Q: 我是组管理员，但看不到“Microsoft Entra 角色可分配给组”开关。

只有特权角色管理员或全局管理员才能创建符合角色分配条件的组。 只有拥有这些角色的用户才会看到此控件。

Q: 我是组织中的帮助台管理员，但无法更新目录读取器用户的密码。 为何发生这种情况？

用户可能已通过可分配角色的组获取目录读取器。 可分配角色的组的所有成员和所有者都受到保护。 只有具有特权身份验证管理员或全局管理员角色的用户才能重置受保护用户的凭据。

Q: 无法更新用户的密码。 它们未分配任何更高权限的特权角色。 为何会发生这种情况？

用户可以是可分配角色的组的所有者。 我们保护可分配角色的组的所有者，以避免特权提升。 例如，如果将组 Contoso_Security_Admins 分配给安全管理员角色，其中 Bob 是组所有者，Alice 是组织中的密码管理员，则可能会出现这种情况。 如果没有这种保护措施，Alice 可以重置 Bob 的凭据并接管其身份。 之后，Alice 可以将自己或任何人添加到 Contoso_Security_Admins 组，成为组织中的安全管理员。 若要查明用户是否为组所有者，请获取该用户拥有的对象列表，并查看是否有组将 isAssignableToRole 设置为 true。 如果是，则用户是受保护的，并且该行为是设计的行为。 请参阅以下文档，了解如何获取拥有的对象： Get-MgUserOwnedObject 列出 ownedObjects

Q: 是否可以对可分配给 Microsoft Entra 角色的组（特别是 isAssignableToRole 属性设置为 true 的组）创建访问评审？

可以。 全局管理员和特权角色管理员可以对可分配角色的组创建访问评审。

Q: 是否可以创建访问包并将可以分配给 Microsoft Entra 角色的组添加到其中？

可以。 全局管理员和用户管理员有权将任何组放入访问包中。 全局管理员没有任何更改，但用户管理员角色权限稍有更改。 若要将可分配角色的组放入访问包中，你必须是用户管理员，同时也是可分配角色的组的所有者。 下面是显示了哪些用户可以在“企业许可证管理”中创建访问包的完整表： Microsoft Entra 目录角色 权利管理角色 可以添加安全组* 可以添加 Microsoft 365 组* 可以添加应用 可以添加 SharePoint Online 网站 全局管理员角色 不适用 ✔ ✔ ✔ ✔ 用户管理员 不适用 ✔ ✔ ✔ Intune 管理员 目录所有者 ✔ ✔ Exchange 管理员 目录所有者 ✔ Teams 服务管理员 目录所有者 ✔ SharePoint 管理员 目录所有者 ✔ ✔ 应用程序管理员 目录所有者 ✔ 云应用程序管理员 目录所有者 ✔ 用户 目录所有者 仅限组所有者 仅限组所有者 仅限应用所有者 *组不可分配角色；也就是说，isAssignableToRole = false。 如果组可以分配角色，则创建访问包的人员也必须是可分配角色的组的所有者。

Q: 在“分配的角色”中找不到“删除分配”选项。 如何删除分配给用户的角色？

此答案仅适用于 Microsoft Entra ID P1 组织。 至少以 特权角色管理员 身份登录到 Microsoft Entra 管理中心 。 浏览到“标识”>“用户”>“所有用户”。 选择用户。 选择“分配的角色”。 选择要删除的角色分配。 选择“移除分配”以移除直接角色分配 。 若要移除间接角色分配，请从已分配角色的组中移除该用户。

Q: 如何查看所有可分配角色的组？

执行以下步骤： 登录 Microsoft Entra 管理中心 。 浏览到“ 标识 ”>“ 组 ”>“ 所有组 ”。 选择“添加筛选器”。 筛选到“角色可分配”。

Q: 如何实现知道哪个角色直接和间接分配到了某个主体？

执行以下步骤： 登录 Microsoft Entra 管理中心 。 浏览到“标识”>“用户”>“所有用户”。 选择用户。 选择“分配的角色”。 如果你有 Microsoft Entra ID P1 许可证，请查看“分配路径”列 。 如果你有 Microsoft Entra ID P2 许可证，请查看“成员身份”列 。

Q: 我们为何要强制创建新的组来将其分配给角色？

如果将现有组分配给角色，则现有组所有者可以向该组添加其他成员，而新成员不会意识到他们将拥有该角色。 因为可分配角色的组功能强大，因此我们设置了很多限制来保护它们。 你不会希望发生会让管理组的人员感到意外的更改。

Question 1

我是组管理员，但看不到“Microsoft Entra 角色可分配给组”开关。

Accepted Answer

只有特权角色管理员或全局管理员才能创建符合角色分配条件的组。只有拥有这些角色的用户才会看到此控件。

Question 2

谁可以修改分配给 Microsoft Entra 角色的组的成员资格？

Accepted Answer

默认情况下，只有特权角色管理员和全局管理员管理可分配角色组的成员资格，但你可以通过添加组所有者来委派对可分配角色的组的管理。

Question 3

我是组织中的帮助台管理员，但无法更新目录读取器用户的密码。 为何发生这种情况？

Accepted Answer

用户可能已通过可分配角色的组获取目录读取器。可分配角色的组的所有成员和所有者都受到保护。只有具有特权身份验证管理员或全局管理员角色的用户才能重置受保护用户的凭据。

Question 4

无法更新用户的密码。 它们未分配任何更高权限的特权角色。 为何会发生这种情况？

Accepted Answer

用户可以是可分配角色的组的所有者。我们保护可分配角色的组的所有者，以避免特权提升。例如，如果将组 Contoso_Security_Admins 分配给安全管理员角色，其中 Bob 是组所有者，Alice 是组织中的密码管理员，则可能会出现这种情况。如果没有这种保护措施，Alice 可以重置 Bob 的凭据并接管其身份。之后，Alice 可以将自己或任何人添加到 Contoso_Security_Admins 组，成为组织中的安全管理员。若要查明用户是否为组所有者，请获取该用户拥有的对象列表，并查看是否有组将 isAssignableToRole 设置为 true。如果是，则用户是受保护的，并且该行为是设计的行为。请参阅以下文档，了解如何获取拥有的对象：

Question 5

是否可以对可分配给 Microsoft Entra 角色的组（特别是 isAssignableToRole 属性设置为 true 的组）创建访问评审？

Accepted Answer

可以。全局管理员和特权角色管理员可以对可分配角色的组创建访问评审。

Question 6

是否可以创建访问包并将可以分配给 Microsoft Entra 角色的组添加到其中？

Accepted Answer

可以。全局管理员和用户管理员有权将任何组放入访问包中。全局管理员没有任何更改，但用户管理员角色权限稍有更改。若要将可分配角色的组放入访问包中，你必须是用户管理员，同时也是可分配角色的组的所有者。下面是显示了哪些用户可以在“企业许可证管理”中创建访问包的完整表：

Microsoft Entra 目录角色	权利管理角色	可以添加安全组*	可以添加 Microsoft 365 组*	可以添加应用	可以添加 SharePoint Online 网站
全局管理员角色	不适用	✔	✔	✔	✔
用户管理员	不适用	✔	✔	✔
Intune 管理员	目录所有者	✔	✔
Exchange 管理员	目录所有者		✔
Teams 服务管理员	目录所有者		✔
SharePoint 管理员	目录所有者		✔		✔
应用程序管理员	目录所有者			✔
云应用程序管理员	目录所有者			✔
用户	目录所有者	仅限组所有者	仅限组所有者	仅限应用所有者

*组不可分配角色；也就是说，isAssignableToRole = false。如果组可以分配角色，则创建访问包的人员也必须是可分配角色的组的所有者。

Question 7

在“分配的角色”中找不到“删除分配”选项。 如何删除分配给用户的角色？

Accepted Answer

此答案仅适用于 Microsoft Entra ID P1 组织。

若要移除间接角色分配，请从已分配角色的组中移除该用户。

Question 8

如何查看所有可分配角色的组？

Accepted Answer

执行以下步骤：

登录 Microsoft Entra 管理中心。
浏览到“标识”>“组”>“所有组”。
选择“添加筛选器”。
筛选到“角色可分配”。

Question 9

如何实现知道哪个角色直接和间接分配到了某个主体？

Accepted Answer

执行以下步骤：

登录 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择用户。
选择“分配的角色”。
如果你有 Microsoft Entra ID P1 许可证，请查看“分配路径”列。
如果你有 Microsoft Entra ID P2 许可证，请查看“成员身份”列。

Question 10

我们为何要强制创建新的组来将其分配给角色？

Accepted Answer

如果将现有组分配给角色，则现有组所有者可以向该组添加其他成员，而新成员不会意识到他们将拥有该角色。因为可分配角色的组功能强大，因此我们设置了很多限制来保护它们。你不会希望发生会让管理组的人员感到意外的更改。

排查分配给组的 Microsoft Entra 角色的问题

我是组管理员，但看不到“Microsoft Entra 角色可分配给组”开关。

谁可以修改分配给 Microsoft Entra 角色的组的成员资格？

我是组织中的帮助台管理员，但无法更新目录读取器用户的密码。为何发生这种情况？

无法更新用户的密码。它们未分配任何更高权限的特权角色。为何会发生这种情况？

是否可以对可分配给 Microsoft Entra 角色的组（特别是 isAssignableToRole 属性设置为 true 的组）创建访问评审？

是否可以创建访问包并将可以分配给 Microsoft Entra 角色的组添加到其中？

在“分配的角色”中找不到“删除分配”选项。如何删除分配给用户的角色？

如何查看所有可分配角色的组？

如何实现知道哪个角色直接和间接分配到了某个主体？

我们为何要强制创建新的组来将其分配给角色？

后续步骤

其他资源

排查分配给组的 Microsoft Entra 角色的问题

我是组管理员，但看不到“Microsoft Entra 角色可分配给组”开关。

谁可以修改分配给 Microsoft Entra 角色的组的成员资格？

我是组织中的帮助台管理员，但无法更新目录读取器用户的密码。 为何发生这种情况？

无法更新用户的密码。 它们未分配任何更高权限的特权角色。 为何会发生这种情况？

是否可以对可分配给 Microsoft Entra 角色的组（特别是 isAssignableToRole 属性设置为 true 的组）创建访问评审？

是否可以创建访问包并将可以分配给 Microsoft Entra 角色的组添加到其中？

在“分配的角色”中找不到“删除分配”选项。 如何删除分配给用户的角色？

如何查看所有可分配角色的组？

如何实现知道哪个角色直接和间接分配到了某个主体？

我们为何要强制创建新的组来将其分配给角色？

后续步骤

其他资源

我是组织中的帮助台管理员，但无法更新目录读取器用户的密码。为何发生这种情况？

无法更新用户的密码。它们未分配任何更高权限的特权角色。为何会发生这种情况？

在“分配的角色”中找不到“删除分配”选项。如何删除分配给用户的角色？