Microsoft Entra 中的动态成员身份组是一项功能强大的功能,允许管理员自动执行组成员身份管理。 对成员身份的更改通常在几个小时内处理。 但是,在某些情况下,客户可能会遇到成员身份更新延迟。 处理可能需要 24 小时以上。 了解根本原因有助于管理员优化其配置,并避免不必要的处理瓶颈。
动态组处理的工作原理
动态组处理按顺序运行,这意味着对单个租户的更改进行计算并按顺序应用,而不是一次性应用所有更改。 大量更改(尤其是影响许多用户或设备)可能会导致长时间处理队列,从而延长更新完成处理所需的时间。
影响处理时间的关键因素
影响处理的最三大因素可能导致成员身份更新花费较长时间:
动态组数:具有大量动态组的租户需要更多的评估,从而增加处理时间。
对象更改数:大量用户或设备更改可以创建较长的处理队列,从而延长完成处理所需的时间。 一些示例包括:对扩展属性、设备添加或删除以及批量用户更新的更改。
规则配置:某些规则配置可能会影响处理时间。 例如,选择效率低下的运算符(如 Match、Contains 或 MemberOf)可能会增加处理时间。 规则复杂性也是一个促成因素。
管理租户中的动态会员组的最佳做法
若要确保高效处理并最大程度地减少延迟,请考虑以下最佳做法:
监控租户中动态成员组的数量
定期查看租户中的组数,并删除非活动或过时的组。
暂停非必要群组:
如果预计对组成员身份进行大量更改(例如,对 500 多个组进行更改或更改超过 20,000 个成员身份更改),请暂停非特定组以提高处理性能。
何时暂停组处理:
计划的大规模更新:如果您预计对组成员资格进行大量更改(例如,对超过 500 个组进行更改或进行超过 20,000 次成员身份更改)。
意外延迟:如果你发现组成员身份未更改/遇到意外的延迟。
如何暂停/恢复:
使用“暂停所有组”脚本可以暂时停止处理,并允许服务在恢复之前恢复。
不要立即取消暂停组。 建议等待至少 24 小时,以便组处理进度赶上,然后查看审核日志,看看是否已恢复正常。 如有必要,分阶段而不是一次性取消暂停组。
优化规则效率
尽量避免 在规则中使用 Match 运算符。 请改用 StartsWith、Equals 或 EndsWith 运算符。
避免包含:与使用“匹配”类似,尽可能避免在规则中使用“包含”运算符,因为它可能会增加处理时间。
使用更少的 OR 运算符:请改用 -in 运算符将它们分组为单个条件,使规则更易于计算。
暂时尽量减少使用 MemberOf:
memberOf(目前以预览版提供)可能会提高复杂性,特别是当租户存在大量的组或频繁更新时。 如果可能,请避免使用此运算符,因为它带有 bug 和限制。 建议删除租户中的现有 MemberOf 组:详细了解
注释
查看 “创建更简单、更高效的规则 ”,以帮助优化动态组处理。
其他故障排除资源
动态组处理的延迟主要由于大量更改和大量组而发生。 通过遵循最佳做法(例如优化规则效率、监视更改和在需要时暂停无状态组),IT 管理员可以改进处理性能,并避免不必要的延迟。
相关文章
- 在 Microsoft Entra ID 中管理动态成员身份组的规则
- 请查看排查动态组处理问题中有关暂停组处理的详细信息