次の方法で共有


グループに関する問題のトラブルシューティングと解決

この記事では、Microsoft Entra の一部である Microsoft Entra ID のグループのトラブルシューティング情報について説明します。

グループの作成に関する問題のトラブルシューティング

Azure portal でセキュリティ グループの作成を無効にしましたが、PowerShell でグループを作成できます
Azure portal の [User can create security groups in Azure portals](ユーザーは Azure portal でセキュリティ グループを作成できる) 設定は、管理者以外のユーザーがアクセス パネルまたは Azure portal でセキュリティ グループを作成できるかどうかを制御します。 PowerShell を使用したセキュリティ グループの作成は制御されません。

Powershell で管理者以外のユーザーによるグループの作成を無効にするには、次のようにします。

  1. 管理者以外のユーザーにグループの作成が許可されていることを確認します。

    Get-MgBetaDirectorySetting | select -ExpandProperty values
    
  2. EnableGroupCreation : True が返された場合は、管理者以外のユーザーはグループを作成できます。 この機能を無効にするには、次のコマンドを実行します。

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(    
     @{
       Name = "EnableGroupCreation"
       Value = "false"
     }    
    )
     }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
    

PowerShell で動的グループを作成しようとしたときに、最大許容グループ数のエラーが表示されました

組織ごとの動的グループの最大数は 5,000 です。 組織内の動的グループの最大数に達すると、PowerShell で、動的グループ ポリシーの最大許可グループ数がに達したことを示すメッセージ 表示されます。

この制限に達した場合、新しい動的グループを作成するには、まず既存の動的グループをいくつか削除する必要があります。 上限を増やす方法はありません。

動的メンバーシップ グループのトラブルシューティング

グループに対するルールを構成しましたが、グループのメンバーシップが更新されません

  1. ルール内のユーザー属性またはデバイス属性の値を確認します。 ルールを満たすユーザーが存在することを確認してください。 デバイスの場合は、デバイスのプロパティを調べて、同期された属性に予期される値が含まれていることを確認してください。
  2. メンバーシップの処理の状態を調べて、処理が完了しているかどうかを確認してください。 グループの [概要] ページで、メンバーシップの処理状態と最終更新日を確認できます。

すべてが正常に見える場合は、グループのメンバーが揃うまで少し待ってください。 Microsoft Entra 組織のサイズによっては、グループが初めてまたはルールの変更後に設定されるまでに最大 24 時間かかる場合があります。

ルールの設定を変更したのですが、そのルールの既存のメンバーが削除されてしまいました
これは通常の動作です。 ルールを有効にしたり変更を加えたりするとグループの既存のメンバーは削除されます。 すべての既存のメンバーが削除されるわけではありません。新しいルールを満たさなくなったユーザーのみが削除されます。 新しいルールの評価から返されたユーザーは、グループにメンバーとして追加されます。 既存のルールと新しいルールの両方を満たすユーザーは、動的グループに残ります。 ライセンスの割り当ては一時的に削除されず、ロールの割り当ては削除されません。

ルールを追加または変更してもすぐにはメンバーシップの変更を確認できません。なぜでしょうか。

メンバーシップの評価に特化した機能が、非同期のバックグラウンド プロセスで定期的に実行されます。 ディレクトリ内のユーザー数と結果グループのサイズの両方が処理時間に影響します。

通常、ユーザー数が少ないディレクトリでは、数分以内に動的メンバーシップ グループの変更が表示されます。 ディレクトリのユーザー数が多いと、変更が反映されるまでに 30 分以上かかる場合があります。

グループが今すぐ処理されるように強制するにはどうすればよいですか。
現時点では、グループの処理をオンデマンドで自動的にトリガーする方法はありません。 ただし、メンバーシップ ルールを更新して末尾に空白文字を追加すると、手動で再処理をトリガーできます。

ルール処理エラーが発生しました
次の表は、動的メンバーシップ グループの一般的な規則エラーとその修正方法を一覧表示しています。

ルール パーサー エラー 間違った使用法 正しい使用法
エラー: 属性がサポートされていません。 (user.invalidProperty -eq "Value") (user.department -eq "value")

該当する属性が、サポートされているプロパティ一覧に記載されていることを確認してください。
エラー: 属性で演算子がサポートされていません。 (ユーザーアカウントが有効 - 含まれる true) (ユーザーのアカウントが有効化されている場合)

プロパティの型に対してサポートされていない演算子が使用されています (この例では、-contains をブール型で使用することはできません)。 プロパティの型に合った適切な演算子を使用してください。
エラー: クエリ コンパイル エラー。 1. (user.department -eq "営業") (user.department -eq "マーケティング")
2. (user.userPrincipalName -match "*@domain.ext")
1. 演算子が不足しています。 述語を結合するには -and か -or を使用します。
(user.department -eq "セールス") -or (user.department -eq "マーケティング")
2. -match に使用されている正規表現に誤りがあります
(user.userPrincipalName -match ".*@domain.ext")
または: (user.userPrincipalName -match "@domain.ext$")

次のステップ

これらの記事では、Microsoft Entra ID に関する追加情報が提供されています。