Csoportok problémáinak elhárítása és megoldása

Ez a cikk a Microsoft Entra részét képező Microsoft Entra ID-ban található csoportok hibaelhárítási információját tartalmazza.

Csoportlétrehozás hibáinak elhárítása

Letiltottam a biztonsági csoportok létrehozását az Azure Portalon, de a csoportok továbbra is létrehozhatóak a PowerShell használatával
A felhasználó biztonsági csoportokat hozhat létre az Azure Portalon az Azure Portalon, és szabályozhatja, hogy a nem rendszergazda felhasználók létrehozhatnak-e biztonsági csoportokat az Access panelen vagy az Azure Portalon. Nem szabályozza a biztonsági csoportok PowerShellen keresztüli létrehozását.

Csoportlétrehozás letiltása a Nemadmin-felhasználók számára a PowerShellben:

1. Ellenőrizze, hogy a nem admin felhasználók hozhatnak-e létre csoportokat:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Ha visszaadja EnableGroupCreation : True, akkor a nem admin felhasználók csoportokat hozhatnak létre. A funkció letiltása:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

Egy dinamikus csoport PowerShell-ben való létrehozásakor engedélyezett maximális csoporthiba jelenik meg
Ha a PowerShellben egy üzenet jelenik meg, amely azt jelzi , hogy a dinamikus csoportszabályzatok maximális engedélyezett csoportok száma elérte a megengedett maximális értéket, ez azt jelenti, hogy elérte a szervezet dinamikus csoportjaira vonatkozó maximális korlátot. A dinamikus csoportok maximális száma szervezetenként 5000.

Új dinamikus csoportok létrehozásához először törölnie kell néhány meglévő dinamikus csoportot. Nem lehet növelni a korlátot.

Dinamikus tagsági csoportok hibaelhárítása

Konfiguráltam egy szabályt egy csoportban, de nem frissülnek a tagságok a csoportban

1. Ellenőrizze a szabály felhasználói vagy eszközattribútumainak értékeit. Győződjön meg arról, hogy vannak olyan felhasználók, amelyek megfelelnek a szabálynak. Az eszközök esetében ellenőrizze az eszköz tulajdonságait, hogy a szinkronizált attribútumok tartalmazzák-e a várt értékeket.
2. Ellenőrizze a tagság feldolgozási állapotát annak ellenőrzéséhez, hogy befejeződött-e. A csoport Áttekintés lapján ellenőrizheti a tagság feldolgozási állapotát és az utolsó frissített dátumot.

Ha minden jól néz ki, kérjük, hagyjon egy kis időt a csoport feltöltésére. A Microsoft Entra-szervezet méretétől függően a csoport akár 24 órát is igénybe vehet az első feltöltéshez, vagy egy szabálymódosítás után.

Konfiguráltam egy szabályt, de most a szabály meglévő tagjai el lesznek távolítva
Ez az elvárt működés. A rendszer eltávolítja a csoport meglévő tagjait egy szabály engedélyezésekor vagy módosításakor. A szabály kiértékelése után visszaadott felhasználók tagként lesznek hozzáadva a csoporthoz.

Nem látom azonnal a tagság változásait, amikor hozzáadok vagy módosítok egy szabályt, miért nem?
A dedikált tagság kiértékelése rendszeres időközönként történik aszinkron háttérfolyamatban. A folyamat időtartama a címtárban lévő felhasználók száma és a szabály alapján létrehozott csoport mérete alapján van meghatározva. A kis számú felhasználóval rendelkező könyvtárak általában kevesebb mint néhány perc alatt látják a dinamikus tagsági csoport változásait. A nagy számú felhasználóval rendelkező könyvtárak feltöltése akár 30 percet is igénybe vehet.

Hogyan kényszeríthetem a csoportot a feldolgozásra?
Jelenleg nincs mód arra, hogy automatikusan aktiválja az igény szerint feldolgozandó csoportot. Az újrafeldolgozást azonban manuálisan is aktiválhatja a tagsági szabály frissítésével, hogy a végén adjon hozzá egy üres térközt.

Szabályfeldolgozási hibát tapasztaltam
Az alábbi táblázat a dinamikus tagsági csoportok általános szabályhibáit és azok kijavítása módját sorolja fel.

Szabályelemző hiba	Hiba a használatban	Javított használat
Hiba: Az attribútum nem támogatott.	(user.invalidProperty -eq "Value")	(user.department -eq "value") Győződjön meg arról, hogy az attribútum szerepel a támogatott tulajdonságok listájában.
Hiba: Az operátor nem támogatott az attribútumon.	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) A használt operátor nem támogatott a tulajdonságtípus esetében (ebben a példában a -contains nem használható a típus logikai értékén). Használja a megfelelő operátorokat a tulajdonságtípushoz.
Hiba: Lekérdezés-fordítási hiba.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Hiányzó operátor. -and vagy -or join predicates (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Hiba a -match kifejezéssel használt reguláris kifejezésben (user.userPrincipalName -match ".*@domain.ext") vagy másik lehetőségként: (user.userPrincipalName -match "@domain.ext$")

Következő lépések

Ezek a cikkek további információkat tartalmaznak a Microsoft Entra-azonosítóról.

• Erőforrásokhoz való hozzáférés kezelése Microsoft Entra-csoportokkal
• Alkalmazáskezelés a Microsoft Entra-azonosítóban
• Mi a Microsoft Entra-azonosító?
• Helyszíni identitások integrálása a Microsoft Entra-azonosítóval