Leggere in inglese

Condividi tramite

Risolvere i problemi relativi ai gruppi dinamici

  • Articolo

Questa guida alla risoluzione dei problemi consente di diagnosticare e risolvere i problemi relativi ai gruppi dinamici in Microsoft Entra ID.

Importante

Le modifiche dei gruppi di appartenenza dinamica vengono in genere elaborate entro poche ore. Tuttavia, l'elaborazione può richiedere più di 24 ore a seconda di fattori quali dimensioni del tenant, dimensioni del gruppo, numero di modifiche dell'attributo, complessità delle regole e scelta dell'operatore ( ad esempio usando CONTAINS, MATCHo MemberOf).

Identificazione e gestione dei gruppi dinamici

Per verificare se il gruppo è un gruppo dinamico, vedere Valutare se un gruppo è un gruppo dinamico.

Problemi di creazione di gruppi dinamici

Riferimenti

Articoli consigliati per la creazione di gruppi:

Problemi comuni relativi alla creazione di un gruppo dinamico o di una regola:

  • Non è possibile creare un gruppo dinamico nella portale di Azure oppure viene visualizzato un errore durante la creazione di un gruppo dinamico in PowerShell. Vedere Impossibile creare un gruppo dinamico.

  • Non è possibile trovare l'attributo per creare una regola. Vedere Creare una regola di appartenenza dinamica.

  • Quando si tenta di creare un gruppo dinamico in PowerShell, viene visualizzato un errore di tipo "max groups allowed" (Numero massimo di gruppi consentiti): è stato raggiunto un massimo di 15.000 gruppi, il limite massimo per i gruppi dinamici nel tenant. Per creare nuovi gruppi dinamici, eliminare prima di tutto i gruppi dinamici esistenti. Non è possibile aumentare il limite massimo.

Problemi di aggiornamento delle appartenenze dinamiche

È stato creato un gruppo dinamico ed è stata configurata una regola, ma si sono verificati questi problemi comuni:

Nel gruppo non vengono visualizzati membri, alcuni utenti o dispositivi non vengono visualizzati nel gruppo o gli utenti o i dispositivi errati vengono visualizzati nel gruppo.

I membri esistenti della regola vengono rimossi.

  • Questo comportamento è previsto. I membri esistenti del gruppo vengono rimossi quando una regola viene abilitata o modificata oppure vengono modificati gli attributi. Gli utenti restituiti dalla valutazione della regola vengono aggiunti come membri al gruppo.

Le modifiche all'appartenenza non vengono visualizzate immediatamente dopo l'aggiunta o la modifica di una regola.

  • La valutazione dell'appartenenza viene eseguita periodicamente come processo in background. La durata del processo è determinata dal numero di utenti nella directory e le dimensioni del gruppo creato dipendono dalla regola. In genere, per le directory con un numero limitato di utenti le modifiche a livello di appartenenza al gruppo vengono visualizzate nell'arco di pochi minuti. L'inserimento dei dati per le directory con un numero elevato di utenti può richiedere intervalli maggiori o uguali a 30 minuti.

  • Controllare lo stato di elaborazione dell'appartenenza per verificare che il processo sia stato completato. Controllare la data dell'ultimo aggiornamento nella pagina Panoramica del gruppo nel portale di Azure per verificare che la pagina sia aggiornata.

  • Per forzare l'elaborazione del gruppo, vedere Forzare subito l'elaborazione del gruppo.

Viene visualizzato un errore di elaborazione delle regole.

Problemi di eliminazione o ripristino dinamici dei gruppi

Viene visualizzato un errore durante l'eliminazione di un gruppo.

È stato ripristinato un gruppo eliminato ma non è stato visualizzato alcun aggiornamento.

  • Quando un gruppo dinamico viene eliminato e ripristinato, viene considerato come un nuovo gruppo e popolato di nuovo in base alla regola. Questo processo può richiedere fino a 24 ore.

Valutare se un gruppo è un gruppo dinamico

Per determinare se un gruppo è dinamico:

  1. Accedere al portale di Azure.

  2. Selezionare il gruppo nella scheda Panoramica del gruppo , quindi controllare se il tipo di appartenenza è impostato su Dinamico.

Convalidare le regole di appartenenza al gruppo dinamico

Microsoft Entra ID fornisce i mezzi per convalidare le regole del gruppo dinamico. Nella scheda Convalida regole è possibile convalidare la regola dinamica rispetto ai membri del gruppo di esempio per verificare che la regola funzioni come previsto.

Quando si creano o aggiornano regole di gruppo dinamiche, è possibile usare queste informazioni per determinare se un utente o un dispositivo soddisfa i criteri delle regole per diventare membri di un gruppo. Ciò consente anche di risolvere i problemi quando l'appartenenza non è prevista.

Per altre informazioni, vedere Convalidare una regola di appartenenza a un gruppo dinamico (anteprima) in Microsoft Entra ID

Risolvere i problemi di creazione di gruppi dinamici

Si sono verificati problemi durante la creazione di un gruppo dinamico o di una regola.

Impossibile creare un gruppo dinamico

Non viene visualizzata l'opzione per creare un gruppo dinamico nella portale di Azure o si è verificato un errore durante la creazione di un gruppo dinamico in PowerShell.

  1. Assicurarsi che il tenant abbia la licenza appropriata.

  2. Assicurarsi che l'utente che crea il gruppo disponga delle autorizzazioni di amministratore appropriate:

    • Assicurarsi di essere autorizzati a creare un nuovo gruppo. Gli amministratori globali possono disabilitare la creazione del gruppo nel portale di Azure o nel pannello di accesso. Potrebbe essere necessario un amministratore per creare il nuovo gruppo o assegnare all'utente autorizzazioni appropriate.

  3. Verificare che le autorizzazioni di creazione del gruppo siano abilitate per il tipo di gruppo da creare.

    • Gli amministratori globali possono gestire le autorizzazioni di creazione dei gruppi per la sicurezza o i gruppi di Office 365 creati nel portale di Azure o Pannello di accesso, impostando Gli utenti possono creare gruppi di sicurezza in portale di Azure o gli utenti possono creare gruppi di Office 365 in portale di Azure impostazioni nella portale di Azure in Tutti i gruppi Generale (Impostazioni).Settings.settings in the portale di Azure under All groups>General (Settings). Questa impostazione si applica anche ai gruppi dinamici.

  4. Verificare che l'utente specifico sia incluso nell'elenco di utenti che possono creare un gruppo.

    • Gli amministratori globali possono limitare la creazione di gruppi per selezionare un gruppo di utenti se si dispone di una licenza Microsoft Entra ID P1 Premium. È necessario verificare di disporre delle autorizzazioni appropriate.

Si riceve un errore massimo di gruppi consentiti durante la creazione di un gruppo dinamico in PowerShell

Questo errore indica che è stato raggiunto il limite massimo per i gruppi dinamici nel tenant. Controllare il numero di gruppi nel tenant. Il numero massimo di gruppi dinamici per tenant è 15.000.

Per creare nuovi gruppi dinamici, è prima necessario eliminare alcuni gruppi dinamici esistenti. Non c'è alcun modo per aumentare il limite.

Risolvere i problemi di creazione delle regole del gruppo dinamico

Impossibile trovare l'attributo per creare una regola

  1. Assicurarsi che gli attributi utente siano inclusi nell'elenco delle proprietà supportate. Se non sono presenti nell'elenco, non sono attualmente supportati.
  2. Assicurarsi che gli attributi del dispositivo siano inclusi nell'elenco degli attributi del dispositivo. Se non sono presenti nell'elenco, non sono attualmente supportati. Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.

Impossibile creare una regola di appartenenza dinamica

  1. Assicurarsi che il tenant abbia la licenza appropriata. I gruppi dinamici richiedono che il tenant disponga di una licenza Microsoft Entra ID P1 Premium.

  2. Se non è possibile trovare gli attributi utente predefiniti, assicurarsi che l'attributo sia incluso nell'elenco delle proprietà supportate. Se non è presente nell'elenco, non è attualmente supportato.

  3. Se si sta cercando attributi dispositivo predefiniti, assicurarsi che l'attributo sia incluso nell'elenco degli attributi del dispositivo. Se non è presente nell'elenco, non è attualmente supportato.

  4. Se l'attributo non viene trovato nell'elenco a discesa Regola semplice nel portale di Azure, usare la regola avanzata per costruire una regola.

    1. Assicurarsi che la sintassi sia accurata e che il tipo di proprietà e il valore corrispondano.

    2. Assicurarsi inoltre di aver aggiunto il prefisso dell'oggetto appropriato per selezionare la proprietà .

      • Ad esempio: user.country, device.deviceOSType.

    3. Informazioni sulle linee guida su come creare una regola avanzata, inclusi l'elenco di operatori supportati ed esempi per le regole comuni.

  5. Usare anche attributi di estensione per le regole utente dinamiche. Queste regole saranno visibili nell'elenco a discesa durante la creazione di una regola semplice.

    • Il nome dell'attributo personalizzato è reperibile nella directory eseguendo una query sull'attributo di un utente usando PowerShell e cercando il nome dell'attributo. Questi attributi possono essere usati anche durante la costruzione di una regola avanzata.

  6. Assicurarsi che il ruolo dell'utente che crea il gruppo dinamico sia un amministratore aziendale o un amministratore utenti.

  7. Attendere il popolamento del gruppo.

  8. Il generatore di regole semplici supporta fino a cinque (5) espressioni. Per aggiungere più di cinque espressioni alla regola, è necessario usare la casella di testo.

Risolvere i problemi di aggiornamento delle appartenenze dinamiche

È stato creato un gruppo dinamico ed è stata configurata una regola, ma si è verificato uno dei problemi seguenti:

  • Nel gruppo non sono elencati membri.
  • Alcuni utenti o dispositivi non vengono visualizzati nel gruppo.
  • Gli utenti o i dispositivi non corretti non vengono visualizzati nel gruppo.

I membri non vengono aggiunti o rimossi come previsto

  1. Controllare lo stato di elaborazione dell'appartenenza per verificare se è completo e controllare l'ultima data aggiornata nella pagina Panoramica del gruppo in portale di Azure per confermare che sia aggiornata.

  2. Se lo stato di elaborazione dell'appartenenza sta elaborando un errore e viene sospeso l'aggiornamento, chiedere all'amministratore o al team PG di riprendere il gruppo dall'errore di elaborazione.

  3. Verificare che gli utenti o i dispositivi soddisfino la regola di appartenenza, seguendo la procedura descritta in Valutare l'appartenenza dinamica di un utente o dispositivo.

  4. Verificare che lo stato di elaborazione non sia interessato dal problema dell'aggiunta di utenti guest non consentita dai criteri.

    • Se il gruppo è un gruppo di Office 365 e l'utente è un utente guest, l'utente guest non può essere aggiunto a un gruppo se l'impostazione della directory non consente l'aggiunta di un utente guest nel tenant.

    • Un errore di aggiunta di utenti guest in un gruppo blocca gli aggiornamenti dello stesso gruppo e di altri gruppi nello stesso tenant. È possibile scegliere:

      • Consentire l'aggiunta di un utente guest seguendo l'impostazione Gestisci utente guest per i gruppi in un tenant.
      • Modificare la regola di gruppo per escludere un utente guest aggiungendo: (user.userType -eq "member").

  5. Se non vengono rilevati problemi, attendere il popolamento del gruppo. A seconda delle dimensioni del tenant, potrebbero essere necessarie fino a 24 ore per eseguire il popolamento del gruppo per la prima volta o dopo la modifica di una regola.

  6. Se il problema persiste dopo 24 ore e lo stato di elaborazione viene visualizzato come completo, è possibile reimpostare l'elaborazione per il gruppo per risolvere eventuali problemi di sistema temporanei.

    Se lo stato di elaborazione viene visualizzato come nell'elaborazione, continuare ad attendere.

Valutare l'appartenenza dinamica di un utente o di un dispositivo

Per valutare se un utente o un dispositivo soddisfa la regola da far parte di un gruppo, usare convalida manuale.

Convalida manuale

Convalidare i valori per gli attributi utente o dispositivo (in portale di Azure o usando PowerShell nella regola.

  • Assicurarsi che siano presenti utenti che soddisfano la regola.
  • Per i dispositivi, controllare le proprietà del dispositivo per assicurarsi che gli attributi sincronizzati contengano i valori previsti.

Gestire l'impostazione utente guest nel gruppo di Office365

Installare prima di tutto il modulo Azure AD PowerShell

  1. Connettersi alla directory. Per altre informazioni, vedere Come connettersi alla directory usando PowerShell .

  2. Controllare l'impostazione della directory:

    1. Leggere l'impostazione della directory del tenant: leggere le impostazioni a livello di directory.
    2. Controllare l'impostazione dell'utente guest: come illustrato nell'immagine seguente, se AllowToAddGuests è true, controllare l'impostazione in quel particolare gruppo. Se AllowToAddGuests è false, indipendentemente dall'impostazione a livello di gruppo, gli utenti guest non possono essere aggiunti.

    Screenshot per controllare l'impostazione AllowToAddGuests.

  3. Aggiornare l'impostazione a livello di tenant. Per modificare l'impostazione dell'utente guest a livello di tenant, visitare: Come aggiornare l'impostazione a livello di tenant usando PowerShell.

  4. Controllare l'impostazione del gruppo. Per modificare l'impostazione dell'utente guest sul valore di destinazione, se applicabile, visitare: Come controllare e aggiornare l'impostazione per un gruppo specifico usando PowerShell

I membri esistenti della regola vengono rimossi

Si tratta di un comportamento previsto. I membri esistenti del gruppo vengono rimossi quando una regola viene abilitata o modificata oppure vengono modificati gli attributi. Gli utenti restituiti dalla valutazione della regola vengono aggiunti come membri al gruppo.

Le modifiche all'appartenenza non vengono visualizzate immediatamente dopo l'aggiornamento di una regola

La valutazione dell'appartenenza viene eseguita periodicamente in un processo in background. Il tempo necessario per il processo è determinato da più fattori.

Forzare l'elaborazione del gruppo

Reimpostare l'elaborazione per un gruppo dinamico. Nella portale di Azure attivare manualmente l'elaborazione aggiornando la regola di appartenenza per aggiungere uno spazio vuoto al centro della regola.

Correzione di un errore di elaborazione delle regole

Errore del parser della regola Uso errato Uso corretto
Errore: Attributo non supportato (user.invalidProperty -eq "Valore") (user.department -eq "valore")
Verificare che l'attributo sia incluso nell'elenco di proprietà supportate.
Errore: l'operatore non è supportato nell'attributo (user.accountEnabled -contains true) (user.accountEnabled -eq true)
L'operatore usato non è supportato per il tipo di proprietà (in questo esempio , -contains non può essere usato nel tipo booleano). Usare gli operatori corretti per il tipo di proprietà.
Errore: Errore di compilazione query 1. (user.department -eq "Sales")(user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")		 1. Operatore mancante. Usare -e o -o due predicati di join: (user.department -eq "Sales") -or (user.department -eq "Marketing")
2. Errore nell'espressione regolare usata con -match
(user.userPrincipalName -match ".*@domain.ext")
in alternativa: (user.userPrincipalName -match "@domain.ext$")

Risolvere i problemi di eliminazione o ripristino dei gruppi dinamici

Prima di tentare di eliminare un gruppo in Microsoft Entra ID, assicurarsi di aver eliminato tutte le licenze assegnate per evitare errori.

Per altre informazioni sull'eliminazione dei gruppi in generale, vedere Eliminare un gruppo.

Eliminare un gruppo

  1. I gruppi possono essere eliminati dalla directory usando il cmdlet Remove-AzureADGroup nel modulo Azure AD PowerShell.

    Nota

    I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

    È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

  2. Prima di tentare di eliminare un gruppo in Microsoft Entra ID, assicurarsi di aver eliminato tutte le licenze assegnate per evitare errori.

Ripristinare un gruppo eliminato

  • Se un gruppo di Office 365 viene eliminato, ci sono solo 30 giorni per ripristinarlo prima dell'eliminazione definitiva. Dopo l'eliminazione definitiva, il gruppo non può più essere ripristinato. Per altre informazioni sul ripristino dei gruppi, vedere Ripristinare un gruppo di Microsoft 365 eliminato in Microsoft Entra ID.
  • Questa funzionalità non è supportata per i gruppi di sicurezza e i gruppi di distribuzione.
  • Verificare di essere autorizzati a ripristinare un gruppo di Office 365. Solo gli amministratori globali, gli amministratori dell'account utente, gli amministratori del servizio Intune o il proprietario del gruppo possono ripristinare un gruppo.

È stato ripristinato un gruppo dinamico eliminato, ma non è stato visualizzato alcun aggiornamento

Quando un gruppo dinamico viene eliminato e ripristinato, viene considerato come un nuovo gruppo e popolato di nuovo in base alla regola. Questo processo può richiedere fino a 24 ore.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.