下面是有关将 Microsoft Entra 角色分配给 Microsoft Entra 组的一些常见问题和故障排除提示。
我是组管理员,但看不到“Microsoft Entra 角色可分配给组”开关。
特权角色管理员可以创建符合角色分配条件的组。 具有此角色的用户可以看到此开关。
谁可以修改分配给 Microsoft Entra 角色的组的成员资格?
默认情况下,特权角色管理员负责管理可分配角色的组的成员身份,但你可以通过添加组所有者来委托管理可分配角色的组。
我是组织中的帮助台管理员,但无法更新目录读取器用户的密码。 为何发生这种情况?
用户可能已通过可分配角色的组获取目录读取器。 可分配角色的组的所有成员和所有者都受到保护。 具有特权身份验证管理员角色的用户可以重置受保护用户的凭据。
无法更新用户的密码。 它们未分配任何更高权限的特权角色。 为何会发生这种情况?
用户可以是可分配角色的组的所有者。 我们保护可分配角色的组的所有者,以避免特权提升。 例如,如果将组 Contoso_Security_Admins 分配给安全管理员角色,其中 Bob 是组所有者,Alice 是组织中的密码管理员,则可能会出现这种情况。 如果没有这种保护措施,Alice 可以重置 Bob 的凭据并接管其身份。 之后,Alice 可以将自己或任何人添加到 Contoso_Security_Admins 组,成为组织中的安全管理员。 若要查明用户是否为组所有者,请获取该用户拥有的对象列表,并查看是否有组将 isAssignableToRole 设置为 true。 如果是,则用户是受保护的,并且该行为是设计的行为。 请参阅以下文档,了解如何获取拥有的对象:
是否可以对可分配给 Microsoft Entra 角色的组(特别是 isAssignableToRole 属性设置为 true 的组)创建访问评审?
可以。 特权角色管理员可以对可分配角色的组创建访问评审。
是否可以创建访问包并将可以分配给 Microsoft Entra 角色的组添加到其中?
可以。 用户管理员有权将任何组放入访问包中。 全局管理员没有任何更改,但用户管理员角色权限稍有更改。 若要将可分配角色的组放入访问包中,你必须是用户管理员,同时也是可分配角色的组的所有者。 下面是显示了哪些用户可以在“企业许可证管理”中创建访问包的完整表:
Microsoft Entra 目录角色 | 权利管理角色 | 可以添加安全组* | 可以添加 Microsoft 365 组* | 可以添加应用 | 可以添加 SharePoint Online 网站 |
---|---|---|---|---|---|
全局管理员角色 | 不适用 | ✔ | ✔ | ✔ | ✔ |
用户管理员 | 不适用 | ✔ | ✔ | ✔ | |
Intune 管理员 | 目录所有者 | ✔ | ✔ | ||
Exchange 管理员 | 目录所有者 | ✔ | |||
Teams 服务管理员 | 目录所有者 | ✔ | |||
SharePoint 管理员 | 目录所有者 | ✔ | ✔ | ||
应用程序管理员 | 目录所有者 | ✔ | |||
云应用程序管理员 | 目录所有者 | ✔ | |||
用户 | 目录所有者 | 仅限组所有者 | 仅限组所有者 | 仅限应用所有者 |
*组不可分配角色;也就是说,isAssignableToRole = false。 如果组可以分配角色,则创建访问包的人员也必须是可分配角色的组的所有者。
在“分配的角色”中找不到“删除分配”选项。 如何删除分配给用户的角色?
此答案仅适用于 Microsoft Entra ID P1 组织。
- 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择用户。
- 选择“分配的角色”。
- 选择要删除的角色分配。
- 选择“移除分配”以移除直接角色分配。
若要移除间接角色分配,请从已分配角色的组中移除该用户。
如何查看所有可分配角色的组?
执行以下步骤:
- 登录 Microsoft Entra 管理中心。
- 浏览到“标识”>“组”>“所有组”。
- 选择“添加筛选器”。
- 筛选到“角色可分配”。
如何实现知道哪个角色直接和间接分配到了某个主体?
执行以下步骤:
- 登录 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择用户。
- 选择“分配的角色”。
- 如果你有 Microsoft Entra ID P1 许可证,请查看“分配路径”列。
- 如果你有 Microsoft Entra ID P2 许可证,请查看“成员身份”列。
我们为何要强制创建新的组来将其分配给角色?
如果将现有组分配给角色,则现有组所有者可以向该组添加其他成员,而新成员不会意识到他们将拥有该角色。 因为可分配角色的组功能强大,因此我们设置了很多限制来保护它们。 你不会希望发生会让管理组的人员感到意外的更改。