Q: 我是「群組管理員」，但看不到 [可以將 Microsoft Entra 角色指派到群組] 按鈕。

特殊權限角色管理員可以建立符合角色指派資格的群組。 具有此角色的使用者可以檢視此按鈕。

Q: 我是組織中的「服務台管理員」，但無法更新「目錄讀取者」使用者的密碼。 為什麼會發生這種情況？

使用者可能已透過可指派角色群組來取得「目錄讀取者」。 可指派角色群組的所有成員和擁有者都會受到保護。 具備「特殊權限驗證管理員」角色的使用者可以重設受保護使用者的認證。

Q: 我無法更新使用者的密碼。 他們未獲指派任何較高的特殊權限角色。 為什麼會發生這種情況？

使用者可以是可指派角色群組的擁有者。 我們會保護可指派角色群組的擁有者，以避免提高權限。 例如，如果將 Contoso_Security_Admins 群組指派給「安全性管理員」角色，其中 Bob 是群組擁有者，而 Alice 是組織中的「密碼管理員」。 如果沒有這項保護，則 Alice 可以重設 Bob 的認證，並接管他的身分識別。 之後，Alice 可以將自己或任何人新增至 Contoso_Security_Admins 群組，以成為組織中的「安全性管理員」。 若要找出使用者是否為群組擁有者，請取得該使用者的擁有物件清單，並查看是否有任何群組已將 isAssignableToRole 設定為 true。 如果是，則該使用者會受到保護，而且行為是設計而成。 請參閱這些文件以取得擁有物件： Get-MgUserOwnedObject 列出 ownedObjects

Q: 我可以在可指派給 Microsoft Entra 角色的群組 (尤其是，將 isAssignableToRole 屬性設定為 true 的群組)，建立存取權檢閱嗎？

是的，可以。 特殊權限角色管理員可以在可指派角色群組上，建立存取權檢閱。

Q: 如何查看可指派角色的所有群組？

執行下列步驟: 登入 Microsoft Entra 系統管理中心。 瀏覽至 [身分識別] > [群組] > [所有群組] 。 選取 [新增篩選] 。 篩選至 [可指派角色] 。

Q: 如何知道直接和間接指派給主體的角色？

執行下列步驟: 登入 Microsoft Entra 系統管理中心。 瀏覽至 [身分識別 ]>[使用者 ]>[所有使用者 ]。 選取使用者。 選取 [指派的角色] 。 如果您有 Microsoft Entra ID P1 授權，請檢視 [指派路徑] 資料行。 如果您有 Microsoft Entra ID P2 授權，請檢視 [成員資格] 資料行。

Q: 為什麼要強制建立新的群組以將它指派給角色？

如果您將現有群組指派給某個角色，現有群組擁有者就可以在此群組中新增其他成員，而不會有新的成員意識到他們將擁有該角色。 因為可指派角色群組功能強大，所以我們將會放置許多限制來進行保護。 您不想要對管理群組的人員感到驚訝的群組進行變更。

Question 1

我是「群組管理員」，但看不到 [可以將 Microsoft Entra 角色指派到群組] 按鈕。

Accepted Answer

特殊權限角色管理員可以建立符合角色指派資格的群組。具有此角色的使用者可以檢視此按鈕。

Question 2

誰可以修改指派給 Microsoft Entra 角色的群組成員資格？

Accepted Answer

根據預設，特殊權限角色管理員可以管理可指派角色群組的成員資格，但您也可以新增群組擁有者，來委派可指派角色群組的管理。

Question 3

我是組織中的「服務台管理員」，但無法更新「目錄讀取者」使用者的密碼。 為什麼會發生這種情況？

Accepted Answer

使用者可能已透過可指派角色群組來取得「目錄讀取者」。可指派角色群組的所有成員和擁有者都會受到保護。具備「特殊權限驗證管理員」角色的使用者可以重設受保護使用者的認證。

Question 4

我無法更新使用者的密碼。 他們未獲指派任何較高的特殊權限角色。 為什麼會發生這種情況？

Accepted Answer

使用者可以是可指派角色群組的擁有者。我們會保護可指派角色群組的擁有者，以避免提高權限。例如，如果將 Contoso_Security_Admins 群組指派給「安全性管理員」角色，其中 Bob 是群組擁有者，而 Alice 是組織中的「密碼管理員」。如果沒有這項保護，則 Alice 可以重設 Bob 的認證，並接管他的身分識別。之後，Alice 可以將自己或任何人新增至 Contoso_Security_Admins 群組，以成為組織中的「安全性管理員」。若要找出使用者是否為群組擁有者，請取得該使用者的擁有物件清單，並查看是否有任何群組已將 isAssignableToRole 設定為 true。如果是，則該使用者會受到保護，而且行為是設計而成。請參閱這些文件以取得擁有物件：

Question 5

我可以在可指派給 Microsoft Entra 角色的群組 (尤其是，將 isAssignableToRole 屬性設定為 true 的群組)，建立存取權檢閱嗎？

Accepted Answer

是的，可以。特殊權限角色管理員可以在可指派角色群組上，建立存取權檢閱。

Question 6

我是否可以建立存取套件，並將可指派給 Microsoft Entra 角色的群組放入其中？

Accepted Answer

是的，可以。使用者管理員有權限將任何群組放進存取套件中。「全域管理員」沒有任何變更，但「使用者管理員」角色權限有些許變更。若要將可指派角色群組放入存取套件中，您必須是「使用者管理員」，也必須是可指派角色群組的擁有者。下列完整表格顯示誰可以在企業授權管理中建立存取套件：

Microsoft Entra 目錄角色	權利管理角色	可以新增安全性群組*	可以新增 Microsoft 365 群組*	可以新增應用程式	可以新增 SharePoint Online 網站
全域管理員	n/a	✔️	✔️	✔️	✔️
使用者管理員	n/a	✔️	✔️	✔️
Intune 管理員	目錄擁有者	✔️	✔️
Exchange 系統管理員	目錄擁有者		✔️
Teams 服務管理員	目錄擁有者		✔️
Sharepoint 系統管理員	目錄擁有者		✔️		✔️
應用程式系統管理員	目錄擁有者			✔️
雲端應用程式管理員	目錄擁有者			✔️
User	目錄擁有者	只有當群組擁有者	只有當群組擁有者	只有當應用程式擁有者

*群組不是可指派角色群組；即 isAssignableToRole = false。如果群組可指派角色群組，則建立存取套件的人員也必須是可指派角色群組的擁有者。

Question 7

我在 [指派的角色] 中找不到 [移除指派] 選項。 如何刪除使用者的角色指派？

Accepted Answer

此答案僅適用於 Microsoft Entra ID P1 組織。

以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[使用者]>[所有使用者]。
選取使用者。
選取 [指派的角色]。
選取您想移除的角色指派。
選取 [移除指派]，以移除直接角色指派。

若要移除間接角色指派，請從已獲指派角色的群組中移除使用者。

Question 8

如何查看可指派角色的所有群組？

Accepted Answer

執行下列步驟:

登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [群組]> [所有群組]。
選取 [新增篩選]。
篩選至 [可指派角色]。

Question 9

如何知道直接和間接指派給主體的角色？

Accepted Answer

執行下列步驟:

登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[使用者]>[所有使用者]。
選取使用者。
選取 [指派的角色]。
如果您有 Microsoft Entra ID P1 授權，請檢視 [指派路徑] 資料行。
如果您有 Microsoft Entra ID P2 授權，請檢視 [成員資格] 資料行。

Question 10

為什麼要強制建立新的群組以將它指派給角色？

Accepted Answer

如果您將現有群組指派給某個角色，現有群組擁有者就可以在此群組中新增其他成員，而不會有新的成員意識到他們將擁有該角色。因為可指派角色群組功能強大，所以我們將會放置許多限制來進行保護。您不想要對管理群組的人員感到驚訝的群組進行變更。

分享方式：

針對指派給群組的 Microsoft Entra 角色進行疑難排解

我是「群組管理員」，但看不到 [可以將 Microsoft Entra 角色指派到群組] 按鈕。

誰可以修改指派給 Microsoft Entra 角色的群組成員資格？

我是組織中的「服務台管理員」，但無法更新「目錄讀取者」使用者的密碼。為什麼會發生這種情況？

我無法更新使用者的密碼。他們未獲指派任何較高的特殊權限角色。為什麼會發生這種情況？

我可以在可指派給 Microsoft Entra 角色的群組 (尤其是，將 isAssignableToRole 屬性設定為 true 的群組)，建立存取權檢閱嗎？

我是否可以建立存取套件，並將可指派給 Microsoft Entra 角色的群組放入其中？

我在 [指派的角色] 中找不到 [移除指派] 選項。如何刪除使用者的角色指派？

如何查看可指派角色的所有群組？

如何知道直接和間接指派給主體的角色？

為什麼要強制建立新的群組以將它指派給角色？

下一步

意見反映

意見反映

更多資源

分享方式：

針對指派給群組的 Microsoft Entra 角色進行疑難排解

我是「群組管理員」，但看不到 [可以將 Microsoft Entra 角色指派到群組] 按鈕。

誰可以修改指派給 Microsoft Entra 角色的群組成員資格？

我是組織中的「服務台管理員」，但無法更新「目錄讀取者」使用者的密碼。 為什麼會發生這種情況？

我無法更新使用者的密碼。 他們未獲指派任何較高的特殊權限角色。 為什麼會發生這種情況？

我可以在可指派給 Microsoft Entra 角色的群組 (尤其是，將 isAssignableToRole 屬性設定為 true 的群組)，建立存取權檢閱嗎？

我是否可以建立存取套件，並將可指派給 Microsoft Entra 角色的群組放入其中？

我在 [指派的角色] 中找不到 [移除指派] 選項。 如何刪除使用者的角色指派？

如何查看可指派角色的所有群組？

如何知道直接和間接指派給主體的角色？

為什麼要強制建立新的群組以將它指派給角色？

下一步

意見反映

意見反映

更多資源

我是組織中的「服務台管理員」，但無法更新「目錄讀取者」使用者的密碼。為什麼會發生這種情況？

我無法更新使用者的密碼。他們未獲指派任何較高的特殊權限角色。為什麼會發生這種情況？

我在 [指派的角色] 中找不到 [移除指派] 選項。如何刪除使用者的角色指派？