Im Folgenden finden Sie einige häufig gestellte Fragen und Tipps zur Problembehandlung für die Zuweisung von Microsoft Entra-Rollen zu Microsoft Entra-Gruppen.
Ich bin ein*e Gruppenadministrator*in, aber die Option „Microsoft Entra-Rollen können der Gruppe zugewiesen werden“ wird nicht angezeigt.
Administratoren für privilegierte Rollen können eine Gruppe erstellen, die für die Rollenzuweisung berechtigt ist. Benutzer mit dieser Rolle können diesen Schalter sehen.
Wer kann die Mitgliedschaft von Gruppen ändern, die Microsoft Entra-Rollen zugewiesen sind?
Standardmäßig verwalten Administratoren für privilegierte Rollen die Mitgliedschaft in einer Gruppe, der Rollen zugewiesen werden können. Sie können jedoch die Verwaltung von Gruppen delegieren, denen Rollen zugewiesen werden können, indem Sie Gruppenbesitzer hinzufügen.
Ich bin ein Helpdesk-Administrator in meiner Organisation, aber ich kann das Kennwort eines Benutzers mit der Rolle „Verzeichnis lesen“ nicht aktualisieren. Was ist die Ursache?
Möglicherweise hat der Benutzer über eine Rolle zuweisbare Gruppe Zugriff auf die Verzeichnisleser erhalten. Alle Mitglieder sowie alle Besitzer von Gruppen, denen Rollen zugewiesen werden können, sind geschützt. Benutzer mit der Rolle "Administrator für privilegierte Authentifizierung“ können Anmeldeinformationen für einen geschützten Benutzer zurücksetzen.
Ich kann das Kennwort eines Benutzers nicht aktualisieren. Ihm ist keine Rolle mit erweiterten Berechtigungen zugewiesen. Warum geschieht das?
Der Benutzer kann ein Besitzer einer Gruppe sein, der Rollen zugewiesen werden können. Um Benutzer von Gruppen mit zuweisbaren Rollen zu schützen und Rechteerweiterungen zu vermeiden. Hier ein Beispiel: Die Gruppe „Contoso_Security_Admins“ ist der Rolle „Sicherheitsadministrator“ zugewiesen, wobei Bob der Gruppenbesitzer und Alice die Kennwortadministratorin in der Organisation ist. Ohne diesen Schutz könnte Alice die Anmeldeinformationen von Bob zurücksetzen und seine Identität übernehmen. Anschließend könnte Alice sich selbst oder andere Benutzer der Gruppe „Contoso_Security_Admins“ hinzufügen, um ein Sicherheitsadministrator in der Organisation zu werden. Wenn Sie herausfinden möchten, ob ein Benutzer ein Gruppenbesitzer ist, können Sie die Liste der im Besitz dieses Benutzers befindlichen Objekte abrufen und überprüfen, ob für eine der Gruppen „isAssignableToRole“ auf „true“ festgelegt ist. Wenn das der Fall ist, ist dieser Benutzer geschützt, und das Verhalten ist beabsichtigt. In der folgenden Dokumentation finden Sie Informationen zum Zugriff auf besitzte Objekte.
Kann ich eine Zugriffsüberprüfung für Gruppen erstellen, die Microsoft Entra-Rollen zugewiesen werden können (insbesondere für Gruppen, deren isAssignableToRole-Eigenschaft auf „true“ festgelegt ist)?
Ja, das ist möglich. Administratoren für privilegierte Rollen können Zugriffsüberprüfungen von Gruppen erstellen, denen Rollen zugewiesen werden können.
Kann ich ein Zugriffspaket erstellen und Gruppen hinzufügen, die Microsoft Entra-Rollen zugewiesen werden können?
Ja, das ist möglich. Der Benutzeradministrator verfügt über die Berechtigungen, jede Gruppe in ein Zugriffspaket einzufügen. Für den globalen Administrator ändert sich nichts, doch bei den Rollenberechtigungen für den Benutzeradministrator gibt es eine geringfügige Änderung. Wenn Sie einem Zugriffspaket eine Gruppe mit Rollenzuweisung hinzufügen möchten, müssen Sie ein Benutzeradministrator und außerdem Besitzer der Gruppe mit Rollenzuweisung sein. In der folgenden Tabelle sind alle Rollen aufgeführt, die Zugriffspakete in Enterprise License Management erstellen können:
| Microsoft Entra-Verzeichnisrolle | Berechtigungsverwaltungsrolle | Kann Sicherheitsgruppe hinzufügen* | Kann Microsoft 365-Gruppe hinzufügen* | Kann App hinzufügen | Kann SharePoint Online-Website hinzufügen |
|---|---|---|---|---|---|
| Globaler Administrator | – | ✔️ | ✔️ | ✔️ | ✔️ |
| Benutzeradministrator | – | ✔️ | ✔️ | ✔️ | |
| Intune-Administrator | Katalogbesitzer | ✔️ | ✔️ | ||
| Exchange-Administrator | Katalogbesitzer | ✔️ | |||
| Teams-Dienstadministrator | Katalogbesitzer | ✔️ | |||
| SharePoint-Administrator | Katalogbesitzer | ✔️ | ✔️ | ||
| Anwendungsadministrator | Katalogbesitzer | ✔️ | |||
| Cloudanwendungsadministrator | Katalogbesitzer | ✔️ | |||
| Benutzer | Katalogbesitzer | Nur, wenn Gruppenbesitzer | Nur, wenn der Gruppenbesitzer ist. | Nur, wenn App-Besitzer |
*Der Gruppe kann keine Rolle zugewiesen werden, d. h. „isAssignableToRole“ = „false“. Wenn einer Gruppe Rollen zugewiesen werden können, muss die Person, die das Zugriffspaket erstellt, auch Besitzer der Gruppe mit Rollenzuweisung sein.
Ich kann unter „Zugewiesene Rollen“ die Option „Zuweisung entfernen“ nicht finden. Wie lösche ich die Rollenzuweisung für einen Benutzer?
Diese Antwort betrifft nur Microsoft Entra ID P1-Organisationen.
- Melden Sie sich als mindestens Administrator für privilegierte Rollen beim Microsoft Entra admin center an.
- Navigieren Sie zu Entra-ID-Benutzern>.
- Wählen Sie einen Benutzer aus.
- Wählen Sie "Zugewiesene Rollen" aus.
- Wählen Sie eine zu entfernende Rollenzuweisung aus.
- Wählen Sie "Aufgaben entfernen " aus, um direkte Rollenzuweisungen zu entfernen.
Zum Entfernen indirekter Rollenzuweisungen entfernen Sie den Benutzer aus der Gruppe, der die Rolle zugewiesen wurde.
Wie kann ich alle Gruppen anzeigen, denen Rollen zugewiesen werden können?
Führen Sie folgende Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra-ID-Gruppen>>alle Gruppen.
- Wählen Sie "Filter hinzufügen" aus.
- Filter zu Rolle zuweisbar.
Wie kann ich feststellen, welche Rollen einem Prinzipal direkt und indirekt zugewiesen sind?
Führen Sie folgende Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra-ID-Benutzern>.
- Wählen Sie einen Benutzer aus.
- Wählen Sie "Zugewiesene Rollen" aus.
- Wenn Sie über eine Microsoft Entra ID P1-Lizenz verfügen, zeigen Sie die Spalte „Zuweisungspfad“ an.
- Wenn Sie über eine Microsoft Entra ID P2-Lizenz verfügen, zeigen Sie die Spalte " Mitgliedschaft " an.
Warum wird das Erstellen einer neuen Gruppe für die Zuweisung zu einer Rolle erzwungen?
Wenn Sie einer Rolle eine vorhandene Gruppe zuweisen, kann der vorhandene Gruppenbesitzer dieser Gruppe weitere Mitglieder hinzufügen, ohne dass die neuen Mitglieder wissen, dass sie über diese Rolle verfügen. Da Gruppen mit Rollenzuweisung mächtig sind, haben wir zum Schutz Einschränkungen eingeführt. Sie möchten keine Änderungen an der Gruppe, die für die Person, die die Gruppe verwaltet, überraschend wären.
Kann ein Gruppenbesitzer eine gelöschte rollenzuweisungsfähige Gruppe wiederherstellen?
Ja. Gruppenbesitzer können gelöschte rollenzuweisungsfähige Gruppen innerhalb des 30-tägigen Fensters für vorläufiges Löschen wiederherstellen. Informationen zum Wiederherstellen einer gelöschten Gruppe finden Sie unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe oder Cloudsicherheitsgruppe in microsoft Entra ID.