Q: 我是群組 管理員 istrator，但我看不到「Microsoft Entra 角色可以指派給群組」參數。

特殊許可權角色 管理員 istrators 可以建立符合角色指派資格的群組。 具有此角色的使用者可以看到這個參數。

Q: 神秘 可以修改指派給 Microsoft Entra 角色的群組成員資格嗎？

根據預設，特殊許可權角色 管理員 istrator 會管理角色指派群組的成員資格，但您可以藉由新增群組擁有者來委派角色指派群組的管理。

Q: 我是組織中的 Helpdesk 管理員 istrator，但我無法更新目錄讀取者的用戶密碼。 為什麼會發生這種事？

使用者可能已透過可指派角色的群組來取得目錄讀者。 所有可指派角色群組的成員和擁有者都會受到保護。 具有特殊許可權驗證 管理員 istrator 角色的使用者可以重設受保護用戶的認證。

Q: 我無法更新用戶的密碼。 他們沒有任何較高的特殊許可權角色指派。 為什麼會發生這種情況？

用戶可以是可指派角色群組的擁有者。 我們會保護可指派角色群組的擁有者，以避免提高許可權。 例如，如果群組Contoso_Security_管理員指派給 Security 管理員 istrator 角色，其中 Bob 是群組擁有者，而 Alice 是組織中的 Password 管理員 istrator。 如果此保護不存在，Alice 可以重設 Bob 的認證，並接管其身分識別。 之後，Alice 可以將自己或任何人新增至群組Contoso_Security_管理員群組，成為組織中的安全性 管理員 管理員。 若要了解使用者是否為群組擁有者，請取得該用戶擁有的物件清單，並查看是否有任何群組 isAssignableToRole 設定為 true。 如果是，則該使用者會受到保護，且行為是設計方式。 請參閱下列檔以取得擁有的物件： Get-MgUserOwnedObject 列出 ownedObjects

Q: 我可以在可指派給 Microsoft Entra 角色的群組上建立存取權檢閱嗎？特別是，isAssignableToRole 屬性設定為 true 的群組？

是的，可以。 特殊許可權角色 管理員 istrators 可以在可指派角色的群組上建立存取權檢閱。

Q: 如何? 查看所有可指派角色的群組？

執行下列步驟: 登入 Microsoft Entra 系統管理中心。 流覽至 [ 身分> 識別群組 > ] [所有群組]。 選取 [ 新增篩選 ]。 篩選為 可 指派的角色。

Q: 如何? 知道哪些角色會直接或間接指派給主體？

執行下列步驟: 登入 Microsoft Entra 系統管理中心。 瀏覽至 [身分識別 ]>[使用者 ]>[所有使用者 ]。 選取使用者。 選取 [指派的角色 ]。 如果您有 Microsoft Entra ID P1 授權，請檢視 [ 指派路徑 ] 資料行。 如果您有 Microsoft Entra ID P2 授權，請檢視 [成員資格 ] 資料行。

Q: 為什麼我們會強制執行建立新的群組，以將它指派給角色？

如果您將現有的群組指派給角色，現有的群組擁有者可以將其他成員新增至此群組，而不需要新成員意識到他們會有角色。 由於可指派角色的群組很強大，因此我們會對這些群組施加許多限制來保護它們。 您不希望對管理群組的人員感到意外的群組進行變更。

Question 1

我是群組 管理員 istrator，但我看不到「Microsoft Entra 角色可以指派給群組」參數。

Accepted Answer

特殊許可權角色管理員 istrators 可以建立符合角色指派資格的群組。具有此角色的使用者可以看到這個參數。

Question 2

神秘 可以修改指派給 Microsoft Entra 角色的群組成員資格嗎？

Accepted Answer

根據預設，特殊許可權角色管理員 istrator 會管理角色指派群組的成員資格，但您可以藉由新增群組擁有者來委派角色指派群組的管理。

Question 3

我是組織中的 Helpdesk 管理員 istrator，但我無法更新目錄讀取者的用戶密碼。 為什麼會發生這種事？

Accepted Answer

使用者可能已透過可指派角色的群組來取得目錄讀者。所有可指派角色群組的成員和擁有者都會受到保護。具有特殊許可權驗證管理員 istrator 角色的使用者可以重設受保護用戶的認證。

Question 4

我無法更新用戶的密碼。 他們沒有任何較高的特殊許可權角色指派。 為什麼會發生這種情況？

Accepted Answer

用戶可以是可指派角色群組的擁有者。我們會保護可指派角色群組的擁有者，以避免提高許可權。例如，如果群組Contoso_Security_管理員指派給 Security 管理員 istrator 角色，其中 Bob 是群組擁有者，而 Alice 是組織中的 Password 管理員 istrator。如果此保護不存在，Alice 可以重設 Bob 的認證，並接管其身分識別。之後，Alice 可以將自己或任何人新增至群組Contoso_Security_管理員群組，成為組織中的安全性管理員管理員。若要了解使用者是否為群組擁有者，請取得該用戶擁有的物件清單，並查看是否有任何群組 isAssignableToRole 設定為 true。如果是，則該使用者會受到保護，且行為是設計方式。請參閱下列檔以取得擁有的物件：

Question 5

我可以在可指派給 Microsoft Entra 角色的群組上建立存取權檢閱嗎？特別是，isAssignableToRole 屬性設定為 true 的群組？

Accepted Answer

是的，可以。特殊許可權角色管理員 istrators 可以在可指派角色的群組上建立存取權檢閱。

Question 6

我可以建立存取套件，並放置可指派給 Microsoft Entra 角色的群組嗎？

Accepted Answer

是的，可以。使用者管理員 istrator 具有將任何群組放入存取套件的許可權。 Global 管理員 istrator 沒有任何變更，但使用者管理員 istrator 角色許可權略有變更。若要將可指派角色的群組放入存取套件中，您必須是使用者管理員 istrator，也是可指派角色群組的擁有者。以下是顯示誰可以在企業授權管理中建立存取套件的完整數據表：

Microsoft Entra 目錄角色	權利管理角色	可以新增安全組*	可以新增 Microsoft 365 群組*	可以新增應用程式	可以新增 SharePoint Online 網站
全域管理員	n/a	✔️	✔️	✔️	✔️
使用者管理員	n/a	✔️	✔️	✔️
Intune 管理員	目錄擁有者	✔️	✔️
Exchange 系統管理員	目錄擁有者		✔️
Teams 服務管理員 istrator	目錄擁有者		✔️
Sharepoint 系統管理員	目錄擁有者		✔️		✔️
應用程式系統管理員	目錄擁有者			✔️
雲端應用程式管理員 istrator	目錄擁有者			✔️
User	目錄擁有者	只有當群組擁有者	只有當群組擁有者	只有當應用程式擁有者

*群組無法指派角色;也就是 isAssignableToRole = false。如果群組是可指派角色，則建立存取套件的人員也必須是可指派角色群組的擁有者。

Question 7

我在 [指派的角色] 中找不到 [移除指派] 選項。 如何? 刪除使用者的角色指派？

Accepted Answer

此答案僅適用於 Microsoft Entra ID P1 組織。

以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[使用者]>[所有使用者]。
選取使用者。
選取 [指派的角色]。
選取您想要移除的角色指派。
選取 [移除指派 ] 以移除直接角色指派。

若要移除間接角色指派，請從已指派角色的群組中移除使用者。

Question 8

如何? 查看所有可指派角色的群組？

Accepted Answer

執行下列步驟:

登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
選取 [ 新增篩選]。
篩選為可指派的角色。

Question 9

如何? 知道哪些角色會直接或間接指派給主體？

Accepted Answer

執行下列步驟:

登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[使用者]>[所有使用者]。
選取使用者。
選取 [指派的角色]。
如果您有 Microsoft Entra ID P1 授權，請檢視 [ 指派路徑 ] 資料行。
如果您有 Microsoft Entra ID P2 授權，請檢視 [成員資格 ] 資料行。

Question 10

為什麼我們會強制執行建立新的群組，以將它指派給角色？

Accepted Answer

如果您將現有的群組指派給角色，現有的群組擁有者可以將其他成員新增至此群組，而不需要新成員意識到他們會有角色。由於可指派角色的群組很強大，因此我們會對這些群組施加許多限制來保護它們。您不希望對管理群組的人員感到意外的群組進行變更。

共用方式為

針對指派給群組的 Microsoft Entra 角色進行疑難解答

我是群組管理員 istrator，但我看不到「Microsoft Entra 角色可以指派給群組」參數。

神秘可以修改指派給 Microsoft Entra 角色的群組成員資格嗎？

我是組織中的 Helpdesk 管理員 istrator，但我無法更新目錄讀取者的用戶密碼。為什麼會發生這種事？

我無法更新用戶的密碼。他們沒有任何較高的特殊許可權角色指派。為什麼會發生這種情況？

我可以在可指派給 Microsoft Entra 角色的群組上建立存取權檢閱嗎？特別是，isAssignableToRole 屬性設定為 true 的群組？

我可以建立存取套件，並放置可指派給 Microsoft Entra 角色的群組嗎？

我在 [指派的角色] 中找不到 [移除指派] 選項。如何? 刪除使用者的角色指派？

如何? 查看所有可指派角色的群組？

如何? 知道哪些角色會直接或間接指派給主體？

為什麼我們會強制執行建立新的群組，以將它指派給角色？

下一步

意見反應

其他資源

共用方式為

針對指派給群組的 Microsoft Entra 角色進行疑難解答

我是群組 管理員 istrator，但我看不到「Microsoft Entra 角色可以指派給群組」參數。

神秘 可以修改指派給 Microsoft Entra 角色的群組成員資格嗎？

我是組織中的 Helpdesk 管理員 istrator，但我無法更新目錄讀取者的用戶密碼。 為什麼會發生這種事？

我無法更新用戶的密碼。 他們沒有任何較高的特殊許可權角色指派。 為什麼會發生這種情況？

我可以在可指派給 Microsoft Entra 角色的群組上建立存取權檢閱嗎？特別是，isAssignableToRole 屬性設定為 true 的群組？

我可以建立存取套件，並放置可指派給 Microsoft Entra 角色的群組嗎？

我在 [指派的角色] 中找不到 [移除指派] 選項。 如何? 刪除使用者的角色指派？

如何? 查看所有可指派角色的群組？

如何? 知道哪些角色會直接或間接指派給主體？

為什麼我們會強制執行建立新的群組，以將它指派給角色？

下一步

意見反應

其他資源

我是群組管理員 istrator，但我看不到「Microsoft Entra 角色可以指派給群組」參數。

神秘可以修改指派給 Microsoft Entra 角色的群組成員資格嗎？

我是組織中的 Helpdesk 管理員 istrator，但我無法更新目錄讀取者的用戶密碼。為什麼會發生這種事？

我無法更新用戶的密碼。他們沒有任何較高的特殊許可權角色指派。為什麼會發生這種情況？

我在 [指派的角色] 中找不到 [移除指派] 選項。如何? 刪除使用者的角色指派？