針對群組問題進行疑難排解並加以解決

本文包含 Microsoft Entra ID (Microsoft Entra 的一部分) 中群組的疑難排解資訊。

針對群組建立問題進行疑難排解

我已在 Azure 入口網站中停用安全性群組建立，但仍然可以透過 PowerShell 建立群組
使用者可以在 Azure 入口網站建立安全性群組 Azure 入口網站中的設定可控制非管理使用者是否可以在存取面板或 Azure 入口網站建立安全性群組。 它無法透過PowerShell控制安全組的建立。

在 PowerShell 中停用非管理使用者的建立群組功能：

1. 確認允許非管理使用者建立群組：

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. 如果其傳回 EnableGroupCreation : True，非管理使用者就可以建立群組。 若要停用這項功能：

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

我在嘗試於 PowerShell 中建立動態群組時收到允許的群組上限錯誤

每個組織的動態群組數目上限為 5,000。 當您達到組織中的動態群組數目上限時，您會在 PowerShell 中收到訊息，指出 動態組策略允許的群組計數上限已達。

如果您遇到此限制，若要建立任何新的動態群組，您必須先刪除一些現有的動態群組。 沒有方法可以增加限制。

組動態成員資格群組疑難排解

我針對某個群組設定了一個規則，但是群組中的成員資格沒有任何更新

1. 確認規則中使用者或裝置屬性的值。 確定有滿足規則的使用者。 針對裝置，請檢查裝置屬性，以確定任何同步的屬性都包含預期值。
2. 檢查成員資格處理狀態，以確認處理是否已完成。 您可以在群組的 [概觀] 頁面上檢查成員資格處理狀態和上次更新日期。

如果一切看起來都不錯，請留一點時間讓群組成員加入。 視您 Microsoft Entra 組織的大小而定，群組在第一次填入或規則變更後最多可能需要 24 小時。

我已設定一個規則，但是目前現有的規則成員已被移除
這是預期行為。 因為在啟用或變更規則時，現有群組的成員會遭到移除。 並非所有現有的成員都會刪除，只有不再符合新規則的使用者。 從對新規則的評估中返回的使用者將被新增為群組成員。 符合現有規則和新規則的使用者仍會保留在動態群組中。 他們的授權指派不會被暫時刪除，並且他們的角色指派也不會被移除。

當我新增或變更規則時，沒有立即看到成員資格變更，為什麼？

獨立的成員資格評估會定期在非同步的背景進程中完成。 目錄中的用戶數目和產生的群組大小都會影響處理時間。

一般而言，少數用戶的目錄會在少於幾分鐘內看到動態使用者群組變更。 具有大量使用者的目錄則可能需要 30 分鐘或更長的時間填入。

如何強制立即處理群組？
目前沒有任何方法可以依需求自動觸發群組處理。 不過，您可以更新成員資格規則來手動觸發重新處理，以在結尾新增空格。

我遇到規則處理錯誤
下表列出動態成員資格群組的常見規則錯誤及其修正方法。

規則剖析器錯誤	錯誤的使用方式	更正的使用方式
錯誤：不支援屬性。	(user.invalidProperty -eq "Value")	(user.department -eq "value") 請確定此屬性位於支援的屬性清單中。
錯誤：運算子在屬性上不受支援。	(user.accountEnabled -contains 真)	(使用者賬戶已啟用 = true) 屬性類型不支援使用的運算子 (在此範例中，-contains 不能在布林值類型上使用)。 對於屬性類型使用正確的運算子。
錯誤：查詢編譯錯誤。	1. (user.department -eq "銷售") (user.department -eq "行銷") 2. (user.userPrincipalName -match "*@domain.ext")	1.缺少運算子。 使用 -and 或 -or 來聯結述詞 (user.department -eq "銷售") -or (user.department -eq "行銷") 2.使用 -match 的規則運算式發生錯誤 (user.userPrincipalName -match ".*@domain.ext") 或者：(user.userPrincipalName -match "@domain.ext$")

下一步

這些文章提供有關 Microsoft Entra ID 的其他資訊。

• 使用 Microsoft Entra 群組來管理資源的存取權
• Microsoft Entra ID 中的應用程式管理
• 什麼是 Microsoft Entra ID？
• 整合本地端身分識別與 Microsoft Entra ID