Risoluzione dei problemi relativi ai gruppi con l'elaborazione dinamica delle appartenenze
Articolo
Dopo aver apportato modifiche in Microsoft Entra ID che richiedono una rivalutazione dell'appartenenza dinamica ai gruppi, è possibile che si verifichi uno dei problemi seguenti:
Aggiornamento lento dell'appartenenza
Aggiornamenti imprevisti dell'appartenenza ai gruppi
Questi problemi possono essere causati da:
Modifica imprevista della regola di appartenenza.
Implementazione significativa delle modifiche. Ad esempio, gli aggiornamenti di cui viene eseguito il push in molti dispositivi contemporaneamente potrebbero richiedere la rivalutazione di alcune regole di appartenenza ai gruppi.
Questo articolo fornisce script di PowerShell Entra ID di esempio per sospendere e riprendere gli aggiornamenti dinamici del gruppo. La sospensione dell'elaborazione dinamica dei gruppi può arrestare l'elaborazione delle regole e impedire aggiornamenti imprevisti dell'appartenenza. La ripresa dell'elaborazione dinamica dei gruppi può ripristinare le normali funzionalità del gruppo.
Importante
Le modifiche dei gruppi di appartenenza dinamica vengono in genere elaborate entro poche ore. Tuttavia, l'elaborazione può richiedere più di 24 ore a seconda di fattori quali dimensioni del tenant, dimensioni del gruppo, numero di modifiche dell'attributo, complessità delle regole e scelta dell'operatore ( ad esempio usando CONTAINS, MATCHo MemberOf).
Scaricare script di sospensione e ripresa dell'elaborazione dinamica dei gruppi
Per scaricare gli script, visitare il repository GitHub.
Per eseguire gli script, assicurarsi di disporre dei prerequisiti seguenti:
Un account in un tenant di Azure con l'autorizzazione microsoft.directory/groups/allProperties/update
Per le applicazioni: autorizzazione Group.ReadWrite.All
Script di gestione dinamica dei gruppi
Sono disponibili quattro script per gestire l'elaborazione dinamica dei gruppi tramite PowerShell:
Sospendi tutti i gruppi: questo script sospende l'elaborazione di tutti i gruppi dinamici nel tenant.
Sospendi gruppi specifici: questo script sospende l'elaborazione dinamica dei gruppi per gruppi specifici specificati nello script.
Sospendi tutti i gruppi tranne alcuni: questo script sospende l'elaborazione dinamica dei gruppi per tutti i gruppi nel tenant, ad eccezione di quelli specificati nello script.
UnPauseSpecificCritical: questo script riprende l'elaborazione dinamica dei gruppi per gruppi specifici specificati nello script.
UnPauseNonCritical: questo script consente di riprendere l'elaborazione per gruppi non critici con appartenenza dinamica, 100 gruppi alla volta.
Seguire le istruzioni negli script per apportare modifiche in base alle proprie esigenze. Eseguire gli script usando il modulo Entra ID PowerShell.
Importante
Verificare tutti i passaggi in un ambiente di test prima di apportare modifiche nell'ambiente di produzione.
Domande frequenti
Quando usare lo script Sospendi tutti i gruppi
Usare lo script Sospendi tutti i gruppi se si sospetta che si verifichi una modifica imprevista o si verifichino ritardi negli aggiornamenti di appartenenza dinamica diffusi che influiscono su molti gruppi.
Quando usare lo script Sospendi gruppi specifici o Sospendi tutti i gruppi tranne alcuni script
Usare questi script se è necessario sospendere l'elaborazione dinamica dei gruppi per gruppi specifici o per tutti i gruppi tranne determinati.
Come sapere quando è sicuro riprendere l'elaborazione dinamica dei gruppi
Attualmente, Microsoft Entra non offre l'osservabilità per monitorare lo stato dell'elaborazione dinamica dei gruppi. È consigliabile attendere almeno 12 ore prima di riprendere l'elaborazione per consentire al servizio di eseguire il ripristino da eventuali problemi.
Nota
Il supporto di Microsoft Entra consente di riprendere l'elaborazione dinamica dei gruppi solo dopo l'attesa delle 12 ore consigliate.
Come riprendere l'elaborazione dinamica dei gruppi
Eseguire lo script per riprendere l'elaborazione unPauseSpecificCritical.ps1 delle regole per gruppi specifici dopo almeno 12 ore. Per evitare ritardi diffusi di nuovo, iniziare riprendendo l'elaborazione dinamica dei gruppi per i gruppi critici per evitare ritardi diffusi e quindi riprendere l'elaborazione per i gruppi dinamici rimanenti in batch.
Questo modulo consente di gestire le attività di Microsoft Entra ID, tra cui controllo degli accessi in base al ruolo, gestione di utenti/gruppi, cmdlet di PowerShell e sincronizzazione degli oggetti di Active Directory Domain Services. Dopo aver completato questo modulo, si userà e si gestirà in modo efficace l'ID Di Microsoft Entra nell'organizzazione.
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.