Problemas comunes al crear un grupo o regla dinámicos:
No puede crear un grupo dinámico en Azure Portal o recibe un error al crear un grupo dinámico en PowerShell. Consulte No se puede crear un grupo dinámico.
No puede encontrar el atributo para crear una regla. Consulte Creación de una regla de pertenencia dinámica.
Recibe un error de "grupos máximos permitidos" al intentar crear un grupo dinámico en PowerShell: ha alcanzado 15 000 grupos, el límite máximo para los grupos dinámicos del inquilino. Para crear nuevos grupos dinámicos, elimine primero los grupos dinámicos existentes. No hay ninguna manera de aumentar el límite máximo.
Problemas de actualización de pertenencia dinámica
Ha creado un grupo dinámico y ha configurado una regla, pero ha detectado estos problemas comunes:
No aparecen miembros en el grupo, algunos usuarios o dispositivos no aparecen en el grupo, o los usuarios o dispositivos incorrectos aparecen en el grupo.
Este comportamiento es normal. Los miembros existentes del grupo se quitan cuando una regla se habilita o se cambia, o se cambian los atributos. Los usuarios devueltos tras la evaluación de la regla se agregan como miembros al grupo.
No ve cambios de pertenencia al instante después de agregar o cambiar una regla.
La evaluación de pertenencia se realiza periódicamente como un proceso en segundo plano. La duración del proceso viene determinada por el número de usuarios del directorio y el tamaño del grupo creado debido a la regla. Normalmente, los directorios con un número pequeño de usuarios verán los cambios en la pertenencia al grupo en unos pocos minutos. Los directorios con un gran número de usuarios pueden tardar 30 minutos o más en completarse.
Compruebe el estado de procesamiento de la pertenencia para confirmar que está completa. Compruebe la última fecha de actualización en la página Información general de Azure Portal para confirmar que la página está actualizada.
Problemas de eliminación o restauración de grupos dinámicos
Recibirá un error al eliminar un grupo.
Antes de intentar eliminar un grupo en el identificador de Entra de Microsoft, asegúrese de que ha eliminado todas las licencias asignadas. Para obtener más información sobre la eliminación de grupos en general, vea Eliminar un grupo.
Ha restaurado un grupo eliminado pero no ha encontrado ninguna actualización.
Cuando un grupo dinámico se elimina y restaura, se considera un nuevo grupo y se vuelve a rellenar de acuerdo con la regla. Este proceso puede tardar hasta 24 horas.
Validación de reglas de pertenencia a grupos dinámicos
Microsoft Entra ID proporciona los medios para validar las reglas de grupo dinámico. En la pestaña Validar reglas , puede validar la regla dinámica con los miembros del grupo de ejemplo para confirmar que la regla funciona según lo previsto.
Al crear o actualizar reglas de grupo dinámico, puede usar esta información para ayudar a determinar si un usuario o dispositivo cumple los criterios de regla para convertirse en miembro de un grupo. Esto también puede ayudarle a solucionar problemas cuando no se espera la pertenencia.
Solución de problemas de creación de grupos dinámicos
Ha encontrado problemas al crear un grupo dinámico o una regla.
No se puede crear un grupo dinámico
No ve la opción de crear un grupo dinámico en Azure Portal o se produjo un error al crear un grupo dinámico en PowerShell.
Asegúrese de que el inquilino tenga la licencia apropiada.
Los grupos dinámicos requieren que el inquilino tenga una licencia P1 o P2 Premium de Microsoft Entra ID. Para obtener más información, consulte Planes de licencia de Id. de Microsoft Entra.
Asegúrese de que el usuario que crea el grupo tenga los permisos de administrador adecuados:
Asegúrese de que está autorizado para crear un nuevo grupo. Los administradores globales pueden deshabilitar la creación de grupos en Azure Portal o el Panel de acceso. Puede que un administrador tenga que crear el nuevo grupo o que tenga que concederle los permisos adecuados.
Compruebe que los permisos de creación de grupos están habilitados para el tipo de grupo que se va a crear.
Los administradores globales pueden administrar los permisos de creación de grupos para la seguridad u grupos de Office 365 creados en Azure Portal o Panel de acceso, estableciendo los usuarios pueden crear grupos de seguridad en Azure Portal o Usuarios pueden crear grupos de Office 365 en la configuración de Azure Portals en Azure Portal en Todos los grupos>generales (Configuración). Esta configuración también se aplica a grupos dinámicos.
Compruebe que el usuario específico está en la lista de usuarios que pueden crear un grupo.
Los administradores globales pueden restringir la creación de grupos para seleccionar un grupo de usuarios si tiene una licencia de Microsoft Entra ID P1 Premium. Debe comprobar que tiene los permisos adecuados.
Se obtiene un error máximo de grupos permitidos al crear un grupo dinámico en PowerShell.
Este error significa que ha alcanzado el límite máximo de grupos dinámicos del inquilino. Compruebe el número de grupos del inquilino. El número máximo de grupos dinámicos por inquilino es de 15 000.
Para crear grupos dinámicos, primero debe eliminar algunos grupos dinámicos existentes. No hay ninguna forma de aumentar el límite.
Solución de problemas de creación de reglas de grupo dinámicos
No se encuentra el atributo para crear una regla
Asegúrese de que los atributos de usuario están en la lista de propiedades admitidas. Si no están en la lista, no se admiten actualmente.
No se puede crear una regla de pertenencia dinámica
Asegúrese de que el inquilino tenga la licencia apropiada. Los grupos dinámicos requieren que el inquilino tenga una licencia P1 Premium de Microsoft Entra ID.
Se puede acceder a la lista de planes de licencia de Id. de Microsoft Entra en precios de Microsoft Entra.
Si no encuentra los atributos de usuario integrados, asegúrese de que el atributo está en la lista de propiedades admitidas. Si no está en la lista, no se admite actualmente.
Si busca atributos de dispositivo integrados, asegúrese de que el atributo está en la lista de atributos de dispositivo. Si no está en la lista, no se admite actualmente.
Si el atributo no se encuentra en la lista desplegable Regla simple de Azure Portal, use la regla avanzada para construir una regla.
Asegúrese de que la sintaxis es precisa y que el tipo de propiedad y el valor coinciden.
Asegúrese también de que ha agregado el prefijo de objeto adecuado para seleccionar la propiedad .
El nombre del atributo personalizado se puede encontrar en el directorio consultando el atributo de un usuario mediante PowerShell y buscando el nombre del atributo. Estos atributos también se pueden usar al construir una regla avanzada.
Asegúrese de que el rol del usuario que crea el grupo dinámico es administrador de la empresa o administrador de usuarios.
Conceda el tiempo necesario para que se rellene el grupo.
El generador de reglas simples admite hasta cinco (5) expresiones. Para agregar más de cinco expresiones a la regla, se debe usar el cuadro de texto.
Solución de problemas de actualización de pertenencia dinámica
Ha creado un grupo dinámico y ha configurado una regla, pero ha detectado uno de estos problemas:
No hay ningún miembro en el grupo.
Algunos usuarios o dispositivos no aparecen en el grupo.
Los usuarios o dispositivos incorrectos no aparecen en el grupo.
Los miembros no se agregan ni quitan según lo previsto
Compruebe el estado de procesamiento de pertenencia para confirmar si se ha completado y compruebe la última fecha actualizada en la página Información general del grupo en Azure Portal para confirmar que está actualizada.
Si el estado de procesamiento de pertenencia está procesando el error y se actualiza en pausa, pida al administrador o al equipo de PG que reanude el grupo del error de procesamiento.
Compruebe que el estado de procesamiento no resulta afectado por el problema de adición de usuarios invitados no permitido por la directiva.
Si el grupo es de Office365 y el usuario es un usuario invitado, este no se podrá agregar a un grupo si la configuración del directorio no permite la adición de un usuario invitado en el inquilino.
Un error de adición de usuarios invitados en un grupo bloqueará las actualizaciones del mismo y de otros grupos en el mismo inquilino. Puede optar por:
Permita la adición de un usuario invitado siguiendo la configuración Administrar usuario invitado para grupos de un inquilino.
Cambie la regla de grupo para excluir a un usuario invitado agregando: (user.userType -eq "member").
Si todo es correcto, el grupo tardará un poco en rellenarse. Dependiendo del tamaño del inquilino, el grupo puede tardar hasta 24 horas en rellenarse por primera vez o después de un cambio de la regla.
Si el problema sigue existiendo después de 24 horas y el estado de procesamiento se muestra como completo, puede restablecer el procesamiento del grupo para resolver cualquier problema transitorio del sistema.
Si el estado de procesamiento se muestra como en el procesamiento, continúe esperando.
Evaluación de la pertenencia dinámica de un usuario o dispositivo
Para evaluar si un usuario o dispositivo cumple la regla para formar parte de un grupo, use validación manual.
Validación manual
Valide los valores de los atributos de usuario o dispositivo (en Azure Portal o mediante PowerShell en la regla).
Asegúrese de que haya usuarios que cumplan la regla.
En el caso de los dispositivos, compruebe las propiedades del dispositivo para asegurarse de que los atributos sincronizados contienen los valores esperados.
Administrar la configuración de usuario invitado en el grupo de office365
Compruebe la configuración del usuario invitado: como se muestra en la siguiente imagen, si AllowToAddGuests es true, compruebe la configuración en ese grupo determinado. Si AllowToAddGuests es false, independientemente de la configuración de nivel de grupo, los usuarios invitados no se pueden agregar.
Este es el comportamiento esperado. Los miembros existentes del grupo se quitan cuando una regla se habilita o se cambia, o se cambian los atributos. Los usuarios devueltos tras la evaluación de la regla se agregan como miembros al grupo.
No ve cambios de pertenencia al instante después de actualizar una regla
La evaluación de la pertenencia se realiza periódicamente en un proceso en segundo plano. El tiempo que tarda el proceso viene determinado por varios factores.
Forzar el procesamiento del grupo ahora
Restablezca el procesamiento de un grupo dinámico. En Azure Portal, desencadene manualmente el reprocesamiento mediante la actualización de la regla de pertenencia para agregar un espacio en blanco en medio de la regla.
(user.accountEnabled -eq true) El operador usado no se admite para el tipo de propiedad (en este ejemplo, -contains no se puede usar en el tipo booleano). Utilice los operadores correctos para el tipo de propiedad.
1. Falta el operador. Use -y o -o dos predicados de combinación: (user.department -eq "Sales") -o (user.department -eq "Marketing") 2. Error en la expresión regular usada con -match (user.userPrincipalName -match ".*@domain.ext") o bien: (user.userPrincipalName -match "@domain.ext$")
Solución de problemas de eliminación o restauración de grupos dinámicos
Antes de intentar eliminar un grupo en microsoft Entra ID, asegúrese de que ha eliminado todas las licencias asignadas para evitar errores.
(Para obtener más información sobre la eliminación de grupos en general, consulte Eliminar un grupo.
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.
Si se elimina un grupo de Office 365, solo se pueden restaurar durante 30 días antes de que se elimine de forma permanente. Una vez que se elimina de forma permanente, el grupo ya no se puede restaurar. Para obtener más información sobre la restauración de grupos, consulte Restaurar un grupo eliminado de Microsoft 365 en el identificador de Microsoft Entra.
Esta funcionalidad no se admite para grupos de seguridad y grupos de distribución.
Compruebe que está autorizado para restaurar un grupo de Office 365. Solo los administradores globales, los administradores de cuentas de usuario, los administradores de servicios de Intune o el propietario del grupo pueden restaurar un grupo.
Ha restaurado un grupo dinámico eliminado, pero no ha encontrado ninguna actualización.
Cuando un grupo dinámico se elimina y restaura, se considera un nuevo grupo y se vuelve a rellenar de acuerdo con la regla. Este proceso puede tardar hasta 24 horas.
Obtenga información sobre cómo solucionar problemas de procesamiento de grupos dinámicos mediante scripts de pausa y reanudación del procesamiento de grupos dinámicos