針對群組問題進行疑難排解並加以解決

本文包含 Microsoft Entra ID (Microsoft Entra 的一部分) 中群組的疑難排解資訊。

針對群組建立問題進行疑難排解

我已在 Azure 入口網站中停用安全性群組建立，但仍然可以透過 PowerShell 建立群組
Azure 入口網站中的 [使用者可以在 Azure 入口網站中建立安全性群組] 設定可控制非管理使用者是否可以在存取面板或 Azure 入口網站中建立安全性群組。 它不會透過 PowerShell 來控制安全性群組建立。

在 PowerShell 中停用非管理使用者的建立群組功能：

1. 確認允許非管理使用者建立群組：

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. 如果其傳回 EnableGroupCreation : True，非管理使用者就可以建立群組。 若要停用這項功能：

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

我在嘗試於 PowerShell 中建立動態群組時收到允許的群組上限錯誤
如果您在 PowerShell 中收到訊息，指出「已達動態群組原則允許的群組計數上限」，這表示您已達組織中動態群組的上限。 每個組織的動態群組數目上限為 5,000。

若要建立任何新的動態群組，您必須先刪除一些現有的動態群組。 沒有方法可以增加限制。

疑難排解群組的動態成員資格

我針對某個群組設定了一個規則，但是群組中的成員資格沒有任何更新

1. 確認規則中使用者或裝置屬性的值。 確定有滿足規則的使用者。 針對裝置，請檢查裝置屬性，以確定任何同步的屬性都包含預期值。
2. 檢查成員資格處理狀態，以確認處理是否已完成。 您可以在群組的 [概觀] 頁面上檢查成員資格處理狀態和上次更新日期。

如果一切良好，請等候一段時間，以填入群組。 根據 Microsoft Entra 組織的大小，群組最長可能需要 24 小時來完成初次填入或規則變更。

我已設定一個規則，但是目前現有的規則成員已被移除
這是預期行為。 因為在啟用或變更規則時，現有群組的成員會遭到移除。 從評估規則所傳回的使用者會當作成員，新增至群組。

當我新增或變更規則時，沒有立即看到成員資格變更，為什麼？
專用的成員資格評估會定期在非同步的背景處理序中完成。 該程序所需的時間，取決於您目錄中的使用者數目以及因規則所建立的群組大小。 具有少量使用者的目錄通常會在很短的時間內看到群組成員資格變更。 具有大量使用者的目錄則可能需要 30 分鐘或更長的時間填入。

如何強制立即處理群組？
目前沒有任何方法可以依需求自動觸發群組處理。 不過，您可以更新成員資格規則來手動觸發重新處理，以在結尾新增空格。

我遇到規則處理錯誤
下表列出常見動態成員資格規則錯誤及其更正方式。

規則剖析器錯誤	錯誤的使用方式	更正的使用方式
錯誤：不支援屬性。	(user.invalidProperty -eq "Value")	(user.department -eq "value") 請確定此屬性位於支援的屬性清單中。
錯誤：屬性不支援運算子。	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) 屬性類型不支援使用的運算子 (在此範例中，-contains 不能在布林值類型上使用)。 屬為屬性類型使用正確的運算子。
錯誤：查詢編譯錯誤。	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1.缺少運算子。 使用 -and 或 -or 來聯結述詞 (user.department -eq "Sales") -or (user.department -eq "Marketing") 2.使用 -match 的規則運算式發生錯誤 (user.userPrincipalName -match ".*@domain.ext") 或者：(user.userPrincipalName -match "@domain.ext$")

下一步

這些文章提供有關 Microsoft Entra ID 的其他資訊。

• 使用 Microsoft Entra 群組來管理資源的存取權
• Microsoft Entra ID 中的應用程式管理
• 什麼是 Microsoft Entra ID？
• 整合內部部署身分識別與 Microsoft Entra ID