Rozwiązywanie problemów z grupami
Ten artykuł zawiera informacje dotyczące rozwiązywania problemów z grupami w usłudze Microsoft Entra ID, część firmy Microsoft Entra.
Rozwiązywanie problemów z tworzeniem grup
Wyłączono tworzenie grupy zabezpieczeń w witrynie Azure Portal, ale nadal można tworzyć grupy za pomocą programu PowerShell
Użytkownik może tworzyć grupy zabezpieczeń w witrynie Azure Portal ustawienie w witrynie Azure Portal określa, czy użytkownicy niebędący administratorami mogą tworzyć grupy zabezpieczeń w panelu dostępu lub w witrynie Azure Portal. Nie kontroluje tworzenia grupy zabezpieczeń za pomocą programu PowerShell.
Aby wyłączyć tworzenie grup dla użytkowników niebędących administratorami w programie PowerShell:
Sprawdź, czy użytkownicy niebędący administratorami mogą tworzyć grupy:
Get-MgBetaDirectorySetting | select -ExpandProperty values
Jeśli zwraca
EnableGroupCreation : True
wartość , użytkownicy niebędący administratorami mogą tworzyć grupy. Aby wyłączyć tę funkcję:Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
Wystąpił błąd maksymalnej liczby grup dozwolonych podczas próby utworzenia grupy dynamicznej w programie PowerShell
Jeśli zostanie wyświetlony komunikat w programie PowerShell wskazujący osiągnięto maksymalną dozwoloną liczbę dozwolonych zasad grupy dynamicznej, oznacza to osiągnięcie maksymalnego limitu dla grup dynamicznych w organizacji. Maksymalna liczba grup dynamicznych na organizację wynosi 5000.
Aby utworzyć nowe grupy dynamiczne, należy najpierw usunąć niektóre istniejące grupy dynamiczne. Nie ma możliwości zwiększenia limitu.
Rozwiązywanie problemów z dynamicznymi grupami członkostwa
Skonfigurowano regułę dla grupy, ale nie zaktualizowano członkostwa w grupie
- Sprawdź wartości atrybutów użytkownika lub urządzenia w regule. Upewnij się, że istnieją użytkownicy, którzy spełniają regułę. W przypadku urządzeń sprawdź właściwości urządzenia, aby upewnić się, że wszystkie zsynchronizowane atrybuty zawierają oczekiwane wartości.
- Sprawdź stan przetwarzania członkostwa, aby potwierdzić, czy zostało ono ukończone. Możesz sprawdzić stan przetwarzania członkostwa i datę ostatniej aktualizacji na stronie Przegląd grupy.
Jeśli wszystko wygląda dobrze, poczekaj trochę czasu na wypełnienie grupy. W zależności od rozmiaru organizacji Microsoft Entra grupa może potrwać do 24 godzin po raz pierwszy lub po zmianie reguły.
Skonfigurowano regułę, ale teraz istniejące elementy członkowskie reguły są usuwane
Jest to oczekiwane zachowanie. Istniejący członkowie grupy są usuwani po włączeniu lub zmianie reguły. Użytkownicy zwracani z oceny reguły są dodawani jako członkowie do grupy.
Nie widzę zmian członkostwa natychmiast po dodaniu lub zmianie reguły, dlaczego nie?
Ocena członkostwa dedykowanego odbywa się okresowo w procesie asynchronicznego w tle. Jak długo proces jest określany przez liczbę użytkowników w katalogu i rozmiar grupy utworzonej w wyniku reguły. Zazwyczaj katalogi z małą liczbą użytkowników będą widzieć dynamiczne zmiany grupy członkostwa w mniej niż kilka minut. Wypełnianie katalogów z dużą liczbą użytkowników może potrwać 30 minut lub dłużej.
Jak mogę wymusić przetworzenie grupy teraz?
Obecnie nie ma możliwości automatycznego wyzwalania grupy do przetworzenia na żądanie. Można jednak ręcznie wyzwolić ponowne przetwarzanie, aktualizując regułę członkostwa, aby dodać biały znak na końcu.
Napotkano błąd przetwarzania reguły
W poniższej tabeli wymieniono typowe błędy reguł dla dynamicznych grup członkostwa i sposób ich poprawiania.
Błąd analizatora reguł | Użycie błędu | Poprawione użycie |
---|---|---|
Błąd: Atrybut nie jest obsługiwany. | (user.invalidProperty -eq "Value") | (user.department -eq "value") Upewnij się, że atrybut znajduje się na liście obsługiwanych właściwości. |
Błąd: Operator nie jest obsługiwany w atrybucie. | (user.accountEnabled — zawiera wartość true) | (user.accountEnabled -eq true) Używany operator nie jest obsługiwany dla typu właściwości (w tym przykładzie parametr -contains nie może być używany w typie logicznym). Użyj poprawnych operatorów dla typu właściwości. |
Błąd: Błąd kompilacji zapytania. | 1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext") |
1. Brak operatora. Użyj -i lub -lub, aby dołączyć predykaty (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Błąd w wyrażeniu regularnym używanym z -match (user.userPrincipalName -match ".*@domain.ext") lub alternatywnie: (user.userPrincipalName -match "@domain.ext$") |
Następne kroki
Te artykuły zawierają dodatkowe informacje na temat identyfikatora Entra firmy Microsoft.