Ниже приведены некоторые распространенные вопросы и советы по устранению неполадок для назначения ролей Microsoft Entra группам Microsoft Entra.
Я администратор групп, но я не вижу переключателя "Роли Microsoft Entra можно назначить группе".
Администраторы привилегированных ролей могут создать группу, которая имеет право на назначение ролей. Пользователи с этой ролью могут видеть этот переключатель.
Кто может изменить членство в группах, назначенных ролям Microsoft Entra?
По умолчанию администратор привилегированных ролей управляет членством в группе, назначаемой ролями, но вы можете делегировать управление группами, назначаемыми ролями, добавив владельцев групп.
Я являюсь администратором службы поддержки в моей организации, но не могу обновить пароль пользователя с ролью читателя каталога. Почему так происходит?
Пользователь может получить доступ к читателю каталогов с помощью группы, назначаемой ролем. Все члены и владельцы групп, в которых можно назначать роли, защищены. Пользователи с ролью администратора привилегированной аутентификации могут сбрасывать учетные данные защищенных пользователей.
Не удается обновить пароль пользователя. Им не назначена привилегированная роль более высокого уровня. Почему это происходит?
Пользователь может быть владельцем группы с возможностью назначения ролей. Мы защищаем владельцев групп c назначением роли, чтобы избежать повышения привилегий. Например, если группе Contoso_Security_Admins назначена роль администратора безопасности, где Боб является владельцем группы, а Алиса является администратором паролей в организации. Без этой защиты Алиса могла бы сбросить учетные данные Боба и завладеть его личностью. Затем Алиса может добавить себя или кого-либо в группу Contoso_Security_Admins, чтобы стать администратором безопасности в организации. Чтобы узнать, является ли пользователь владельцем группы, получите доступ к списку объектов, принадлежащих этому пользователю, и проверьте, установлено ли для свойства isAssignableToRole какой-либо из групп значение true. Если да, этот пользователь защищен и такое поведение ожидаемо. Ознакомьтесь со следующей документацией по доступу к принадлежащим объектам:
Можно ли создать обзор проверки доступа для групп, которые могут быть назначены ролям Microsoft Entra (в частности, для групп со свойством AssignableToRole, заданным в true)?
Да, вы можете. Администраторы привилегированных ролей могут создавать проверки доступа для групп с назначаемыми ролями.
Можно ли создать пакет доступа и включить в него группы, которые можно назначить ролям Microsoft Entra?
Да, вы можете. Администратор пользователя имеет разрешения на размещение любой группы в пакете доступа. Для глобального администратора все остается неизменным, но в разрешениях роли администратора пользователей будет небольшое изменение. Чтобы поместить назначаемую ролью группу в пакет для доступа, необходимо быть администратором пользователей, а также владельцем группы c назначением роли. Ниже приведена полная таблица, в которой показано, кто может создать пакет для доступа в средстве управления корпоративными лицензиями.
| Роль каталога Microsoft Entra | Роль управления правами | Может добавить группу безопасности* | Может добавить группу Microsoft 365* | Может добавить приложение | Может добавить сайт SharePoint Online |
|---|---|---|---|---|---|
| Глобальный администратор | Н/Д | ✔️ | ✔️ | ✔️ | ✔️ |
| Администратор пользователей | Н/Д | ✔️ | ✔️ | ✔️ | |
| Администратор Intune | Владелец каталога | ✔️ | ✔️ | ||
| Администратор Exchange | Владелец каталога | ✔️ | |||
| Администратор службы Teams | Владелец каталога | ✔️ | |||
| Администратор SharePoint | Владелец каталога | ✔️ | ✔️ | ||
| Администратор приложений | Владелец каталога | ✔️ | |||
| Администратор облачных приложений | Владелец каталога | ✔️ | |||
| Пользователь | Владелец каталога | Только если вы владелец группы | Только если владелец группы | Только для владельцев приложения |
* Группе нельзя назначить роль, то есть isAssignableToRole = false. Если группа является назначаемой роли, пользователь, создающий пакет доступа, также должен быть владельцем назначаемой роли группы.
Не удается найти параметр "Удалить назначение" в разделе "Назначенные роли". Как удалить назначение роли пользователю?
Этот ответ применим только к организациям Microsoft Entra ID P1.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
- Перейдите к Entra ID>Пользователи.
- Выберите пользователя.
- Выберите назначенные роли.
- Выберите назначение роли, которое нужно удалить.
- Выберите Удалить назначения, чтобы удалить прямые назначения ролей.
Чтобы удалить непрямые назначения ролей, удалите пользователя из группы, которая была назначена роли.
Как посмотреть все группы, в которые можно назначать роли?
Выполните следующие действия:
- Войдите в Центр администрирования Microsoft Entra.
- Перейдите к Entra ID>Группы>Все группы.
- Выберите "Добавить фильтры".
- Фильтрация по назначению роли.
Как узнать, какая роль назначена принципалу непосредственно и опосредованно?
Выполните следующие действия:
- Войдите в Центр администрирования Microsoft Entra.
- Перейдите к Entra ID>Пользователи.
- Выберите пользователя.
- Выберите назначенные роли.
- Если у вас есть лицензия Microsoft Entra ID P1, просмотрите столбец пути назначения .
- Если у вас есть лицензия Microsoft Entra ID P2, просмотрите столбец "Членство ".
Почему мы настаиваем на создании новой группы для ее назначения на роль?
Если роль назначается имеющейся группе, существующий владелец группы может добавить в эту группу других членов, которые не будут знать, что им назначена такая роль. Поскольку группы с назначаемыми ролями обладают значительной мощью, мы установили определённые ограничения для их защиты. Не стоит вносить в группу изменения, которые окажутся неожиданностью для управляющего ею пользователя.
Может ли владелец группы восстановить удаленную группу с возможностью назначения ролей?
Да. Владельцы групп могут восстановить удаленные группы, которым можно назначать роли, в течение 30-дневного временного окна восстановления после мягкого удаления. Сведения о восстановлении удаленной группы см. в разделе "Восстановление удаленной группы Microsoft 365" или облачной группы безопасности в идентификаторе Microsoft Entra ID.