Creo que este es el error.
Cuando actualizabas los correos electrónicos mediante SSO porque tenías habilitado sso_overrides_email, la pertenencia automática al grupo no se aplicaba.
Sí se aplicaba en las creaciones iniciales de usuarios.
Nota: el concepto de “retroactivo” en su conjunto es extremadamente confuso; probablemente deberíamos eliminarlo. Te recomiendo asegurarte de que la opción Aplicar la misma regla de dominio de correo electrónico para agregar usuarios registrados existentes esté siempre activada, ya que la vamos a eliminar.