Risolvere i problemi relativi ai gruppi e risolverli

Questo articolo contiene informazioni sulla risoluzione dei problemi per i gruppi in Microsoft Entra ID, parte di Microsoft Entra.

Risoluzione dei problemi di creazione dei gruppi

La creazione di gruppi di sicurezza nella portale di Azure è stata disabilitata, ma i gruppi possono comunque essere creati tramite PowerShell
L'utente può creare gruppi di sicurezza nell'impostazione portale di Azure nel portale di Azure controlla se gli utenti non amministratori possono creare gruppi di sicurezza nel pannello di accesso o nel portale di Azure. Non controlla la creazione di gruppi di sicurezza tramite PowerShell.

Per disabilitare la creazione di gruppi per utenti non amministratori in PowerShell:

1. Verificare che gli utenti non amministratori siano autorizzati a creare gruppi:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Se restituisce EnableGroupCreation : True, gli utenti non amministratori possono creare gruppi. Per disabilitare questa funzionalità:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

Si è verificato un errore massimo di gruppi consentiti quando si tenta di creare un gruppo dinamico in PowerShell
Se viene visualizzato un messaggio in PowerShell che indica che è stato raggiunto il numero massimo di gruppi consentiti per i criteri di gruppo dinamici, significa che è stato raggiunto il limite massimo per i gruppi dinamici nell'organizzazione. Il numero massimo di gruppi dinamici per organizzazione è 5.000.

Per creare nuovi gruppi dinamici, è prima necessario eliminare alcuni gruppi dinamici esistenti. Non c'è modo di aumentare il limite.

Risoluzione dei problemi di appartenenza dinamica per i gruppi

È stata configurata una regola su un gruppo, ma nessuna appartenenza viene aggiornata nel gruppo

1. Verificare i valori per gli attributi utente o dispositivo nella regola. Verificare che siano presenti utenti che soddisfano la regola. Per i dispositivi, controllare le proprietà del dispositivo per assicurarsi che gli attributi sincronizzati contengano i valori previsti.
2. Controllare lo stato di elaborazione dell'appartenenza per verificare se è stato completato. È possibile controllare lo stato di elaborazione dell'appartenenza e la data dell'ultimo aggiornamento nella pagina Panoramica del gruppo.

Se non vengono rilevati problemi, attendere il popolamento del gruppo. A seconda delle dimensioni dell'organizzazione Microsoft Entra, il gruppo può richiedere fino a 24 ore per il popolamento per la prima volta o dopo una modifica della regola.

È stata configurata una regola, ma i membri esistenti della regola sono stati rimossi
Si tratta di un comportamento previsto. I membri esistenti del gruppo vengono rimosse quando una regola viene abilitata o modificata. Gli utenti restituiti dalla valutazione della regola vengono aggiunti come membri al gruppo.

Le modifiche all'appartenenza non vengono visualizzate immediatamente quando si aggiunge o si modifica una regola, perché no?
La valutazione dell'appartenenza dedicata viene eseguita periodicamente in un processo asincrono in background. La durata del processo è determinata dal numero di utenti nella directory e dalle dimensioni del gruppo creato in base alla regola. In genere, per le directory con un numero limitato di utenti le modifiche a livello di appartenenza al gruppo verranno visualizzate nell'arco di pochi minuti. L'inserimento dei dati per le directory con un numero elevato di utenti può richiedere intervalli maggiori o uguali a 30 minuti.

Come è possibile forzare l'elaborazione del gruppo?
Attualmente, non è possibile attivare automaticamente l'elaborazione del gruppo su richiesta. Tuttavia, è possibile attivare manualmente la rielaborazione aggiornando la regola di appartenenza per aggiungere uno spazio vuoto alla fine.

Si è verificato un errore di elaborazione delle regole
La tabella seguente elenca gli errori comuni della regola di appartenenza dinamica con la relativa risoluzione.

Errore del parser della regola	Uso errato	Uso corretto
Errore: l'attributo non è supportato	(user.invalidProperty -eq "Valore")	(user.department -eq "valore") Verificare che l'attributo sia incluso nell'elenco di proprietà supportate.
Errore: l'operatore non è supportato nell'attributo .	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) L'operatore usato non è supportato per il tipo di proprietà (in questo esempio , -contains non può essere usato nel tipo booleano). Usare gli operatori corretti per il tipo di proprietà.
Errore: si è verificato un errore di compilazione della query.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Operatore mancante. Usare -and o -or per unire predicati (user.department -eq "Vendite") -or (user.department -eq "Marketing") 2. Errore nell'espressione regolare usata con -match (user.userPrincipalName -match ".*@domain.ext") o in alternativa: (user.userPrincipalName -match "@domain.ext$")

Passaggi successivi

Questi articoli forniscono informazioni aggiuntive sull'ID Microsoft Entra.

• Gestione dell'accesso alle risorse con i gruppi di Microsoft Entra
• Gestione delle applicazioni in Microsoft Entra ID
• Cos'è Microsoft Entra ID?
• Integrazione delle identità locali con Microsoft Entra ID