Поделиться через

Устранение неполадок и решение проблем с группами

  • Статья

В этой статье содержатся сведения об устранении неполадок для групп в идентификаторе Microsoft Entra, часть Microsoft Entra.

Устранение неполадок при создании группы

Мною отключено создание группы безопасности на портале Azure, но группы можно по-прежнему создавать с помощью PowerShell
Параметр Пользователь может создавать группы безопасности на порталах Azure на портале Azure определяет, могут ли пользователи, не являющиеся администраторами, создавать группы безопасности на панели доступа или портале Azure. Он не служит для управления созданием групп безопасности с помощью PowerShell.

Чтобы отключить создание группы для пользователей, не являющихся администраторами в PowerShell, выполните следующие действия.

  1. Убедитесь, что пользователи, не являющиеся администраторами, разрешены создавать группы:

    Get-MgBetaDirectorySetting | select -ExpandProperty values

  2. Если он возвращается EnableGroupCreation : True, пользователи, не являющиеся администраторами, могут создавать группы. Чтобы отключить эту функцию, используйте следующий код.

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 $params = @{
 TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
 Values = @(		
 	@{
 		Name = "EnableGroupCreation"
 		Value = "false"
 	}		
 )
 }
 Connect-MgGraph -Scopes "Directory.ReadWrite.All"
 New-MgBetaDirectorySetting -BodyParameter $params

При попытке создать динамическую группу в PowerShell получено сообщение об ошибке, связанной с максимальным количеством разрешенных групп
Если вы получили сообщение в PowerShell, где говорится о том, что достигнуто максимально допустимое число политик динамической группы, это означает, что достигнут максимальный предел для динамических групп в вашей организации. Максимальное число динамических групп на организацию — 5000.

Чтобы создать новые динамические группы, нужно сначала удалить некоторые существующие динамические группы. Этот предел невозможно увеличить.

Устранение неполадок с динамическими группами членства

Мной было настроено правило для группы, но обновление членства в группе не произошло.

  1. Проверьте значения атрибутов пользователя или устройства в правиле. Убедитесь, что есть пользователи, которые отвечают правилу. В случае устройств проверьте свойства устройства, чтобы убедиться, что все синхронизированные атрибуты содержат ожидаемые значения.
  2. Проверьте состояние обработки членства, чтобы убедиться, что оно завершено. Вы можете проверять состояние обработки членства и дату последнего обновления на странице Обзор для группы.

Если все правильно, подождите некоторое время, пока не заполнится группа. В зависимости от размера организации Microsoft Entra группа может занять до 24 часов для заполнения в первый раз или после изменения правила.

Мной было настроено правило, но теперь существующие участники правила удалены.
Это ожидаемое поведение. Существующие участники группы удаляются при включении или изменении правила. В группу добавляются пользователи, подобранные на основе оценки правила.

Я не вижу мгновенного изменения членства, когда добавляю или изменяю правило. Почему?
Специальная оценка членства выполняется периодически в асинхронном фоновом процессе. На длительность процесса влияют количество пользователей в каталоге и размер группы, созданной в результате оценки правила. Как правило, каталоги с небольшим количеством пользователей увидят изменения динамической группы членства менее чем за несколько минут. В случае каталогов с большим числом пользователей заполнение может занять 30 минут или больше.

Как можно сейчас принудительно выполнить обработку группы?
В настоящее время нет способа автоматической активации группы по требованию. Однако можно вручную активировать повторную обработку, обновив правило членства и добавив в конце пробел.

У меня возникла ошибка при обработке правила
В следующей таблице перечислены распространенные ошибки правил для динамических групп членства и способы их исправления.

Ошибка со средством синтаксического анализа правил Неправильное использование Правильное использование
Ошибка: атрибут не поддерживается. (user.invalidProperty -eq "Value") (user.department -eq "value")

Убедитесь, что атрибут находится в списке поддерживаемых свойств.
Ошибка. Оператор не поддерживается в атрибуте. (user.accountEnabled -contains true) (user.accountEnabled - eq true)

Используемый оператор не поддерживается для типа свойства (в этом примере -contains не может использоваться для логического типа). Используйте правильные операторы для типа свойств.
Ошибка: ошибка компиляции запроса. 1. (user.department -eq "Sales") (user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")		 1. Отсутствует оператор. Используйте предикат соединения -and или -or.
(user.department -eq "Sales") -or (user.department -eq "Marketing")
2. Ошибка в регулярном выражении, используемом с -match
(user.userPrincipalName -match ".*@domain.ext")
или (user.userPrincipalName -match "@domain.ext$")

Следующие шаги

В этих статьях содержатся дополнительные сведения об идентификаторе Microsoft Entra.