共用方式為

針對群組問題進行疑難排解和解決

  • 發行項

本文包含 Microsoft Entra 識別碼中群組的疑難排解資訊,這是 Microsoft Entra 的一部分。

針對群組建立問題進行疑難排解

我在Azure 入口網站中停用安全性群組建立,但仍然可以透過 PowerShell 建立群組
使用者可以 在 Azure 入口網站 中的 [Azure 入口網站 ] 設定中建立安全性群組,控制非系統管理員使用者是否可以在存取面板或Azure 入口網站中建立安全性群組。 它不會控制透過 PowerShell 建立安全性群組。

若要在 PowerShell 中停用非系統管理員使用者的群組建立:

  1. 確認允許非系統管理員使用者建立群組:

    Get-MgBetaDirectorySetting | select -ExpandProperty values

  2. 如果傳回 EnableGroupCreation : True ,則非系統管理員使用者可以建立群組。 若要停用此功能:

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 $params = @{
 TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
 Values = @(		
 	@{
 		Name = "EnableGroupCreation"
 		Value = "false"
 	}		
 )
 }
 Connect-MgGraph -Scopes "Directory.ReadWrite.All"
 New-MgBetaDirectorySetting -BodyParameter $params

我在 PowerShell 中嘗試建立動態群組時收到允許的群組上限錯誤
如果您在 PowerShell 中收到訊息,指出 已達到 動態群組原則允許的群組計數上限,這表示您已達到組織中動態群組的最大限制。 每個組織的動態群組數目上限為 5,000。

若要建立任何新的動態群組,您必須先刪除一些現有的動態群組。 沒有辦法增加限制。

針對群組的動態成員資格進行疑難排解

我在群組上設定規則,但沒有在群組中更新成員資格

  1. 確認規則中使用者或裝置屬性的值。 請確定有符合規則的使用者。 針對裝置,請檢查裝置屬性,以確保任何同步的屬性都包含預期的值。
  2. 檢查成員資格處理狀態,以確認其是否已完成。 您可以在群組的 [概觀] 頁面上檢查成員資格處理狀態 和上次更新日期

如果一切看起來都不錯,請讓群組填入一些時間。 視 Microsoft Entra 組織的大小而定,群組最多可能需要 24 小時的時間,才能第一次或在規則變更之後填入。

我已設定規則,但現在已移除規則的現有成員
這是預期行為。 啟用或變更規則時,會移除群組的現有成員。 從評估規則傳回的使用者會新增為群組的成員。

當我新增或變更規則時,我不會立即看到成員資格變更,為什麼不?
專用成員資格評估會定期在非同步背景程式中完成。 此程式所花費的時間長度取決於目錄中的使用者數目,以及規則所建立群組的大小。 一般而言,具有少量使用者的目錄會在幾分鐘內看到群組成員資格變更。 具有大量使用者的目錄可能需要 30 分鐘或更長的時間才能填入。

如何強制立即處理群組?
目前,無法自動觸發群組以視需要處理。 不過,您可以藉由更新成員資格規則來在結尾新增空白字元,以手動觸發重新處理。

我遇到規則處理錯誤
下表列出常見的動態成員資格規則錯誤,以及如何修正這些錯誤。

規則剖析器錯誤 錯誤使用方式 更正的使用方式
錯誤:不支援屬性。 (user.invalidProperty -eq 「Value」) (user.department -eq 「value」)

請確定屬性位於 支援的屬性清單中
錯誤:屬性不支援運算子。 (user.accountEnabled -contains true) (user.accountEnabled -eq true)

屬性類型不支援使用的運算子(在此範例中,-contains 無法在類型布林值上使用)。 針對屬性類型使用正確的運算子。
錯誤:查詢編譯錯誤。 1. (user.department -eq 「Sales」) (user.department -eq 「Marketing」)
2. (user.userPrincipalName -match 「*@domain.ext」)		 1.遺漏運算子。 使用 -and 或 -or 聯結述詞
(user.department -eq 「Sales」) -or (user.department -eq 「Marketing」)
2. 正則運算式中搭配 -match 使用的錯誤
(user.userPrincipalName -match 「.*@domain.ext」)
或者:(user.userPrincipalName -match 「@domain.ext$」)

下一步

這些文章提供 Microsoft Entra ID 的其他資訊。