Partager via

Résoudre les problèmes liés aux groupes dynamiques

Ce guide de résolution des problèmes vous aide à diagnostiquer et résoudre les problèmes liés aux groupes dynamiques dans l’ID Microsoft Entra.

Important

Les modifications des groupes d’appartenance dynamiques sont généralement traitées dans quelques heures. Toutefois, le traitement peut prendre plus de 24 heures en fonction de facteurs tels que le nombre de groupes, le nombre de modifications et la complexité des règles. Pour plus d’informations, consultez Présentation et gestion du traitement de groupe dynamique dans Microsoft Entra ID.

Identification et gestion des groupes dynamiques

Pour vérifier si votre groupe est un groupe dynamique, consultez Évaluer si un groupe est un groupe dynamique.

Problèmes de création de groupes dynamiques

Références

Articles recommandés pour la création de groupes :

Problèmes courants liés à la création d’un groupe ou d’une règle dynamique :

  • Vous ne parvenez pas à créer un groupe dynamique dans le Portail Azure, ou vous recevez une erreur lors de la création d’un groupe dynamique dans PowerShell. Voir Impossible de créer un groupe dynamique.

  • Vous ne trouvez pas l’attribut pour créer une règle. Consultez Créer une règle d’appartenance dynamique.

  • Vous recevez une erreur « nombre maximal de groupes autorisés » lors de la tentative de création d’un groupe dynamique dans PowerShell : vous avez atteint 15 000 groupes, la limite maximale pour les groupes dynamiques dans votre locataire. Pour créer des groupes dynamiques, commencez par supprimer des groupes dynamiques existants. Il n’existe aucun moyen d’augmenter la limite maximale.

Problèmes de mise à jour d’appartenance dynamique

Vous avez créé un groupe dynamique et configuré une règle, mais vous avez rencontré les problèmes courants suivants :

Aucun membre n’apparaît dans le groupe, certains utilisateurs ou appareils n’apparaissent pas dans le groupe, ou les utilisateurs ou appareils incorrects apparaissent dans le groupe.

Les membres existants de la règle sont supprimés.

  • Ce comportement est normal. Des membres existants du groupe sont supprimés quand une règle est activée ou modifiée ou quand des attributs sont modifiés. Les utilisateurs renvoyés à partir de l’évaluation de la règle sont ajoutés au groupe en tant que membres.

Vous ne voyez pas les modifications d’appartenance instantanément après l’ajout ou la modification d’une règle.

  • L’évaluation de l’appartenance est effectuée périodiquement en tant que processus en arrière-plan. La durée du processus est déterminée par le nombre d’utilisateurs dans votre annuaire, et la taille du groupe est créée en raison de la règle. Généralement, les annuaires contenant peu d’utilisateurs constatent des modifications d’appartenance au groupe en moins de quelques minutes. Le remplissage des annuaires ayant de nombreux utilisateurs peut prendre 30 minutes ou plus.

  • Vérifiez l’état du traitement des appartenances pour vérifier si le processus est terminé. Vérifiez la dernière date de mise à jour sur la page Vue d’ensemble du groupe dans le portail Azure pour vérifier que la page est mise à jour.

  • Pour forcer le traitement du groupe, consultez Forcer le traitement du groupe maintenant.

Vous recevez une erreur de traitement des règles.

Problèmes de suppression ou de restauration de groupes dynamiques

Vous recevez une erreur lors de la suppression d’un groupe.

Vous avez restauré un groupe supprimé, mais vous n’avez pas vu de mise à jour.

  • Lorsqu’un groupe dynamique est supprimé et restauré, il est considéré comme un nouveau groupe et complété conformément à la règle. Ce processus peut prendre un certain temps en fonction de facteurs tels que la taille du locataire.

Évaluer si un groupe est un groupe dynamique

Pour déterminer si un groupe est un groupe dynamique :

  1. Connectez-vous au portail Azure.

  2. Sélectionnez le groupe sous l’onglet Vue d’ensemble du groupe , puis vérifiez si le type d’appartenance est défini sur Dynamique.

Valider les règles d’appartenance de groupe dynamique

Microsoft Entra ID fournit les moyens de valider les règles de groupe dynamique. Sous l’onglet Valider les règles , vous pouvez valider votre règle dynamique par rapport à des exemples de membres de groupe pour vérifier que la règle fonctionne comme prévu.

Lorsque vous créez ou mettez à jour des règles de groupe dynamique, vous pouvez utiliser ces informations pour déterminer si un utilisateur ou un appareil répond aux critères de règle pour devenir membre d’un groupe. Cela peut également vous aider à résoudre les problèmes lorsque l’appartenance n’est pas attendue.

Pour plus d’informations, consultez Valider une règle d’appartenance de groupe dynamique (version préliminaire) dans Microsoft Entra ID

Résoudre les problèmes de création de groupes dynamiques

Vous avez rencontré des problèmes lors de la création d’un groupe ou d’une règle dynamique.

Impossible de créer un groupe dynamique

Vous ne voyez pas l’option de création d’un groupe dynamique dans le Portail Azure, ou une erreur s’est produite lors de la création d’un groupe dynamique dans PowerShell.

  1. Assurez-vous que votre client possède la licence appropriée.

  2. Vérifiez que l’utilisateur qui crée le groupe dispose des autorisations d’administrateur appropriées :

    • Vérifiez que vous êtes autorisé à créer un groupe. Les administrateurs généraux peuvent désactiver la création de groupe dans le portail Azure ou le volet d’accès. Vous aurez peut-être besoin qu’un administrateur crée un groupe pour vous ou vous accorde les autorisations appropriées.

  3. Vérifiez que les autorisations de création de groupe sont activées pour le type de groupe en cours de création.

    • Les administrateurs généraux peuvent gérer les autorisations de création de groupes pour la sécurité ou les groupes Office 365 créés dans le portail Azure ou le volet d’accès, en définissant que les utilisateurs peuvent créer des groupes de sécurité dans les portails Azure ou les utilisateurs peuvent créer des groupes Office 365 dans les paramètres des portails Azure sous Tous les groupes>généraux (Paramètres). Ce paramètre s’applique également aux groupes dynamiques.

  4. Vérifiez que l’utilisateur spécifique figure dans la liste des utilisateurs qui peuvent créer un groupe.

    • Les administrateurs généraux peuvent restreindre la création de groupe pour sélectionner un groupe d’utilisateurs si vous disposez d’une licence Microsoft Entra ID P1 Premium. Vous devez vérifier que vous disposez des autorisations appropriées.

Vous obtenez une erreur indiquant le nombre maximal de groupes autorisés à la création d’un groupe dynamique dans PowerShell

Cette erreur signifie que vous avez atteint la limite maximale pour les groupes dynamiques dans votre client. Vérifiez le nombre de groupes dans l'instance. Le nombre maximal de groupes dynamiques par locataire est de 15 000.

Pour créer de nouveaux groupes dynamiques, vous devez commencer par supprimer des groupes dynamiques existants. Il n’existe aucun moyen d’augmenter cette limite.

Résoudre les problèmes de création de règles de groupe dynamique

Impossible de trouver l’attribut pour créer une règle

  1. Vérifiez que les attributs utilisateur figurent dans la liste des propriétés prises en charge. S’ils ne sont pas dans la liste, ils ne sont pas pris en charge actuellement.
  2. Vérifiez que les attributs de l’appareil se trouvent dans la liste des attributs d’appareil. S’ils ne sont pas dans la liste, ils ne sont pas pris en charge actuellement. Pour plus d’informations, consultez les règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID.

Impossible de créer une règle d’appartenance dynamique

  1. Assurez-vous que votre client possède la licence appropriée. Les groupes dynamiques nécessitent que le locataire dispose d'une licence Microsoft Entra ID P1 Premium.

  2. Si vous ne trouvez pas les attributs utilisateur intégrés, vérifiez que l’attribut figure dans la liste des propriétés prises en charge. S’il n’est pas dans la liste, il n’est pas pris en charge actuellement.

  3. Si vous recherchez des attributs d’appareil intégrés, vérifiez que l’attribut figure dans la liste des attributs d’appareil. S’il n’est pas dans la liste, il n’est pas pris en charge actuellement.

  4. Si l’attribut est introuvable dans la liste déroulante Règle simple dans le portail Azure, utilisez la règle avancée pour construire une règle.

    1. Vérifiez que la syntaxe est exacte et que le type de propriété et la valeur correspondent.

    2. Vérifiez également que vous avez ajouté le préfixe d’objet approprié pour sélectionner la propriété.

      • Par exemple : user.country, device.deviceOSType.

    3. Découvrez les instructions sur la création d’une règle avancée , notamment la liste des opérateurs pris en charge et des exemples pour les règles courantes.

  5. Utilisez également les attributs d’extension pour les règles utilisateur dynamiques . Ces règles sont visibles dans la liste déroulante lors de la création d’une règle simple.

    • Le nom d’attribut personnalisé se trouve dans le répertoire en interrogeant l’attribut d’un utilisateur à l’aide de PowerShell et en recherchant le nom de l’attribut. Ces attributs peuvent également être utilisés lors de la construction d’une règle avancée.

  6. Vérifiez que le rôle de l’utilisateur qui crée le groupe dynamique est un administrateur d’entreprise ou un administrateur d’utilisateurs.

  7. Attendez que le groupe se remplisse.

  8. Le générateur de règles simples prend en charge jusqu’à cinq (5) expressions. Pour ajouter plus de cinq expressions à la règle, la zone de texte doit être utilisée.

Résoudre les problèmes liés à la mise à jour d’appartenance dynamique

Vous avez créé un groupe dynamique et configuré une règle, mais vous avez rencontré l’un de ces problèmes :

  • Aucun membre n’est répertorié dans le groupe.
  • Certains utilisateurs ou appareils n’apparaissent pas dans le groupe.
  • Les utilisateurs ou les appareils incorrects n’apparaissent pas dans le groupe.

Les membres ne sont pas ajoutés ou supprimés comme prévu

  1. Vérifiez l’état du traitement des appartenances pour vérifier s’il est terminé et vérifiez la dernière date mise à jour sur la page Vue d’ensemble du groupe dans le portail Azure pour confirmer qu’elle est up-to-date.

  2. Si l’état du traitement de l’appartenance est erreur de traitement et mise à jour en pause, demandez à l’administrateur ou à l’équipe PG de reprendre le groupe après une erreur de traitement.

  3. Vérifiez que les utilisateurs ou les appareils répondent à la règle d’appartenance ou non, en suivant les étapes décrites dans Évaluer l’appartenance dynamique d’un utilisateur ou d’un appareil.

  4. Vérifiez que l’état du traitement n’est pas affecté par le problème d’ajout d’un utilisateur invité interdit par la stratégie.

    • Si le groupe est un groupe Office 365 et que l’utilisateur est un utilisateur invité, l’utilisateur invité ne peut pas être ajouté à un groupe si le paramètre d’annuaire n’autorise pas l’ajout d’un utilisateur invité dans le locataire.

    • Une erreur d’ajout d’un utilisateur invité dans un groupe bloque les mises à jour de ce groupe et d'autres groupes au sein du même client. Vous pouvez choisir de :

      • Autorisez l’ajout d’un utilisateur invité en suivant le paramètre Gérer l’utilisateur invité pour les groupes d’un locataire.
      • Modifiez la règle de groupe pour exclure un utilisateur invité en ajoutant : (user.userType -eq "member").

  5. Si tout semble correct, attendez que le groupe se remplisse. Selon la taille de votre locataire, le groupe peut prendre un certain temps pour remplir la première fois ou après une modification de règle. Nous vous recommandons d’attendre au moins 24 heures pour permettre la fin du traitement de groupe.

  6. Si l’état de traitement s’affiche comme terminé et que le problème persiste, vous pouvez réinitialiser le traitement du groupe pour résoudre tout problème système temporaire.

    Si l’état du traitement s’affiche comme étant en cours de traitement, continuez à attendre.

Évaluer l’appartenance dynamique d’un utilisateur ou d’un appareil

Pour déterminer si un utilisateur ou un appareil satisfait à la règle pour faire partie d’un groupe, utilisez la validation manuelle.

Validation manuelle

Validez les valeurs des attributs utilisateur ou appareil (dans le portail Azure ou à l’aide de PowerShell dans la règle.

  • Assurez-vous qu’il existe des utilisateurs qui répondent à la règle.
  • Pour les appareils, vérifiez les propriétés de l’appareil pour vous assurer que les attributs synchronisés contiennent les valeurs attendues.

Gérer le paramètre d’utilisateur invité dans le groupe Office365

Tout d’abord, installez le module Azure AD PowerShell

  1. Connectez-vous au répertoire. Pour plus d’informations , consultez Comment vous connecter au répertoire à l’aide de PowerShell .

  2. Vérifiez le paramètre de répertoire :

    1. Lisez le paramètre d’annuaire du locataire : lisez les paramètres au niveau du répertoire.
    2. Vérifiez le paramètre utilisateur invité : comme indiqué dans l’image suivante, si AllowToAddGuests a la valeur true, vérifiez le paramètre dans ce groupe particulier. Si AllowToAddGuests a la valeur false, quel que soit le paramètre au niveau du groupe, les utilisateurs invités ne peuvent pas être ajoutés.

    Capture d’écran pour vérifier le paramètre AllowToAddGuests.

  3. Mettez à jour le paramètre au niveau du locataire. Pour modifier le paramètre utilisateur invité au niveau du locataire, visitez : Comment mettre à jour le paramètre au niveau du locataire à l’aide de PowerShell.

  4. Vérifiez le paramètre du groupe. Pour modifier le paramètre d’utilisateur invité sur votre valeur cible le cas échéant, visitez : Comment vérifier et mettre à jour le paramètre d’un groupe spécifique à l’aide de PowerShell

Les membres existants de la règle sont supprimés

Ce comportement est normal. Des membres existants du groupe sont supprimés quand une règle est activée ou modifiée ou quand des attributs sont modifiés. Les utilisateurs provenant de l’évaluation de la règle sont ajoutés en tant que membres du groupe.

Vous ne voyez pas les modifications d’appartenance instantanément après la mise à jour d’une règle

L’évaluation de l’appartenance est effectuée régulièrement dans un processus en arrière-plan. Combien de temps le processus prend est déterminé par plusieurs facteurs.

Forcer le traitement du groupe maintenant

Réinitialiser le traitement d’un groupe dynamique. Dans le Portail Azure, déclenchez manuellement le nouveau traitement en mettant à jour la règle d’appartenance pour ajouter un espace blanc au milieu de la règle.

Corriger une erreur de traitement des règles

Erreur d’analyse de la règle Utilisation incorrecte Utilisation corrigée
Erreur : Attribut non pris en charge (user.invalidProperty -eq "Valeur") (user.department -eq "valeur")
Vérifiez que l’attribut figure dans la liste des propriétés prises en charge.
Erreur : l’opérateur n’est pas pris en charge sur l’attribut (user.accountEnabled -contains vrai) (utilisateur.compteActif -eq vrai)
L’opérateur utilisé n’est pas pris en charge pour le type de propriété (dans cet exemple, -contains ne peut pas être utilisé sur le type booléen). Utilisez les opérateurs corrects pour le type de propriété.
Erreur : Erreur de compilation de requête 1. (user.department -eq « Ventes ») (user.department -eq « Marketing »)
2. (user.userPrincipalName -match « *@domain.ext »)		 1. Opérateur manquant. Utilisez -et ou -ou pour joindre deux prédicats : (user.department -eq "Ventes") -ou (user.department -eq "Marketing")
2. Erreur dans l’expression régulière utilisée avec -match
(user.userPrincipalName -match « .*@domain.ext »)
ou alternativement : (user.userPrincipalName -match "@domain.ext$")

Résoudre les problèmes de suppression ou de restauration de groupes dynamiques

Avant de tenter de supprimer un groupe dans Microsoft Entra ID, vérifiez que vous avez supprimé toutes les licences affectées pour éviter les erreurs.

(Pour plus d’informations sur la suppression de groupe en général, consultez Supprimer un groupe.

Supprimer un groupe

  1. Les groupes peuvent être supprimés du répertoire à l’aide de l’applet Remove-MgGroup de commande dans Microsoft Graph PowerShell.

  2. Avant de tenter de supprimer un groupe dans Microsoft Entra ID, vérifiez que vous avez supprimé toutes les licences affectées pour éviter les erreurs.

Restaurer un groupe supprimé

  • Si un groupe Office 365 est supprimé, il doit être restauré sous 30 jours avant que sa suppression ne soit définitive. Une fois supprimé définitivement, le groupe ne peut plus être restauré. Pour en savoir plus sur la restauration de groupes, consultez Restaurer un groupe Microsoft 365 supprimé dans l’ID Microsoft Entra.
  • Cette fonctionnalité n’est pas prise en charge pour les groupes de sécurité et les groupes de distribution.
  • Vérifiez que vous êtes autorisé à restaurer un groupe Office 365. Seuls les administrateurs généraux, les administrateurs de compte d’utilisateur, les administrateurs de service Intune ou le propriétaire du groupe peuvent restaurer un groupe.

Contactez-nous pour obtenir de l’aide

Si vous avez des questions ou avez besoin d’aide, créez une demande de support ou demandez le support de la communauté Azure. Vous pouvez également envoyer des commentaires sur le produit à la communauté de commentaires Azure.