Solucionar problemas de funções do Microsoft Entra atribuídas a grupos

Aqui estão algumas perguntas comuns e dicas de solução de problemas para atribuir funções do Microsoft Entra a grupos do Microsoft Entra.

Sou um Administrador de Grupos, mas não consigo ver a chave "Funções do Microsoft Entra podem ser atribuídas"ao grupo".

Administradores de Função com Privilégios podem criar um grupo qualificado para atribuição de função. Os usuários com essa função podem ver essa opção.

Quem pode modificar a associação de grupos atribuídos às funções do Microsoft Entra?

Por padrão, apenas Administradores Globais e Administradores de Função com Privilégios gerenciam a associação de um grupo ao qual funções podem ser atribuídas. Mas você pode delegar o gerenciamento de grupos aos quais funções podem ser atribuídas adicionando proprietários de grupo.

Sou Administrador de Assistência Técnica em minha organização, mas não consigo atualizar a senha de um usuário que é um Leitores de Diretório. Por que isso acontece?

O usuário pode ter obtido a atribuição de Leitor de Diretório por meio de um grupo de função atribuível. Todos os membros e proprietários de grupos atribuíveis a funções são protegidos. Os usuários com a função administrador de autenticação privilegiada podem redefinir credenciais para um usuário protegido.

Não é possível atualizar a senha de um usuário. Eles não têm nenhuma função com privilégios mais altos atribuída. Por que isso está acontecendo?

O usuário pode ser um proprietário de um grupo de função atribuível. Protegemos os proprietários de grupos de função atribuíveis para evitar a elevação de privilégio. Por exemplo, se um grupo Contoso_Security_Admins for atribuído à função de Administrador de segurança, onde Bob é proprietário do grupo e Alice é Administrador de senhas na organização. Se essa proteção não estivesse presente, Alice poderia redefinir as credenciais de Bob e assumir sua identidade. Depois disso, Alice poderia adicionar a si mesma ou qualquer pessoa ao grupo Contoso_Security_Admins para se tornar um Administrador de segurança na organização. Para descobrir se um usuário é um proprietário do grupo, obtenha a lista de objetos de propriedade desse usuário e confira se algum dos grupos tem isAssignableToRole definido como verdadeiro. Em caso afirmativo, esse usuário será protegido e o comportamento será por design. Confira estas documentações para obter objetos de propriedade:

Posso criar uma revisão de acesso em grupos que podem ser atribuídos às funções do Microsoft Entra (especificamente, grupos com a propriedade isAssignableToRole definida como true)?

Sim, você pode. Administradores de Função com Privilégios podem criar revisões de acesso em grupos que pode receber funções.

Posso criar um pacote de acesso e colocar grupos que possam ser atribuídos às funções do Microsoft Entra nele?

Sim, você pode. O Administrador de Usuários tem as permissões para colocar qualquer grupo em um pacote de acesso. Nada muda para o Administrador Global, mas há uma leve alteração nas permissões da função de Administrador de usuários. Para colocar um grupo de função atribuível em um pacote de acesso, você deverá ser um Administrador do usuário e também o proprietário do grupo de funções atribuíveis. Confira a tabela completa que mostra quem pode criar o pacote de acesso no Gerenciamento de Licenças Enterprise:

função do diretório do Microsoft Entra Função de gerenciamento de direitos Pode adicionar um grupo de segurança* Pode adicionar um grupo do Microsoft 365* Pode adicionar um aplicativo Pode adicionar site do SharePoint Online
Administrador Global N/D ✔️ ✔️ ✔️ ✔️
Administrador de usuários N/D ✔️ ✔️ ✔️
Administrador do Intune Proprietário do catálogo ✔️ ✔️    
Administrador do Exchange Proprietário do catálogo   ✔️    
Administrador de serviços do Team Proprietário do catálogo   ✔️    
Administrador do SharePoint Proprietário do catálogo   ✔️   ✔️
Administrador de aplicativos Proprietário do catálogo     ✔️  
Administrador de aplicativos de nuvem Proprietário do catálogo     ✔️  
Usuário Proprietário do catálogo Somente se for proprietário do grupo Somente se for proprietário do grupo Somente se for proprietário do aplicativo  

*O grupo não pode ter funções atribuídas a ele, ou seja, isAssignableToRole = false. Se um grupo for de função atribuível, a pessoa que criar o pacote de acesso também deverá ser proprietária do grupo de função atribuível.

Não é possível localizar a opção "Remover atribuição" em "Funções Atribuídas". Como fazer para excluir a atribuição de função de um usuário?

Essa resposta é aplicável somente a organizações Microsoft Entra ID P1.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Selecione um usuário.
  4. Selecione Funções atribuídas.
  5. Selecione uma atribuição de função que você quer remover.
  6. Selecione Remover atribuições para remover as atribuições de função diretas.

Para remover a atribuição de função indireta, remova o usuário do grupo ao qual a função foi atribuída.

Como fazer para ver todos os grupos que são de função atribuível?

Siga estas etapas:

  1. Entre no Centro de administração do Microsoft Entra.
  2. Navegue atéIdentidade>Grupos>Todos os grupos.
  3. Selecione Adicionar filtros.
  4. Filtrar para Função atribuível.

Como fazer para saber qual função está atribuída direta e indiretamente a uma entidade de segurança?

Siga estas etapas:

  1. Entre no Centro de administração do Microsoft Entra.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Selecione um usuário.
  4. Selecione Funções atribuídas.
  5. Se você tiver uma licença do Microsoft Entra ID P1, veja a coluna Caminho da Atribuição.
  6. Se você tiver uma licença do Microsoft Entra ID P2, veja a coluna Associação.

Por que impor a criação de um novo grupo para atribuí-lo à função?

Se você atribuir um grupo existente a uma função, o proprietário do grupo existente poderá adicionar outros membros a esse grupo sem que os novos membros perceberem que terão a função. Como os grupos de função atribuíveis são poderosos, estamos adicionando muitas restrições para protegê-los. Você não quer alterações no grupo que seriam surpreendentes para a pessoa que está gerenciando o grupo.