排查分配给组的 Microsoft Entra 角色的问题

下面是有关将 Microsoft Entra 角色分配给 Microsoft Entra 组的一些常见问题和故障排除提示。

我是组管理员,但看不到“Microsoft Entra 角色可分配给组”开关。

特权角色管理员可以创建符合角色分配条件的组。 具有此角色的用户可以看到此开关。

谁可以修改分配给 Microsoft Entra 角色的组的成员资格?

默认情况下,特权角色管理员负责管理可分配角色的组的成员身份,但你可以通过添加组所有者来委托管理可分配角色的组。

我是组织中的帮助台管理员,但无法更新目录读取器用户的密码。 为何发生这种情况?

用户可能已通过可分配角色的组获取目录读取器。 可分配角色的组的所有成员和所有者都受到保护。 具有特权身份验证管理员角色的用户可以重置受保护用户的凭据。

无法更新用户的密码。 它们未分配任何更高权限的特权角色。 为何会发生这种情况?

用户可以是可分配角色的组的所有者。 我们保护可分配角色的组的所有者,以避免特权提升。 例如,如果将组 Contoso_Security_Admins 分配给安全管理员角色,其中 Bob 是组所有者,Alice 是组织中的密码管理员,则可能会出现这种情况。 如果没有这种保护措施,Alice 可以重置 Bob 的凭据并接管其身份。 之后,Alice 可以将自己或任何人添加到 Contoso_Security_Admins 组,成为组织中的安全管理员。 若要查明用户是否为组所有者,请获取该用户拥有的对象列表,并查看是否有组将 isAssignableToRole 设置为 true。 如果是,则用户是受保护的,并且该行为是设计的行为。 请参阅以下文档,了解如何获取拥有的对象:

是否可以对可分配给 Microsoft Entra 角色的组(特别是 isAssignableToRole 属性设置为 true 的组)创建访问评审?

可以。 特权角色管理员可以对可分配角色的组创建访问评审。

是否可以创建访问包并将可以分配给 Microsoft Entra 角色的组添加到其中?

可以。 用户管理员有权将任何组放入访问包中。 全局管理员没有任何更改,但用户管理员角色权限稍有更改。 若要将可分配角色的组放入访问包中,你必须是用户管理员,同时也是可分配角色的组的所有者。 下面是显示了哪些用户可以在“企业许可证管理”中创建访问包的完整表:

Microsoft Entra 目录角色 权利管理角色 可以添加安全组* 可以添加 Microsoft 365 组* 可以添加应用 可以添加 SharePoint Online 网站
全局管理员角色 不适用 ✔️ ✔️ ✔️ ✔️
用户管理员 不适用 ✔️ ✔️ ✔️
Intune 管理员 目录所有者 ✔️ ✔️    
Exchange 管理员 目录所有者   ✔️    
Teams 服务管理员 目录所有者   ✔️    
SharePoint 管理员 目录所有者   ✔️   ✔️
应用程序管理员 目录所有者     ✔️  
云应用程序管理员 目录所有者     ✔️  
用户 目录所有者 仅限组所有者 仅限组所有者 仅限应用所有者  

*组不可分配角色;也就是说,isAssignableToRole = false。 如果组可以分配角色,则创建访问包的人员也必须是可分配角色的组的所有者。

在“分配的角色”中找不到“删除分配”选项。 如何删除分配给用户的角色?

此答案仅适用于 Microsoft Entra ID P1 组织。

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择用户。
  4. 选择“分配的角色”。
  5. 选择要删除的角色分配。
  6. 选择“移除分配”以移除直接角色分配

若要移除间接角色分配,请从已分配角色的组中移除该用户。

如何查看所有可分配角色的组?

执行以下步骤:

  1. 登录 Microsoft Entra 管理中心
  2. 浏览到“标识”>“”>“所有组”。
  3. 选择“添加筛选器”。
  4. 筛选到“角色可分配”。

如何实现知道哪个角色直接和间接分配到了某个主体?

执行以下步骤:

  1. 登录 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择用户。
  4. 选择“分配的角色”。
  5. 如果你有 Microsoft Entra ID P1 许可证,请查看“分配路径”列
  6. 如果你有 Microsoft Entra ID P2 许可证,请查看“成员身份”列

我们为何要强制创建新的组来将其分配给角色?

如果将现有组分配给角色,则现有组所有者可以向该组添加其他成员,而新成员不会意识到他们将拥有该角色。 因为可分配角色的组功能强大,因此我们设置了很多限制来保护它们。 你不会希望发生会让管理组的人员感到意外的更改。