Устранение неполадок динамических групп

Это руководство по устранению неполадок помогает диагностировать и устранять проблемы с динамическими группами в идентификаторе Microsoft Entra.

Внимание

Изменения динамических групп членства обычно обрабатываются в течение нескольких часов. Однако обработка может занять более 24 часов в зависимости от таких факторов, как количество групп, количество изменений и сложность правил. Дополнительные сведения см. в разделе "Общие сведения о динамической обработке групп" и "Управление ими" в идентификаторе Microsoft Entra.

Идентификация и управление динамическими группами

Чтобы проверить, является ли ваша группа динамической, ознакомьтесь с оценкой того, является ли группа динамической.

• Да. Перейдите к следующему разделу.

• Нет: создайте базовую группу и добавьте участников с помощью идентификатора Microsoft Entra или других применимых групп.

Проблемы с созданием динамической группы

Ссылки

Рекомендуемые статьи для создания группы:

• Создание группы и добавление в нее пользователей в Azure Active Directory
• Создание групп с помощью PowerShell в MSOnline
• Отключение создания групп в PowerShell
• Административные роли Microsoft Entra

Распространенные проблемы при создании динамической группы или правила:

• Вы не можете создать динамическую группу в портале Azure, или вы получаете ошибку при создании динамической группы в PowerShell. См. раздел "Не удается создать динамическую группу".

• Не удается найти атрибут для создания правила. См. статью "Создание правила динамического членства".

• При попытке создать динамическую группу в PowerShell возникает ошибка "максимально разрешенные группы": вы достигли 15 000 групп, максимальное ограничение для динамических групп в клиенте. Чтобы создать новые динамические группы, сначала удалите существующие динамические группы. Невозможно увеличить максимальное ограничение.

Проблемы с обновлением динамического состава

Вы создали динамическую группу и настроили для нее правило, но возникли следующие проблемы:

В группе не отображаются участники, некоторые пользователи или устройства не появляются в группе, или в группе появляются неправильные пользователи или устройства.

• Посетите страницу устранения проблем с обновлением динамического членства.

Существующие члены правила удаляются.

• Это ожидаемое поведение. Существующие участники группы удаляются при включении или изменении правила, а также при изменении атрибутов. В группу добавляются пользователи, подобранные на основе оценки правила.

После добавления или изменения правила изменения членства не отображаются мгновенно.

• Оценка членства периодически выполняется в фоновом режиме. На длительность процесса влияют количество пользователей в каталоге и размер группы, созданной согласно правилу. Обычно в каталогах с небольшим количеством пользователей изменения членства в группах появляются уже через несколько минут. В случае каталогов с большим числом пользователей заполнение может занять 30 минут или больше.

• Проверьте состояние обработки членства и убедитесь, что она завершена. Проверьте дату последнего обновления на странице Обзор группы на портале Azure, чтобы убедиться, что страница обновлена.

• Чтобы принудительно обработать группу, см. Принудительная обработка группы сейчас.

Вы получаете ошибку обработки правил.

• См. статью об исправлении ошибки обработки правила.

Проблемы, связанные с удалением или восстановлением динамической группы

При удалении группы возникает ошибка.

• Прежде чем пытаться удалить группу в идентификаторе Microsoft Entra, убедитесь, что вы удалили все назначенные лицензии. Дополнительные сведения об удалении групп в целом см. в разделе "Удаление группы".

Вы восстановили удаленную группу, но не видели никаких обновлений.

• Когда удаляется и восстанавливается динамическая группа, она отображается как новая группа и повторно заполняется согласно определенному правилу. Этот процесс может занять некоторое время в зависимости от таких факторов, как размер арендатора.

Оценка того, является ли группа динамической группой

Чтобы определить, является ли группа динамической:

1. Войдите на портал Azure.

2. Выберите группу на вкладке Обзор группы, а затем проверьте, установлен ли тип членства на Динамический.

Проверка правил членства в динамических группах

Идентификатор Microsoft Entra предоставляет средства для проверки правил динамической группы. На вкладке "Проверка правил" можно проверить динамическое правило на основе примеров членов группы, чтобы убедиться, что правило работает должным образом.

При создании или обновлении правил динамической группы можно использовать эти сведения, чтобы определить, соответствует ли пользователь или устройство критериям правила для того, чтобы стать членом группы. Это также может помочь вам в устранении неполадок, когда членство не ожидается.

Дополнительные сведения см. в разделе «Проверка правила членства в динамических группах (предварительная версия) в Microsoft Entra ID»

Устранение неполадок при создании динамических групп

Вы столкнулись с проблемами при создании динамической группы или правила.

Не удается создать динамическую группу

Вы не видите возможность создать динамическую группу в портал Azure или возникла ошибка при создании динамической группы в PowerShell.

1. Убедитесь в наличии соответствующей лицензии у клиента.

   • Динамические группы требуют от клиента лицензии Microsoft Entra ID P1 или P2 Premium. Для получения дополнительной информации смотрите лицензионные планы Microsoft Entra ID.

2. Убедитесь, что пользователь, создающий группу, имеет соответствующие разрешения администратора:

   • Убедитесь, что вы авторизованы для создания новой группы. Глобальные администраторы могут отключить создание групп на портале Azure или в Панели доступа. Возможно, вам придется обратиться к администратору, чтобы он создал для вас группу или дал вам соответствующие разрешения.

3. Убедитесь, что разрешения на создание группы включены для типа создаваемой группы.

   • Глобальные администраторы могут управлять разрешениями на создание групп безопасности или групп Office 365, созданных в портале Azure или Панели доступа, задав параметры Пользователи могут создавать группы безопасности в портале Azure или Пользователи могут создавать группы Office 365 в портале Azure в разделе Все группы>Общее (Настройки). Этот параметр также применяется к динамическим группам.

4. Убедитесь, что конкретный пользователь находится в списке пользователей, которые могут создать группу.

   • Глобальные администраторы могут ограничить создание группы, чтобы выбрать группу пользователей, если у вас есть лицензия Microsoft Entra ID P1 Premium. Убедитесь, что у вас есть соответствующие разрешения.

При создании динамической группы в PowerShell возникает ошибка, связанная с максимальным количеством разрешённых групп.

Эта ошибка означает, что в клиенте достигнуто максимальное ограничение для динамических групп. Проверьте количество групп в арендаторе. Максимальное число динамических групп на арендатора составляет 15 000.

Чтобы создать новые динамические группы, нужно сначала удалить некоторые существующие динамические группы. Этот предел невозможно увеличить.

Как устранить проблемы при создании правил динамической группы

Не удается найти атрибут для создания правила

1. Убедитесь, что атрибуты пользователя находятся в списке поддерживаемых свойств. Если они не находятся в списке, они в настоящее время не поддерживаются.
2. Убедитесь, что атрибуты устройства находятся в списке атрибутов устройства. Если они не находятся в списке, они в настоящее время не поддерживаются. Дополнительные сведения см. в правилах динамического членства для групп в Microsoft Entra ID.

Не удается создать правило динамического членства

1. Убедитесь в наличии соответствующей лицензии у клиента. Для использования динамических групп необходимо, чтобы арендатор имел лицензию Microsoft Entra ID P1 Premium.

   • Список лицензионных планов Microsoft Entra ID можно получить на сайте Microsoft Entra с ценами.

   • Сведения о планах лицензирования Enterprise Mobility + Security можно получить на странице Цены Enterprise Mobility + Security.

2. Если вы не можете найти встроенные атрибуты пользователя, убедитесь, что атрибут находится в списке поддерживаемых свойств. Если он отсутствует в списке, он в настоящее время не поддерживается.

3. Если вы ищете встроенные атрибуты устройства, убедитесь, что атрибут находится в списке атрибутов устройства. Если он отсутствует в списке, он в настоящее время не поддерживается.

4. Если атрибут не найден в раскрывающемся списке "Простое правило" в портале Azure, используйте Расширенное правило для создания правила.

   1. Убедитесь, что синтаксис является точным и соответствует как типу свойства, так и значению.

   2. Кроме того, убедитесь, что вы добавили соответствующий префикс объекта для выбора свойства.

      • Например: user.country, device.deviceOSType.

   3. Узнайте о рекомендациях по созданию расширенного правила , включая список поддерживаемых операторов и примеры общих правил.

5. Кроме того, используйте атрибуты расширения для динамических правил пользователя. Эти правила будут отображаться в раскрывающемся списке при создании простого правила.

   • Имя пользовательского атрибута можно найти в каталоге, запросив атрибут пользователя с помощью PowerShell и выполнив поиск имени атрибута. Эти атрибуты также можно использовать при создании расширенного правила.

6. Убедитесь, что роль пользователя, создающего динамическую группу, является администратором компании или администратором пользователя.

7. Дождитесь заполнения группы.

8. Построитель простых правил поддерживает до пяти (5) выражений. Чтобы добавить в правило более пяти выражений, необходимо использовать текстовое поле.

Устранение неполадок с обновлением динамического списка участников

Вы создали динамическую группу и настроили для нее правило, но возникла одна из следующих проблем:

• В группе нет указанных членов.
• в группе не отображаются некоторые пользователи или устройства;
• Некорректные пользователи или устройства не отображаются в группе.

Участники не добавляются или не удаляются, как ожидалось

1. Проверьте статус обработки членства, чтобы убедиться, что оно завершено, и проверьте дату последнего обновления на странице обзора группы в портале Azure, чтобы подтвердить актуальность.

2. Если состояние обработки членства — ошибка обработки и обновление приостановлено, попросите администратора или команду PG возобновить обработку группы после исправления ошибки.

3. Убедитесь, что пользователи или устройства соответствуют настроенному правилу членства, и выполните инструкции, приведенные в разделе Оценка динамического членства для пользователя или устройства.

4. Убедитесь, что на состояние обработки не влияют проблемы, связанные с политикой запрета добавления гостевых пользователей.

   • Если группа является группой Office 365, и пользователь — гостевой, то его не удастся добавить в группу, если настройки каталога не допускают добавление гостевых пользователей в тенант.

   • Ошибка добавления гостевого пользователя в одной группе приведет к блокировке обновлений не только этой группы, но и всех других групп в том же арендаторе. Можно выбрать:

     • Разрешите добавление гостевого пользователя, следуя параметру "Управление гостевым пользователем" для групп в клиенте.
     • Измените правило группы, чтобы исключить гостевого пользователя, добавив: (user.userType -eq "member")

5. Если все выглядит правильно, дождитесь, пока группа заполнится. В зависимости от размера вашего арендатора, группе может потребоваться некоторое время, чтобы заполниться при первом заполнении или после изменения правила. Рекомендуем подождать не менее 24 часов, чтобы завершить обработку групп.

6. Если состояние обработки отображается как завершенное и проблема сохраняется, можно сбросить обработку для группы, чтобы устранить любую временную системную проблему.

   Если состояние обработки отображается как в обработке, продолжайте ждать.

Оценка динамического членства пользователя или устройства

Чтобы оценить, соответствует ли правило пользователю или устройству быть частью группы, используйте проверку вручную.

Проверка вручную

Проверьте значения атрибутов пользователя или устройства (в портал Azure или с помощью PowerShell в правиле.

• Убедитесь, что есть пользователи, удовлетворяющие правилу.
• Для устройств проверьте свойства устройства, чтобы убедиться, что синхронизированные атрибуты содержат ожидаемые значения.

Управление параметрами гостевого пользователя в группе Office365

Сначала установите модуль Azure AD PowerShell

1. Подключитесь к каталогу. Обратитесь к статье о подключении к каталогу с помощью PowerShell для получения дополнительной информации.

2. Проверьте параметр каталога:

   1. Чтение параметра каталога арендатора: чтение настроек на уровне каталога.
   2. Проверьте параметр гостевого пользователя: как показано на следующем рисунке, если AllowToAddGuests имеет значение true, проверьте параметр в этой конкретной группе. Если AllowToAddGuests имеет значение false, независимо от того, какой параметр уровня группы задан, гостевые пользователи не могут быть добавлены.

   

3. Обновите параметр на уровне арендатора. Чтобы изменить параметр гостевого пользователя на уровне клиента, посетите раздел "Как обновить параметр на уровне клиента с помощью PowerShell".

4. Проверьте параметр группы. Чтобы изменить параметр гостевого пользователя на целевое значение, если применимо, перейдите к разделу "Как проверить и обновить параметр для определенной группы с помощью PowerShell"

Существующие члены правила удаляются

Это поведение не является отклонением от нормы. Существующие участники группы удаляются при включении или изменении правила, а также при изменении атрибутов. В группу добавляются пользователи, подобранные на основе оценки правила.

После обновления правила изменения членства не отображаются мгновенно.

Оценка членства периодически проводится в фоновом режиме. Сколько времени занимает процесс, определяется несколькими факторами.

Принудить группу обработаться сейчас

Выполните сброс обработки для динамической группы. В портале Azure вручную запустите повторную обработку, обновив правило членства и добавив пробел в середину правила.

Исправлена ошибка обработки правил

Ошибка синтаксического анализатора правил	Неправильное использование	Правильное использование
Ошибка: атрибут не поддерживается	(user.invalidProperty == "Value")	(пользователь.отдел -eq "значение") Убедитесь, что атрибут находится в списке поддерживаемых свойств.
Ошибка. Оператор не поддерживается в атрибуте	(user.accountEnabled -contains истина)	(user.accountEnabled - eq true) Используемый оператор не поддерживается для типа свойства (в этом примере -contains не может быть использован для логического типа данных). Используйте правильные операторы для типа свойств.
Ошибка: ошибка компиляции запросов	1. (user.department -eq "Продажи")(user.department -eq "Маркетинг") 2. (user.userPrincipalName -match "*@domain.ext")	1. Отсутствует оператор. Используйте -and или -or для объединения предикатов: (user.department -eq "Sales") -or (user.department -eq "Маркетинг") 2. Ошибка в регулярном выражении, используемом вместе с -match (user.userPrincipalName -match ".*@domain.ext") или (user.userPrincipalName -match "@domain.ext$")

Устранение неполадок при удалении или восстановлении динамических групп

Прежде чем пытаться удалить группу в идентификаторе Microsoft Entra, убедитесь, что вы удалили все назначенные лицензии , чтобы избежать ошибок.

(Дополнительные сведения об удалении групп в целом см. в разделе Удаление группы.

Удаление группы

1. Группы можно удалить из каталога с помощью командлета Remove-MgGroup в Microsoft Graph PowerShell.

2. Прежде чем пытаться удалить группу в идентификаторе Microsoft Entra, убедитесь, что вы удалили все назначенные лицензии, чтобы избежать ошибок.

Восстановление удаленной группы

• После удаления группы Office 365 ее можно восстановить только в течение 30 дней, после чего группа будет удалена окончательно. После окончательного удаления группу восстановить нельзя. Дополнительные сведения о восстановлении групп см. в статье "Восстановление удаленной группы Microsoft 365" в идентификаторе Microsoft Entra.
• Эта функция не поддерживается для групп безопасности и групп рассылки.
• Убедитесь, что вы авторизованы на восстановление группы Office 365. Только глобальные администраторы, администраторы учетных записей пользователей, администраторы служб Intune или владелец группы могут восстановить группу.

Связанные статьи

• Создание правил динамического членства.
• Устранение неполадок групп.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.