Solucionar problemas em funções do Azure AD atribuídas a grupos

Aqui estão algumas perguntas comuns e dicas de solução de problemas para atribuir funções do Azure AD (Azure Active Directory) a grupos do Azure AD.

Sou um Administrador de Grupos, mas não consigo ver a chave 'Funções do Azure AD podem ser atribuídas ao grupo'.

Somente Administradores de Função com Privilégios ou Administradores globais podem criar um grupo qualificado para atribuição de função. Somente os usuários nessas funções veem o controle.

Quem pode modificar a associação de grupos atribuídos às funções do Azure AD?

Por padrão, apenas o Administrador de Função com Privilégios e o Administrador Global gerenciam a associação de um grupo de função atribuível. Mas você pode delegar o gerenciamento de grupos de função atribuível adicionando proprietários de grupo.

Sou Administrador de Assistência Técnica em minha organização, mas não consigo atualizar a senha de um usuário que é um Leitores de Diretório. Por que isso acontece?

O usuário pode ter obtido a atribuição de Leitor de Diretório por meio de um grupo de função atribuível. Todos os membros e proprietários de um grupo de funções atribuíveis são protegidos. Somente usuários nas funções de Administrador de Autenticação Privilegiada ou Administrador Global podem redefinir credenciais para um usuário protegido.

Não é possível atualizar a senha de um usuário. Eles não têm nenhuma função com privilégios mais altos atribuída. Por que isso está acontecendo?

O usuário pode ser um proprietário de um grupo de função atribuível. Protegemos os proprietários de grupos de função atribuíveis para evitar a elevação de privilégio. Por exemplo, se um grupo Contoso_Security_Admins for atribuído à função de Administrador de segurança, onde Bob é proprietário do grupo e Alice é Administrador de senhas na organização. Se essa proteção não estivesse presente, Alice poderia redefinir as credenciais de Bob e assumir sua identidade. Depois disso, Alice poderia adicionar a si mesma ou qualquer pessoa ao grupo Contoso_Security_Admins para se tornar um Administrador de segurança na organização. Para descobrir se um usuário é um proprietário do grupo, obtenha a lista de objetos de propriedade desse usuário e confira se algum dos grupos tem isAssignableToRole definido como verdadeiro. Em caso afirmativo, esse usuário será protegido e o comportamento será por design. Confira estas documentações para obter objetos de propriedade:

Posso criar uma revisão de acesso em grupos que podem ser atribuídos às funções do Azure AD (especificamente, grupos com a propriedade isAssignableToRole definida como true)?

Sim, você pode. Administradores Globais e Administradores de Função com Privilégios podem criar revisões de acesso em grupos que pode receber funções.

Posso criar um pacote de acesso e colocar grupos que possam ser atribuídos às funções do Azure AD nele?

Sim, você pode. O Administrador Global e o Administrador de Usuários têm a capacidade de colocar qualquer grupo em um pacote de acesso. Nada muda para o Administrador Global, mas há uma leve alteração nas permissões da função de Administrador de usuários. Para colocar um grupo de função atribuível em um pacote de acesso, você deverá ser um Administrador do usuário e também o proprietário do grupo de funções atribuíveis. Confira a tabela completa que mostra quem pode criar o pacote de acesso no Gerenciamento de Licenças Enterprise:

Função do diretório do Azure Active Directory Função de gerenciamento de direitos Pode adicionar um grupo de segurança* Pode adicionar um grupo do Microsoft 365* Pode adicionar um aplicativo Pode adicionar sites do SharePoint Online
Administrador Global N/D ✔️ ✔️ ✔️ ✔️
Administrador de usuários N/D ✔️ ✔️ ✔️
Administrador do Intune Proprietário do catálogo ✔️ ✔️    
Administrador do Exchange Proprietário do catálogo   ✔️    
Administrador de serviços do Team Proprietário do catálogo   ✔️    
Administrador do SharePoint Proprietário do catálogo   ✔️   ✔️
Administrador de aplicativos Proprietário do catálogo     ✔️  
Administrador de aplicativos de nuvem Proprietário do catálogo     ✔️  
Usuário Proprietário do catálogo Somente se for proprietário do grupo Somente se for proprietário do grupo Somente se for proprietário do aplicativo  

*O grupo não pode ter funções atribuídas a ele, ou seja, isAssignableToRole = false. Se um grupo for de função atribuível, a pessoa que criar o pacote de acesso também deverá ser proprietária do grupo de função atribuível.

Não é possível localizar a opção "Remover atribuição" em "Funções Atribuídas". Como fazer para excluir a atribuição de função de um usuário?

Essa resposta é aplicável somente a organizações Azure AD Premium P1.

  1. Entre no portal do Azure Azure ou no centro de administração do Azure AD e abra o Azure Active Directory.
  2. Selecione usuários e abra um perfil de usuário.
  3. Selecione Funções atribuídas.
  4. Selecione o ícone de engrenagem. Um painel é aberto e pode fornecer essas informações. Há um botão "Remover" ao lado das atribuições diretas. Para remover a atribuição de função indireta, remova o usuário do grupo ao qual a função foi atribuída.

Como fazer para ver todos os grupos que são de função atribuível?

Siga estas etapas:

  1. Entre no portal do Azure Azure ou no centro de administração do Azure AD e abra o Azure Active Directory.
  2. Selecione Grupos>Todos os grupos.
  3. Selecione Adicionar filtros.
  4. Filtrar para Função atribuível.

Como fazer para saber qual função está atribuída direta e indiretamente a uma entidade de segurança?

Siga estas etapas:

  1. Entre no portal do Azure Azure ou no centro de administração do Azure AD e abra o Azure Active Directory.

  2. Selecione usuários e abra um perfil de usuário.

  3. Selecione Funções atribuídas e:

    • Em organizações licenciadas do Azure AD Premium P1: selecione o ícone de engrenagem. Um painel é aberto e pode fornecer essas informações.
    • Em organizações licenciadas do Azure AD Premium P2: você encontrará informações de licença diretas e herdadas na coluna Associação.

Por que impor a criação de um novo grupo para atribuí-lo à função?

Se você atribuir um grupo existente a uma função, o proprietário do grupo existente poderá adicionar outros membros a esse grupo sem que os novos membros perceberem que terão a função. Como os grupos de função atribuíveis são poderosos, estamos adicionando muitas restrições para protegê-los. Você não quer alterações no grupo que seriam surpreendentes para a pessoa que está gerenciando o grupo.