		✔️		✔️
alkalmazás-rendszergazda	Katalógus tulajdonosa			✔️
Felhőalkalmazás-rendszergazda	Katalógus tulajdonosa			✔️
Felhasználó	Katalógus tulajdonosa	Csak csoporttulajdonos esetén	Csak akkor, ha a csoport tulajdonosa	Csak akkor, ha az alkalmazás tulajdonosa

*A csoport nem rendelhető hozzá szerepkörhöz; azaz isAssignableToRole = false. Ha egy csoport szerepkör-hozzárendelhető, akkor a hozzáférési csomagot létrehozó személynek is a szerepkör-hozzárendelhető csoport tulajdonosának kell lennie.

Nem találom a "Hozzárendelés eltávolítása" lehetőséget a "Hozzárendelt szerepkörök" területen. Hogyan törölni egy felhasználó szerepkör-hozzárendelését?

Ez a válasz csak a Microsoft Entra ID P1-szervezetekre vonatkozik.

1. Jelentkezzen be a Microsoft Entra admin center-be legalább Privileged Role Administrator szerepkörben.
2. Navigáljon az Entra ID>felhasználókhoz.
3. Válasszon ki egy felhasználót.
4. Válassza ki a hozzárendelt szerepköröket.
5. Jelölje ki az eltávolítani kívánt szerepkör-hozzárendelést.
6. Válassza a Hozzárendelések eltávolítása lehetőséget a közvetlen szerepkör-hozzárendelések eltávolításához.

A közvetett szerepkör-hozzárendelések eltávolításához távolítsa el a felhasználót a szerepkörhöz rendelt csoportból.

Hogyan látni az összes szerepkörhöz hozzárendelhető csoportot?

Tegye a következők egyikét:

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
2. Tallózással keresse meg az Entra ID>Groups>All groups elemet.
3. Válassza a Szűrők hozzáadása lehetőséget.
4. Szűrje a hozzárendelhető szerepkörökre.

Honnan tudjam, hogy a rendszer mely szerepköröket rendeli közvetlenül és közvetetten egy személyhez?

Tegye a következők egyikét:

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
2. Navigáljon az Entra ID>felhasználókhoz.
3. Válasszon ki egy felhasználót.
4. Válassza ki a hozzárendelt szerepköröket.
5. Ha Microsoft Entra ID P1 licenccel rendelkezik, tekintse meg a Hozzárendelési útvonal oszlopot .
6. Ha Microsoft Entra ID P2-licenccel rendelkezik, tekintse meg a Tagság oszlopot.

Miért kényszerítjük ki egy új csoport létrehozását a szerepkörhöz való hozzárendeléshez?

Ha egy meglévő csoportot rendel egy szerepkörhöz, a meglévő csoport tulajdonosa felvehet más tagokat ebbe a csoportba anélkül, hogy az új tagok észrevennék, hogy ők lesznek a szerepkörük. Mivel a szerepkör-hozzárendeléssel rendelkező csoportok hatékonyak, korlátozásokat hoztunk létre a védelemre. Nem szeretne olyan módosításokat végrehajtani a csoporton, amelyek meglepőek lennének a csoportot kezelő személy számára.

Visszaállíthat egy csoporttulajdonos egy törölt szerepkörhöz hozzárendelhető csoportot?

Igen. A csoporttulajdonosok visszaállíthatják a törölt szerepkörhöz rendelhető csoportokat a 30 napos helyreállítható törlési ablakban. A törölt csoportok visszaállításáról további információt a Törölt Microsoft 365-csoport vagy felhőbeli biztonsági csoport visszaállítása a Microsoft Entra ID-ben című témakörben talál.

Következő lépések

• Szerepkör-hozzárendelések kezelése a Microsoft Entra-csoportok használatával
• Szerepkörhöz hozzárendelhető csoport létrehozása

Az alábbiakban néhány gyakori kérdést és hibaelhárítási tippet találhat a Microsoft Entra-szerepkörök Microsoft Entra-csoportokhoz való hozzárendeléséhez.

A kiemelt szerepkörgazdák létrehozhatnak egy csoportot, amely jogosult a szerepkör-hozzárendelésre. Az ezzel a szerepkörrel rendelkező felhasználók láthatják ezt a kapcsolót.

Alapértelmezés szerint a kiemelt szerepkör-rendszergazda kezeli a szerepkör-hozzárendelhető csoportok tagságát, de a szerepkör-hozzárendelhető csoportok felügyeletét csoporttulajdonosok hozzáadásával delegálhatja.

Előfordulhat, hogy a felhasználó egy szerepkörhöz hozzárendelhető csoporttal fért hozzá a címtárolvasókhoz. A szerepkörhöz hozzárendelhető csoportok minden tagja és tulajdonosa védett. A Privileged Authentication Administrator szerepkörrel rendelkező felhasználók visszaállíthatják a védett felhasználók hitelesítő adatait.

A felhasználó lehet egy szerepkörhöz hozzárendelhető csoport tulajdonosa. A szerepkörhöz hozzárendelhető csoportok tulajdonosait a jogosultságok emelésének elkerülése érdekében védjük. Ilyen lehet például, ha egy csoport Contoso_Security_Admins van hozzárendelve biztonsági rendszergazdai szerepkörhöz, ahol Bob a csoport tulajdonosa, Alice pedig a szervezet jelszóadminisztrátora. E védelem nélkül Alice visszaállíthatja Bob hitelesítő adatait, és átveheti a személyazonosságát. Alice ezután hozzáadhatja magát vagy bárkit a csoporthoz Contoso_Security_Admins csoporthoz, hogy biztonsági rendszergazda legyen a szervezetben. Ha meg szeretné tudni, hogy egy felhasználó csoporttulajdonos-e, keresse meg az adott felhasználó tulajdonában lévő objektumok listáját, és ellenőrizze, hogy a csoportok bármelyike igaz értékre van-e állítva. Ha igen, akkor a felhasználó védelem alatt áll, és a viselkedés tervezéssel történik. A saját objektumok eléréséhez tekintse meg a következő dokumentációt:

• Get-MgUserOwnedObject
• Saját tulajdonú objektumok listázása

Igen, megteheti. A kiemelt szerepkörgazdák hozzáférési felülvizsgálatokat hozhatnak létre a szerepkörhöz hozzárendelhető csoportokon.

Igen, megteheted. A felhasználói rendszergazda jogosult arra, hogy bármilyen csoportot egy hozzáférési csomagba helyezzen. A globális rendszergazda esetében semmi sem változik, de a felhasználói rendszergazda szerepkör-engedélyei némileg módosulnak. Ha egy szerepkör-hozzárendelhető csoportot egy hozzáférési csomagba szeretne helyezni, felhasználói rendszergazdának és a szerepkör-hozzárendelhető csoport tulajdonosának kell lennie. Az alábbi teljes táblázat azt mutatja be, hogy ki hozhat létre hozzáférési csomagot az Enterprise License Managementben:

Microsoft Entra címtárszerepkör	Jogosultságkezelési szerepkör	Lehetőség van biztonsági csoport hozzáadására	Képes Microsoft 365-csoportot hozzáadni	Alkalmazás hozzáadható	SharePoint Online-webhely hozzáadása
Globális rendszergazda	n.a.	✔️	✔️	✔️	✔️
Felhasználói rendszergazda	n.a.	✔️	✔️	✔️
Intune-rendszergazda	Katalógus tulajdonosa	✔️	✔️
Exchange-rendszergazda	Katalógus tulajdonosa		✔️
Teams szolgáltatásadminisztrátor	Katalógus tulajdonosa		✔️
SharePoint-rendszergazda	Katalógus tulajdonosa		✔️		✔️
alkalmazás-rendszergazda	Katalógus tulajdonosa			✔️
Felhőalkalmazás-rendszergazda	Katalógus tulajdonosa			✔️
Felhasználó	Katalógus tulajdonosa	Csak csoporttulajdonos esetén	Csak akkor, ha a csoport tulajdonosa	Csak akkor, ha az alkalmazás tulajdonosa

*A csoport nem rendelhető hozzá szerepkörhöz; azaz isAssignableToRole = false. Ha egy csoport szerepkör-hozzárendelhető, akkor a hozzáférési csomagot létrehozó személynek is a szerepkör-hozzárendelhető csoport tulajdonosának kell lennie.

Ez a válasz csak a Microsoft Entra ID P1-szervezetekre vonatkozik.

1. Jelentkezzen be a Microsoft Entra admin center-be legalább Privileged Role Administrator szerepkörben.
2. Navigáljon az Entra ID>felhasználókhoz.
3. Válasszon ki egy felhasználót.
4. Válassza ki a hozzárendelt szerepköröket.
5. Jelölje ki az eltávolítani kívánt szerepkör-hozzárendelést.
6. Válassza a Hozzárendelések eltávolítása lehetőséget a közvetlen szerepkör-hozzárendelések eltávolításához.

A közvetett szerepkör-hozzárendelések eltávolításához távolítsa el a felhasználót a szerepkörhöz rendelt csoportból.

Tegye a következők egyikét:

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
2. Tallózással keresse meg az Entra ID>Groups>All groups elemet.
3. Válassza a Szűrők hozzáadása lehetőséget.
4. Szűrje a hozzárendelhető szerepkörökre.

Tegye a következők egyikét:

1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.
2. Navigáljon az Entra ID>felhasználókhoz.
3. Válasszon ki egy felhasználót.
4. Válassza ki a hozzárendelt szerepköröket.
5. Ha Microsoft Entra ID P1 licenccel rendelkezik, tekintse meg a Hozzárendelési útvonal oszlopot .
6. Ha Microsoft Entra ID P2-licenccel rendelkezik, tekintse meg a Tagság oszlopot.

Ha egy meglévő csoportot rendel egy szerepkörhöz, a meglévő csoport tulajdonosa felvehet más tagokat ebbe a csoportba anélkül, hogy az új tagok észrevennék, hogy ők lesznek a szerepkörük. Mivel a szerepkör-hozzárendeléssel rendelkező csoportok hatékonyak, korlátozásokat hoztunk létre a védelemre. Nem szeretne olyan módosításokat végrehajtani a csoporton, amelyek meglepőek lennének a csoportot kezelő személy számára.

Igen. A csoporttulajdonosok visszaállíthatják a törölt szerepkörhöz rendelhető csoportokat a 30 napos helyreállítható törlési ablakban. A törölt csoportok visszaállításáról további információt a Törölt Microsoft 365-csoport vagy felhőbeli biztonsági csoport visszaállítása a Microsoft Entra ID-ben című témakörben talál.

Következő lépések

• Szerepkör-hozzárendelések kezelése a Microsoft Entra-csoportok használatával
• Szerepkörhöz hozzárendelhető csoport létrehozása