Compartilhar via


Solucionar problemas e resolver problemas de grupos

Este artigo contém informações sobre solução de problemas para grupos no Microsoft Entra ID, parte do Microsoft Entra.

Solucionar problemas de criação de grupo

Desabilitei a criação do grupo de segurança na portal do Azure, mas os grupos ainda podem ser criados por meio do PowerShell
A configuração O usuário pode criar grupos de segurança nos portais do Azure dos portais do Azure controla se os usuários não administradores podem criar grupos de segurança no painel de Acesso ou no portal do Azure. Ele não controla a criação do grupo de segurança por meio do PowerShell.

Para desabilitar a criação de grupos para usuários não administradores no PowerShell:

  1. Verifique se os usuários não administradores têm permissão para criar grupos:

    Get-MgBetaDirectorySetting | select -ExpandProperty values
    
  2. Se retornar EnableGroupCreation : True, os usuários não administradores poderão criar grupos. Para desabilitar esse recurso:

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     $params = @{
     TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
     Values = @(		
     	@{
     		Name = "EnableGroupCreation"
     		Value = "false"
     	}		
     )
     }
     Connect-MgGraph -Scopes "Directory.ReadWrite.All"
     New-MgBetaDirectorySetting -BodyParameter $params
    
    

Recebi um erro de máximo de grupos permitidos ao tentar criar um Grupo Dinâmico no PowerShell
Se você receber uma mensagem no PowerShell indicando que foi atingida a quantidade máxima de grupos permitidos das políticas de grupo dinâmico, isso significa que você atingiu o limite máximo de grupos dinâmicos na sua organização. O número máximo de grupos dinâmicos por organização é de 5.000.

Para criar novos grupos dinâmicos, primeiro você precisará excluir alguns grupos dinâmicos existentes. Não existe nenhuma forma de aumentar os limites.

Solucionar problemas de grupos de associação dinâmica

Configurei uma regra em um grupo, mas nenhuma associação foi atualizada no grupo

  1. Verifique os valores dos atributos de usuário ou dispositivo na regra. Garanta que existam usuários que satisfaçam a regra. Para dispositivos, verifique as propriedades do dispositivo para garantir que todos os atributos sincronizados contenham os valores esperados.
  2. Verifique o status de processamento da associação para confirmar se ele está concluído. Você pode verificar o status do processamento de associação e a data da última atualização na página Visão Geral do grupo.

Se tudo estiver correto, aguarde alguns instantes para que o grupo seja populado. Dependendo do tamanho de sua organização Microsoft Entra, o grupo pode levar até 24 horas para ser preenchido pela primeira vez ou após uma alteração de regra.

Configurei uma regra, mas agora os membros da regra existentes foram removidos
Esse comportamento é esperado. Membros existentes do grupo são removidos quando uma regra é habilitada ou alterada. Nem todos os membros existentes são excluídos, apenas aqueles que não cumprem mais a nova regra. Os usuários retornados da avaliação da nova regra são adicionados como membros ao grupo. Os usuários que atenderem às regras existentes e às novas regras permanecerão no grupo dinâmico, portanto, suas atribuições de licença normalmente não serão temporariamente excluídas nem suas atribuições de função serão removidas.

Não vejo as alterações da associação instantaneamente quando adiciono ou altero uma regra. Por quê?
A avaliação de associação dedicada é feita periodicamente em um processo assíncrono em segundo plano. O tempo que o processo leva é determinado pelo número de usuários no diretório e pelo tamanho do grupo criado como resultado da regra. Normalmente, os diretórios com números pequenos de usuários verão as alterações do grupo de associação dinâmica em poucos minutos. Os diretórios com um grande número de usuários podem levar até 30 minutos ou mais para serem populados.

Como posso forçar o processamento do grupo agora?
Atualmente, não existe uma maneira de disparar automaticamente o grupo para ser processado sob demanda. No entanto, você pode disparar manualmente o reprocessamento atualizando a regra de associação para adicionar um espaço em branco no final.

Eu encontrei uma erro de processamento de regra
A seguinte tabela lista os erros de regra comuns de grupos de associação dinâmica e como corrigi-los.

Erro do analisador de regra Erro de uso Uso corrigido
Erro: O atributo não tem suportado. (user.invalidProperty -eq "Valor") (user.department -eq "value") A propriedade

Verifique se o atributo está na lista de propriedades com suporte.
Erro: O operador não é suportado no atributo. (user.accountEnabled -contains true) (user.accountEnabled -eq true) A propriedade

O operador utilizado não é suportado pelo tipo de propriedade (neste exemplo, -contains não pode ser utilizado no tipo booleano). Use os operadores corretos para o tipo de propriedade.
Erro: Erro de compilação de consulta. 1. (user.department -eq "Sales") (user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")
1. Operador ausente. Use -and ou -or para predicados de junção
(user.department -eq "Sales") -or (user.department -eq "Marketing")
2. Erro na expressão regular usada com -match
(user.userPrincipalName -match ".*@domain.ext")
ou alternativamente: (user.userPrincipalName -match "@domain.ext$")

Próximas etapas

Esses artigos fornecem informações adicionais sobre o Microsoft Entra ID.