Beheben von Problemen bei Gruppen

Dieser Artikel enthält Problembehandlungsinformationen für Gruppen in Microsoft Entra ID (Teil von Microsoft Entra).

Problembehandlung bei der Gruppenerstellung

Ich habe die Erstellung von Sicherheitsgruppen im Azure-Portal deaktiviert, aber Gruppen können weiterhin über PowerShell erstellt werden.
Die Einstellung Benutzer können Sicherheitsgruppen in Azure-Portalen erstellen im Azure-Portal bestimmt, ob Benutzer ohne Administratorrechte Sicherheitsgruppen im Zugriffsbereich oder dem Azure-Portal erstellen können. Die Erstellung von Sicherheitsgruppen über PowerShell wird damit nicht gesteuert.

So deaktivieren Sie die Gruppenerstellung für Benutzer*innen ohne Administratorrechte in PowerShell:

  1. Stellen Sie sicher, dass Benutzer*innen ohne Administratorrechte zum Erstellen von Gruppen berechtigt sind:

    Get-MgBetaDirectorySetting | select -ExpandProperty values
    
  2. Wird EnableGroupCreation : True zurückgegeben, sind Benutzer*innen ohne Administratorrechte zum Erstellen von Gruppen berechtigt. So deaktivieren Sie das Feature:

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     $params = @{
     TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
     Values = @(		
     	@{
     		Name = "EnableGroupCreation"
     		Value = "false"
     	}		
     )
     }
     Connect-MgGraph -Scopes "Directory.ReadWrite.All"
     New-MgBetaDirectorySetting -BodyParameter $params
    
    

Beim Erstellen einer dynamischen Gruppe in PowerShell wird ein Fehler zur maximal zulässigen Anzahl von Gruppen angezeigt.
Wenn in PowerShell die Fehlermeldung Dynamic group policies max allowed groups count reached (Die maximal zulässige Anzahl von Gruppen dynamischer Gruppenrichtlinien wurde erreicht) angezeigt wird, bedeutet das, dass Sie das maximale Limit für dynamische Gruppen in Ihrer Organisation erreicht haben. Die maximale Anzahl von dynamischen Gruppen pro Organisation beträgt 5.000.

Um neue dynamische Gruppen erstellen zu können, müssen Sie zunächst einige vorhandene dynamische Gruppen löschen. Das Limit kann nicht erhöht werden.

Problembehandlung bei dynamischen Mitgliedergruppen

Ich habe eine Regel für eine Gruppe konfiguriert, die Mitgliedschaften in der Gruppe werden jedoch nicht aktualisiert.

  1. Überprüfen Sie die Werte für Benutzer- oder Geräteattribute in der Regel. Stellen Sie sicher, dass Benutzer vorhanden sind, die die Regel erfüllen. Überprüfen Sie für Geräte die Geräteeigenschaften, um sicherzustellen, dass synchronisierte Attribute die erwarteten Werte enthalten.
  2. Überprüfen Sie den Status der Mitgliedschaftsverarbeitung, um zu bestätigen, dass sie abgeschlossen wurde. Auf der Seite Übersicht für die Gruppe können Sie den Verarbeitungsstatus der Mitgliedschaft und das zuletzt geänderte Datum prüfen.

Wenn alles korrekt aussieht, warten Sie einen Augenblick, bis die Gruppe aufgefüllt ist. Je nach Größe Ihrer Microsoft Entra-Organisation kann das erstmalige Auffüllen der Gruppe oder das Auffüllen nach einer Änderung der Regel bis zu 24 Stunden dauern.

Ich habe eine Regel konfiguriert, aber jetzt werden die vorhandenen Mitglieder der Regel entfernt.
Dieses Verhalten ist normal. Vorhandene Mitglieder der Gruppe werden entfernt, wenn eine Regel aktiviert oder geändert wird. Die nach der Auswertung der Regel verbleibenden Benutzer werden der Gruppe als Mitglieder hinzugefügt.

Warum werden Änderungen an der Mitgliedschaft nicht sofort angezeigt, wenn ich eine Regel hinzufüge oder ändere?
Die dedizierte Mitgliedschaftsauswertung erfolgt in regelmäßigen Abständen in einem asynchronen Hintergrundprozess. Die Dauer dieses Prozesses hängt von der Anzahl der Benutzer in Ihrem Verzeichnis und der Größe der Gruppe, die aufgrund der Regel erstellt wird, ab. In Verzeichnissen mit einer geringen Anzahl an Benutzenden werden die Änderungen der dynamischen Mitgliedergruppe in der Regel in weniger als ein paar Minuten angezeigt. Bei Verzeichnissen mit einer hohen Benutzeranzahl kann das Auffüllen 30 Minuten oder länger dauern.

Wie kann ich erzwingen, dass die Gruppe jetzt verarbeitet wird?
Derzeit besteht keine Möglichkeit, die bedarfsgesteuerte Verarbeitung der Gruppe automatisch auszulösen. Sie können jedoch die erneute Verarbeitung manuell auslösen, indem Sie die Mitgliedschaftsregel aktualisieren und am Ende ein Leerzeichen hinzufügen.

Bei mir ist ein Regelverarbeitungsfehler aufgetreten.
In der folgenden Tabelle sind häufige Regelverstöße für dynamische Mitgliedergruppen und deren Behebung aufgeführt.

Regelparserfehler Fehlerverwendung Korrigierte Verwendung
Fehler: Das Attribut nicht unterstützt. (user.invalidProperty -eq "Value") (user.department -eq "value")

Stellen Sie sicher, dass das Attribut in der Liste der unterstützten Eigenschaften aufgeführt wird.
Fehler: Der Operator wird für das Attribut nicht unterstützt. (user.accountEnabled -contains true) (user.accountEnabled -eq true)

Der Operator wird für den Eigenschaftstyp nicht unterstützt (in diesem Beispiel kann „-contains“ nicht für den booleschen Typ verwendet werden). Verwenden Sie die richtige Operatoren für den Eigenschaftentyp.
Fehler: Abfragekompilierungsfehler. 1. (user.department -eq "Sales") (user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")
Fehlender Operator. Verwenden Sie „-and“ oder „-or“, um Prädikate zu verknüpfen.
(user.department -eq "Sales") -or (user.department -eq "Marketing")
Fehler im regulären Ausdruck, der mit „-match“ verwendet wird
(user.userPrincipalName -match "*@domain.ext")
oder alternativ: (user.userPrincipalName -match "@domain.ext$")

Nächste Schritte

Diese Artikel enthalten zusätzliche Informationen zu Microsoft Entra ID.