針對群組問題進行疑難排解和解決
本文包含 Microsoft Entra 識別碼中群組的疑難排解資訊,這是 Microsoft Entra 的一部分。
針對群組建立問題進行疑難排解
我在Azure 入口網站中停用安全性群組建立,但仍然可以透過 PowerShell 建立群組
使用者可以 在 Azure 入口網站 中的 [Azure 入口網站 ] 設定中建立安全性群組,控制非系統管理員使用者是否可以在存取面板或Azure 入口網站中建立安全性群組。 它不會控制透過 PowerShell 建立安全性群組。
若要在 PowerShell 中停用非系統管理員使用者的群組建立:
確認允許非系統管理員使用者建立群組:
Get-MgBetaDirectorySetting | select -ExpandProperty values
如果傳回
EnableGroupCreation : True
,則非系統管理員使用者可以建立群組。 若要停用此功能:Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
我在 PowerShell 中嘗試建立動態群組時收到允許的群組上限錯誤
如果您在 PowerShell 中收到訊息,指出 已達到 動態群組原則允許的群組計數上限,這表示您已達到組織中動態群組的最大限制。 每個組織的動態群組數目上限為 5,000。
若要建立任何新的動態群組,您必須先刪除一些現有的動態群組。 沒有辦法增加限制。
針對群組的動態成員資格進行疑難排解
我在群組上設定規則,但沒有在群組中更新成員資格
- 確認規則中使用者或裝置屬性的值。 請確定有符合規則的使用者。 針對裝置,請檢查裝置屬性,以確保任何同步的屬性都包含預期的值。
- 檢查成員資格處理狀態,以確認其是否已完成。 您可以在群組的 [概觀] 頁面上檢查成員資格處理狀態 和上次更新日期 。
如果一切看起來都不錯,請讓群組填入一些時間。 視 Microsoft Entra 組織的大小而定,群組最多可能需要 24 小時的時間,才能第一次或在規則變更之後填入。
我已設定規則,但現在已移除規則的現有成員
這是預期行為。 啟用或變更規則時,會移除群組的現有成員。 從評估規則傳回的使用者會新增為群組的成員。
當我新增或變更規則時,我不會立即看到成員資格變更,為什麼不?
專用成員資格評估會定期在非同步背景程式中完成。 此程式所花費的時間長度取決於目錄中的使用者數目,以及規則所建立群組的大小。 一般而言,具有少量使用者的目錄會在幾分鐘內看到群組成員資格變更。 具有大量使用者的目錄可能需要 30 分鐘或更長的時間才能填入。
如何強制立即處理群組?
目前,無法自動觸發群組以視需要處理。 不過,您可以藉由更新成員資格規則來在結尾新增空白字元,以手動觸發重新處理。
我遇到規則處理錯誤
下表列出常見的動態成員資格規則錯誤,以及如何修正這些錯誤。
規則剖析器錯誤 | 錯誤使用方式 | 更正的使用方式 |
---|---|---|
錯誤:不支援屬性。 | (user.invalidProperty -eq 「Value」) | (user.department -eq 「value」) 請確定屬性位於 支援的屬性清單中 。 |
錯誤:屬性不支援運算子。 | (user.accountEnabled -contains true) | (user.accountEnabled -eq true) 屬性類型不支援使用的運算子(在此範例中,-contains 無法在類型布林值上使用)。 針對屬性類型使用正確的運算子。 |
錯誤:查詢編譯錯誤。 | 1. (user.department -eq 「Sales」) (user.department -eq 「Marketing」) 2. (user.userPrincipalName -match 「*@domain.ext」) |
1.遺漏運算子。 使用 -and 或 -or 聯結述詞 (user.department -eq 「Sales」) -or (user.department -eq 「Marketing」) 2. 正則運算式中搭配 -match 使用的錯誤 (user.userPrincipalName -match 「.*@domain.ext」) 或者:(user.userPrincipalName -match 「@domain.ext$」) |
下一步
這些文章提供 Microsoft Entra ID 的其他資訊。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應