Solucionar problemas e resolver problemas de grupos

Este artigo contém informações sobre solução de problemas para grupos no Microsoft Entra ID, parte do Microsoft Entra.

Solucionar problemas de criação de grupo

Desabilitei a criação do grupo de segurança na portal do Azure, mas os grupos ainda podem ser criados por meio do PowerShell
A configuração O usuário pode criar grupos de segurança nos portais do Azure dos portais do Azure controla se os usuários não administradores podem criar grupos de segurança no painel de Acesso ou no portal do Azure. Ele não controla a criação de grupos de segurança por meio do PowerShell.

Para desabilitar a criação de grupos para usuários não administradores no PowerShell:

1. Verifique se os usuários não administradores têm permissão para criar grupos:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Se retornar EnableGroupCreation : True, os usuários não administradores poderão criar grupos. Para desabilitar esse recurso:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

Recebi um erro de máximo de grupos permitidos ao tentar criar um Grupo Dinâmico no PowerShell

O número máximo de grupos dinâmicos por organização é de 5.000. Quando você atinge o número máximo de grupos dinâmicos na sua organização, aparece uma mensagem no PowerShell que diz a contagem máxima de grupos permitida para as políticas de grupos dinâmicos foi atingida.

Se você encontrar esse limite, para criar novos grupos dinâmicos, primeiro precisará excluir alguns grupos dinâmicos existentes. Não existe nenhuma forma de aumentar os limites.

Solucionar problemas de grupos de associação dinâmica

Configurei uma regra em um grupo, mas nenhuma associação foi atualizada no grupo

1. Verifique os valores dos atributos de usuário ou dispositivo na regra. Garanta que existam usuários que satisfaçam a regra. Para dispositivos, verifique as propriedades do dispositivo para garantir que todos os atributos sincronizados contenham os valores esperados.
2. Verifique o status de processamento da associação para confirmar se ele está concluído. Você pode verificar o status do processamento de associação e a data da última atualização na página Visão Geral do grupo.

Se tudo parecer correto, aguarde alguns instantes para que o grupo seja populado. Dependendo do tamanho de sua organização do Microsoft Entra, o grupo poderá levar até 24 horas para ser preenchido pela primeira vez ou após uma alteração de regra.

Configurei uma regra, mas agora os membros da regra existentes foram removidos
Esse comportamento é esperado. Membros existentes do grupo são removidos quando uma regra é habilitada ou alterada. Nem todos os membros existentes são excluídos, apenas os usuários que não cumprem mais a nova regra. Os usuários retornados da avaliação da nova regra são adicionados como membros ao grupo. Os usuários que atendem às regras existentes e às novas regras permanecem no grupo dinâmico. Suas atribuições de licença não são temporariamente excluídas e suas atribuições de função não são removidas.

Não vejo as alterações da associação instantaneamente quando adiciono ou altero uma regra. Por quê?

A avaliação de associação dedicada é feita periodicamente em um processo assíncrono em segundo plano. Tanto o número de usuários em seu diretório quanto o tamanho do grupo resultante afetam o tempo de processamento.

Normalmente, diretórios com um pequeno número de usuários veem as alterações dinâmicas do grupo de associação em menos de alguns minutos. Os diretórios com um grande número de usuários podem levar até 30 minutos ou mais para serem populados.

Como posso forçar o processamento do grupo agora?
Atualmente, não existe uma maneira de disparar automaticamente o grupo para ser processado sob demanda. No entanto, você pode disparar manualmente o reprocessamento atualizando a regra de associação para adicionar um espaço em branco no final.

Eu encontrei uma erro de processamento de regra
A seguinte tabela lista os erros de regra comuns de grupos de associação dinâmica e como corrigi-los.

Erro do analisador de regra	Erro de uso	Uso corrigido
Erro: O atributo não tem suportado.	(user.invalidProperty -eq "Valor")	(user.department -eq "value") A propriedade Verifique se o atributo está na lista de propriedades com suporte.
Erro: O operador não é suportado no atributo.	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) A propriedade O operador utilizado não é suportado pelo tipo de propriedade (neste exemplo, -contains não pode ser utilizado no tipo booleano). Use os operadores corretos para o tipo de propriedade.
Erro: Erro de compilação de consulta.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Operador ausente. Use -and ou -or para predicados de junção (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Erro na expressão regular usada com -match (user.userPrincipalName -match ".*@domain.ext") ou alternativamente: (user.userPrincipalName -match "@domain.ext$")

Próximas etapas

Esses artigos fornecem informações adicionais sobre o Microsoft Entra ID.

• Gerenciando o acesso a recursos com grupos de Microsoft Entra
• Gerenciamento de aplicativos no Microsoft Entra ID
• O que é o Microsoft Entra ID?
• Integração de identidades locais com o Microsoft Entra ID