Устранение неполадок и решение проблем с группами

В этой статье содержатся сведения об устранении неполадок для групп в идентификаторе Microsoft Entra, часть Microsoft Entra.

Устранение неполадок при создании группы

Мною отключено создание группы безопасности на портале Azure, но группы можно по-прежнему создавать с помощью PowerShell
Параметр Пользователь может создавать группы безопасности на порталах Azure на портале Azure определяет, могут ли пользователи, не являющиеся администраторами, создавать группы безопасности на панели доступа или портале Azure. Он не контролирует создание группы безопасности с помощью PowerShell.

Чтобы отключить создание группы для пользователей, не являющихся администраторами в PowerShell, выполните следующие действия.

1. Убедитесь, что пользователи, не являющиеся администраторами, разрешены создавать группы:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Если он возвращается EnableGroupCreation : True, пользователи, не являющиеся администраторами, могут создавать группы. Чтобы отключить эту функцию, используйте следующий код.

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

При попытке создать динамическую группу в PowerShell получено сообщение об ошибке, связанной с максимальным количеством разрешенных групп

Максимальное число динамических групп на организацию — 5000. Когда вы достигнете максимального числа динамических групп в вашей организации, вы получите сообщение в PowerShell, которое говорит: достигнуто максимальное число групп, разрешенных политиками динамических групп.

Если вы столкнетесь с этим ограничением, чтобы создать новые динамические группы, сначала необходимо удалить некоторые из существующих динамических групп. Этот предел невозможно увеличить.

Устранение неполадок с динамическими группами членства

Мной было настроено правило для группы, но обновление членства в группе не произошло.

1. Проверьте значения атрибутов пользователя или устройства в правиле. Убедитесь, что есть пользователи, которые отвечают правилу. В случае устройств проверьте свойства устройства, чтобы убедиться, что все синхронизированные атрибуты содержат ожидаемые значения.
2. Проверьте состояние обработки членства, чтобы убедиться, что оно завершено. Вы можете проверять состояние обработки членства и дату последнего обновления на странице Обзор для группы.

Если все выглядит хорошо, подождите немного, чтобы группа заполнилась. В зависимости от размера вашей организации Microsoft Entra, заполнение группы может занять до 24 часов впервые или после изменения правила.

Мной было настроено правило, но теперь существующие участники правила удалены.
Это ожидаемое поведение. Существующие участники группы удаляются при включении или изменении правила. Не все существующие члены удаляются, только пользователи, которые больше не соответствуют новому правилу. Пользователи, возвращаемые из оценки нового правила, добавляются в группу как члены. Пользователи, которые соответствуют существующим правилам и новым правилам, остаются в динамической группе. Назначения их лицензий не удаляются временно, а назначения ролей не удаляются.

Я не вижу мгновенного изменения членства, когда добавляю или изменяю правило. Почему?

Специальная оценка членства выполняется периодически в асинхронном фоновом процессе. Количество пользователей в каталоге и размер результирующей группы влияют на время обработки.

Как правило, каталоги с небольшим количеством пользователей видят изменения динамической группы членства менее чем за несколько минут. В случае каталогов с большим числом пользователей заполнение может занять 30 минут или больше.

Как можно сейчас принудительно выполнить обработку группы?
В настоящее время нет способа автоматической активации группы по требованию. Однако можно вручную активировать повторную обработку, обновив правило членства и добавив в конце пробел.

У меня возникла ошибка при обработке правила
В следующей таблице перечислены распространенные ошибки правил для динамических групп членства и способы их исправления.

Ошибка со средством синтаксического анализа правил	Неправильное использование	Правильное использование
Ошибка: атрибут не поддерживается.	(user.invalidProperty -eq "Value")	(user.department -eq "value") Убедитесь, что атрибут находится в списке поддерживаемых свойств.
Ошибка. Оператор не поддерживается в атрибуте.	(user.accountEnabled -contains true)	(user.accountEnabled - eq true) Используемый оператор не поддерживается для типа свойства (в этом примере -contains не может использоваться для логического типа). Используйте правильные операторы для типа свойств.
Ошибка: ошибка компиляции запроса.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Отсутствует оператор. Используйте предикат соединения -and или -or. (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Ошибка в регулярном выражении, используемом с -match (user.userPrincipalName -match ".*@domain.ext") или (user.userPrincipalName -match "@domain.ext$")

Следующие шаги

В этих статьях содержатся дополнительные сведения об идентификаторе Microsoft Entra.

• Управление доступом к ресурсам с помощью групп Microsoft Entra
• Управление приложениями в идентификаторе Microsoft Entra
• Что такое Microsoft Entra ID?
• Интеграция локальных удостоверений с идентификатором Microsoft Entra