以下是將 Microsoft Entra 角色指派給 Microsoft Entra 群組的一些常見問題和疑難解答秘訣。
我是群組 管理員 istrator,但我看不到「Microsoft Entra 角色可以指派給群組」參數。
只有特殊許可權角色 管理員 istrators 或 Global 管理員 istrators 可以建立符合角色指派資格的群組。 只有這些角色中的使用者會看到此控制件。
神秘 可以修改指派給 Microsoft Entra 角色的群組成員資格嗎?
根據預設,只有 Privileged Role 管理員 istrator 和 Global 管理員 istrator 會管理可指派角色群組的成員資格,但您可以藉由新增群組擁有者來委派角色指派群組的管理。
我是組織中的 Helpdesk 管理員 istrator,但我無法更新目錄讀取者的用戶密碼。 為什麼會發生這種事?
使用者可能已透過可指派角色的群組來取得目錄讀者。 所有可指派角色群組的成員和擁有者都會受到保護。 只有 Privileged Authentication 管理員 istrator 或 Global 管理員 istrator 角色中的使用者才能重設受保護使用者的認證。
我無法更新用戶的密碼。 他們沒有任何較高的特殊許可權角色指派。 為什麼會發生這種情況?
用戶可以是可指派角色群組的擁有者。 我們會保護可指派角色群組的擁有者,以避免提高許可權。 例如,如果群組Contoso_Security_管理員指派給 Security 管理員 istrator 角色,其中 Bob 是群組擁有者,而 Alice 是組織中的 Password 管理員 istrator。 如果此保護不存在,Alice 可以重設 Bob 的認證,並接管其身分識別。 之後,Alice 可以將自己或任何人新增至群組Contoso_Security_管理員群組,成為組織中的安全性 管理員 管理員。 若要了解使用者是否為群組擁有者,請取得該用戶擁有的物件清單,並查看是否有任何群組 isAssignableToRole 設定為 true。 如果是,則該使用者會受到保護,且行為是設計方式。 請參閱下列檔以取得擁有的物件:
我可以在可指派給 Microsoft Entra 角色的群組上建立存取權檢閱嗎?特別是,isAssignableToRole 屬性設定為 true 的群組?
是的,可以。 全域 管理員 istrators 和 Privileged Role 管理員 istrators 可以建立角色指派群組的存取權檢閱。
我可以建立存取套件,並放置可指派給 Microsoft Entra 角色的群組嗎?
是的,可以。 全域 管理員 istrator 和 User 管理員 istrator 有權將任何群組放在存取套件中。 Global 管理員 istrator 沒有任何變更,但使用者 管理員 istrator 角色許可權會稍有變更。 若要將可指派角色的群組放入存取套件中,您必須是使用者 管理員 istrator,也是可指派角色群組的擁有者。 以下是顯示誰可以在企業授權管理中建立存取套件的完整數據表:
| Microsoft Entra 目錄角色 | 權利管理角色 | 可以新增安全組* | 可以新增 Microsoft 365 群組* | 可以新增應用程式 | 可以新增 SharePoint Online 網站 |
|---|---|---|---|---|---|
| 全域管理員 | n/a | ✔️ | ✔️ | ✔️ | ✔️ |
| 使用者管理員 | n/a | ✔️ | ✔️ | ✔️ | |
| Intune 管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
| Exchange 系統管理員 | 目錄擁有者 | ✔️ | |||
| Teams 服務 管理員 istrator | 目錄擁有者 | ✔️ | |||
| Sharepoint 系統管理員 | 目錄擁有者 | ✔️ | ✔️ | ||
| 應用程式系統管理員 | 目錄擁有者 | ✔️ | |||
| 雲端應用程式 管理員 istrator | 目錄擁有者 | ✔️ | |||
| User | 目錄擁有者 | 只有當群組擁有者 | 只有當群組擁有者 | 只有當應用程式擁有者 |
*群組無法指派角色;也就是 isAssignableToRole = false。 如果群組是可指派角色,則建立存取套件的人員也必須是可指派角色群組的擁有者。
我在 [指派的角色] 中找不到 [移除指派] 選項。 如何? 刪除使用者的角色指派嗎?
此答案僅適用於 Microsoft Entra ID P1 組織。
- 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 選取使用者。
- 選取 [指派的角色]。
- 選取您想要移除的角色指派。
- 選取 [移除指派 ] 以移除直接角色指派。
若要移除間接角色指派,請從已指派角色的群組中移除使用者。
如何? 查看所有可指派角色的群組?
執行下列步驟:
- 登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別群組>] [所有群組]。
- 選取 [ 新增篩選]。
- 篩選為 可指派的角色。
如何? 知道哪些角色會直接或間接指派給主體?
執行下列步驟:
- 登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
- 選取使用者。
- 選取 [指派的角色]。
- 如果您有 Microsoft Entra ID P1 授權,請檢視 [ 指派路徑 ] 資料行。
- 如果您有 Microsoft Entra ID P2 授權,請檢視 [成員資格 ] 資料行。
為什麼我們會強制執行建立新的群組,以將它指派給角色?
如果您將現有的群組指派給角色,現有的群組擁有者可以將其他成員新增至此群組,而不需要新成員意識到他們會有角色。 由於可指派角色的群組很強大,因此我們會對這些群組施加許多限制來保護它們。 您不希望對管理群組的人員感到意外的群組進行變更。