Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I gruppi di appartenenza dinamica in Microsoft Entra ID sono una funzionalità potente che consente agli amministratori di automatizzare la gestione delle appartenenze ai gruppi. Le modifiche apportate alle appartenenze vengono in genere elaborate entro poche ore.
Tuttavia, in determinate condizioni, i clienti possono riscontrare ritardi negli aggiornamenti dell'appartenenza. L'elaborazione può richiedere più di 24 ore. Comprendere le cause sottostanti può aiutare gli amministratori a ottimizzare le configurazioni ed evitare colli di bottiglia di elaborazione non necessari.
Funzionamento dell'elaborazione dinamica dei gruppi
L'elaborazione dinamica dei gruppi opera in modo sequenziale. Le modifiche per un singolo tenant vengono valutate e applicate in ordine, anziché tutte contemporaneamente. Grandi volumi di modifiche, soprattutto quando influiscono su molti utenti o dispositivi, possono portare a code di elaborazione lunghe. Le lunghe code possono estendere il tempo necessario per finire l'elaborazione degli aggiornamenti.
Fattori chiave che influiscono sul tempo di elaborazione
I tre fattori principali che influenzano l'elaborazione e possono causare ritardi negli aggiornamenti delle appartenenze sono:
Numero di gruppi dinamici: i tenant con un numero elevato di gruppi dinamici richiedono più valutazioni, aumentando il tempo di elaborazione.
Numero di modifiche all'oggetto: un volume elevato di modifiche utente o dispositivo può creare una coda di elaborazione prolungata ed estendere il tempo di elaborazione. Ad esempio, le modifiche apportate agli attributi di estensione, le aggiunte o le rimozioni dei dispositivi e gli aggiornamenti degli utenti in blocco.
Configurazione delle regole: alcune configurazioni delle regole possono influire sul tempo di elaborazione. Ad esempio, la scelta di operatori inefficienti come
Match,ContainsomemberOfpuò aumentare il tempo di elaborazione. La complessità delle regole è anche un fattore determinante.
Procedure consigliate per la gestione dei gruppi di appartenenza dinamica nel tenant
Per garantire un'elaborazione efficiente e ridurre al minimo i ritardi, prendere in considerazione le procedure consigliate seguenti.
Monitorare il numero di gruppi di appartenenza dinamica nel tuo tenant
Esamina regolarmente il numero di gruppi nel tuo ambiente. Eliminare gruppi inattivi o obsoleti.
Sospendere i gruppi non essenziali
È possibile sospendere i gruppi non essenziali per migliorare le prestazioni di elaborazione. È possibile sospendere l'elaborazione dei gruppi in queste circostanze:
- Aggiornamenti su larga scala pianificati: si prevede di apportare un numero elevato di modifiche all'appartenenza ai gruppi. Si prevede, ad esempio, di apportare modifiche a più di 500 gruppi o apportare più di 20.000 modifiche all'appartenenza.
- Ritardi imprevisti: si nota che l'appartenenza al gruppo non è stata modificata e si verificano ritardi imprevisti.
Per interrompere temporaneamente l'elaborazione, usare lo script Sospendi tutti i gruppi . Consentire al servizio di eseguire il ripristino prima di riprendere l'attività.
Non rimuovere immediatamente i gruppi. È consigliabile attendere almeno 24 ore per consentire all'elaborazione dei gruppi di aggiornarsi. Controllare quindi i registri di controllo per verificare se sono tornati al valore di riferimento. Se necessario, rimuovere i gruppi in fasi anziché tutti contemporaneamente.
Ottimizzare l'efficienza delle regole
Evitare l'uso dell'operatore
Matchnelle regole il più possibile. Usare invece l'operatoreStartsWith,EqualsoEndsWith.Evitare l'uso dell'operatore
Containsnelle regole il più possibile. Può comportare un aumento del tempo di elaborazione.Usare un minor numero
-ordi operatori. Usare invece l'operatore-inper raggruppare le regole in un singolo criterio. Le regole di raggruppamento semplificano la valutazione.Evitare l'uso dell'operatore
memberOf, se possibile. È attualmente in anteprima e include bug e limitazioni. Può anche introdurre una maggiore complessità, in particolare se un tenant ha un numero elevato di gruppi o aggiornamenti frequenti. È consigliabile eliminare i gruppi esistentimemberOfnel tenant.
Per altre informazioni su come ottimizzare l'elaborazione dinamica dei gruppi, vedere Creare regole più semplici ed efficienti per i gruppi di appartenenza dinamici in Microsoft Entra ID.
Riassunto
I ritardi nell'elaborazione dinamica dei gruppi si verificano principalmente a causa di volumi elevati di modifiche e di un numero elevato di gruppi. Seguendo le procedure consigliate, ad esempio l'ottimizzazione dell'efficienza delle regole, il monitoraggio delle modifiche e la sospensione di gruppi non essenziali quando necessario, gli amministratori IT possono migliorare le prestazioni di elaborazione ed evitare ritardi non necessari.