你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Active Directory 中基于组的许可是什么?

Microsoft 付费云服务(如 Microsoft 365、企业移动性 + 安全性、Dynamics 365 及其他类似产品)需要许可证。 这些许可证将分配给需要访问这些服务的每个用户。 若要管理许可证,管理员可以使用某种管理门户(Office 或 Azure)和 PowerShell cmdlet。 Azure AD 是支持所有 Microsoft 云服务的标识管理的底层基础结构。 Azure AD 存储有关用户许可证分配状态的信息。

Azure AD 包括基于组的许可,支持向组分配一个或多个产品许可证。 Azure AD 确保将许可证分配给该组的所有成员。 将向加入该组的任何新成员分配适当的许可证。 在这些成员离开组时,将删除相应的许可证。 使用此许可管理功能后,将不再需要通过 PowerShell 自动执行许可证管理以反映每个用户的组织和部门结构变化。

许可要求

对于受益于基于组的许可的每个用户,你必须具有以下许可证之一:

  • Azure AD Premium P1 及更高版本的付费或试用订阅

  • Microsoft 365 商业高级版、Office 365 企业版 E3、Office 365 A3、Office 365 GCC G3、Office 365 E3 for GCCH 或 Office 365 E3 for DOD 及更高版本的付费或试用版

所需许可证数

对于分配了许可证的任何组,你还必须具有用于每个唯一成员的许可证。 虽然不是必须为组的每个成员分配一个许可证,但是你必须至少具有足够的许可证来包括所有成员。 例如,如果你的租户中经许可的组有 1,000 个唯一成员,则必须至少具有 1,000 个许可证才满足许可协议。

功能

以下是基于组的许可的主要功能:

  • 可以将许可证分配到 Azure AD 中的任何安全组。 可使用 Azure AD Connect 从本地同步安全组。 还可在 Azure AD 中直接创建安全组(也称为“仅限云的组”),或通过 Azure AD 的动态组功能自动创建安全组。

  • 将产品许可证分配到组时,管理员可以禁用产品中的一个或多个服务计划。 通常,在组织尚未准备好开始使用产品中包含的服务时会执行此分配。 例如,管理员可能会将 Microsoft 365 分配给某个部门,但暂时禁用 Yammer 服务。

  • 支持需要用户级许可的所有 Microsoft 云服务。 此支持包括所有 Microsoft 365 产品、企业移动性 + 安全性和 Dynamics 365。

  • 基于组的许可目前仅通过 Azure 门户提供。 如果主要使用其他管理门户(例如 Microsoft 365 管理中心)来管理用户和组,可以继续这样做。 但是,应该使用 Azure 门户在组级别管理许可证。

  • Azure AD 会自动管理由组成员身份更改导致的许可证修改。 通常,在组成员身份发生更改时,许可证修改在几分钟内就会生效。

  • 用户可以是指定了许可证策略的多个组的成员。 用户也可以拥有在任何组外部直接分配的许可证。 生成的用户状态是所有已分配产品和服务许可证的组合。 如果为用户分配了来自多个源的同一许可证,则该许可证将仅使用一次。

  • 在某些情况下,无法向用户分配许可证。 例如,当租户中可用许可证不足时,或者同时分配了冲突服务时。 对于 Azure AD 无法完全处理其组许可证的用户,管理员有权访问其信息。 然后,可以根据这些信息采取纠正措施。

我们欢迎反馈!

如果有反馈或功能请求,请使用 Azure AD 管理员论坛将其与我们共享。

后续步骤

若要详细了解通过基于组的许可进行许可证管理的其他方案,请参阅: