Solucionar e resolver problemas de grupos

Este artigo contém informações de solução de problemas para grupos no Microsoft Entra ID, parte do Microsoft Entra.

Solucionar problemas de criação de grupos

Desativei a criação de grupos de segurança no portal do Azure, mas os grupos ainda podem ser criados via PowerShell
A configuração 'O utilizador pode criar grupos de segurança nos portais do Azure' controla se os utilizadores não administradores podem ou não criar grupos de segurança no Painel de Acesso ou nos portais do Azure. Ele não controla a criação de grupos de segurança por meio do PowerShell.

Para desabilitar a criação de grupos para usuários não administradores no PowerShell:

1. Verifique se os usuários não administradores têm permissão para criar grupos:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Se ele retornar EnableGroupCreation : True, os usuários não administradores poderão criar grupos. Para desativar esse recurso:

   Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
   Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
   $params = @{
   TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
   Values = @(    
    @{
      Name = "EnableGroupCreation"
      Value = "false"
    }    
   )
    }
   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   New-MgBetaDirectorySetting -BodyParameter $params
   

Ao tentar criar um Grupo Dinâmico no PowerShell, recebi um erro de máximo de grupos permitidos

O número máximo de grupos dinâmicos por organização é 5.000. Quando você atinge o número máximo de grupos dinâmicos em sua organização, recebe uma mensagem no PowerShell informando a contagem máxima de grupos permitidos pelas políticas de grupo dinâmico atingiu.

Se você atingir esse limite, para criar novos grupos dinâmicos, primeiro será necessário excluir alguns grupos dinâmicos existentes. Não há como aumentar o limite.

Solucionar problemas de grupos dinâmicos de associação

Configurei uma regra em um grupo, mas nenhuma associação é atualizada no grupo

1. Verifique os valores dos atributos de usuário ou dispositivo na regra. Certifique-se de que há usuários que satisfaçam a regra. Para dispositivos, verifique as propriedades do dispositivo para garantir que todos os atributos sincronizados contenham os valores esperados.
2. Verifique o status do processamento da associação para confirmar se ele está concluído. Você pode verificar o estado do processamento da associação e a data da última atualização na página Visão Geral do grupo.

Se tudo estiver bem, reserve algum tempo para o grupo se reunir. Dependendo do tamanho da sua organização do Microsoft Entra, o grupo pode levar até 24 horas para o preenchimento inicial ou após uma modificação na regra.

Eu configurei uma regra, mas agora os membros existentes da regra são removidos
Este comportamento está previsto. Os membros existentes do grupo são removidos quando uma regra é ativada ou alterada. Nem todos os membros existentes são excluídos, apenas os usuários que não atendem mais à nova regra. Os usuários retornados da avaliação da nova regra são adicionados como membros ao grupo. Os usuários que atendem às regras existentes e às novas regras permanecem no grupo dinâmico. Suas atribuições de licença não são excluídas temporariamente e suas atribuições de função não são removidas.

Não vejo alterações de associação instantaneamente quando adiciono ou altero uma regra, por que não?

A avaliação de associação dedicada é feita periodicamente em um processo assíncrono em segundo plano. O número de usuários em seu diretório e o tamanho do grupo resultante afetam o tempo de processamento.

Normalmente, diretórios com um pequeno número de utilizadores veem as alterações em grupos de membros dinâmicos em menos de poucos minutos. Diretórios com um grande número de usuários podem levar 30 minutos ou mais para serem preenchidos.

Como posso forçar o grupo a ser processado agora?
Atualmente, não há como acionar automaticamente o grupo a ser processado sob demanda. No entanto, você pode acionar manualmente o reprocessamento atualizando a regra de associação para adicionar um espaço em branco no final.

Encontrei um erro de processamento de regra
A tabela a seguir lista erros de regras comuns para grupos dinâmicos de associação e como corrigi-los.

Erro do analisador de regras	Uso incorreto	Utilização corrigida
Erro: Atributo não suportado.	(user.invalidProperty -eq "Valor")	(user.department -eq "valor") Verifique se o atributo está na lista de propriedades suportadas.
Erro: O operador não é suportado no atributo.	(user.accountEnabled -contém true)	(user.accountEnabled -eq verdadeiro) O operador usado não é suportado para o tipo de propriedade (neste exemplo, -contains não pode ser usado no tipo booleano). Use os operadores corretos para o tipo de propriedade.
Erro: Compilação de consulta falhou.	1. (user.department -eq "Vendas") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Operador em falta. Use -e ou -ou para unir predicados (user.department -eq "Vendas") -ou (user.department -eq "Marketing") 2. Erro na expressão regular usada com -match (user.userPrincipalName -match ".*@domain.ext") ou, alternativamente: (user.userPrincipalName -match "@domain.ext$")

Próximos passos

Estes artigos fornecem informações adicionais sobre o Microsoft Entra ID.

• Gerenciando o acesso a recursos com grupos do Microsoft Entra
• Gerenciamento de aplicativos no Microsoft Entra ID
• O que é o Microsoft Entra ID?
• Integrando suas identidades locais com o Microsoft Entra ID