Behandeln von Problemen bei Microsoft Entra-Rollen mit Gruppenzuweisung

Im Folgenden finden Sie einige häufig gestellte Fragen und Tipps zur Problembehandlung für die Zuweisung von Microsoft Entra-Rollen zu Microsoft Entra-Gruppen.

Ich bin ein*e Gruppenadministrator*in, aber die Option „Microsoft Entra-Rollen können der Gruppe zugewiesen werden“ wird nicht angezeigt.

Administratoren für privilegierte Rollen können eine Gruppe erstellen, die für die Rollenzuweisung berechtigt ist. Benutzer mit dieser Rolle können diesen Schalter sehen.

Wer kann die Mitgliedschaft von Gruppen ändern, die Microsoft Entra-Rollen zugewiesen sind?

Standardmäßig verwalten Administratoren für privilegierte Rollen die Mitgliedschaft in einer Gruppe, der Rollen zugewiesen werden können. Sie können jedoch die Verwaltung von Gruppen delegieren, denen Rollen zugewiesen werden können, indem Sie Gruppenbesitzer hinzufügen.

Ich bin ein Helpdesk-Administrator in meiner Organisation, aber ich kann das Kennwort eines Benutzers mit der Rolle „Verzeichnis lesen“ nicht aktualisieren. Was ist die Ursache?

Der Benutzer hat die Rolle „Verzeichnis lesen“ möglicherweise über eine Gruppe erhalten, der Rollen zugewiesen werden können. Alle Mitglieder und Besitzer bzw. Besitzerinnen von Gruppen, denen Rollen zugewiesen werden können, sind geschützt. Benutzer mit der Rolle "Administrator für privilegierte Authentifizierung“ können Anmeldeinformationen für einen geschützten Benutzer zurücksetzen.

Ich kann das Kennwort eines Benutzers nicht aktualisieren. Ihm ist keine Rolle mit erweiterten Berechtigungen zugewiesen. Warum geschieht das?

Der Benutzer kann ein Besitzer einer Gruppe sein, der Rollen zugewiesen werden können. Besitzer von Gruppen mit Rollenzuweisung sind geschützt, um Rechteerweiterungen zu vermeiden. Hier ein Beispiel: Die Gruppe „Contoso_Security_Admins“ ist der Rolle „Sicherheitsadministrator“ zugewiesen, wobei Bob der Gruppenbesitzer und Alice die Kennwortadministratorin in der Organisation ist. Wäre dieser Schutz nicht vorhanden, könnte Alice die Anmeldeinformationen von Bob zurücksetzen und seine Identität übernehmen. Anschließend könnte Alice sich selbst oder andere Benutzer der Gruppe „Contoso_Security_Admins“ hinzufügen, um ein Sicherheitsadministrator in der Organisation zu werden. Wenn Sie herausfinden möchten, ob ein Benutzer ein Gruppenbesitzer ist, können Sie die Liste der im Besitz dieses Benutzers befindlichen Objekte abrufen und überprüfen, ob für eine der Gruppen „isAssignableToRole“ auf „true“ festgelegt ist. Wenn das der Fall ist, ist dieser Benutzer geschützt, und das Verhalten ist beabsichtigt. Informationen zum Abrufen von in Besitz befindlichen Objekten finden Sie in den folgenden Dokumentationen:

Kann ich eine Zugriffsüberprüfung für Gruppen erstellen, die Microsoft Entra-Rollen zugewiesen werden können (insbesondere für Gruppen, deren isAssignableToRole-Eigenschaft auf „true“ festgelegt ist)?

Ja, das ist möglich. Administratoren für privilegierte Rollen können Zugriffsüberprüfungen von Gruppen erstellen, denen Rollen zugewiesen werden können.

Kann ich ein Zugriffspaket erstellen und Gruppen hinzufügen, die Microsoft Entra-Rollen zugewiesen werden können?

Ja, das ist möglich. Der Benutzeradministrator verfügt über die Berechtigungen, jede Gruppe in ein Zugriffspaket einzufügen. Für den globalen Administrator ändert sich nichts, doch bei den Rollenberechtigungen für den Benutzeradministrator gibt es eine geringfügige Änderung. Wenn Sie einem Zugriffspaket eine Gruppe mit Rollenzuweisung hinzufügen möchten, müssen Sie ein Benutzeradministrator und außerdem Besitzer der Gruppe mit Rollenzuweisung sein. In der folgenden Tabelle sind alle Rollen aufgeführt, die Zugriffspakete in Enterprise License Management erstellen können:

Microsoft Entra-Verzeichnisrolle Berechtigungsverwaltungsrolle Kann Sicherheitsgruppe hinzufügen* Kann Microsoft 365-Gruppe hinzufügen* Kann App hinzufügen Kann SharePoint Online-Website hinzufügen
Globaler Administrator ✔️ ✔️ ✔️ ✔️
Benutzeradministrator ✔️ ✔️ ✔️
Intune-Administrator Katalogbesitzer ✔️ ✔️    
Exchange-Administrator Katalogbesitzer   ✔️    
Teams-Dienstadministrator Katalogbesitzer   ✔️    
SharePoint-Administrator Katalogbesitzer   ✔️   ✔️
Anwendungsadministrator Katalogbesitzer     ✔️  
Cloudanwendungsadministrator Katalogbesitzer     ✔️  
Benutzer Katalogbesitzer Nur, wenn Gruppenbesitzer Nur, wenn Gruppenbesitzer Nur, wenn App-Besitzer  

*Der Gruppe kann keine Rolle zugewiesen werden, d. h. „isAssignableToRole“ = „false“. Wenn einer Gruppe Rollen zugewiesen werden können, muss die Person, die das Zugriffspaket erstellt, auch Besitzer der Gruppe mit Rollenzuweisung sein.

Ich kann unter „Zugewiesene Rollen“ die Option „Zuweisung entfernen“ nicht finden. Wie lösche ich die Rollenzuweisung für einen Benutzer?

Diese Antwort betrifft nur Microsoft Entra ID P1-Organisationen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Select a user.
  4. Wählen Sie Zugewiesene Rollen aus.
  5. Wählen Sie eine zu entfernende Rollenzuweisung aus.
  6. Wählen Sie Zuweisungen entfernen aus, um direkte Rollenzuweisungen zu entfernen.

Zum Entfernen indirekter Rollenzuweisungen entfernen Sie den Benutzer aus der Gruppe, der die Rolle zugewiesen wurde.

Wie kann ich alle Gruppen anzeigen, denen Rollen zugewiesen werden können?

Führen Sie folgende Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
  3. Wählen Sie Filter hinzufügen aus.
  4. Filtern Sie nach Rolle zuweisbar.

Wie kann ich feststellen, welche Rollen einem Prinzipal direkt und indirekt zugewiesen sind?

Führen Sie folgende Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Select a user.
  4. Wählen Sie Zugewiesene Rollen aus.
  5. Wenn Sie über eine Microsoft Entra ID P1-Lizenz verfügen, prüfen Sie die Spalte Zuweisungspfad.
  6. Wenn Sie über eine Microsoft Entra ID P2-Lizenz verfügen, prüfen Sie die Spalte Mitgliedschaft.

Warum wird das Erstellen einer neuen Gruppe für die Zuweisung zu einer Rolle erzwungen?

Wenn Sie einer Rolle eine vorhandene Gruppe zuweisen, kann der vorhandene Gruppenbesitzer dieser Gruppe weitere Mitglieder hinzufügen, ohne dass die neuen Mitglieder wissen, dass sie über diese Rolle verfügen. Da Gruppen mit Rollenzuweisung über komplexe Berechtigungen verfügen, sind zu ihrem Schutz viele Einschränkungen vorhanden. Sie möchten keine Änderungen an der Gruppe, die für die Person, die die Gruppe verwaltet, überraschend wären.