German / Microsoft Entra

Fehlende Berechtigungen zur Validierung einer dynamischen Entra ID Gruppe

29. Dezember 2024

Zur Validierung einer dynamischen Entra ID Gruppe wird in der Dokumentation folgende Beschreibung für erforderliche Berechtigungen notiert.

To evaluate the rule for dynamic membership groups, the administrator must be at least a Groups Administrator.

In der Dokumentation für Entra ID Admin Rollen wird bei Groups Administrator folgende Berechtigung erwähnt.

microsoft.directory/groups/dynamicMembershipRule/update
Update the dynamic membership rule on Security groups and Microsoft 365 groups, excluding role-assignable groups

Eine Suche ergibt die Berechtigung ist in fünf Rollen aktiv:

  • Directory Writers
  • Groups Administrator
  • Intune Administrator
  • User Administrator
  • Windows 365 Administrator

Einem meiner Testkonten ist die Rolle Intune Administrator zugewiesen.

  • Das Konto ist Mitglied einer Rollengruppe. Der Gruppe wurde die Rolle Intune Administrator zugewiesen, das Konto erbt die Rolle über die Gruppe.
  • Die Rolle wurde der Gruppe als Active Assignment zugewiesen. Die Rolle ist über einen definierten Zeitraum permanent aktiv.
Rolle Intune Administrator wurde über Rollengruppe zugewiesen
Rolle Intune Administrator wurde über Rollengruppe zugewiesen

Mein Kollege Alex Wilber erstellt in Intune eine neue dynamische Entra ID Gruppe und möchte eine Validierung für ein Konto durchführen. Intune wird darauf hinweisen das Konto hat keine Berechtigung zur Validierung.

Insufficient privileges to update the membership rule for the group. Make sure you have the right permissions.
The evaluation could not be performed, this user does not have appropriate permissions. Please contact your administrator to request permissions.

Fehlende Berechtigung zur Validierung einer dynamischen Gruppe
Fehlende Berechtigung zur Validierung einer dynamischen Gruppe

Die Ursache ist die Zuweisung der Intune Admin Rolle über eine Rollengruppe im Status Active Assignment.
Praktisch handelt es sich um dasselbe Problem wie in meinem Beitrag von Oktober über eine fehlende Group Administrator Rolle. Manche Berechtigungen in Entra unterstützen keine Rollengruppen.

Nachlesen:  Meine Gruppen in Microsoft 365 zeigt für Administratoren "Diese Funktion ist nicht aktiviert"

Zur Lösung gibt es zwei Möglichkeiten:

  1. Du änderst die Zuweisung von Active Assignment auf Eligible Assignment. Damit nutzt Alex Wilber Privileged Identity Management (PIM), sein Konto benötigt eine Entra ID P2 Lizenz. Nach Aktivierung der Intune Admin Rolle funktioniert die Validierung für eine dynamischen Gruppe.
  2. Du weist die Intune Admin Rolle einem Konto direkt zu (im Status Active Assignment). Nach einer Direktzuweisung kann Alex Wilber die Validierung für eine dynamischen Gruppe durchführen.

In beiden Fällen funktioniert die Validierung mit der Intune Administrator Rolle.

Validierung mit Intune Administrator Rolle durchgeführt
Validierung mit Intune Administrator Rolle durchgeführt

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert