Editar

Partilhar via


Solucionar problemas de funções do Microsoft Entra atribuídas a grupos

A seguir estão algumas perguntas comuns e dicas de solução de problemas para atribuir funções do Microsoft Entra a grupos do Microsoft Entra.

Sou um Administrador de Grupos, mas não consigo ver a opção 'Funções do Microsoft Entra podem ser atribuídas ao grupo'.

Os Administradores de Função Privilegiada podem criar um grupo qualificado para atribuição de função. Os usuários com essa função podem ver essa opção.

Quem pode modificar a associação de grupos atribuídos a funções do Microsoft Entra?

Por padrão, o Administrador de Função Privilegiada gerencia a associação de um grupo atribuível por função, mas você pode delegar o gerenciamento de grupos atribuíveis por função adicionando proprietários de grupo.

Sou um Administrador de Helpdesk na minha organização, mas não consigo atualizar a palavra-passe de um utilizador que seja um Leitor de Diretórios. Por que isso acontece?

O usuário pode ter acessado os Leitores de Diretório por meio de um grupo atribuível por função. Todos os membros e proprietários de grupos atribuíveis de funções estão protegidos. Os usuários com a função de Administrador de Autenticação Privilegiada podem redefinir as credenciais de um usuário protegido.

Não consigo atualizar a palavra-passe de um utilizador. Eles não têm nenhum papel privilegiado mais elevado atribuído. Por que isso está acontecendo?

O usuário pode ser proprietário de um grupo atribuível por função. Protegemos os proprietários de grupos atribuíveis a papéis para evitar a elevação de privilégios. Um exemplo pode ser se um grupo Contoso_Security_Admins for atribuído à função de Administrador de Segurança, em que Bob é o proprietário do grupo e Alice é o Administrador de Senha dentro da organização. Sem essa proteção, Alice poderia redefinir as credenciais de Bob e assumir sua identidade. Alice poderia então adicionar a si mesma ou a qualquer pessoa ao grupo Contoso_Security_Admins grupo para se tornar uma Administradora de Segurança na organização. Para descobrir se um usuário é proprietário de um grupo, acesse a lista de objetos de propriedade desse usuário e veja se algum dos grupos tem isAssignableToRole definido como true. Se sim, então esse usuário está protegido e o comportamento é por design. Consulte a seguinte documentação para acessar objetos próprios:

Posso criar uma revisão de acesso em grupos que podem ser atribuídos a funções do Microsoft Entra (especificamente, grupos com a propriedade isAssignableToRole definida como true)?

Sim, pode. Os Administradores de Função Privilegiada podem criar revisões de acesso em grupos atribuíveis por função.

Posso criar um pacote de acesso e colocar grupos que podem ser atribuídos a funções do Microsoft Entra nele?

Sim, pode. O Administrador de Usuários tem as permissões para colocar qualquer grupo em um pacote de acesso. Nada muda para o Administrador Global, mas há uma pequena alteração nas permissões da função de Administrador de Usuário. Para colocar um grupo atribuível de função em um pacote de acesso, você deve ser um Administrador de Usuário e também proprietário do grupo atribuível de função. Aqui está a tabela completa mostrando quem pode criar o pacote de acesso no Enterprise License Management:

Função de diretório do Microsoft Entra Função de gestão de direitos Pode adicionar grupo de segurança* Pode adicionar o grupo Microsoft 365* Pode adicionar aplicativo Pode adicionar o site do SharePoint Online
Administrador Global n/d ✔️ ✔️ ✔️ ✔️
Administrador de Utilizadores n/d ✔️ ✔️ ✔️
Administrador do Intune Proprietário do catálogo ✔️ ✔️    
Administrador do Exchange Proprietário do catálogo   ✔️    
Administrador do serviço Teams Proprietário do catálogo   ✔️    
Administrador do SharePoint Proprietário do catálogo   ✔️   ✔️
Administrador da Aplicação Proprietário do catálogo     ✔️  
Administrador de aplicativos na nuvem Proprietário do catálogo     ✔️  
User Proprietário do catálogo Apenas se o proprietário do grupo Apenas se o proprietário do grupo Apenas se o proprietário da aplicação  

*O grupo não pode ser atribuído a funções; ou seja, isAssignableToRole = false. Se um grupo for atribuível por função, a pessoa que cria o pacote de acesso também deverá ser proprietária do grupo atribuível por função.

Não consigo encontrar a opção "Remover atribuição" em "Funções atribuídas". Como faço para excluir a atribuição de função a um usuário?

Esta resposta é aplicável apenas a organizações Microsoft Entra ID P1.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione um utilizador.
  4. Selecione Funções atribuídas.
  5. Selecione uma atribuição de função que deseja remover.
  6. Selecione Remover atribuições para remover atribuições diretas de função.

Para remover atribuições de função indiretas, remova o usuário do grupo ao qual foi atribuída a função.

Como posso ver todos os grupos que podem ser atribuídos a funções?

Siga estes passos:

  1. Inicie sessão no centro de administração do Microsoft Entra.
  2. Navegue até Grupos>de identidade>Todos os grupos.
  3. Selecione Adicionar filtros.
  4. Filtrar para Função atribuível.

Como posso saber que funções são atribuídas direta e indiretamente a um comitente?

Siga estes passos:

  1. Inicie sessão no centro de administração do Microsoft Entra.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione um utilizador.
  4. Selecione Funções atribuídas.
  5. Se você tiver uma licença do Microsoft Entra ID P1, exiba a coluna Caminho da Atribuição .
  6. Se você tiver uma licença do Microsoft Entra ID P2, exiba a coluna Associação .

Por que impomos a criação de um novo grupo para atribuí-lo à função?

Se você atribuir um grupo existente a uma função, o proprietário do grupo existente poderá adicionar outros membros a esse grupo sem que os novos membros percebam que terão a função. Como os grupos atribuíveis a funções são poderosos, estabelecemos restrições para protegê-los. Você não quer mudanças no grupo que seriam surpreendentes para a pessoa que gerencia o grupo.