針對群組問題進行疑難排解並加以解決

本文包含 Microsoft Entra ID (Microsoft Entra 的一部分) 中群組的疑難排解資訊。

針對群組建立問題進行疑難排解

我已在 Azure 入口網站中停用安全性群組建立，但仍然可以透過 PowerShell 建立群組
使用者可以在 Azure 入口網站建立安全性群組 Azure 入口網站中的設定可控制非管理使用者是否可以在存取面板或 Azure 入口網站建立安全性群組。 它不會透過 PowerShell 來控制安全性群組建立。

在 PowerShell 中停用非管理使用者的建立群組功能：

1. 確認允許非管理使用者建立群組：

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. 如果其傳回 EnableGroupCreation : True，非管理使用者就可以建立群組。 若要停用這項功能：

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

我在嘗試於 PowerShell 中建立動態群組時收到允許的群組上限錯誤
如果您在 PowerShell 中收到訊息，指出「已達動態群組原則允許的群組計數上限」，這表示您已達組織中動態群組的上限。 每個組織的動態群組數目上限為 5,000。

若要建立任何新的動態群組，您必須先刪除一些現有的動態群組。 沒有方法可以增加限制。

組動態成員資格群組疑難排解

我針對某個群組設定了一個規則，但是群組中的成員資格沒有任何更新

1. 確認規則中使用者或裝置屬性的值。 確定有滿足規則的使用者。 針對裝置，請檢查裝置屬性，以確定任何同步的屬性都包含預期值。
2. 檢查成員資格處理狀態，以確認處理是否已完成。 您可以在群組的 [概觀] 頁面上檢查成員資格處理狀態和上次更新日期。

如果一切良好，請等候一段時間，以填入群組。 根據 Microsoft Entra 組織的大小，群組最長可能需要 24 小時來完成初次填入或規則變更。

我已設定一個規則，但是目前現有的規則成員已被移除
這是預期行為。 因為在啟用或變更規則時，現有群組的成員會遭到移除。 並非所有現有的成員都會刪除，只有那些不再符合新規則的成員。 從評估新規則傳回的使用者會新增為群組的成員。 符合現有規則和新規則的使用者將會保留在動態群組中，因此其授權指派通常不會暫時刪除，也不會移除其角色指派。

當我新增或變更規則時，沒有立即看到成員資格變更，為什麼？
專用的成員資格評估會定期在非同步的背景處理序中完成。 該程序所需的時間，取決於您目錄中的使用者數目以及因規則所建立的群組大小。 通常，具有少量使用者的目錄會在很短的時間內看到組動態成員資格群組變更。 具有大量使用者的目錄則可能需要 30 分鐘或更長的時間填入。

如何強制立即處理群組？
目前沒有任何方法可以依需求自動觸發群組處理。 不過，您可以更新成員資格規則來手動觸發重新處理，以在結尾新增空格。

我遇到規則處理錯誤
下表列出常見組動態成員資格常見規則錯誤及其修正方式。

下一步

這些文章提供有關 Microsoft Entra ID 的其他資訊。

• 使用 Microsoft Entra 群組來管理資源的存取權
• Microsoft Entra ID 中的應用程式管理
• 什麼是 Microsoft Entra ID？
• 整合內部部署身分識別與 Microsoft Entra ID