Freigeben über

Fehlerbehebung für dynamische Gruppen

Dieser Leitfaden zur Problembehandlung hilft Ihnen bei der Diagnose und Lösung von Problemen mit dynamischen Gruppen in Microsoft Entra ID.

Wichtig

Änderungen an dynamischen Mitgliedschaftsgruppen werden in der Regel innerhalb weniger Stunden verarbeitet. Die Verarbeitung kann jedoch je nach Faktoren wie der Anzahl der Gruppen, der Anzahl der Änderungen und der Komplexität der Regeln mehr als 24 Stunden dauern. Weitere Informationen finden Sie unter Understanding and Managing Dynamic Group Processing in Microsoft Entra ID.

Identifizierung und Verwaltung dynamischer Gruppen

Informationen zum Überprüfen, ob Ihre Gruppe eine dynamische Gruppe ist, finden Sie unter Bewerten, ob es sich bei einer Gruppe um eine dynamische Gruppe handelt.

Probleme bei der Erstellung dynamischer Gruppen

Referenzen

Empfohlene Artikel für die Gruppenerstellung:

Häufige Probleme beim Erstellen einer dynamischen Gruppe oder Regel:

  • Sie können in der Azure-Portal keine dynamische Gruppe erstellen, oder Sie erhalten eine Fehlermeldung beim Erstellen einer dynamischen Gruppe in PowerShell. Siehe "Dynamische Gruppe kann nicht erstellt werden".

  • Sie können das Attribut zum Erstellen einer Regel nicht finden. Siehe Erstellen einer dynamischen Mitgliedschaftsregel.

  • Beim Versuch, eine dynamische Gruppe in PowerShell zu erstellen, erhalten Sie eine Fehlermeldung "Max. Zulässige Gruppen" : Sie haben 15.000 Gruppen erreicht, die maximale Grenze für dynamische Gruppen in Ihrem Mandanten. Um neue dynamische Gruppen zu erstellen, löschen Sie zuerst vorhandene dynamische Gruppen. Es gibt keine Möglichkeit, den Höchstwert zu erhöhen.

Probleme bei der Aktualisierung dynamischer Mitgliedschaften

Sie haben eine dynamische Gruppe erstellt und eine Regel konfiguriert. Es sind aber die folgenden Probleme aufgetreten:

In der Gruppe werden keine Mitglieder angezeigt, einige Benutzer oder Geräte werden nicht in der Gruppe angezeigt, oder die falschen Benutzer oder Geräte werden in der Gruppe angezeigt.

Bestehende Mitglieder der Regel werden entfernt.

  • Dieses Verhalten wird erwartet. Vorhandene Mitglieder der Gruppe werden entfernt, wenn eine Regel aktiviert oder geändert wird oder Attribute geändert werden. Die nach der Auswertung der Regel verbleibenden Benutzer werden der Gruppe als Mitglieder hinzugefügt.

Nach dem Hinzufügen oder Ändern einer Regel werden keine Mitgliedschaftsänderungen sofort angezeigt.

  • Die Mitgliedschaftsauswertung wird in regelmäßigen Abständen als Hintergrundprozess durchgeführt. Die Dauer dieses Prozesses hängt von der Anzahl der Benutzer in Ihrem Verzeichnis und von der Größe der Gruppe, die aufgrund der Regel erstellt wird, ab. Bei Verzeichnissen mit einer geringen Benutzeranzahl werden Änderungen der Gruppenmitgliedschaft üblicherweise innerhalb weniger Minuten angezeigt. Bei Verzeichnissen mit einer hohen Benutzeranzahl kann das Auffüllen 30 Minuten oder länger dauern.

  • Überprüfen Sie den Status der Mitgliedschaftsverarbeitung , um zu bestätigen, ob der Prozess abgeschlossen ist. Überprüfen Sie das datum der letzten Aktualisierung auf der Seite " Gruppenübersicht" im Azure-Portal, um zu bestätigen, dass die Seite aktualisiert wurde.

  • Informationen zum Erzwingen der Verarbeitung der Gruppe finden Sie unter "Erzwingen, dass die Gruppe jetzt verarbeitet wird".

Sie erhalten einen Regelverarbeitungsfehler.

Probleme beim Löschen oder Wiederherstellen dynamischer Gruppen

Beim Löschen einer Gruppe wird eine Fehlermeldung angezeigt.

Sie haben eine gelöschte Gruppe wiederhergestellt, aber keine Aktualisierung gesehen.

  • Wenn eine dynamische Gruppe gelöscht und wiederhergestellt wird, gilt sie als neue Gruppe und wird der Regel entsprechend erneut aufgefüllt. Dieser Vorgang kann je nach Faktoren wie der Mandantengröße einige Zeit in Anspruch nehmen.

Bewerten, ob eine Gruppe eine dynamische Gruppe ist

So bestimmen Sie, ob eine Gruppe dynamische Gruppe ist:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie die Gruppe auf der Registerkarte " Gruppenübersicht " aus, und überprüfen Sie dann, ob der Mitgliedschaftstyp auf "Dynamisch" festgelegt ist.

Überprüfen dynamischer Gruppenmitgliedschaftsregeln

Die Microsoft Entra-ID bietet die Möglichkeit, dynamische Gruppenregeln zu überprüfen. Auf der Registerkarte " Regeln überprüfen" können Sie Ihre dynamische Regel anhand von Beispielgruppenmitgliedern überprüfen, um zu bestätigen, dass die Regel erwartungsgemäß funktioniert.

Beim Erstellen oder Aktualisieren dynamischer Gruppenregeln können Sie anhand dieser Informationen ermitteln, ob ein Benutzer oder Gerät die Regelkriterien für das Werden eines Gruppenmitglieds erfüllt. Dies kann Ihnen auch bei der Problembehandlung helfen, wenn die Mitgliedschaft nicht erwartet wird.

Weitere Informationen finden Sie unter Eine dynamische Gruppenmitgliedschaftsregel bestätigen (Vorschau) in Microsoft Entra ID

Fehlerbehebung bei der Erstellung dynamischer Gruppen

Es gab Probleme bei der Erstellung einer dynamischen Gruppe oder Regel.

Eine dynamische Gruppe kann nicht erstellt werden.

Die Option zum Erstellen einer dynamischen Gruppe in der Azure-Portal wird nicht angezeigt, oder beim Erstellen einer dynamischen Gruppe in PowerShell ist ein Fehler aufgetreten.

  1. Stellen Sie sicher, dass Ihr Mandant über die entsprechende Lizenz verfügt.

    • Dynamische Gruppen erfordern, dass der Mandant über eine Microsoft Entra ID P1- oder P2 Premium-Lizenz verfügt. Weitere Informationen finden Sie unter Microsoft Entra ID-Lizenzpläne

  2. Stellen Sie sicher, dass der Benutzer, der die Gruppe erstellt, über die entsprechenden Administratorberechtigungen verfügt:

    • Stellen Sie sicher, dass Sie berechtigt sind, eine neue Gruppe zu erstellen. Globale Administratoren können die Erstellung von Gruppen im Azure-Portal oder Zugriffsbereich deaktivieren. Möglicherweise müssen Sie einen Administrator bitten, die neue Gruppe für Sie zu erstellen oder Ihnen die entsprechenden Berechtigungen zu erteilen.

  3. Überprüfen Sie, ob Gruppenerstellungsberechtigungen für den Typ der erstellten Gruppe aktiviert sind.

    • Globale Administratoren können Gruppenerstellungsberechtigungen für Sicherheits- oder Office 365-Gruppen verwalten, die im Azure-Portal oder im Zugriffspanel erstellt wurden, indem die Benutzer können Sicherheitsgruppen in Azure-Portalen erstellen oder Benutzer können Office 365-Gruppen in Azure-Portalen erstellen im Azure-Portal unter Alle Gruppen>Allgemein (Einstellungen) eingestellt werden. Diese Einstellung gilt auch für dynamische Gruppen.

  4. Überprüfen Sie, ob sich der bestimmte Benutzer in der Liste der Benutzer befindet, die eine Gruppe erstellen können.

    • Globale Administratoren können die Gruppenerstellung einschränken, um eine Gruppe von Benutzern auszuwählen, wenn Sie über eine Microsoft Entra ID P1 Premium-Lizenz verfügen. Sie sollten überprüfen, ob Sie über die entsprechenden Berechtigungen verfügen.

Beim Erstellen einer dynamischen Gruppe in PowerShell erhalten Sie einen Fehler, der angibt, dass die maximal zulässige Anzahl von Gruppen erreicht wurde.

Dieser Fehler bedeutet, dass Sie den maximalen Grenzwert für dynamische Gruppen in Ihrem Mandanten erreicht haben. Überprüfen Sie die Anzahl der Gruppen im Mandanten. Die maximale Anzahl dynamischer Gruppen pro Mandant beträgt 15.000.

Um neue dynamische Gruppen erstellen zu können, müssen Sie zunächst einige vorhandene dynamische Gruppen löschen. Das Limit kann nicht erhöht werden.

Fehlerbehebung bei der Erstellung von dynamischen Gruppenregeln

Das Attribut zum Erstellen einer Regel wurde nicht gefunden.

  1. Stellen Sie sicher, dass sich die Benutzerattribute in der Liste der unterstützten Eigenschaften befinden. Wenn sie sich nicht in der Liste befinden, werden sie derzeit nicht unterstützt.
  2. Stellen Sie sicher, dass sich die Geräteattribute in der Liste der Geräteattribute befinden. Wenn sie sich nicht in der Liste befinden, werden sie derzeit nicht unterstützt. Weitere Informationen finden Sie unter "Dynamische Mitgliedschaftsregeln" für Gruppen in der Microsoft Entra-ID.

Es kann keine Dynamische Mitgliedschaftsregel erstellt werden.

  1. Stellen Sie sicher, dass Ihr Mandant über die entsprechende Lizenz verfügt. Dynamische Gruppen erfordern, dass der Mandant über eine Microsoft Entra ID P1 Premium-Lizenz verfügt.

  2. Wenn Sie die integrierten Benutzerattribute nicht finden können, stellen Sie sicher, dass sich das Attribut in der Liste der unterstützten Eigenschaften befindet. Wenn sie nicht in der Liste enthalten ist, wird sie zurzeit nicht unterstützt.

  3. Wenn Sie nach integrierten Geräteattributen suchen, stellen Sie sicher, dass sich das Attribut in der Liste der Geräteattribute befindet. Wenn sie nicht in der Liste enthalten ist, wird sie zurzeit nicht unterstützt.

  4. Wenn das Attribut im Dropdownmenü "Einfache Regel " im Azure-Portal nicht gefunden wird, verwenden Sie die erweiterte Regel , um eine Regel zu erstellen.

    1. Stellen Sie sicher, dass die Syntax korrekt ist und sowohl der Eigenschaftstyp als auch der Wert übereinstimmen.

    2. Stellen Sie sicher, dass Sie außerdem das passende Objektpräfix hinzugefügt haben, um die Eigenschaft auszuwählen.

      • Beispiel: user.country, device.deviceOSType.

    3. Erfahren Sie mehr über die Richtlinien zum Erstellen einer erweiterten Regel , einschließlich der Liste der unterstützten Operatoren und Beispiele für allgemeine Regeln.

  5. Verwenden Sie auch Erweiterungsattribute für dynamische Benutzerregeln. Diese Regeln werden in der Dropdownliste angezeigt, während Sie eine einfache Regel erstellen.

    • Der benutzerdefinierte Attributname kann im Verzeichnis gefunden werden, indem sie das Attribut eines Benutzers mithilfe von PowerShell abfragen und nach dem Attributnamen suchen. Diese Attribute können auch beim Erstellen einer erweiterten Regel verwendet werden.

  6. Stellen Sie sicher, dass die Rolle des Benutzers, der die dynamische Gruppe erstellt, entweder ein Unternehmensadministrator oder ein Benutzeradministrator ist.

  7. Lassen Sie Zeit, damit sich die Gruppe füllt.

  8. Der Generator für einfache Regeln unterstützt bis zu fünf (5) Ausdrücke. Um der Regel mehr als fünf Ausdrücke hinzuzufügen, muss das Textfeld verwendet werden.

Probleme bei der Aktualisierung der dynamischen Mitgliedschaft beheben

Sie haben eine dynamische Gruppe erstellt und eine Regel konfiguriert. Es ist aber eines der folgenden Probleme aufgetreten:

  • In der Gruppe sind keine Mitglieder aufgeführt.
  • Einige Benutzer oder Geräte werden in der Gruppe nicht angezeigt.
  • Falsche Benutzer oder Geräte werden in der Gruppe nicht angezeigt.

Mitglieder werden nicht wie erwartet hinzugefügt oder entfernt.

  1. Überprüfen Sie den Status der Mitgliedschaftsverarbeitung , um zu bestätigen, ob es abgeschlossen ist, und überprüfen Sie das letzte Aktualisierungsdatum auf der Seite "Gruppenübersicht" im Azure-Portal, um zu bestätigen, dass es up-to-datum ist.

  2. Wenn der Status der Mitgliedschaftsverarbeitung fehler undaktualisierung angehalten ist, bitten Sie den Administrator oder das PG-Team, die Gruppe vom Verarbeitungsfehler fortzusetzen.

  3. Stellen Sie sicher, dass die Benutzer oder Geräte die Mitgliedschaftsregel erfüllen oder nicht, indem Sie die Schritte unter "Dynamische Mitgliedschaft eines Benutzers oder Geräts auswerten" ausführen.

  4. Vergewissern Sie sich, dass der Verarbeitungsstatus nicht durch das Problem beeinträchtigt wird, dass das Hinzufügen von Gastbenutzern richtlinienbedingt nicht zulässig ist.

    • Falls es sich bei der Gruppe um eine Office 365-Gruppe und bei dem Benutzer um einen Gastbenutzer handelt, kann der Gastbenutzer keiner Gruppe hinzugefügt werden, wenn das Hinzufügen eines Gastbenutzers im Mandanten aufgrund der Verzeichniseinstellung nicht zulässig ist.

    • Wenn in einer Gruppe ein Fehler beim Hinzufügen eines Gastbenutzers auftritt, werden die Aktualisierungen dieser Gruppe und anderer Gruppen im gleichen Mandanten blockiert. Sie haben folgende Möglichkeiten:

      • Erlauben Sie die Ergänzung eines Gastbenutzers, indem Sie der Einstellung "Gastbenutzer verwalten" für Gruppen in einem Mandanten folgen.
      • Ändern Sie die Gruppenregel, um einen Gastbenutzer auszuschließen, indem Sie Folgendes hinzufügen: (user.userType -eq "member").

  5. Wenn alles korrekt aussieht, warten Sie, bis die Gruppe aufgefüllt wird. Je nach Größe Ihres Mandanten kann es eine Weile dauern, bis sich die Gruppe beim ersten Mal oder nach einer Regeländerung füllt. Es wird empfohlen, mindestens 24 Stunden zu warten, damit die Gruppenverarbeitung abgeschlossen werden kann.

  6. Wenn der Verarbeitungsstatus als abgeschlossen angezeigt wird und das Problem weiterhin besteht, können Sie die Verarbeitung für die Gruppe zurücksetzen , um vorübergehendes Systemproblem zu beheben.

    Wenn der Verarbeitungsstatus wie in der Verarbeitung angezeigt wird, warten Sie weiter.

Prüfen der dynamischen Mitgliedschaft eines Benutzers oder Geräts

Um auszuwerten, ob ein Benutzer oder Gerät der Regel entspricht, die Teil einer Gruppe sein soll, verwenden Sie die manuelle Überprüfung.

Manuelle Validierung

Überprüfen Sie die Werte für Benutzer- oder Geräteattribute (im Azure-Portal oder mithilfe von PowerShell in der Regel.

  • Stellen Sie sicher, dass Benutzer die Regel erfüllen.
  • Überprüfen Sie für Geräte die Geräteeigenschaften, um sicherzustellen, dass synchronisierte Attribute die erwarteten Werte enthalten.

Verwalten der Gastbenutzereinstellung in der Office365-Gruppe

Installieren Sie zuerst das Azure AD PowerShell-Modul

  1. Stellen Sie eine Verbindung mit dem Verzeichnis her. Weitere Informationen finden Sie unter Wie Sie mit PowerShell eine Verbindung zum Verzeichnis herstellen.

  2. Überprüfen Sie die Verzeichniseinstellung:

    1. Lesen Sie die Verzeichniseinstellung des Mandanten: Einstellungen auf der Verzeichnisebene lesen.
    2. Überprüfen Sie die Einstellung des Gastbenutzers: Wie in der folgenden Abbildung gezeigt, wenn AllowToAddGuests"true" ist, überprüfen Sie die Einstellung in dieser bestimmten Gruppe. Wenn AllowToAddGuests"false" ist, können Gastbenutzer unabhängig von der Einstellung auf Gruppenebene nicht hinzugefügt werden.

    Screenshot zum Überprüfen der Einstellung

  3. Aktualisieren Sie die Einstellung auf Mandantenebene. Informationen zum Ändern der Gastbenutzereinstellung auf Mandantenebene finden Sie unter: Aktualisieren der Einstellung auf Mandantenebene mithilfe von PowerShell.

  4. Überprüfen Sie die Einstellung für die Gruppe. Wenn Sie die Einstellung des Gastbenutzers ggf. in Ihren Zielwert ändern möchten, besuchen Sie: Überprüfen und Aktualisieren der Einstellung für eine bestimmte Gruppe mithilfe von PowerShell

Vorhandene Member der Regel werden entfernt.

Dieses Verhalten ist normal und beabsichtigt. Vorhandene Mitglieder der Gruppe werden entfernt, wenn eine Regel aktiviert oder geändert wird oder Attribute geändert werden. Die nach der Auswertung der Regel verbleibenden Benutzer werden der Gruppe als Mitglieder hinzugefügt.

Nach dem Aktualisieren einer Regel werden Mitgliedschaftsänderungen nicht sofort angezeigt.

Die Mitgliedschaftsauswertung erfolgt in regelmäßigen Abständen in einem Hintergrundprozess. Wie lange der Prozess dauert, hängt von mehreren Faktoren ab.

Erzwingen, dass die Gruppe jetzt verarbeitet wird

Zurücksetzen der Verarbeitung für eine dynamische Gruppe. Lösen Sie im Azure-Portal die erneute Verarbeitung manuell aus, indem Sie die Mitgliedschaftsregel aktualisieren, um in der Mitte der Regel ein Leerzeichen hinzuzufügen.

Beheben eines Regelverarbeitungsfehlers

Regelparserfehler Fehlerhafte Verwendung Korrigierte Verwendung
Fehler: Attribut nicht unterstützt (user.invalidProperty -eq "Wert") (user.department -eq "value")
Stellen Sie sicher, dass sich das Attribut in der Liste der unterstützten Eigenschaften befindet.
Fehler: Der Operator wird für das Attribut nicht unterstützt. (user.KontoAktiviert -contains true) (Nutzer.kontoAktiviert -eq wahr)
Der verwendete Operator wird für den Eigenschaftstyp nicht unterstützt (in diesem Beispiel kann "-contains" nicht vom Typ boolean verwendet werden). Verwenden Sie die richtige Operatoren für den Eigenschaftentyp.
Fehler: Abfragekompilierungsfehler 1. (user.department -eq "Vertrieb")(user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")		 Fehlender Operator. Verwenden Sie -and oder -or, um Prädikate zu verknüpfen: (user.department -eq "Sales") -or (user.department -eq "Marketing")
Fehler im regulären Ausdruck, der mit „-match“ verwendet wird
(user.userPrincipalName -match ".*@domain.ext")
oder alternativ: (user.userPrincipalName -match "@domain.ext$")

Lösung von Problemen bei der Löschung oder Wiederherstellung dynamischer Gruppen

Bevor Sie versuchen, eine Gruppe in der Microsoft Entra-ID zu löschen, stellen Sie sicher, dass Sie alle zugewiesenen Lizenzen gelöscht haben, um Fehler zu vermeiden.

(Weitere Informationen zum Löschen von Gruppen im Allgemeinen finden Sie unter "Löschen einer Gruppe".

Löschen einer Gruppe

  1. Gruppen können mithilfe des Remove-MgGroup Cmdlets in der Microsoft Graph PowerShell aus dem Verzeichnis gelöscht werden.

  2. Bevor Sie versuchen, eine Gruppe in der Microsoft Entra-ID zu löschen, stellen Sie sicher, dass Sie alle zugewiesenen Lizenzen gelöscht haben, um Fehler zu vermeiden.

Wiederherstellen einer gelöschten Gruppe

  • Wenn eine Office 365-Gruppe gelöscht wird, kann sie nur während eines Zeitraums von maximal 30 Tagen wiederhergestellt werden. Danach wird die Gruppe endgültig gelöscht. Nach dem endgültigen Löschen kann die Gruppe nicht mehr wiederhergestellt werden. Weitere Informationen zum Wiederherstellen von Gruppen finden Sie unter Wiederherstellen einer gelöschten Microsoft 365-Gruppe in microsoft Entra ID.
  • Diese Funktionalität wird für Sicherheitsgruppen und Verteilergruppen nicht unterstützt.
  • Stellen Sie sicher, dass Sie berechtigt sind, eine Office 365-Gruppe wiederherzustellen. Nur globale Administratoren, Benutzerkontenadministratoren, Intune-Dienstadministratoren oder der Besitzer der Gruppe können eine Gruppe wiederherstellen.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe benötigen, erstellen Sie eine Supportanfrage, oder bitten Sie den Azure-Communitysupport. Sie können auch Produktfeedback an die Azure-Feedbackcommunity übermitteln.