Condividi tramite

Risolvere problemi relativi ai gruppi

  • Articolo

Questo articolo contiene informazioni sulla risoluzione dei problemi relativi ai gruppi in Microsoft Entra ID, parte di Microsoft Entra.

Risoluzione dei problemi relativi alla creazione di gruppi

La creazione di gruppi di sicurezza nel portale di Azure è stata disabilitata, ma i gruppi possono comunque essere creati tramite PowerShell
L'impostazione L'utente può creare gruppi di sicurezza nel portale di Azure nel portale di Azure controlla se gli utenti non amministratori possono creare gruppi di sicurezza nel pannello di accesso o nel portale di Azure. Non controlla la creazione di gruppi di sicurezza tramite PowerShell.

Per disabilitare la creazione di gruppi da parte degli utenti non amministratori in PowerShell:

  1. Verificare che gli utenti non amministratori siano autorizzati a creare gruppi:

    Get-MgBetaDirectorySetting | select -ExpandProperty values

  2. Se restituisce EnableGroupCreation : True, gli utenti non amministratori possono creare gruppi. Per disabilitare questa funzionalità:

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 $params = @{
 TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
 Values = @(		
 	@{
 		Name = "EnableGroupCreation"
 		Value = "false"
 	}		
 )
 }
 Connect-MgGraph -Scopes "Directory.ReadWrite.All"
 New-MgBetaDirectorySetting -BodyParameter $params

Si verifica un errore massimo di gruppi consentiti quando si tenta di creare un gruppo dinamico in PowerShell

Il numero massimo di gruppi dinamici per organizzazione è 5.000. Quando si raggiunge il numero massimo di gruppi dinamici nell'organizzazione, viene visualizzato un messaggio in PowerShell che indica che numero massimo di gruppi consentiti consentiti raggiunto.

Se si verifica questo limite, per creare nuovi gruppi dinamici, è prima necessario eliminare alcuni gruppi dinamici esistenti. Non c'è alcun modo per aumentare il limite.

Risolvere i problemi relativi ai gruppi di appartenenza dinamica

È stata configurata una regola su un gruppo, ma nessuna appartenenza viene aggiornata nel gruppo

  1. Verificare i valori per gli attributi utente o dispositivo nella regola. Verificare che siano presenti utenti che soddisfano la regola. Per i dispositivi, controllare le proprietà del dispositivo per assicurarsi che gli attributi sincronizzati contengano i valori previsti.
  2. Controllare lo stato di elaborazione dell'appartenenza per verificare che il processo sia stato completato. È possibile visualizzare lo stato di elaborazione dell'appartenenza e la data dell'ultimo aggiornamento nella pagina Panoramica per il gruppo.

Se tutto sembra corretto, concedi un po' di tempo per il completamento del gruppo. A seconda delle dimensioni dell'organizzazione Microsoft Entra, il gruppo potrebbe impiegare fino a 24 ore per essere popolato per la prima volta o dopo una modifica della regola.

È stata configurata una regola, ma i membri esistenti della regola sono stati rimossi
Si tratta di un comportamento previsto. I membri esistenti del gruppo vengono rimosse quando una regola viene abilitata o modificata. Non tutti i membri esistenti vengono eliminati, ma solo gli utenti che non soddisfano più la nuova regola. Gli utenti restituiti dalla valutazione della nuova regola vengono aggiunti come membri al gruppo. Gli utenti che soddisfano le regole esistenti e le nuove regole rimangono nel gruppo dinamico. Le assegnazioni di licenza non vengono eliminate temporaneamente e le assegnazioni di ruolo non vengono rimosse.

Quando si aggiunge o modifica una regola non vengono visualizzate immediatamente le modifiche a livello di appartenenza. Perché?

La valutazione dell'appartenenza dedicata viene eseguita periodicamente in un processo asincrono in background. Sia il numero di utenti nella directory che le dimensioni del gruppo risultante influiscono sul tempo di elaborazione.

In genere, le directory con un numero ridotto di utenti visualizzano le modifiche del gruppo di appartenenza dinamico in meno di pochi minuti. L'inserimento dei dati per le directory con un numero elevato di utenti può richiedere intervalli maggiori o uguali a 30 minuti.

Come è possibile forzare l'elaborazione del gruppo?
Attualmente, non è possibile attivare automaticamente l'elaborazione del gruppo su richiesta. Tuttavia, è possibile attivare manualmente la rielaborazione aggiornando la regola di appartenenza per aggiungere uno spazio vuoto alla fine.

Si è verificato un errore di elaborazione delle regole
La tabella seguente elenca gli errori comuni relativi alle regole dei gruppi di appartenenza dinamica con la relativa risoluzione.

Errore del parser della regola Uso errato Uso corretto
Errore: l'attributo non è supportato (user.invalidProperty -eq "Valore") (user.department -eq "valore")

Verificare che l'attributo sia incluso nell'elenco di proprietà supportate.
Errore: l'operatore non è supportato sull'attributo. (user.accountEnabled -contains true) (user.accountEnabled -eq true)

L'operatore usato non è supportato per il tipo di proprietà (in questo esempio -contains non può essere usato nel tipo booleano). Usare gli operatori corretti per il tipo di proprietà.
Errore: si è verificato un errore di compilazione della query. 1. (user.department -eq "Sales") (user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")		 1. Operatore mancante. Usare -and oppure -or per unire i predicati
(user.department -eq "Vendite") -or (user.department -eq "Marketing")
2. Errore nell'espressione regolare usata con -match
(user.userPrincipalName -match ".*@domain.ext")
in alternativa: (user.userPrincipalName -match "@domain.ext$")

Passaggi successivi

Questi articoli forniscono informazioni aggiuntive su Microsoft Entra ID.