グループに関する問題のトラブルシューティングと解決

  • [アーティクル]

この記事では、Microsoft Entra の一部である Microsoft Entra ID のグループのトラブルシューティング情報について説明します。

グループの作成に関する問題のトラブルシューティング

Azure portal でセキュリティ グループの作成を無効にしましたが、PowerShell でグループを作成できます
Azure portal の [User can create security groups in Azure portals](ユーザーは Azure portal でセキュリティ グループを作成できる) 設定は、管理者以外のユーザーがアクセス パネルまたは Azure portal でセキュリティ グループを作成できるかどうかを制御します。 PowerShell を使用したセキュリティ グループの作成については制御されません。

Powershell で管理者以外のユーザーによるグループの作成を無効にするには、次のようにします。

  1. 管理者以外のユーザーにグループの作成が許可されていることを確認します。

    Get-MgBetaDirectorySetting | select -ExpandProperty values

  2. EnableGroupCreation : True が返された場合は、管理者以外のユーザーはグループを作成できます。 この機能を無効にするには、次のコマンドを実行します。

     Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
 $params = @{
 TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
 Values = @(		
 	@{
 		Name = "EnableGroupCreation"
 		Value = "false"
 	}		
 )
 }
 Connect-MgGraph -Scopes "Directory.ReadWrite.All"
 New-MgBetaDirectorySetting -BodyParameter $params

PowerShell で動的グループを作成しようとしたときに、最大許容グループ数のエラーが表示されました
PowerShell で動的グループ ポリシーの最大許容グループ数に達したことを示すメッセージが表示される場合、組織内の動的グループの数が上限に達したことを意味します。 組織ごとの動的グループの最大数は 5,000 です。

新しい動的グループを作成するには、まず既存の動的グループをいくつか削除する必要があります。 上限を増やす方法はありません。

グループの動的メンバーシップのトラブルシューティング

グループに対するルールを構成しましたが、グループのメンバーシップが更新されません

  1. ルール内のユーザー属性またはデバイス属性の値を確認します。 ルールを満たすユーザーが存在することを確認してください。 デバイスの場合は、デバイスのプロパティを調べて、同期された属性に予期される値が含まれていることを確認してください。
  2. メンバーシップの処理の状態を調べて、処理が完了しているかどうかを確認してください。 グループの [概要] ページで、メンバーシップの処理状態と最終更新日を確認できます。

何も問題がなさそうな場合、グループが設定されるまでしばらく待ってください。 グループを初めて設定する場合、またはルールの変更後に設定する場合、Microsoft Entra 組織のサイズによっては最大 24 時間かかる場合があります。

ルールの設定を変更したのですが、そのルールの既存のメンバーが削除されてしまいました
これは通常の動作です。 ルールを有効にしたり変更を加えたりするとグループの既存のメンバーは削除されます。 ルールの評価から返されたユーザーは、グループのメンバーとして追加されます。

ルールを追加または変更してもすぐにはメンバーシップの変更を確認できません。なぜでしょうか。
メンバーシップの評価に特化した機能が、非同期のバックグラウンド プロセスで定期的に実行されます。 プロセスにかかる時間は、ディレクトリ内のユーザー数と、ルールの結果として作成されるグループのサイズによって変わります。 ユーザー数の少ないディレクトリであれば通常、グループ メンバーシップの変更が数分以内に反映されます。 ディレクトリのユーザー数が多いと、変更が反映されるまでに 30 分以上かかる場合があります。

グループが今すぐ処理されるように強制するにはどうすればよいですか。
現時点では、グループの処理をオンデマンドで自動的にトリガーする方法はありません。 ただし、メンバーシップ ルールを更新して末尾に空白文字を追加すると、手動で再処理をトリガーできます。

ルール処理エラーが発生しました
次の表は、一般的な動的メンバーシップ ルール エラーとその修正方法をまとめたものです。

ルール パーサー エラー 間違った使用法 正しい使用法
エラー: 属性がサポートされていません。 (user.invalidProperty -eq "Value") (user.department -eq "value")

該当する属性が、サポートされているプロパティ一覧に記載されていることを確認してください。
エラー: 属性で演算子がサポートされていません。 (user.accountEnabled -contains true) (user.accountEnabled -eq true)

プロパティの型に対してサポートされていない演算子が使用されています (この例では、-contains をブール型で使用することはできません)。 プロパティの型に合った適切な演算子を使用してください。
エラー: クエリ コンパイル エラー。 1. (user.department -eq "Sales") (user.department -eq "Marketing")
2. (user.userPrincipalName -match "*@domain.ext")		 1. 演算子が不足しています。 述語を結合するには -and か -or を使用します。
(user.department -eq "Sales") -or (user.department -eq "Marketing")
2. -match に使用されている正規表現に誤りがあります
(user.userPrincipalName -match ".*@domain.ext")
または: (user.userPrincipalName -match "@domain.ext$")

次のステップ

これらの記事では、Microsoft Entra ID に関する追加情報が提供されています。