Řešení potíží se skupinami
Tento článek obsahuje informace o řešení potíží pro skupiny v Microsoft Entra ID, součást Microsoft Entra.
Řešení potíží s vytvářením skupin
Zakázal(a) jsem vytváření skupin zabezpečení na webu Azure Portal, ale skupiny je možné vytvořit i přes PowerShell.
Uživatel může na portálu Azure Portal vytvořit skupiny zabezpečení na webu Azure Portal a určuje, jestli uživatelé, kteří nejsou správci, mohou vytvářet skupiny zabezpečení na přístupovém panelu nebo na webu Azure Portal. Neřídí vytváření skupin zabezpečení prostřednictvím PowerShellu.
Zakázání vytváření skupin pro uživatele bez oprávnění správce v PowerShellu:
Ověřte, že uživatelé bez oprávnění správce mohou vytvářet skupiny:
Get-MgBetaDirectorySetting | select -ExpandProperty values
Pokud se vrátí
EnableGroupCreation : True
, můžou uživatelé bez oprávnění správce vytvářet skupiny. Zakázání této funkce:Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
Při pokusu o vytvoření dynamické skupiny v PowerShellu se zobrazila chyba maximální povolené skupiny
Pokud se vám v PowerShellu zobrazí zpráva, že bylo dosaženo maximálního počtu povolených skupin dynamických zásad skupiny, znamená to, že jste dosáhli maximálního limitu pro dynamické skupiny ve vaší organizaci. Maximální počet dynamických skupin na organizaci je 5 000.
Pokud chcete vytvořit nové dynamické skupiny, musíte nejprve odstranit některé existující dynamické skupiny. Neexistuje způsob, jak limit zvýšit.
Řešení potíží s dynamickými skupinami členství
Nakonfiguroval(a) jsem pravidlo pro skupinu, ale ve skupině se neaktualizuje žádné členství
- Ověřte hodnoty atributů uživatele nebo zařízení v pravidle. Ujistěte se, že pravidlo vyhovuje uživatelům. U zařízení zkontrolujte vlastnosti zařízení a ujistěte se, že všechny synchronizované atributy obsahují očekávané hodnoty.
- Zkontrolujte stav zpracování členství a ověřte, jestli je dokončený. Stav zpracování členství a datum poslední aktualizace můžete zkontrolovat na stránce Přehled skupiny.
Pokud všechno vypadá dobře, počkejte prosím nějakou dobu, než se skupina naplní. V závislosti na velikosti vaší organizace Microsoft Entra může trvat až 24 hodin, než se skupina poprvé nebo po změně pravidla naplní.
Nakonfiguroval(a) jsem pravidlo, ale teď se odeberou stávající členové pravidla.
Toto chování je očekávané. Existující členové skupiny se odeberou, když je pravidlo povolené nebo změněné. Ne všichni existující členové jsou odstraněni, pouze ti, kteří už nové pravidlo nesplňují. Uživatelé vrácení z vyhodnocení nového pravidla se přidají do skupiny jako členové.
Uživatelé, kteří splňují stávající pravidla i nová pravidla, zůstanou v dynamické skupině, takže přiřazení licencí nebudou obvykle dočasně odstraněna ani jejich přiřazení rolí nebudou odebrána.
Když přidám nebo změním pravidlo, okamžitě se změny členství nezobrazují, proč ne?
Vyhodnocení vyhrazeného členství se pravidelně provádí v asynchronním procesu na pozadí. Jak dlouho proces trvá, určuje počet uživatelů ve vašem adresáři a velikost skupiny vytvořené v důsledku pravidla. Adresáře s malým počtem uživatelů obvykle uvidí změny dynamické skupiny členství za méně než několik minut. Naplnění adresářů s velkým počtem uživatelů může trvat 30 minut nebo déle.
Jak můžu vynutit, aby se skupina zpracovávala?
V současné době neexistuje způsob, jak automaticky aktivovat zpracování skupiny na vyžádání. Opětovné zpracování ale můžete aktivovat ručně tak, že aktualizujete pravidlo členství a přidáte na konec prázdné znaky.
Došlo k chybě zpracování pravidla
Následující tabulka uvádí běžné chyby pravidel pro dynamické skupiny členství a jejich opravu.
Chyba analyzátoru pravidel | Využití chyb | Oprava využití |
---|---|---|
Chyba: Atribut není podporován. | (user.invalidProperty -eq "Value") | (user.department -eq "value") Ujistěte se, že je atribut v seznamu podporovaných vlastností. |
Chyba: Operátor není u atributu podporován. | (user.accountEnabled -contains true) | (user.accountEnabled -eq true) Použitý operátor není podporován pro typ vlastnosti (v tomto příkladu -contains nelze použít pro typ boolean). Použijte správné operátory pro typ vlastnosti. |
Chyba: Chyba kompilace dotazu | 1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext") |
1. Chybí operátor. Použití a nebo nebo spojení predikátů (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Chyba v regulárním výrazu použitém s -match (user.userPrincipalName -match ".*@domain.ext") nebo alternativně: (user.userPrincipalName -match "@domain.ext$") |
Další kroky
Tyto články obsahují další informace o ID Microsoft Entra.