Dépanner et résoudre des problèmes de groupes
Cet article contient des informations de dépannage pour les groupes dans Microsoft Entra ID, qui font partie de Microsoft Entra.
Résoudre les problèmes de création de groupe
J’ai désactivé la création de groupe de sécurité dans le portail Azure, mais des groupes peuvent quand même être créés via PowerShell
Le paramètre l’Utilisateur peut créer des groupes de sécurité dans les portails Azure dans le Portail Azure contrôle si les utilisateurs non-administrateurs peuvent créer des groupes de sécurité dans le volet d’Accès ou le Portail Azure. Il ne contrôle pas la création de groupe de sécurité via PowerShell.
Pour désactiver la création de groupe par des utilisateurs non-administrateurs dans PowerShell :
Vérifiez que les utilisateurs non-administrateurs sont autorisés à créer des groupes :
Get-MgBetaDirectorySetting | select -ExpandProperty values
Si la commande retourne
EnableGroupCreation : True
, les utilisateurs non-administrateurs peuvent créer des groupes. Pour désactiver cette fonctionnalité :Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
En tentant de créer un groupe dynamique dans PowerShell, j’ai reçu un message d’erreur me signalant que le nombre maximal de groupes autorisé était atteint
Si vous recevez un message dans PowerShell indiquant que le nombre maximal de groupes a été atteint dans les stratégies de groupe dynamiques, cela signifie que vous avez atteint la limite maximale du nombre de groupes dynamiques que votre organisation peut compter. Le nombre maximal de groupes dynamiques par organisation est de 5 000.
Pour créer de nouveaux groupes dynamiques, vous devez commencer par supprimer des groupes dynamiques existants. Il n’existe aucun moyen d’augmenter cette limite.
Résoudre les problèmes liés aux groupes dynamiques
J’ai configuré une règle sur un groupe, mais aucune appartenance n’est mise à jour dans le groupe
- Vérifiez les valeurs d’attributs d’utilisateur ou d’appareil dans la règle. Vérifiez que les utilisateurs satisfont à la règle. Pour les appareils, vérifiez leurs propriétés pour vous assurer que les attributs synchronisés contiennent les valeurs attendues.
- Vérifiez l’état du traitement de l’appartenance pour vous assurer que le traitement est terminé. Vous pouvez voir l’État du traitement de l’appartenance et la date de la dernière mise à jour dans la page Vue d’ensemble du groupe.
Si tout semble correct, attendez quelque temps avant que le groupe se remplisse. Selon la taille de votre organisation Microsoft Entra, le remplissage du groupe peut prendre jusqu’à 24 heures la première fois ou après une modification de la règle.
J’ai configuré une règle, mais les membres existants sur celle-ci sont à présent supprimés
Ce comportement est normal. Lors de l’activation ou de la modification d’une règle, les membres existants du groupe sont supprimés. Les utilisateurs provenant de l’évaluation de la règle sont ajoutés en tant que membres du groupe.
Je ne vois pas instantanément de changement d’appartenance quand j’ajoute ou quand je modifie une règle, pourquoi ?
L’évaluation de l’appartenance dédiée est effectuée régulièrement dans le cadre d’un processus asynchrone exécuté en arrière-plan. La durée de l’opération est déterminée par le nombre d’utilisateurs dans votre annuaire et par la taille du groupe créé à la suite de la règle. Généralement, les annuaires contenant peu d’utilisateurs constatent les changements apportés aux groupes dynamiques en quelques minutes au maximum. Le renseignement des annuaires contenant de nombreux utilisateurs peut prendre plus de 30 minutes.
Comment puis-je forcer le traitement immédiat du groupe ?
Actuellement, il n’existe aucun moyen de déclencher automatiquement le traitement du groupe à la demande. En revanche, vous pouvez déclencher manuellement son retraitement en mettant à jour la règle d’appartenance par l’ajout d’une espace à la fin de celle-ci.
J’ai rencontré une erreur de traitement de règle
Le tableau suivant répertorie les erreurs de règle courantes liées aux groupes dynamiques et la façon de les corriger.
Erreur d’analyse de la règle | Utilisation incorrecte | Utilisation corrigée |
---|---|---|
Erreur : attribut non pris en charge. | (user.invalidProperty -eq "Value") | (user.department -eq "value") Assurez-vous que l’attribut se trouve dans la liste des propriétés prises en charge. |
Erreur : l’opérateur n’est pas pris en charge sur l’attribut. | (user.accountEnabled -contains true) | (user.accountEnabled - eq true) L’opérateur utilisé n’est pas pris en charge pour le type de propriété (dans cet exemple,-contains ne peut pas être utilisé avec le type booléen). Utilisez les opérateurs corrects pour le type de propriété. |
Erreur : erreur de compilation de la requête. | 1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext") |
1. Opérateur manquant. Utilisez -and ou -or pour associer les prédicats (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Erreur dans l’expression régulière utilisée avec -match (user.userPrincipalName -match ".*@domain.ext") ou : (user.userPrincipalName -match "@domain.ext$") |
Étapes suivantes
Ces articles fournissent des informations supplémentaires sur Microsoft Entra ID.