Rozwiązywanie problemów z grupami

Ten artykuł zawiera informacje dotyczące rozwiązywania problemów z grupami w usłudze Microsoft Entra ID, część firmy Microsoft Entra.

Rozwiązywanie problemów z tworzeniem grup

Wyłączono tworzenie grupy zabezpieczeń w witrynie Azure Portal, ale nadal można tworzyć grupy za pomocą programu PowerShell
Użytkownik może tworzyć grupy zabezpieczeń w witrynie Azure Portal ustawienie w witrynie Azure Portal określa, czy użytkownicy niebędący administratorami mogą tworzyć grupy zabezpieczeń w panelu dostępu lub w witrynie Azure Portal. Nie kontroluje tworzenia grup zabezpieczeń za pomocą programu PowerShell.

Aby wyłączyć tworzenie grup dla użytkowników niebędących administratorami w programie PowerShell:

1. Sprawdź, czy użytkownicy niebędący administratorami mogą tworzyć grupy:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Jeśli zwraca EnableGroupCreation : Truewartość , użytkownicy niebędący administratorami mogą tworzyć grupy. Aby wyłączyć tę funkcję:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

Wystąpił błąd maksymalnej liczby grup dozwolonych podczas próby utworzenia grupy dynamicznej w programie PowerShell

Maksymalna liczba grup dynamicznych na organizację wynosi 5000. Gdy osiągniesz maksymalną liczbę grup dynamicznych w organizacji, zostanie wyświetlony komunikat w programie PowerShell z informacją, że maksymalna liczba dozwolonych grup zasad dynamicznych osiągnęła.

Jeśli napotkasz ten limit, aby utworzyć nowe grupy dynamiczne, musisz najpierw usunąć niektóre istniejące grupy dynamiczne. Nie ma możliwości zwiększenia limitu.

Rozwiązywanie problemów z dynamicznymi grupami członkostwa

Skonfigurowano regułę dla grupy, ale nie zaktualizowano członkostwa w grupie

1. Sprawdź wartości atrybutów użytkownika lub urządzenia w regule. Upewnij się, że istnieją użytkownicy, którzy spełniają regułę. W przypadku urządzeń sprawdź właściwości urządzenia, aby upewnić się, że wszystkie zsynchronizowane atrybuty zawierają oczekiwane wartości.
2. Sprawdź stan przetwarzania członkostwa, aby potwierdzić, czy zostało ono ukończone. Możesz sprawdzić stan przetwarzania członkostwa i datę ostatniej aktualizacji na stronie Przegląd grupy.

Jeśli wszystko wygląda dobrze, poczekaj chwilę, aż grupa zostanie zapełniona. W zależności od rozmiaru organizacji Microsoft Entra, proces zapełniania grupy może zająć do 24 godzin przy pierwszym utworzeniu lub po zmianie reguły.

Skonfigurowano regułę, ale teraz istniejące elementy członkowskie reguły są usuwane
Jest to oczekiwane zachowanie. Istniejący członkowie grupy są usuwani po włączeniu lub zmianie reguły. Nie wszyscy istniejący członkowie są usuwani, tylko użytkownicy, którzy nie spełniają już nowej reguły. Użytkownicy zwracani z oceny nowej reguły są dodawani do grupy jako członkowie. Użytkownicy, którzy spełniają zarówno istniejące reguły, jak i nowe reguły, pozostają w grupie dynamicznej. Przypisania ich licencji nie są tymczasowo usunięte, a ich przypisania ról nie są usunięte.

Nie widzę zmian członkostwa natychmiast po dodaniu lub zmianie reguły, dlaczego nie?

Ocena członkostwa dedykowanego odbywa się okresowo w procesie asynchronicznego w tle. Zarówno liczba użytkowników w katalogu, jak i rozmiar wynikowej grupy mają wpływ na czas przetwarzania.

Zazwyczaj katalogi z małą liczbą użytkowników widzą dynamiczne zmiany grupy członkostwa w mniej niż kilka minut. Wypełnianie katalogów z dużą liczbą użytkowników może potrwać 30 minut lub dłużej.

Jak mogę wymusić przetworzenie grupy teraz?
Obecnie nie ma możliwości automatycznego wyzwalania grupy do przetworzenia na żądanie. Można jednak ręcznie wyzwolić ponowne przetwarzanie, aktualizując regułę członkostwa, aby dodać biały znak na końcu.

Napotkano błąd przetwarzania reguły
W poniższej tabeli wymieniono typowe błędy reguł dla dynamicznych grup członkostwa i sposób ich poprawiania.

Błąd analizatora reguł	Użycie błędu	Poprawione użycie
Błąd: Atrybut nie jest obsługiwany.	(user.invalidProperty -eq "Value")	(user.department -eq "value") Upewnij się, że atrybut znajduje się na liście obsługiwanych właściwości.
Błąd: Operator nie jest obsługiwany w atrybucie.	(user.accountEnabled — zawiera wartość true)	(user.accountEnabled -eq true) Używany operator nie jest obsługiwany dla typu właściwości (w tym przykładzie parametr -contains nie może być używany w typie logicznym). Użyj poprawnych operatorów dla typu właściwości.
Błąd: Błąd kompilacji zapytania.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Brak operatora. Użyj -i lub -lub, aby dołączyć predykaty (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Błąd w wyrażeniu regularnym używanym z -match (user.userPrincipalName -match ".*@domain.ext") lub alternatywnie: (user.userPrincipalName -match "@domain.ext$")

Następne kroki

Te artykuły zawierają dodatkowe informacje na temat identyfikatora Entra firmy Microsoft.

• Zarządzanie dostępem do zasobów za pomocą grup firmy Microsoft Entra
• Zarządzanie aplikacjami w usłudze Microsoft Entra ID
• Czym jest usługa Microsoft Entra ID?
• Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft