Felsöka och lösa problem med grupper

Den här artikeln innehåller felsökningsinformation för grupper i Microsoft Entra ID, en del av Microsoft Entra.

Felsöka problem med att skapa grupper

Jag har inaktiverat skapandet av säkerhetsgrupper i Azure-portalen, men grupper kan fortfarande skapas via PowerShell
Användaren kan skapa säkerhetsgrupper i Azure Portals-inställningen i Azure-portalen styr om icke-användare kan skapa säkerhetsgrupper i åtkomstpanelen eller i Azure-portalen. Den styr inte skapandet av säkerhetsgrupper via PowerShell.

Så här inaktiverar du skapande av grupper för användare som inte är användare i PowerShell:

1. Kontrollera att användare som inte är användare tillåts att skapa grupper:

   Get-MgBetaDirectorySetting | select -ExpandProperty values
   

2. Om den returnerar EnableGroupCreation : Truekan icke-administratörsanvändare skapa grupper. Så här inaktiverar du den här funktionen:

    Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    $params = @{
    TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b"
    Values = @(		
    	@{
    		Name = "EnableGroupCreation"
    		Value = "false"
    	}		
    )
    }
    Connect-MgGraph -Scopes "Directory.ReadWrite.All"
    New-MgBetaDirectorySetting -BodyParameter $params
   
   

Jag fick ett maximalt antal tillåtna grupper när jag försökte skapa en dynamisk grupp i PowerShell
Om du får ett meddelande i PowerShell som anger maximalt antal tillåtna grupper i dynamiska grupper innebär det att du har nått maxgränsen för dynamiska grupper i din organisation. Det maximala antalet dynamiska grupper per organisation är 5 000.

Om du vill skapa nya dynamiska grupper måste du först ta bort några befintliga dynamiska grupper. Det finns inget sätt att öka gränsen.

Felsöka dynamiska medlemskap för grupper

Jag har konfigurerat en regel för en grupp men inga medlemskap uppdateras i gruppen

1. Kontrollera värdena för användar- eller enhetsattribut i regeln. Se till att det finns användare som uppfyller regeln. För enheter kontrollerar du enhetsegenskaperna för att säkerställa att alla synkroniserade attribut innehåller de förväntade värdena.
2. Kontrollera statusen för medlemskapsbearbetning för att bekräfta om den är klar. Du kan kontrollera statusen för medlemskapsbearbetning och det senast uppdaterade datumet på sidan Översikt för gruppen.

Om allt ser bra ut kan du ge gruppen lite tid att fyllas i. Beroende på storleken på din Microsoft Entra-organisation kan det ta upp till 24 timmar innan gruppen fylls i för första gången eller efter en regeländring.

Jag har konfigurerat en regel, men nu tas de befintliga medlemmarna i regeln bort
Det här beteendet är förväntat. Befintliga medlemmar i gruppen tas bort när en regel aktiveras eller ändras. De användare som returneras från utvärderingen av regeln läggs till som medlemmar i gruppen.

Jag ser inte medlemskapsändringar direkt när jag lägger till eller ändrar en regel, varför inte?
Utvärdering av dedikerade medlemskap görs regelbundet i en asynkron bakgrundsprocess. Hur lång tid processen tar bestäms av antalet användare i din katalog och storleken på den grupp som skapats som ett resultat av regeln. Vanligtvis ser kataloger med ett litet antal användare gruppmedlemskapsändringar på mindre än några minuter. Kataloger med ett stort antal användare kan ta 30 minuter eller längre att fylla i.

Hur kan jag tvinga gruppen att bearbetas nu?
För närvarande finns det inget sätt att automatiskt utlösa gruppen som ska bearbetas på begäran. Du kan dock utlösa ombearbetningen manuellt genom att uppdatera medlemskapsregeln för att lägga till ett tomt utrymme i slutet.

Jag stötte på ett fel vid regelbearbetning
I följande tabell visas vanliga fel med regeln för dynamiskt medlemskap och hur du korrigerar dem.

Regelparserfel	Felanvändning	Korrigerad användning
Fel: Attributet stöds inte.	(user.invalidProperty -eq "Value")	(user.department -eq "value") Kontrollera att attributet finns i egenskapslistan som stöds.
Fel: Operatorn stöds inte för attributet.	(user.accountEnabled -contains true)	(user.accountEnabled -eq true) Operatorn som används stöds inte för egenskapstypen (i det här exemplet kan -contains inte användas på typen boolesk). Använd rätt operatorer för egenskapstypen.
Fel: Frågekompileringsfel.	1. (user.department -eq "Sales") (user.department -eq "Marketing") 2. (user.userPrincipalName -match "*@domain.ext")	1. Operatorn saknas. Använd - och - eller för att ansluta predikater (user.department -eq "Sales") -or (user.department -eq "Marketing") 2. Fel i reguljärt uttryck som används med -match (user.userPrincipalName -match ".*@domain.ext") eller alternativt: (user.userPrincipalName -match "@domain.ext$")

Nästa steg

De här artiklarna innehåller ytterligare information om Microsoft Entra-ID.

• Hantera åtkomst till resurser med Microsoft Entra-grupper
• Programhantering i Microsoft Entra-ID
• Vad är Microsoft Entra-ID?
• Integrera dina lokala identiteter med Microsoft Entra-ID