Ecco alcune domande comuni e suggerimenti per la risoluzione dei problemi per l'assegnazione dei ruoli di Microsoft Entra ai gruppi di Microsoft Entra.
I'm a Groups Amministrazione istrator but I can't see the 'Microsoft Entra roles can be assigned to the group' switch.
I ruoli con privilegi Amministrazione istrator possono creare un gruppo idoneo per l'assegnazione di ruolo. Gli utenti con questo ruolo possono visualizzare questa opzione.
Chi può modificare l'appartenenza ai gruppi assegnati ai ruoli di Microsoft Entra?
Per impostazione predefinita, il ruolo con privilegi Amministrazione istrator gestisce l'appartenenza a un gruppo assegnabile di ruolo, ma è possibile delegare la gestione dei gruppi assegnabili tramite l'aggiunta di proprietari di gruppi.
Io sono un helpdesk Amministrazione istrator nell'organizzazione, ma non è possibile aggiornare la password di un utente che è un lettore di directory. Perché succede?
L'utente potrebbe aver ottenuto i lettori di directory tramite un gruppo assegnabile a ruoli. Tutti i membri e i proprietari dei gruppi assegnabili a ruoli sono protetti. Gli utenti con il ruolo Privileged Authentication Amministrazione istrator possono reimpostare le credenziali per un utente protetto.
Non è possibile aggiornare la password di un utente. Non hanno alcun ruolo con privilegi più elevati assegnati. Perché sta succedendo?
L'utente può essere un proprietario di un gruppo assegnabile a ruoli. Proteggiamo i proprietari di gruppi assegnabili a ruoli per evitare l'elevazione dei privilegi. Un esempio può essere se un gruppo Contoso_Security_Amministrazione s viene assegnato al ruolo Security Amministrazione istrator, dove Bob è il proprietario del gruppo e Alice è Password Amministrazione istrator nell'organizzazione. Se questa protezione non era presente, Alice potrebbe reimpostare le credenziali di Bob e assumere la sua identità. Successivamente, Alice potrebbe aggiungere se stessa o chiunque al gruppo Contoso_Security_Amministrazione s per diventare un Amministrazione istrator di sicurezza nell'organizzazione. Per verificare se un utente è proprietario di un gruppo, ottenere l'elenco di oggetti di proprietà di tale utente e verificare se uno dei gruppi ha isAssignableToRole impostato su true. In caso affermativo, l'utente è protetto e il comportamento è progettato. Per ottenere oggetti di proprietà, vedere queste documentazioni:
È possibile creare una verifica di accesso sui gruppi che possono essere assegnati ai ruoli di Microsoft Entra (in particolare i gruppi con la proprietà isAssignableToRole impostata su true)?
Si, puoi. I ruoli con privilegi Amministrazione istrator possono creare verifiche di accesso nei gruppi assegnabili ai ruoli.
È possibile creare un pacchetto di accesso e inserire i gruppi che possono essere assegnati ai ruoli di Microsoft Entra?
Si, puoi. L'utente Amministrazione istrator ha le autorizzazioni per inserire qualsiasi gruppo in un pacchetto di accesso. Nessuna modifica per Global Amministrazione istrator, ma è stata apportata una lieve modifica alle autorizzazioni del ruolo user Amministrazione istrator. Per inserire un gruppo assegnabile da ruolo in un pacchetto di accesso, è necessario essere un utente Amministrazione istrator e anche il proprietario del gruppo assegnabile di ruolo. Ecco la tabella completa che mostra chi può creare un pacchetto di accesso in Enterprise License Management:
| Ruolo della directory di Microsoft Entra | Ruolo di gestione entitlement | Può aggiungere un gruppo di sicurezza* | Può aggiungere un gruppo di Microsoft 365* | Può aggiungere app | Può aggiungere un sito di SharePoint Online |
|---|---|---|---|---|---|
| Amministratore globale | n/d | ✔️ | ✔️ | ✔️ | ✔️ |
| Amministratore utenti | n/d | ✔️ | ✔️ | ✔️ | |
| Amministratore di Intune | Proprietario catalogo | ✔️ | ✔️ | ||
| Amministratore di Exchange | Proprietario catalogo | ✔️ | |||
| Amministrazione istrator del servizio Teams | Proprietario catalogo | ✔️ | |||
| Amministratore SharePoint | Proprietario catalogo | ✔️ | ✔️ | ||
| Amministratore di applicazioni | Proprietario catalogo | ✔️ | |||
| Applicazione cloud Amministrazione istrator | Proprietario catalogo | ✔️ | |||
| User | Proprietario catalogo | Solo se è proprietario del gruppo | Solo se è proprietario del gruppo | Solo se è proprietario dell'app |
*Il gruppo non è assegnabile al ruolo; ovvero isAssignableToRole = false. Se un gruppo è assegnabile a ruoli, la persona che crea il pacchetto di accesso deve anche essere proprietario del gruppo assegnabile al ruolo.
Non è possibile trovare l'opzione "Rimuovi assegnazione" in "Ruoli assegnati". Ricerca per categorie eliminare l'assegnazione di ruolo a un utente?
Questa risposta è applicabile solo alle organizzazioni Microsoft Entra ID P1.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
- Passare a Identità>Utenti>Tutti gli utenti.
- Seleziona un utente.
- Selezionare Ruoli assegnati.
- Selezionare un'assegnazione di ruolo da rimuovere.
- Selezionare Rimuovi assegnazioni per rimuovere le assegnazioni di ruolo dirette.
Per rimuovere le assegnazioni di ruolo indirette, rimuovere l'utente dal gruppo a cui è stato assegnato il ruolo.
Ricerca per categorie visualizzare tutti i gruppi assegnabili ai ruoli?
Seguire questa procedura:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra.
- Passare a Gruppi>di identità>Tutti i gruppi.
- Selezionare Aggiungi filtri.
- Filtrare in Role assignable (Assegnabile ruolo).
Ricerca per categorie sapere quale ruolo viene assegnato a un'entità di sicurezza direttamente e indirettamente?
Seguire questa procedura:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra.
- Passare a Identità>Utenti>Tutti gli utenti.
- Seleziona un utente.
- Selezionare Ruoli assegnati.
- Se si dispone di una licenza microsoft Entra ID P1, visualizzare la colonna Percorso di assegnazione.
- Se si dispone di una licenza Microsoft Entra ID P2, visualizzare la colonna Appartenenza .
Perché si applica la creazione di un nuovo gruppo per assegnarlo al ruolo?
Se si assegna un gruppo esistente a un ruolo, il proprietario del gruppo esistente potrebbe aggiungere altri membri a questo gruppo senza che i nuovi membri abbiano il ruolo. Poiché i gruppi assegnabili ai ruoli sono potenti, vengono applicate numerose restrizioni per proteggerli. Non si vogliono modificare il gruppo che sarebbe sorprendente per la persona che gestisce il gruppo.