Ниже приведены некоторые распространенные вопросы и советы по устранению неполадок для назначения ролей Microsoft Entra группам Microsoft Entra.
Я группа Администратор istrator, но я не вижу переключателя "Роли Microsoft Entra можно назначить группе".
Привилегированные роли Администратор istrator могут создавать группу, которая имеет право на назначение ролей. Пользователи с этой ролью могут видеть этот переключатель.
Кто может изменить членство в группах, назначенных ролям Microsoft Entra?
По умолчанию привилегированная роль Администратор istrator управляет членством в группе, назначаемой ролью, но вы можете делегировать управление группами, назначаемыми ролями, путем добавления владельцев групп.
Я являюсь администратором службы поддержки в моей организации, но не могу обновить пароль пользователя с ролью читателя каталога. Почему так происходит?
Возможно, пользователь получил роль читателя каталогов благодаря группе c назначением роли. Защищены все члены и владельцы групп, назначаемых ролями. Пользователи с ролью привилегированной проверки подлинности Администратор istrator могут сбрасывать учетные данные для защищенного пользователя.
Не удается обновить пароль пользователя. Им не назначена привилегированная роль более высокого уровня. Почему это происходит?
Пользователь может быть владельцем группы c назначением роли. Мы защищаем владельцев групп c назначением роли, чтобы избежать повышения привилегий. Допустим, например, что группе Contoso_Security_Admins назначена роль Администратора безопасности, где Борис — владелец группы, а Алиса — администратор паролей в организации. Если эта защита не установлена, Алиса может сбросить учетные данные Бориса и получить его удостоверение. После этого Алиса сможет добавить себя или любого сотрудника в группу Contoso_Security_Admins, чтобы стать Администратором безопасности в организации. Чтобы узнать, является ли пользователь владельцем группы, получите список собственных объектов этого пользователя и проверьте, задано ли для параметра isAssignableToRole какой-либо группы значение true. Если да, этот пользователь защищен и такое поведение ожидаемо. Сведения о том, как получить собственные объекты, см. в этих документах:
Можно ли создать проверку доступа для групп, которые могут быть назначены ролям Microsoft Entra (в частности, группам с свойствомAssignableToRole задано значение true)?
Да, вы можете. Привилегированные роли Администратор istrator могут создавать проверки доступа для групп, назначаемых ролями.
Можно ли создать пакет доступа и поместить группы, которые можно назначить ролям Microsoft Entra?
Да, вы можете. Пользователь Администратор istrator имеет разрешения на размещение любой группы в пакете доступа. Для глобального администратора все остается неизменным, но в разрешениях роли администратора пользователей будет небольшое изменение. Чтобы поместить назначаемую ролью группу в пакет для доступа, необходимо быть администратором пользователей, а также владельцем группы c назначением роли. Ниже приведена полная таблица, в которой показано, кто может создать пакет для доступа в средстве управления корпоративными лицензиями.
| Роль каталога Microsoft Entra | Роль управления правами | Может добавить группу безопасности* | Может добавить группу Microsoft 365* | Может добавить приложение | Может добавить сайт SharePoint Online |
|---|---|---|---|---|---|
| Глобальный администратор | Н/Д | ✔️ | ✔️ | ✔️ | ✔️ |
| Администратор пользователей | Н/Д | ✔️ | ✔️ | ✔️ | |
| Администратор Intune | Владелец каталога | ✔️ | ✔️ | ||
| Администратор Exchange | Владелец каталога | ✔️ | |||
| Администратор службы Teams | Владелец каталога | ✔️ | |||
| Администратор SharePoint | Владелец каталога | ✔️ | ✔️ | ||
| Администратор приложений | Владелец каталога | ✔️ | |||
| Администратор облачных приложений | Владелец каталога | ✔️ | |||
| User | Владелец каталога | Только для владельцев группы | Только для владельцев группы | Только для владельцев приложения |
* Группа не поддерживает назначение роли, то есть isAssignableToRole = false. Если группа поддерживает назначение роли, пользователь, создающий пакет для доступа, также должен быть владельцем группы c назначением роли.
Не удается найти параметр "Удалить назначение" в разделе "Назначенные роли". Как удалить назначение роли пользователю?
Этот ответ применим только к организациям Microsoft Entra ID P1.
- Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите пользователя.
- Щелкните Назначенные роли.
- Выберите назначение роли, которое нужно удалить.
- Выберите " Удалить назначения", чтобы удалить прямые назначения ролей.
Чтобы удалить непрямые назначения ролей, удалите пользователя из группы, которая была назначена роли.
Как просмотреть все группы c назначением ролей?
Выполните следующие действия:
- Войдите в центр администрирования Microsoft Entra.
- Перейдите к группам>удостоверений>Все группы.
- Щелкните Добавить фильтры.
- Примените фильтр Группы с назначением роли.
Как понять, какая роль назначена участнику напрямую и косвенно?
Выполните следующие действия:
- Войдите в центр администрирования Microsoft Entra.
- Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
- Выберите пользователя.
- Щелкните Назначенные роли.
- Если у вас есть лицензия Microsoft Entra ID P1, просмотрите столбец пути назначения.
- Если у вас есть лицензия Microsoft Entra ID P2, просмотрите столбец "Членство ".
Почему требуется создать новую облачную группу для назначения ее роли?
Если роль назначается имеющейся группе, существующий владелец группы может добавить в эту группу других членов, которые не будут знать, что им назначена такая роль. Так как группы c назначением ролей предоставляют широкие возможности, мы налагаем множество ограничений для их защиты. Не стоит вносить в группу изменения, которые окажутся неожиданностью для управляющего ею пользователя.