Für die Verwaltung von Entra ID Gruppen können Konten als Gruppenmitglied unter myaccount.microsoft.com/groups ihre Gruppen einsehen und als Besitzer die Gruppen verwalten.
Administratoren können die Möglichkeit in Entra ID deaktivieren. In dieser Konfiguration ist die Möglichkeit für Konten ohne Admin Rolle inaktiv.
Normale Benutzerkonten informiert das System die Möglichkeit sei nicht aktiviert.
Tests zeigen die Einschränkung in Entra ID gilt nicht für Konten mit einer der Admin Rollen:
- Global Administrator
- Groups Administrator
- User Administrator
- …
In meiner Simulation nutze ich Group-based Role Assignments für die Zuweisung der Admin Rolle Groups Administrator. Alex Wilber ist Mitglied der Gruppe und erhält über die Gruppe die Admin Rolle.
Alex kann trotzdem nicht auf Meine Gruppen zugreifen. Für sein Konto ist die Möglichkeit weiterhin inaktiv.
Im zweiten Test versuche ich es mit einer Direktzuweisung der Rolle Groups Administrator. Für den Test wurde Alex Wilber die Rolle mit beiden Arten zugewiesen.
Interessant, mit der Direktzuweisung funktioniert Meine Gruppen für Alex Wilber. Entferne ich die Direktzuweisung, kann Alex nicht mehr auf Meine Gruppen zugreifen.
Ich probierte das Szenario auch noch mit User Administrator. Selbes Ergebnis, aber nur wenn dem Konto die Rolle über Group-based Role Assignments zugewiesen ist.
Meine Gruppen unterstützt somit keine Group-based Role Assignments. Die Admin Rolle muss einem Konto direkt zugewiesen sein.
Ergänzung:
Davon nicht betroffen sind über Privileged Identity Management (PIM) aktivierte Admin Rollen. Bei einer über PIM aktivierten Groups Administrator Rolle funktioniert Meine Gruppen, selbst wenn die Rolle mit Group-based Role Assignments zugewiesen ist.
