Felsöka och lösa problem med grupper

Den här artikeln innehåller felsökningsinformation för grupper i Microsoft Entra ID, en del av Microsoft Entra.

Felsöka problem med att skapa grupper

Jag inaktiverade skapandet av säkerhetsgrupper i Azure Portal men grupper kan fortfarande skapas via PowerShell
Användaren kan skapa säkerhetsgrupper i inställningen Azure Portal i Azure Portal styr om icke-administratörsanvändare kan skapa säkerhetsgrupper i åtkomstpanelen eller i Azure Portal. Den styr inte skapandet av säkerhetsgrupper via PowerShell.

Så här inaktiverar du skapande av grupper för användare som inte är användare i PowerShell:

1. Kontrollera att användare som inte är användare tillåts att skapa grupper:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Om den returnerar EnableGroupCreation : Truekan icke-administratörsanvändare skapa grupper. Så här inaktiverar du den här funktionen:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

Jag fick ett maximalt antal tillåtna grupper när jag försökte skapa en dynamisk grupp i PowerShell

Det maximala antalet dynamiska grupper per organisation är 5 000. När du når det maximala antalet dynamiska grupper i din organisation får du ett meddelande i PowerShell där det står Dynamiska grupprinciper maximalt antal tillåtna grupper har nåtts.

Om du stöter på den här gränsen måste du först ta bort några befintliga dynamiska grupper om du vill skapa nya dynamiska grupper. Det finns inget sätt att öka gränsen.

Felsöka dynamiska medlemskapsgrupper

Jag har konfigurerat en regel för en grupp men inga medlemskap uppdateras i gruppen

1. Kontrollera värdena för användar- eller enhetsattribut i regeln. Se till att det finns användare som uppfyller regeln. För enheter kontrollerar du enhetsegenskaperna för att säkerställa att alla synkroniserade attribut innehåller de förväntade värdena.
2. Kontrollera statusen för medlemskapsbearbetning för att bekräfta om den är klar. Du kan kontrollera statusen för medlemskapsbearbetning och det senast uppdaterade datumet på sidan Översikt för gruppen.

Om allt ser bra ut, ge gruppen lite tid att fyllas på. Beroende på storleken på din Microsoft Entra-organisation kan det ta upp till 24 timmar innan gruppen fylls i för första gången eller efter en regeländring.

Jag har konfigurerat en regel, men nu tas de befintliga medlemmarna i regeln bort
Det här beteendet är förväntat. Befintliga medlemmar i gruppen tas bort när en regel aktiveras eller ändras. Alla befintliga medlemmar tas inte bort, bara användare som inte längre uppfyller den nya regeln. De användare som returneras från utvärderingen av den nya regeln läggs till som medlemmar i gruppen. Användare som uppfyller både befintliga regler och nya regler finns kvar i den dynamiska gruppen. Deras licenstilldelningar tas inte bort tillfälligt och deras rolltilldelningar tas inte bort.

Jag ser inte medlemskapsändringar direkt när jag lägger till eller ändrar en regel, varför inte?

Utvärdering av dedikerade medlemskap görs regelbundet i en asynkron bakgrundsprocess. Både antalet användare i katalogen och storleken på den resulterande gruppen påverkar bearbetningstiden.

Vanligtvis ser kataloger med ett litet antal användare ändringarna i gruppen för dynamiskt medlemskap på mindre än några minuter. Kataloger med ett stort antal användare kan ta 30 minuter eller längre att fylla i.

Hur kan jag tvinga gruppen att bearbetas nu?
För närvarande finns det inget sätt att automatiskt utlösa gruppen som ska bearbetas på begäran. Du kan dock utlösa ombearbetningen manuellt genom att uppdatera medlemskapsregeln för att lägga till ett tomt utrymme i slutet.

Jag stötte på ett fel vid regelbearbetning
I följande tabell visas vanliga regelfel för dynamiska medlemskapsgrupper och hur du korrigerar dem.

Regelparserfel	Felanvändning	Korrigerad användning
Fel: Attributet stöds inte.	(user.invalidProperty -eq "Value")	(user.department -eq "value") Kontrollera att attributet finns i egenskapslistan som stöds.
Fel: Operatorn stöds inte för attributet.	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) Operatorn som används stöds inte för egenskapstypen (i det här exemplet kan -contains inte användas på typen boolesk). Använd rätt operatorer för egenskapstypen.
Fel: Frågekompileringsfel.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Operatorn saknas. Använd - och - eller för att ansluta predikater (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Fel i reguljärt uttryck som används med -match (user.userPrincipalName -match ".*@domain.ext") eller alternativt: (user.userPrincipalName -match "@domain.ext$")

Nästa steg

De här artiklarna innehåller ytterligare information om Microsoft Entra-ID.

• Hantera åtkomst till resurser med Microsoft Entra-grupper
• Programhantering i Microsoft Entra-ID
• Vad är Microsoft Entra ID?
• Integrera dina lokala identiteter med Microsoft Entra-ID