Compartir vía


Solución de problemas de grupos

En este artículo se le proporcionará información sobre cómo solucionar problemas de grupos de Microsoft Entra ID, que forma parte de Microsoft Entra.

Solución de problemas de creación de grupos

He deshabilitado la creación de grupos de seguridad en Azure Portal, pero los grupos todavía se pueden crear a través de PowerShell
La opción Los usuarios pueden crear grupos de seguridad en los portales de Azure de Azure Portal controla si los usuarios que no son administradores pueden crear grupos de seguridad en el Panel de acceso o en Azure Portal. No controla la creación de grupos de seguridad mediante PowerShell.

Para deshabilitar la creación de grupos para usuarios no administradores en PowerShell:

  1. Compruebe que los usuarios que no son administradores pueden crear grupos:

    Get-MgBetaDirectorySetting | select -ExpandProperty values
    
  2. Si devuelve EnableGroupCreation : True, los usuarios que no son administradores pueden crear grupos. Para deshabilitar esta característica:

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     $params = @{
     TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
     Values = @(		
     	@{
     		Name = "EnableGroupCreation"
     		Value = "false"
     	}		
     )
     }
     Connect-MgGraph -Scopes "Directory.ReadWrite.All"
     New-MgBetaDirectorySetting -BodyParameter $params
    
    

He recibido un error de grupos máximos permitidos al intentar crear un grupo dinámico en PowerShell
Si recibe un mensaje en PowerShell que indica que se ha alcanzado el número máximo de grupos permitidos de directivas de grupos dinámicos, lo que significa que se ha alcanzado el límite máximo de grupos dinámicos en la organización. El número máximo de grupos dinámicos por organización es 5000.

Para crear grupos dinámicos, primero debe eliminar algunos grupos dinámicos existentes. No hay ninguna forma de aumentar el límite.

Solución de problemas de grupos de pertenencia dinámica

He configurado una regla en un grupo pero las pertenencias no se actualizan en el grupo.

  1. Compruebe los valores de los atributos de usuario o dispositivo de la regla. Asegúrese de que haya usuarios que cumplen la regla. En el caso de los dispositivos, compruebe las propiedades de estos para asegurarse de que los atributos sincronizados contienen los valores esperados.
  2. Compruebe el estado de procesamiento de pertenencia para confirmar si se ha completado. Puede comprobar el estado de procesamiento de la pertenencia y la última fecha actualizada en la página Información general del grupo.

Si todo es correcto, el grupo tardará un poco en rellenarse. Dependiendo del tamaño de la organización de Microsoft Entra, el grupo puede tardar hasta 24 horas en rellenarse por primera vez o después de un cambio de la regla.

He configurado una regla, pero ahora se han quitado los miembros existentes de la regla.
Este es el comportamiento esperado. Los miembros existentes del grupo se quitan cuando una regla se habilita o se cambia. No todos los miembros existentes se eliminan, solo aquellos que ya no cumplen la nueva regla. Los usuarios devueltos desde la evaluación de la nueva regla se agregan como miembros al grupo. Los usuarios que cumplan las reglas existentes y las nuevas permanecerán en el grupo dinámico, por lo que sus asignaciones de licencias no normalmente se eliminarán temporalmente ni se quitarán sus asignaciones de roles.

No veo los cambios en la pertenencia al instante cuando agrego o cambio una regla, ¿por qué pasa esto?
La evaluación de pertenencia dedicada se realiza periódicamente en un proceso asincrónico en segundo plano. La duración del proceso viene determinada por el número de usuarios del directorio y el tamaño del grupo creado como resultado de la regla. Normalmente, los directorios con un número pequeño de usuarios verán los cambios de grupo de pertenencia dinámica en unos pocos minutos. Los directorios con un gran número de usuarios pueden tardar 30 minutos o más en completarse.

¿Cómo se puede forzar al grupo a procesarse ahora?
Actualmente, no hay forma de desencadenar automáticamente el grupo que se va a procesar a petición. Sin embargo, puede desencadenar manualmente el reprocesamiento si actualiza la regla de pertenencia para agregar un espacio en blanco al final.

Se detectó una error de procesamiento de la regla
En la tabla siguiente se enumeran errores de reglas comunes para grupos de pertenencia dinámica y cómo corregirlos.

Error del analizador de reglas Uso con error Uso corregido
Error: no se admite el atributo. (user.invalidProperty -eq "Value") (user.department -eq "value")

Asegúrese de que el atributo se encuentra en la lista de propiedades admitidas.
Error: el operador no se admite en el atributo. (user.accountEnabled -contains true) (user.accountEnabled -eq true)

El operador usado no se admite para el tipo de propiedad (en este ejemplo, -contains no se puede usar en el tipo booleano). Utilice los operadores correctos para el tipo de propiedad.
Error: error de compilación de consulta. 1. (user.department -eq "Sales") (user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")
1. Falta el operador. Use -and u -or para predicados de combinación
(user.department -eq "Sales") -or (user.department -eq "Marketing")
2. Error en la expresión regular usada con -match
(user.userPrincipalName -match ".*@domain.ext")
o bien: (user.userPrincipalName -match "@domain.ext$")

Pasos siguientes

En estos artículos se proporciona información adicional sobre Microsoft Entra ID.