Risolvere problemi relativi ai gruppi

Questo articolo contiene informazioni sulla risoluzione dei problemi relativi ai gruppi in Microsoft Entra ID, parte di Microsoft Entra.

Risoluzione dei problemi relativi alla creazione di gruppi

La creazione di gruppi di sicurezza nel portale di Azure è stata disabilitata, ma i gruppi possono comunque essere creati tramite PowerShell
L'impostazione L'utente può creare gruppi di sicurezza nel portale di Azure nel portale di Azure controlla se gli utenti non amministratori possono creare gruppi di sicurezza nel pannello di accesso o nel portale di Azure. Non controlla la creazione di gruppi di sicurezza tramite PowerShell.

Per disabilitare la creazione di gruppi da parte degli utenti non amministratori in PowerShell:

  1. Verificare che gli utenti non amministratori siano autorizzati a creare gruppi:

    Get-MgBetaDirectorySetting | select -ExpandProperty values
    
  2. Se restituisce EnableGroupCreation : True, gli utenti non amministratori possono creare gruppi. Per disabilitare questa funzionalità:

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
     $params = @{
     TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
     Values = @(		
     	@{
     		Name = "EnableGroupCreation"
     		Value = "false"
     	}		
     )
     }
     Connect-MgGraph -Scopes "Directory.ReadWrite.All"
     New-MgBetaDirectorySetting -BodyParameter $params
    
    

Si verifica un errore massimo di gruppi consentiti quando si tenta di creare un gruppo dinamico in PowerShell
Se viene visualizzato un messaggio in PowerShell che indica che è stato raggiunto il numero massimo di gruppi consentiti per i criteri dei gruppi dinamici, significa che è stato raggiunto il limite massimo per i gruppi dinamici nell'organizzazione. Il numero massimo di gruppi dinamici per organizzazione è 5.000.

Per creare nuovi gruppi dinamici, è prima necessario eliminare alcuni gruppi dinamici esistenti. Non c'è alcun modo per aumentare il limite.

Risolvere i problemi relativi ai gruppi di appartenenza dinamica

È stata configurata una regola su un gruppo, ma nessuna appartenenza viene aggiornata nel gruppo

  1. Verificare i valori per gli attributi utente o dispositivo nella regola. Verificare che siano presenti utenti che soddisfano la regola. Per i dispositivi, controllare le proprietà del dispositivo per assicurarsi che gli attributi sincronizzati contengano i valori previsti.
  2. Controllare lo stato di elaborazione dell'appartenenza per verificare che il processo sia stato completato. È possibile visualizzare lo stato di elaborazione dell'appartenenza e la data dell'ultimo aggiornamento nella pagina Panoramica per il gruppo.

Se non vengono rilevati problemi, attendere il popolamento del gruppo. A seconda delle dimensioni dell'organizzazione di Microsoft Entra, potrebbero essere necessarie fino a 24 ore al gruppo per eseguire il popolamento per la prima volta o dopo una modifica di una regola.

È stata configurata una regola, ma i membri esistenti della regola sono stati rimossi
Si tratta di un comportamento previsto. I membri esistenti del gruppo vengono rimosse quando una regola viene abilitata o modificata. Gli utenti restituiti dalla valutazione della regola vengono aggiunti come membri al gruppo.

Quando si aggiunge o modifica una regola non vengono visualizzate immediatamente le modifiche a livello di appartenenza. Perché?
La valutazione dell'appartenenza dedicata viene eseguita periodicamente in un processo asincrono in background. La durata del processo è determinata dal numero di utenti nella directory e dalle dimensioni del gruppo creato in base alla regola. In genere, per le directory con un numero limitato di utenti, le modifiche al gruppo di appartenenza dinamica verranno visualizzate nell'arco di pochi minuti. L'inserimento dei dati per le directory con un numero elevato di utenti può richiedere intervalli maggiori o uguali a 30 minuti.

Come è possibile forzare l'elaborazione del gruppo?
Attualmente, non è possibile attivare automaticamente l'elaborazione del gruppo su richiesta. Tuttavia, è possibile attivare manualmente la rielaborazione aggiornando la regola di appartenenza per aggiungere uno spazio vuoto alla fine.

Si è verificato un errore di elaborazione delle regole
La tabella seguente elenca gli errori comuni relativi alle regole dei gruppi di appartenenza dinamica con la relativa risoluzione.

Errore del parser della regola Uso errato Uso corretto
Errore: l'attributo non è supportato (user.invalidProperty -eq "Valore") (user.department -eq "valore")

Verificare che l'attributo sia incluso nell'elenco di proprietà supportate.
Errore: l'operatore non è supportato sull'attributo. (user.accountEnabled -contains true) (user.accountEnabled -eq true)

L'operatore usato non è supportato per il tipo di proprietà (in questo esempio -contains non può essere usato nel tipo booleano). Usare gli operatori corretti per il tipo di proprietà.
Errore: si è verificato un errore di compilazione della query. 1. (user.department -eq "Sales") (user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")
1. Operatore mancante. Usare -and oppure -or per unire i predicati
(user.department -eq "Vendite") -or (user.department -eq "Marketing")
2. Errore nell'espressione regolare usata con -match
(user.userPrincipalName -match ".*@domain.ext")
in alternativa: (user.userPrincipalName -match "@domain.ext$")

Passaggi successivi

Questi articoli forniscono informazioni aggiuntive su Microsoft Entra ID.