Berikut adalah beberapa pertanyaan umum dan tips pemecahan masalah untuk menetapkan peran Microsoft Entra ke grup Microsoft Entra.
Saya adalah Administrator Grup tetapi saya tidak dapat melihat tombol 'Peran Microsoft Entra dapat ditetapkan ke grup'.
Administrator Peran Istimewa dapat membuat grup yang memenuhi syarat untuk penetapan peran. Pengguna dengan peran ini dapat melihat sakelar ini.
Siapa dapat mengubah keanggotaan grup yang ditetapkan ke peran Microsoft Entra?
Secara default, Administrator Peran Istimewa mengelola keanggotaan grup yang dapat ditetapkan peran, tetapi Anda dapat mendelegasikan manajemen grup yang dapat ditetapkan peran dengan menambahkan pemilik grup.
Saya adalah Administrator Bantuan Teknis di organisasi saya tetapi saya tidak dapat memperbarui kata sandi pengguna yang merupakan Pembaca Direktori. Mengapa itu terjadi?
Pengguna tersebut mungkin telah mendapatkan Pembaca Direktori melalui grup yang dapat diberi peran. Semua anggota dan pemilik grup yang dapat ditetapkan peran dilindungi. Pengguna dengan peran Administrator Autentikasi Istimewa dapat mengatur ulang kredensial untuk pengguna yang dilindungi.
Saya tidak bisa memperbarui kata sandi pengguna. Pengguna itiu tidak memiliki peran istimewa yang lebih tinggi yang ditugaskan. Mengapa itu terjadi?
Pengguna tersebut bisa saja merupakan pemilik grup yang dapat diberi peran. Kami melindungi pemilik grup yang dapat diberi peran untuk menghindari elevasi. Contohnya mungkin jika grup Contoso_Security_Admins ditetapkan ke peran Administrator Keamanan, di mana Bob adalah pemilik grup dan Alice adalah administrator Kata sandi di organisasi. Jika perlindungan ini tidak ada, Alice bisa mengatur ulang informasi masuk Bob dan mengambil alih identitasnya. Setelah itu, Alice dapat menambahkan dirinya atau siapa pun ke grup Contoso_Security_Admins untuk menjadi Administrator Keamanan dalam organisasi. Untuk mengetahui apakah pengguna adalah pemilik grup, dapatkan daftar objek yang dimiliki pengguna tersebut dan lihat apakah salah satu grup memiliki isAssignableToRole yang diatur ke benar. Jika ya, pengguna tersebut dilindungi dan perilakunya telah ditentukan. Lihat dokumentasi berikut untuk mendapatkan objek yang dimiliki:
Dapatkah saya membuat tinjauan akses pada grup yang dapat ditetapkan ke peran Microsoft Entra (khususnya, grup dengan properti isAssignableToRole diatur ke true)?
Ya, Anda bisa. Administrator Peran Istimewa dapat membuat tinjauan akses pada grup yang dapat ditetapkan peran.
Dapatkah saya membuat paket akses dan menempatkan grup yang dapat ditetapkan ke peran Microsoft Entra di dalamnya?
Ya, Anda bisa. Administrator Pengguna memiliki izin untuk memasukkan grup apa pun ke dalam paket akses. Tidak ada perubahan untuk Administrator Global, tetapi ada sedikit perubahan dalam izin peran administrator Pengguna. Untuk menempatkan grup yang dapat ditetapkan peran ke dalam paket akses, Anda harus menjadi Administrator Pengguna dan juga pemilik grup yang dapat diberi peran. Berikut tabel lengkap yang menunjukkan siapa yang bisa membuat paket akses di Manajemen Lisensi Perusahaan:
Peran direktori Microsoft Entra | Peran pengelolaan pemberian hak | Dapat menambahkan kelompok keamanan* | Dapat menambahkan grup Microsoft 365* | Bisa menambahkan aplikasi | Dapat menambahkan situs web SharePoint Online |
---|---|---|---|---|---|
Administrator Global | n/a | ✔️ | ✔️ | ✔️ | ✔️ |
Admin Pengguna | n/a | ✔️ | ✔️ | ✔️ | |
Admin Intune | Pemilik katalog | ✔️ | ✔️ | ||
Administrator Exchange | Pemilik katalog | ✔️ | |||
Administrator layanan Teams | Pemilik katalog | ✔️ | |||
Administrator SharePoint | Pemilik katalog | ✔️ | ✔️ | ||
Administrator Aplikasi | Pemilik katalog | ✔️ | |||
Administrator aplikasi cloud | Pemilik katalog | ✔️ | |||
Pengguna | Pemilik katalog | Hanya jika pemilik grup | Hanya jika pemilik grup | Hanya jika pemilik aplikasi |
*Grup tidak dapat diberikan peran; yaitu, isAssignableToRole = false. Jika grup dapat diberi peran, maka orang yang membuat paket akses juga harus menjadi pemilik grup yang dapat diberi peran.
Saya tidak dapat menemukan opsi "Hapus penugasan" di "Peran yang Ditetapkan". Bagaimana cara menghapus penetapan peran kepada pengguna?
Jawaban ini hanya berlaku untuk organisasi Microsoft Entra ID P1.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
- Telusuri ke Pengguna>Identitas>Semua pengguna.
- Pilih pengguna.
- Pilih Peran yang ditetapkan.
- Pilih penetapan peran yang ingin Anda hapus.
- Pilih Hapus tugas untuk menghapus penetapan peran langsung.
Untuk menghapus penetapan peran tidak langsung, hapus pengguna dari grup yang telah diberi peran.
Bagaimana cara melihat semua grup yang dapat diberi peran?
Ikuti langkah-langkah ini:
- Masuk ke Pusat Admin Microsoft Entra.
- Telusuri ke Grup>Identitas>Semua grup.
- Pilih Tambahkan filter.
- Filter ke Peran yang dapat ditetapkan.
Bagaimana cara mengetahui peran mana yang diberikan kepada prinsipal secara langsung dan tidak langsung?
Ikuti langkah-langkah ini:
- Masuk ke Pusat Admin Microsoft Entra.
- Telusuri ke Pengguna>Identitas>Semua pengguna.
- Pilih pengguna.
- Pilih Peran yang ditetapkan.
- Jika Anda memiliki lisensi Microsoft Entra ID P1, lihat kolom Jalur Penugasan.
- Jika Anda memiliki lisensi Microsoft Entra ID P2, lihat kolom Keanggotaan .
Mengapa kami memberlakukan pembuatan grup cloud baru untuk menetapkannya ke peran?
Jika Anda menetapkan grup yang ada ke sebuah peran, pemilik grup yang ada dapat menambahkan anggota lain ke grup ini tanpa anggota baru menyadari bahwa mereka akan memiliki peran tersebut. Karena grup yang dapat diberi peran sangat kuat, kami memberi banyak batasan untuk melindungi mereka. Anda tidak ingin perubahan pada grup yang akan mengejutkan orang yang mengelola grup.