Řešení potíží se skupinami

Tento článek obsahuje informace o řešení potíží pro skupiny v Microsoft Entra ID, součást Microsoft Entra.

Řešení potíží s vytvářením skupin

Zakázal(a) jsem vytváření skupin zabezpečení na webu Azure Portal, ale skupiny je možné vytvořit i přes PowerShell.
Uživatel může vytvářet skupiny zabezpečení na webu Azure Portal na webu Azure Portal a určuje, jestli uživatelé bez oprávnění správce můžou vytvářet skupiny zabezpečení na přístupovém panelu nebo na webu Azure Portal. Neřídí vytváření skupin zabezpečení prostřednictvím PowerShellu.

Zakázání vytváření skupin pro uživatele bez oprávnění správce v PowerShellu:

1. Ověřte, že uživatelé bez oprávnění správce mohou vytvářet skupiny:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Pokud se vrátí EnableGroupCreation : True, můžou uživatelé bez oprávnění správce vytvářet skupiny. Zakázání této funkce:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

Při pokusu o vytvoření dynamické skupiny v PowerShellu se zobrazila chyba maximální povolené skupiny
Pokud se vám v PowerShellu zobrazí zpráva, že bylo dosaženo maximálního počtu povolených skupin dynamických zásad skupiny, znamená to, že jste dosáhli maximálního limitu pro dynamické skupiny ve vaší organizaci. Maximální počet dynamických skupin na organizaci je 5 000.

Pokud chcete vytvořit nové dynamické skupiny, musíte nejprve odstranit některé existující dynamické skupiny. Neexistuje způsob, jak limit zvýšit.

Řešení potíží s dynamickým členstvím ve skupinách

Nakonfiguroval(a) jsem pravidlo pro skupinu, ale ve skupině se neaktualizuje žádné členství

1. Ověřte hodnoty atributů uživatele nebo zařízení v pravidle. Ujistěte se, že pravidlo vyhovuje uživatelům. U zařízení zkontrolujte vlastnosti zařízení a ujistěte se, že všechny synchronizované atributy obsahují očekávané hodnoty.
2. Zkontrolujte stav zpracování členství a ověřte, jestli je dokončený. Stav zpracování členství a datum poslední aktualizace můžete zkontrolovat na stránce Přehled skupiny.

Pokud všechno vypadá dobře, počkejte prosím nějakou dobu, než se skupina naplní. V závislosti na velikosti vaší organizace Microsoft Entra může trvat až 24 hodin, než se skupina poprvé nebo po změně pravidla naplní.

Nakonfiguroval(a) jsem pravidlo, ale teď se odeberou stávající členové pravidla.
Toto chování je očekávané. Existující členové skupiny se odeberou, když je pravidlo povolené nebo změněné. Uživatelé vrácení z vyhodnocení pravidla se přidají do skupiny jako členové.

Když přidám nebo změním pravidlo, okamžitě se změny členství nezobrazují, proč ne?
Vyhodnocení vyhrazeného členství se pravidelně provádí v asynchronním procesu na pozadí. Jak dlouho proces trvá, určuje počet uživatelů ve vašem adresáři a velikost skupiny vytvořené v důsledku pravidla. Adresáře s malým počtem uživatelů obvykle uvidí změny členství ve skupině za méně než několik minut. Naplnění adresářů s velkým počtem uživatelů může trvat 30 minut nebo déle.

Jak můžu vynutit, aby se skupina zpracovávala?
V současné době neexistuje způsob, jak automaticky aktivovat zpracování skupiny na vyžádání. Opětovné zpracování ale můžete aktivovat ručně tak, že aktualizujete pravidlo členství a přidáte na konec prázdné znaky.

Došlo k chybě zpracování pravidla
V následující tabulce jsou uvedeny běžné chyby pravidla dynamického členství a jejich oprava.

Chyba analyzátoru pravidel	Využití chyb	Oprava využití
Chyba: Atribut není podporován.	(user.invalidProperty -eq "Value")	(user.department -eq "value") Ujistěte se, že je atribut v seznamu podporovaných vlastností.
Chyba: Operátor není u atributu podporován.	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) Použitý operátor není podporován pro typ vlastnosti (v tomto příkladu -contains nelze použít pro typ boolean). Použijte správné operátory pro typ vlastnosti.
Chyba: Chyba kompilace dotazu	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Chybí operátor. Použití a nebo nebo spojení predikátů (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Chyba v regulárním výrazu použitém s -match (user.userPrincipalName -match ".*@domain.ext") nebo alternativně: (user.userPrincipalName -match "@domain.ext$")

Další kroky

Tyto články obsahují další informace o ID Microsoft Entra.

• Správa přístupu k prostředkům pomocí skupin Microsoft Entra
• Správa aplikací v Microsoft Entra ID
• Co je MICROSOFT Entra ID?
• Integrace místních identit s ID Microsoft Entra