Solución de problemas de grupos

En este artículo se le proporcionará información sobre cómo solucionar problemas de grupos de Microsoft Entra ID, que forma parte de Microsoft Entra.

Solución de problemas de creación de grupos

He deshabilitado la creación de grupos de seguridad en Azure Portal, pero los grupos todavía se pueden crear a través de PowerShell
El usuario puede crear grupos de seguridad en Azure Portalsconfiguración en Azure Portal controla si los usuarios que no son administradores pueden crear grupos de seguridad en el panel acceso o en Azure Portal. No controla la creación de grupos de seguridad mediante PowerShell.

Para deshabilitar la creación de grupos para usuarios no administradores en PowerShell:

1. Compruebe que los usuarios que no son administradores pueden crear grupos:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Si devuelve EnableGroupCreation : True, los usuarios que no son administradores pueden crear grupos. Para deshabilitar esta característica:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

He recibido un error de grupos máximos permitidos al intentar crear un grupo dinámico en PowerShell
Si recibe un mensaje en PowerShell que indica que se ha alcanzado el número máximo de grupos permitidos de directivas de grupos dinámicos, lo que significa que se ha alcanzado el límite máximo de grupos dinámicos en la organización. El número máximo de grupos dinámicos por organización es 5000.

Para crear grupos dinámicos, primero debe eliminar algunos grupos dinámicos existentes. No hay ninguna forma de aumentar el límite.

Solución de problemas relacionados con las pertenencias dinámicas para grupos

He configurado una regla en un grupo pero las pertenencias no se actualizan en el grupo.

1. Compruebe los valores de los atributos de usuario o dispositivo de la regla. Asegúrese de que haya usuarios que cumplen la regla. En el caso de los dispositivos, compruebe las propiedades de estos para asegurarse de que los atributos sincronizados contienen los valores esperados.
2. Compruebe el estado de procesamiento de pertenencia para confirmar si se ha completado. Puede comprobar el estado de procesamiento de la pertenencia y la última fecha actualizada en la página Información general del grupo.

Si todo es correcto, el grupo tardará un poco en rellenarse. Dependiendo del tamaño de la organización de Microsoft Entra, el grupo puede tardar hasta 24 horas en rellenarse por primera vez o después de un cambio de la regla.

He configurado una regla, pero ahora se han quitado los miembros existentes de la regla.
Este es el comportamiento esperado. Los miembros existentes del grupo se quitan cuando una regla se habilita o se cambia. Los usuarios devueltos tras la evaluación de la regla se agregan como miembros al grupo.

No veo los cambios en la pertenencia al instante cuando agrego o cambio una regla, ¿por qué pasa esto?
La evaluación de pertenencia dedicada se realiza periódicamente en un proceso asincrónico en segundo plano. La duración del proceso viene determinada por el número de usuarios del directorio y el tamaño del grupo creado como resultado de la regla. Normalmente, los directorios con un número pequeño de usuarios verán los cambios en la pertenencia al grupo en unos pocos minutos. Los directorios con un gran número de usuarios pueden tardar 30 minutos o más en completarse.

¿Cómo se puede forzar al grupo a procesarse ahora?
Actualmente, no hay forma de desencadenar automáticamente el grupo que se va a procesar a petición. Sin embargo, puede desencadenar manualmente el reprocesamiento si actualiza la regla de pertenencia para agregar un espacio en blanco al final.

Se detectó una error de procesamiento de la regla
En la tabla siguiente se enumeran los errores de reglas de pertenencia dinámica más habituales y se indica cómo corregirlos.

Error del analizador de reglas	Uso con error	Uso corregido
Error: no se admite el atributo.	(user.invalidProperty -eq "Value")	(user.department -eq "value") Asegúrese de que el atributo se encuentra en la lista de propiedades admitidas.
Error: el operador no se admite en el atributo.	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) El operador usado no se admite para el tipo de propiedad (en este ejemplo, -contains no se puede usar en el tipo booleano). Utilice los operadores correctos para el tipo de propiedad.
Error: error de compilación de consulta.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Falta el operador. Use -and u -or para predicados de combinación (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Error en la expresión regular usada con -match (user.userPrincipalName -match ".*@domain.ext") o bien: (user.userPrincipalName -match "@domain.ext$")

Pasos siguientes

En estos artículos se proporciona información adicional sobre Microsoft Entra ID.

• Administración del acceso a los recursos con grupos de Microsoft Entra
• Administración de aplicaciones en Microsoft Entra ID
• ¿Qué es Microsoft Entra ID?
• Más información sobre la Integración de las identidades locales con Microsoft Entra ID