分享方式:

使用群組在 Microsoft Entra 識別碼中管理授權的案例、限制和已知問題

  • 文章

使用下列資訊和範例,在 Microsoft Entra 標識符中取得群組型授權的更進階瞭解,這是 Microsoft Entra 的一部分。

使用位置

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

某些 Microsoft 服務 在所有位置都無法使用。 至於群組授權的指派,未指定使用位置的使用者則會繼承目錄的位置。 如果您有多個位置的使用者,請務必在用戶資源中正確反映該使用者,再將使用者新增至具有授權的群組。 在授權指派給使用者之前,系統管理員應該指定 使用者的Usage location 屬性。

  1. 以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 移至 [使用者>所有使用者],然後選取使用者。

    Screenshot of the All users pane.

  4. 選取 [ 編輯屬性]。

  5. 選取 [設定] 索引標籤,然後輸入使用者的位置。

  6. 選取儲存按鈕。

注意

群組授權指派永遠不會修改用戶的現有使用位置值。 建議您一律在 Microsoft Entra ID 中將使用位置設定為使用者建立流程的一部分(例如,透過 Microsoft Entra 連線 組態)。 遵循這類程式可確保授權指派的結果一律正確,而且使用者不會在不允許的位置收到服務。

搭配動態群組使用群組型授權

您可以搭配任何安全組使用群組型授權,包括動態群組。 動態群組會針對使用者資源屬性執行規則,以自動新增和移除成員。 屬性可以是部門、職稱、工作位置或其他自定義屬性。 每個群組都會獲指派您想要成員接收的授權。 如果屬性變更,成員會離開群組,並移除授權。

您可以指派內部部署屬性,並將其與 Microsoft Entra ID 同步處理,也可以直接在雲端中管理屬性。

警告

修改現有群組的成員資格規則時請小心。 變更規則時,將會重新評估群組的成員資格,並移除不再符合新規則的使用者(在此程序期間仍符合新規則的使用者將不會受到影響)。 這些使用者在程式期間會移除其授權,這可能會導致服務遺失,或在某些情況下遺失數據。

如果您有相依於授權指派的大型動態群組,請考慮在較小的測試群組上驗證任何重大變更,再將它們套用至主要群組。

多個群組和多個授權

用戶可以是具有授權之多個群組的成員。 以下是一些要考量的事項:

  • 相同產品的多個授權可以重疊,並導致所有已啟用的服務都套用至使用者。 例如 ,M365-P1 包含要部署到所有用戶的基礎服務,而 M365-P2 則包含 P2 服務,只部署到某些使用者。 您可以將使用者新增至一或兩個群組,並只針對產品使用一個授權。

  • 選取授權以檢視更多詳細數據,包括群組授權指派為用戶啟用哪些服務的相關信息。

直接授權與群組授權共存

當使用者從群組繼承授權時,您無法在用戶的內容中直接移除或修改該授權。 您只能在群組中變更授權指派,然後變更會傳播至所有群組成員。 如果您需要將其他功能指派給具有群組授權指派授權的使用者,您必須建立另一個群組,將其他功能指派給使用者。

當您使用群組型授權時,請考慮下列案例:

  • 群組成員會繼承指派給群組的授權。
  • 群組型授權的授權選項必須在群組層級變更。
  • 如果需要將不同的授權選項指派給使用者,請建立新的群組、將授權指派給群組,然後將使用者新增至該群組。
  • 如果使用者在不同群組型授權中使用該產品的不同授權選項,則使用者仍然只會使用產品的一個授權。

當您使用直接指派時,允許下列作業:

  • 尚未透過群組型授權指派的授權可以變更給個別使用者。
  • 您可以啟用其他服務,作為直接指派授權的一部分。
  • 您可以移除直接指派的授權,且不會影響使用者的繼承授權。

管理新增至產品的新服務

當 Microsoft 將新服務新增至產品授權方案時,預設會在您已指派產品授權的所有群組中啟用。 您組織中訂閱產品變更通知的使用者會事先收到電子郵件,通知他們即將推出的服務新增專案。

身為系統管理員,您可以檢閱受變更影響的所有群組並採取動作,例如停用每個群組中的新服務。 例如,如果您只建立以特定服務為目標進行部署的群組,您可以重新流覽這些群組,並確定已停用任何新增的服務。

以下是此程式可能看起來如下的範例:

  1. 最初,您已將 Microsoft 365 E5 產品指派給數個群組。 其中一個群組,稱為 Microsoft 365 E5 - Exchange 僅設計為只為其成員啟用 Exchange Online (方案 2) 服務。

  2. 您收到來自 Microsoft 的通知,表示 E5 產品將會隨著新的服務延伸 - Microsoft Stream。 當服務在您的組織中可供使用時,您可以完成下列步驟:

    1. 登入 Microsoft Entra 系統管理中心

  4. 選取 [Microsoft Entra ID]。

  5. 選取 [計費>授權>所有產品],然後選取 [Microsoft 365 企業版 E5],然後選取 [授權群組] 以檢視具有該產品的所有群組清單。

  6. 選取您想要檢閱的群組(在此案例中, 僅限 Microsoft 365 E5 - Exchange)。 [ 授權] 索引標籤 隨即開啟。 選取 E5 授權以檢視所有已啟用的服務。

    注意

    除了 Exchange Online 服務之外,此群組中也會自動新增並啟用 Microsoft Stream 服務:

    Screenshot of new service added to a group license.

  7. 如果您想要停用此群組中的新服務,請選取服務旁的 [開啟/關閉] 切換,然後選取 [儲存 ] 按鈕以確認變更。 Microsoft Entra ID 現在會處理群組中的所有使用者以套用變更;新增至群組的任何新使用者都不會 啟用 Microsoft Stream 服務。

    注意

    使用者可能仍可透過其他授權指派啟用服務(他們所屬的另一個群組或直接授權指派)。

  8. 如有需要,請針對指派此產品的其他群組執行相同的步驟。

使用 PowerShell 查看誰已繼承和直接授權

您可以使用 PowerShell 腳本來檢查使用者是否已直接指派或繼承自群組的授權。

  1. Connect-MgGraph -Scopes "Organization.Read.All"執行 Cmdlet,以使用 Microsoft Graph 驗證並連線到您的組織。

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname 可用來探索 Microsoft Entra 組織中所有布建的產品授權。

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. 針對您對此 PowerShell 腳本感興趣的授權使用 ServicePlanId 值。 清單會填入具有此授權的使用者,以及指派授權方式的相關信息。

使用稽核記錄來監視群組型授權活動

您可以使用 Microsoft Entra 稽核記錄 來查看與群組型授權相關的所有活動,包括:

  • 變更群組授權的人員
  • 當系統開始處理群組授權變更,以及完成時
  • 因群組授權指派而對用戶進行哪些授權變更。

您可以從 Microsoft Entra 識別子的群組或授權區域中的稽核記錄存取群組型授權的相關稽核記錄,或使用主要稽核記錄中的下列篩選組合:

  • 服務:核心目錄
  • 類別:GroupManagement 或 UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

找出誰修改授權

  1. 若要查看群組授權變更的記錄,請使用下列稽核記錄篩選選項:
    • 服務:核心目錄
    • 類別:GroupManagement
    • 活動:設定群組授權
  2. 選取結果數據表中的數據列以檢視詳細數據。
  3. 選取 [ 修改的屬性] 索引標籤,以查看許可協定的舊值和新值。

下列範例顯示上面所列的篩選設定,加上 目標 篩選設定為以 「EMS」 開頭的所有群組。

Screenshot of the Microsoft Entra audit logs including a Target filter.

若要查看特定使用者的授權變更,請使用下列篩選:

  • 服務:核心目錄
  • 類別:UserManagement
  • 活動:變更用戶授權

瞭解群組變更何時開始和完成處理

當群組上的授權變更時,Microsoft Entra ID 會開始將變更套用至所有使用者,但變更可能需要時間來處理。

  1. 若要查看群組何時開始處理,請使用下列篩選:
    • 服務:核心目錄
    • 類別:GroupManagement
    • 活動:開始將群組型授權套用至使用者
  2. 選取結果數據表中的數據列以檢視詳細數據。
  3. 選取 [ 修改的屬性] 索引標籤,以查看已挑選以進行處理的授權變更。
    • 如果您要對群組進行多個變更,但不確定已處理哪些授權,請使用這些詳細數據。
    • 作業的動作專案是 Microsoft Entra 群組型授權,這是用來執行所有群組授權變更的系統帳戶。

若要查看群組何時完成處理,請將 [ 活動 ] 篩選條件變更為 [完成將群組型授權套用至使用者]。 在此情況下,[ 修改的屬性 ] 字段包含結果的摘要,有助於快速檢查處理是否導致任何錯誤。 範例輸出:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

若要查看群組處理方式的完整記錄,包括所有用戶變更,請新增下列篩選:

  • 目標:組名
  • 起始者(動作專案):Microsoft Entra 群組型授權(區分大小寫)
  • 日期範圍 (選擇性):當您知道特定群組已啟動和完成處理時,自定義範圍

此範例輸出會顯示處理授權變更的開始和完成。

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

刪除含指派授權的群組

您無法刪除獲指派使用中授權的群組。 系統管理員可以刪除群組,但未意識到它會導致從使用者移除授權。 基於這個理由,我們必須先從群組中移除任何授權,才能刪除。

嘗試刪除入口網站中的群組時,您可能會看到如下的錯誤通知:

Screenshot group deletion failed.

移至群組上的 [ 授權] 索引 標籤,並查看是否有指派任何授權。 如果是,請移除這些授權,並嘗試再次刪除群組。

嘗試透過PowerShell或圖形 API 刪除群組時,您可能會看到類似的錯誤。 如果您使用從內部部署同步的群組,如果 Microsoft Entra 識別碼中無法刪除群組,Microsoft Entra 連線 也可能報告錯誤。 在所有這類情況下,請務必檢查是否有指派給群組的任何授權,並先將其移除。

限制和已知問題

如果您使用群組型授權,最好熟悉下列限制和已知問題清單。

  • 群組型授權目前不支援包含其他群組的群組(巢狀群組)。 如果您將授權套用至巢狀群組,則只有群組的直接第一層級使用者成員會套用授權。

  • 此功能只能與安全組和具有 securityEnabled=TRUE 的 Microsoft 365 群組搭配使用。

  • Microsoft 365 系統管理中心 目前不支援以群組為基礎的授權。 如果使用者從群組繼承授權,此授權就會以一般用戶授權的形式出現在 Office 系統管理入口網站中。 如果您嘗試修改該授權或嘗試移除授權,入口網站會傳回錯誤訊息。 繼承的群組授權無法直接在使用者上修改。

  • 指派或修改大型群組的授權時(例如100,000位使用者),可能會影響效能。 具體而言,Microsoft Entra 自動化所產生的變更量可能會對 Microsoft Entra ID 與內部部署系統之間的目錄同步處理效能造成負面影響。

  • 如果您使用動態群組來管理使用者的成員資格,請確認使用者是群組的一部分,這是授權指派的必要專案。 如果沒有, 請檢查動態群組成員資格規則 的處理狀態。

  • 在某些高負載情況下,可能需要很長的時間來處理群組的授權變更,或現有授權之群組的成員資格變更。 如果您看到您的變更需要 24 個以上的時間來處理 60 K 使用者或更少使用者的群組大小,請 開啟支援票證 ,讓我們進行調查。

  • 授權管理自動化不會自動響應環境中所有類型的變更。 例如,您可能已用盡授權,導致某些使用者處於錯誤狀態。 若要釋出可用的基座計數,您可以從其他使用者移除一些直接指派的授權。 不過,系統不會自動對此變更做出反應,並修正處於該錯誤狀態的使用者。

    作為這些限制類型因應措施,您可以移至 Microsoft Entra ID>Groups> 選取群組選取 [>授權>] 選取 [重新處理]。 此命令會盡可能處理該群組中的所有使用者,並解決錯誤狀態。

下一步

若要深入瞭解透過群組型授權進行授權管理的其他案例,請參閱: