Risolvere i problemi relativi ai gruppi dinamici

  • Articolo

Questa guida alla risoluzione dei problemi consente di diagnosticare e risolvere i problemi relativi ai gruppi dinamici in Microsoft Entra ID.

Identificazione e gestione dei gruppi dinamici

Per verificare se il gruppo è un gruppo dinamico, vedere Valutare se un gruppo è un gruppo dinamico.

Problemi di creazione dinamica dei gruppi

Riferimenti

Articoli consigliati per la creazione di gruppi:

Problemi comuni nella creazione di un gruppo dinamico o di una regola:

  • Non è possibile creare un gruppo dinamico nel portale di Azure oppure si riceve un errore durante la creazione di un gruppo dinamico in PowerShell. Vedere Impossibile creare un gruppo dinamico.

  • Non è possibile trovare l'attributo per creare una regola. Vedere Creare una regola di appartenenza dinamica.

  • Si riceve un errore "max groups allowed" quando si tenta di creare un gruppo dinamico in PowerShell: sono stati raggiunti 5.000 gruppi, il limite massimo per i gruppi dinamici nel tenant. Per creare nuovi gruppi dinamici, eliminare prima di tutto i gruppi dinamici esistenti. Non è possibile aumentare il limite massimo.

Problemi di aggiornamento dinamico dell'appartenenza

È stato creato un gruppo dinamico e è stata configurata una regola, ma si sono verificati questi problemi comuni:

Nessun membro viene visualizzato nel gruppo, alcuni utenti o dispositivi non vengono visualizzati nel gruppo o gli utenti o i dispositivi sbagliati vengono visualizzati nel gruppo.

I membri esistenti della regola vengono rimossi.

  • Questo comportamento è previsto. I membri esistenti del gruppo vengono rimossi quando una regola viene abilitata o modificata o gli attributi vengono modificati. Gli utenti restituiti dalla valutazione della regola vengono aggiunti come membri al gruppo.

Non vengono visualizzate immediatamente modifiche all'appartenenza dopo l'aggiunta o la modifica di una regola.

  • La valutazione dell'appartenenza viene eseguita periodicamente come processo in background. La durata del processo è determinata dal numero di utenti nella directory e le dimensioni del gruppo vengono create a causa della regola. In genere, le directory con un numero ridotto di utenti visualizzeranno modifiche all'appartenenza ai gruppi entro pochi minuti. Le directory con un numero elevato di utenti possono richiedere 30 minuti o più per essere popolate.

  • Controllare lo stato di elaborazione dell'appartenenza per verificare se il processo è stato completato. Controllare la data dell'ultimo aggiornamento nella pagina Panoramica del gruppo in portale di Azure per verificare che la pagina sia aggiornata.

  • Per forzare l'elaborazione del gruppo, vedere Forzare l'elaborazione del gruppo.

Viene visualizzato un errore di elaborazione delle regole.

Problemi di eliminazione o ripristino di gruppi dinamici

Viene visualizzato un errore durante l'eliminazione di un gruppo.

È stato ripristinato un gruppo eliminato ma non è stato visualizzato alcun aggiornamento.

  • Quando un gruppo dinamico viene eliminato e ripristinato, viene visto come un nuovo gruppo e ripopolato in base alla regola. Questo processo potrebbe richiedere fino a 24 ore.

Valutare se un gruppo è un gruppo dinamico

Per determinare se un gruppo è un gruppo dinamico:

  1. Accedere al portale di Azure.

  2. Selezionare il gruppo nella scheda Panoramica del gruppo e quindi verificare se il tipo di appartenenza è impostato su Dinamico.

Convalidare le regole di appartenenza ai gruppi dinamici

Microsoft Entra ID fornisce i mezzi per convalidare le regole del gruppo dinamico. Nella scheda Convalida regole è possibile convalidare la regola dinamica rispetto ai membri del gruppo di esempio per verificare che la regola funzioni come previsto.

Quando si creano o si aggiornano le regole del gruppo dinamico, è possibile usare queste informazioni per determinare se un utente o un dispositivo soddisfa i criteri delle regole per diventare membro di un gruppo. Questo può essere utile anche per la risoluzione dei problemi quando l'appartenenza non è prevista.

Per altre informazioni, vedere Convalidare una regola di appartenenza a gruppi dinamici (anteprima) in Microsoft Entra ID

Risolvere i problemi di creazione dinamica dei gruppi

Si sono verificati problemi durante la creazione di un gruppo dinamico o di una regola.

Impossibile creare un gruppo dinamico

Non viene visualizzata l'opzione per creare un gruppo dinamico nel portale di Azure o si è verificato un errore durante la creazione di un gruppo dinamico in PowerShell.

  1. Verificare che il tenant abbia la licenza appropriata.

  2. Assicurarsi che l'utente che crea il gruppo disponga delle autorizzazioni di amministratore appropriate:

    • Verificare che si disponga dell'autorizzazione per creare un nuovo gruppo. Gli amministratori globali possono disabilitare la creazione di gruppi nel portale di Azure o nel riquadro di accesso. Potrebbe essere necessario che un amministratore crei automaticamente il nuovo gruppo o fornisca le autorizzazioni appropriate.

  3. Verificare che le autorizzazioni di creazione del gruppo siano abilitate per il tipo di gruppo da creare.

    • Gli amministratori globali possono gestire le autorizzazioni di creazione dei gruppi per la sicurezza o Office 365 gruppi creati nel portale di Azure o Pannello di accesso, impostando Gli utenti possono creare gruppi di sicurezza nei portali di Azure oppure Gli utenti possono creare gruppi Office 365 nelle impostazioni dei portali di Azure nel portale di Azure in Tutti i gruppi>Generale (impostazioni). Questa impostazione si applica anche ai gruppi dinamici.

  4. Verificare che l'utente specifico sia incluso nell'elenco degli utenti che possono creare un gruppo.

    • Gli amministratori globali possono limitare la creazione di gruppi per selezionare un gruppo di utenti se si dispone di una licenza P1 Premium Microsoft Entra ID. È necessario verificare di disporre delle autorizzazioni appropriate.

Si riceve un errore massimo di gruppi consentiti durante la creazione di un gruppo dinamico in PowerShell

Questo errore indica che è stato raggiunto il limite massimo per i gruppi dinamici nel tenant. Controllare il numero di gruppi nel tenant. Il numero massimo di gruppi dinamici per tenant è 5.000.

Per creare nuovi gruppi dinamici, è prima necessario eliminare alcuni gruppi dinamici esistenti. Non c'è modo di aumentare il limite.

Risolvere i problemi di creazione di regole del gruppo dinamico

Impossibile trovare l'attributo per creare una regola

  1. Assicurarsi che gli attributi utente siano inclusi nell'elenco delle proprietà supportate. Se non sono inclusi nell'elenco, non sono attualmente supportati.
  2. Assicurarsi che gli attributi del dispositivo siano inclusi nell'elenco degli attributi del dispositivo. Se non sono inclusi nell'elenco, non sono attualmente supportati. Per altre informazioni, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.

Impossibile creare una regola di appartenenza dinamica

  1. Verificare che il tenant abbia la licenza appropriata. I gruppi dinamici richiedono che il tenant disponga di una licenza P1 Premium Microsoft Entra ID.

  2. Se non è possibile trovare gli attributi utente predefiniti, assicurarsi che l'attributo sia incluso nell'elenco delle proprietà supportate. Se non è presente nell'elenco, non è attualmente supportato.

  3. Se si sta cercando attributi del dispositivo predefiniti, assicurarsi che l'attributo sia incluso nell'elenco degli attributi del dispositivo. Se non è presente nell'elenco, non è attualmente supportato.

  4. Se l'attributo non viene trovato nell'elenco a discesa Regola semplice nel portale di Azure, usare la regola avanzata per costruire una regola.

    1. Assicurarsi che la sintassi sia accurata e che il tipo di proprietà e il valore corrispondano.

    2. Assicurarsi inoltre di aver aggiunto il prefisso dell'oggetto appropriato per selezionare la proprietà .

      • Ad esempio: user.country, device.deviceOSType.

    3. Informazioni sulle linee guida su come creare una regola avanzata , incluso l'elenco degli operatori supportati e gli esempi per le regole comuni.

  5. Usare anche attributi di estensione per le regole utente dinamiche. Queste regole saranno visibili nell'elenco a discesa durante la creazione di una regola semplice.

    • Il nome dell'attributo personalizzato è disponibile nella directory eseguendo una query sull'attributo di un utente tramite PowerShell e cercando il nome dell'attributo. Questi attributi possono essere usati anche durante la costruzione di una regola avanzata.

  6. Assicurarsi che il ruolo dell'utente che crea il gruppo dinamico sia un amministratore aziendale o un amministratore utente.

  7. Consente il tempo necessario per popolare il gruppo.

  8. Il generatore di regole semplici supporta fino a cinque (5) espressioni. Per aggiungere più di cinque espressioni alla regola, è necessario utilizzare la casella di testo.

Risolvere i problemi di aggiornamento dinamico dell'appartenenza

È stato creato un gruppo dinamico e è stata configurata una regola, ma si è verificato uno di questi problemi:

  • Nel gruppo non sono elencati membri.
  • Alcuni utenti o dispositivi non vengono visualizzati nel gruppo.
  • Gli utenti o i dispositivi non corretti non vengono visualizzati nel gruppo.

I membri non vengono aggiunti o rimossi come previsto

  1. Controllare lo stato di elaborazione dell'appartenenza per verificare se è stato completato e controllare la data dell'ultimo aggiornamento nella pagina Panoramica del gruppo in portale di Azure per verificare che sia aggiornato.

  2. Se lo stato di elaborazione dell'appartenenza sta elaborando l'errore e l'aggiornamento è sospeso, chiedere all'amministratore o al team PG di riprendere il gruppo dall'elaborazione dell'errore.

  3. Verificare che gli utenti o i dispositivi soddisfino o meno la regola di appartenenza, seguendo la procedura descritta in Valutare l'appartenenza dinamica di un utente o di un dispositivo.

  4. Verificare che lo stato dell'elaborazione non sia influenzato dal problema dell'aggiunta di utenti guest non consentita dai criteri.

    • Se il gruppo è un gruppo di Office365 e l'utente è un utente guest, l'utente guest non può essere aggiunto a un gruppo se l'impostazione della directory non consente l'aggiunta di un utente guest nel tenant.

    • Un errore di aggiunta utente guest in un gruppo bloccherà gli aggiornamenti dello stesso e di altri gruppi nello stesso tenant. Si può scegliere tra queste opzioni:

      • Consentire l'aggiunta di un utente guest seguendo l'impostazione Gestisci utente guest per i gruppi in un tenant.
      • Modificare la regola di gruppo per escludere un utente guest aggiungendo: (user.userType -eq "member").

  5. Se tutto sembra corretto, attendere un po' di tempo per il popolarsi del gruppo. A seconda delle dimensioni del tenant, il gruppo potrebbe richiedere fino a 24 ore per popolare la prima volta o dopo una modifica della regola.

  6. Se il problema persiste dopo 24 ore e lo stato di elaborazione risulta completo, è possibile reimpostare l'elaborazione per il gruppo per risolvere qualsiasi problema di sistema temporaneo.

    Se lo stato dell'elaborazione viene visualizzato come in elaborazione, continuare ad attendere.

Valutare l'appartenenza dinamica di un utente o di un dispositivo

Per valutare se un utente o un dispositivo soddisfa la regola per far parte di un gruppo, usare convalida manuale.

Convalida manuale

Convalidare i valori per gli attributi utente o dispositivo (in portale di Azure o usando PowerShell nella regola.

  • Assicurarsi che siano presenti utenti che soddisfano la regola.
  • Per i dispositivi, controllare le proprietà del dispositivo per assicurarsi che gli attributi sincronizzati contengano i valori previsti.

Gestire l'impostazione utente guest nel gruppo office365

Prima di tutto, installare il modulo Azure AD PowerShell

  1. Connettersi alla directory. Per altre informazioni, vedere Come connettersi alla directory tramite PowerShell .

  2. Controllare l'impostazione della directory:

    1. Leggere l'impostazione della directory del tenant: leggere le impostazioni a livello di directory.
    2. Controllare l'impostazione utente guest: come illustrato nell'immagine seguente, se AllowToAddGuests è true, controllare l'impostazione in tale gruppo specifico. Se AllowToAddGuests è false, indipendentemente dall'impostazione a livello di gruppo, gli utenti guest non possono essere aggiunti.

    Screenshot per controllare l'impostazione AllowToAddGuests.

  3. Aggiornare l'impostazione a livello di tenant. Per modificare l'impostazione dell'utente guest a livello di tenant, visitare: Come aggiornare l'impostazione a livello di tenant usando PowerShell.

  4. Controllare l'impostazione per il gruppo. Per modificare l'impostazione dell'utente guest sul valore di destinazione, se applicabile, visitare: Come controllare e aggiornare l'impostazione per un gruppo specifico usando PowerShell

I membri esistenti della regola vengono rimossi

Si tratta di un comportamento previsto. I membri esistenti del gruppo vengono rimossi quando una regola viene abilitata o modificata o gli attributi vengono modificati. Gli utenti restituiti dalla valutazione della regola vengono aggiunti come membri al gruppo.

Le modifiche all'appartenenza non vengono visualizzate immediatamente dopo l'aggiornamento di una regola

La valutazione dell'appartenenza viene eseguita periodicamente in un processo in background. Il tempo necessario per il processo è determinato da più fattori.

Forzare l'elaborazione del gruppo

Reimpostare l'elaborazione per un gruppo dinamico. Nel portale di Azure attivare manualmente la rie elaborate aggiornando la regola di appartenenza per aggiungere uno spazio vuoto al centro della regola.

Correzione di un errore di elaborazione delle regole

Errore del parser delle regole Utilizzo degli errori Utilizzo corretto
Errore: attributo non supportato (user.invalidProperty -eq "Value") (user.department -eq "value")
Assicurarsi che l'attributo sia presente nell'elenco delle proprietà supportate.
Errore: l'operatore non è supportato nell'attributo (user.accountEnabled -contains true) (user.accountEnabled -eq true)
L'operatore usato non è supportato per il tipo di proprietà( in questo esempio - contains non può essere usato nel tipo booleano). Usare gli operatori corretti per il tipo di proprietà.
Errore: Errore di compilazione delle query 1. (user.department -eq "Sales")(user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")		 1. Operatore mancante. Usare -and o -o due predicati di join: (user.department -eq "Sales") -or (user.department -eq "Marketing")
2. Errore nell'espressione regolare usata con -match
(user.userPrincipalName -match ".*@domain.ext")
o in alternativa: (user.userPrincipalName -match "@domain.ext$")

Risolvere i problemi relativi all'eliminazione o al ripristino dei gruppi dinamici

Prima di tentare di eliminare un gruppo in Microsoft Entra ID, assicurarsi di aver eliminato tutte le licenze assegnate per evitare errori.

Per altre informazioni sull'eliminazione dei gruppi in generale, vedere Eliminare un gruppo.

Eliminare un gruppo

  1. I gruppi possono essere eliminati dalla directory usando il cmdlet Remove-AzureADGroup nel modulo PowerShell di Azure AD.

    Nota

    I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

    È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

  2. Prima di tentare di eliminare un gruppo in Microsoft Entra ID, assicurarsi di aver eliminato tutte le licenze assegnate per evitare errori.

Ripristinare un gruppo eliminato

  • Se un gruppo di Office 365 viene eliminato, può essere ripristinato solo entro 30 giorni, prima dell'eliminazione definitiva. Una volta eliminato definitivamente, il gruppo non può più essere ripristinato. Per altre informazioni sul ripristino dei gruppi, vedere Ripristinare un gruppo di Microsoft 365 eliminato in Microsoft Entra ID.
  • Questa funzionalità non è supportata per i gruppi di sicurezza e i gruppi di distribuzione.
  • Verificare di essere autorizzati a ripristinare un gruppo di Office 365. Solo gli amministratori globali, gli amministratori dell'account utente, Intune amministratori del servizio o il proprietario del gruppo possono ripristinare un gruppo.

È stato ripristinato un gruppo dinamico eliminato, ma non è stato visualizzato alcun aggiornamento

Quando un gruppo dinamico viene eliminato e ripristinato, viene visto come un nuovo gruppo e ripopolato in base alla regola. Questo processo potrebbe richiedere fino a 24 ore.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.