Här följer några vanliga frågor och felsökningstips för att tilldela Microsoft Entra-roller till Microsoft Entra-grupper.
Jag är gruppadministratör men jag kan inte se växeln "Microsoft Entra-roller kan tilldelas till gruppen".
Privilegierade rolladministratörer kan skapa en grupp som är berättigad till rolltilldelning. Användare med den här rollen kan se den här växeln.
Vem kan ändra medlemskapet för grupper som har tilldelats till Microsoft Entra-roller?
Som standard hanterar privilegierad rolladministratör medlemskapet i en rolltilldelningsbar grupp, men du kan delegera hanteringen av rolltilldelningsbara grupper genom att lägga till gruppägare.
Jag är supportadministratör i min organisation, men jag kan inte uppdatera lösenordet för en användare som är katalogläsare. Varför händer det?
Användaren kan ha fått katalogläsare via en rolltilldelningsbar grupp. Alla medlemmar och ägare av rolltilldelningsbara grupper skyddas. Användare med rollen Administratör för privilegierad autentisering kan återställa autentiseringsuppgifter för en skyddad användare.
Jag kan inte uppdatera lösenord för en användare. De har inte tilldelats någon högre privilegierad roll. Varför händer det?
Användaren kan vara ägare till en rolltilldelningsbar grupp. Vi skyddar ägare av rolltilldelningsbara grupper för att undvika utökade privilegier. Ett exempel kan vara om en grupp Contoso_Security_Admins tilldelas rollen Säkerhetsadministratör, där Bob är gruppägare och Alice är lösenordsadministratör i organisationen. Om det här skyddet inte finns kan Alice återställa Bobs autentiseringsuppgifter och ta över hans identitet. Därefter kan Alice lägga till sig själv eller någon annan i gruppen Contoso_Security_Admins grupp för att bli säkerhetsadministratör i organisationen. Om du vill ta reda på om en användare är gruppägare hämtar du listan över ägda objekt för användaren och ser om någon av grupperna har isAssignableToRole inställd på true. Om ja, skyddas den användaren och beteendet är avsiktligt. Se dessa dokumentationer för att hämta ägda objekt:
Kan jag skapa en åtkomstgranskning för grupper som kan tilldelas till Microsoft Entra-roller (specifikt grupper med egenskapen isAssignableToRole inställd på true)?
Ja, det kan du. Privilegierade rolladministratörer kan skapa åtkomstgranskningar för rolltilldelningsbara grupper.
Kan jag skapa ett åtkomstpaket och placera grupper som kan tilldelas till Microsoft Entra-roller i det?
Ja, det kan du. Användaradministratören har behörighet att placera valfri grupp i ett åtkomstpaket. Inget ändras för global administratör, men det finns en liten ändring i behörigheterna för användaradministratörsrollen. Om du vill placera en rolltilldelningsbar grupp i ett åtkomstpaket måste du vara användaradministratör och även ägare till den rolltilldelningsbara gruppen. Här är den fullständiga tabellen som visar vem som kan skapa åtkomstpaket i Enterprise License Management:
| Microsoft Entra-katalogroll | Rättighetshanteringsroll | Kan lägga till säkerhetsgrupp* | Kan lägga till Microsoft 365-grupp* | Kan lägga till app | Kan lägga till SharePoint Online-webbplats |
|---|---|---|---|---|---|
| Global administratör | saknas | ✔️ | ✔️ | ✔️ | ✔️ |
| Användaradministratör | saknas | ✔️ | ✔️ | ✔️ | |
| Intune-administratör | Katalogägare | ✔️ | ✔️ | ||
| Exchange-administratör | Katalogägare | ✔️ | |||
| Teams-tjänstadministratör | Katalogägare | ✔️ | |||
| SharePoint-administratör | Katalogägare | ✔️ | ✔️ | ||
| Appadministratör | Katalogägare | ✔️ | |||
| Molnprogramadministratör | Katalogägare | ✔️ | |||
| User | Katalogägare | Endast om gruppägare | Endast om gruppägare | Endast om appens ägare |
*Gruppen är inte rolltilldelningsbar. dvs isAssignableToRole = false. Om en grupp är rolltilldelningsbar måste personen som skapar åtkomstpaketet också vara ägare till den rolltilldelningsbara gruppen.
Jag hittar inte alternativet "Ta bort tilldelning" i "Tilldelade roller". Hur gör jag för att ta bort rolltilldelning till en användare?
Det här svaret gäller endast för Microsoft Entra ID P1-organisationer.
- Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
- Gå till Identitet>Användare>Alla användare.
- Välj en användare.
- Välj Tilldelade roller.
- Välj en rolltilldelning som du vill ta bort.
- Välj Ta bort tilldelningar för att ta bort direkta rolltilldelningar.
Ta bort indirekta rolltilldelningar genom att ta bort användaren från den grupp som har tilldelats rollen.
Hur gör jag för att se alla grupper som kan tilldelas rollen?
Följ de här stegen:
- Logga in på administrationscentret för Microsoft Entra.
- Bläddra till Identitetsgrupper>>Alla grupper.
- Välj Lägg till filter.
- Filtrera till rolltilldelningsbar.
Hur gör jag för att vet vilken roll som tilldelas ett huvudnamn direkt och indirekt?
Följ de här stegen:
- Logga in på administrationscentret för Microsoft Entra.
- Gå till Identitet>Användare>Alla användare.
- Välj en användare.
- Välj Tilldelade roller.
- Om du har en Microsoft Entra ID P1-licens kan du visa kolumnen Tilldelningssökväg .
- Om du har en Microsoft Entra ID P2-licens kan du visa kolumnen Medlemskap .
Varför framtvingar vi att skapa en ny grupp för att tilldela den till rollen?
Om du tilldelar en befintlig grupp till en roll kan den befintliga gruppägaren lägga till andra medlemmar i den här gruppen utan att de nya medlemmarna inser att de har rollen. Eftersom rolltilldelningsbara grupper är kraftfulla lägger vi många begränsningar för att skydda dem. Du vill inte ha ändringar i gruppen som skulle vara överraskande för den person som hanterar gruppen.