Microsoft Entra ID 中的动态成员身份组是一项功能强大的功能,使管理员能够自动管理组成员身份。 成员身份更改通常在几个小时内处理。
但是,在某些情况下,客户可能会遇到成员身份更新延迟。 处理可能需要 24 小时以上。 了解根本原因有助于管理员优化其配置,并避免不必要的处理瓶颈。
动态组处理的工作原理
动态组处理按顺序运行。 对单个租户的更改按顺序进行评估和应用,而不是一次性应用所有更改。 大量更改(尤其是影响许多用户或设备时)可能会导致长时间的处理队列。 排队可能会延长完成更新处理所需的时间。
影响处理时间的关键因素
影响处理并可能导致成员身份更新花费较长时间的三大因素包括:
动态组数:具有大量动态组的租户需要更多的评估,从而增加处理时间。
对象更改数:大量用户或设备更改可以创建长处理队列并延长处理时间。 示例包括对扩展属性、设备添加或删除以及批量用户更新的更改。
规则配置:某些规则配置可能会影响处理时间。 例如,选择效率低下的运算符(例如
Match,Contains或memberOf可以增加处理时间)。 规则复杂性也是一个促成因素。
在租户中管理动态群组的最佳做法
为了帮助确保高效处理并最大程度地减少延迟,请考虑以下最佳做法。
监视租户中的动态成员组数量
定期查看您租户中的组数量。 删除非活动或过时的组。
暂停非必要组
可以暂停非必要组以提高处理性能。 在以下情况中,你可能会考虑暂停组处理操作:
- 计划的大规模更新:您预计会对组成员身份进行大量更改。 例如,你计划对 500 多个组进行更改或进行 20,000 多个成员身份更改。
- 意外延迟:你注意到组成员身份未更改,并且遇到意外的延迟。
若要暂时停止处理,请使用 “暂停所有组” 脚本。 在继续之前,允许服务恢复。
不要立即取消暂停组。 建议等待至少 24 小时,以便让组处理进程有时间追上进度。 然后,检查审核日志,查看它们是否回到基线。 如有必要,分阶段而不是一次性取消暂停组。
优化规则效率
尽量避免在规则中使用
Match运算符。 请不要使用它们,而应改用StartsWith、Equals或EndsWith运算符。尽量避免在规则中使用
Contains运算符。 这可能会导致处理时间增加。使用更少的
-or运算符。 请改用运算符将-in规则分组为单个条件。 分组规则使它们更易于评估。请尽可能避免使用
memberOf运算符。 它目前以预览版形式提供,并附带了错误和限制。 它还可能会引入更复杂的情况,尤其是在租户具有大量组或频繁更新时。 建议删除租户中现有的memberOf组。
若要获取有关优化动态组处理的更多帮助,请查看 “为Microsoft Entra ID 中的动态成员身份组创建更简单、更高效的规则。
概要
动态组处理的延迟主要由于大量更改和大量组而发生。 通过遵循优化规则效率、监视更改和在必要时暂停无状态组等最佳做法,IT 管理员可以提高处理性能,避免不必要的延迟。