Poniżej przedstawiono kilka typowych pytań i wskazówek dotyczących rozwiązywania problemów dotyczących przypisywania ról firmy Microsoft do grup firmy Microsoft Entra.
Jestem Administracja istratorem grup, ale nie widzę przełącznika "Role entra firmy Microsoft można przypisać do grupy".
Uprzywilejowane role Administracja istratory mogą utworzyć grupę, która kwalifikuje się do przypisania roli. Użytkownicy z tą rolą mogą zobaczyć ten przełącznik.
KtoTo może zmodyfikować członkostwo grup przypisanych do ról firmy Microsoft Entra?
Domyślnie rola uprzywilejowana Administracja istrator zarządza członkostwem grupy z możliwością przypisywania ról, ale można delegować zarządzanie grupami, które można przypisać do ról, dodając właścicieli grup.
Jestem administratorem pomocy technicznej Administracja istratorem w mojej organizacji, ale nie mogę zaktualizować hasła użytkownika, który jest czytelnikiem katalogu. Dlaczego tak się dzieje?
Użytkownik mógł zdobyć czytelników katalogu za pomocą grupy możliwej do przypisania roli. Wszyscy członkowie i właściciele grup z możliwością przypisywania ról są chronieni. Użytkownicy z rolą privileged Authentication Administracja istrator mogą resetować poświadczenia dla chronionego użytkownika.
Nie mogę zaktualizować hasła użytkownika. Nie mają przypisanej wyższej roli uprzywilejowanej. Dlaczego tak się dzieje?
Użytkownik może być właścicielem grupy z możliwością przypisania ról. Chronimy właścicieli grup z możliwością przypisywania ról, aby uniknąć podniesienia uprawnień. Przykładem może być przypisanie grupy Contoso_Security_Administracja do roli Administracja istratora zabezpieczeń, gdzie Bob jest właścicielem grupy, a Alicja to password Administracja istrator w organizacji. Jeśli ta ochrona nie była obecna, Alice może zresetować poświadczenia Boba i przejąć jego tożsamość. Następnie Alice może dodać siebie lub każdą osobę do grupy Contoso_Security_Administracja s, aby zostać Administracja istratorem zabezpieczeń w organizacji. Aby dowiedzieć się, czy użytkownik jest właścicielem grupy, pobierz listę obiektów należących do tego użytkownika i sprawdź, czy którakolwiek z grup ma wartość isAssignableToRole ustawioną na true. Jeśli tak, to ten użytkownik jest chroniony, a zachowanie jest zgodnie z projektem. Zapoznaj się z tymi dokumentacjami dotyczącymi pobierania obiektów należących do firmy:
Czy mogę utworzyć przegląd dostępu dla grup, które można przypisać do ról firmy Microsoft Entra (w szczególności grup z właściwością isAssignableToRole ustawioną na true)?
Tak, możesz. Uprzywilejowane Administracja istratory ról mogą tworzyć przeglądy dostępu w grupach z możliwością przypisywania ról.
Czy mogę utworzyć pakiet dostępu i umieścić grupy, które można przypisać do ról firmy Microsoft Entra w nim?
Tak, możesz. Użytkownik Administracja istrator ma uprawnienia do umieszczania dowolnej grupy w pakiecie dostępu. Nic się nie zmienia w przypadku globalnego Administracja istratora, ale istnieje niewielka zmiana uprawnień roli Administracja istrator użytkownika. Aby umieścić grupę z możliwością przypisania ról do pakietu dostępu, musisz być użytkownikiem Administracja istratorem, a także właścicielem grupy z możliwością przypisania roli. Oto pełna tabela przedstawiająca, kto może utworzyć pakiet dostępu w usłudze Enterprise License Management:
| Rola katalogu Entra firmy Microsoft | Rola zarządzania upoważnieniami | Może dodać grupę zabezpieczeń* | Może dodać grupę platformy Microsoft 365* | Może dodać aplikację | Może dodać witrynę usługi SharePoint Online |
|---|---|---|---|---|---|
| Globalny administrator usługi | nie dotyczy | ✔️ | ✔️ | ✔️ | ✔️ |
| Administrator użytkowników | nie dotyczy | ✔️ | ✔️ | ✔️ | |
| Administrator usługi Intune | Właściciel wykazu | ✔️ | ✔️ | ||
| Administrator programu Exchange | Właściciel wykazu | ✔️ | |||
| Administracja istrator usługi Teams | Właściciel wykazu | ✔️ | |||
| Administracja istrator programu SharePoint | Właściciel wykazu | ✔️ | ✔️ | ||
| Administrator aplikacji | Właściciel wykazu | ✔️ | |||
| Administracja istrator aplikacji w chmurze | Właściciel wykazu | ✔️ | |||
| User | Właściciel wykazu | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel grupy | Tylko wtedy, gdy właściciel aplikacji |
*Grupa nie może przypisywać ról; oznacza to, isAssignableToRole = false. Jeśli grupa jest przypisywana rolą, osoba tworząca pakiet dostępu musi być również właścicielem grupy z możliwością przypisywania ról.
Nie mogę znaleźć opcji "Usuń przypisanie" w obszarze "Przypisane role". Jak mogę usunąć przypisanie roli do użytkownika?
Ta odpowiedź ma zastosowanie tylko do organizacji Microsoft Entra ID P1.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator ról uprzywilejowanych.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika.
- Wybierz pozycję Przypisane role.
- Wybierz przypisanie roli, które chcesz usunąć.
- Wybierz pozycję Usuń przypisania, aby usunąć bezpośrednie przypisania ról.
Aby usunąć przypisania ról pośrednich, usuń użytkownika z grupy, do której przypisano rolę.
Jak mogę zobaczyć wszystkie grupy, które można przypisać do ról?
Wykonaj te kroki:
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
- Wybierz pozycję Dodaj filtry.
- Filtruj do roli, do których można przypisać.
Jak mogę wiedzieć, która rola jest przypisana bezpośrednio i pośrednio do podmiotu zabezpieczeń?
Wykonaj te kroki:
- Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz użytkownika.
- Wybierz pozycję Przypisane role.
- Jeśli masz licencję Microsoft Entra ID P1, wyświetl kolumnę Ścieżka przypisania.
- Jeśli masz licencję Microsoft Entra ID P2, wyświetl kolumnę Członkostwo .
Dlaczego wymuszamy utworzenie nowej grupy na potrzeby przypisywania jej do roli?
Jeśli przypiszesz istniejącą grupę do roli, istniejący właściciel grupy może dodać innych członków do tej grupy bez świadomości, że będą mieć rolę. Ponieważ grupy z możliwością przypisywania ról są zaawansowane, wprowadzamy wiele ograniczeń w celu ich ochrony. Nie chcesz, aby zmiany w grupie byłyby zaskakujące dla osoby zarządzającej grupą.