使用群組來管理 Microsoft Entra ID 授權的案例、限制及已知問題

使用下列資訊和範例，以更深入了解 Microsoft Entra ID (Microsoft Entra 的一部分) 中的群組型授權。

使用位置

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

並非所有位置都可使用某些 Microsoft 服務。 至於群組授權的指派，未指定使用位置的使用者則會繼承目錄的位置。 如果您在多個位置皆有使用者，請確定您已在使用者資源中正確反映，再將使用者新增至具有授權的群組。 系統管理員應該先指定使用者的 [使用位置] 屬性，才能將授權指派給使用者。

1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心。

2. 選取 [Microsoft Entra ID]。

3. 移至 [使用者]>[所有使用者]，然後選取使用者。

   

4. 選取 [編輯屬性]。

5. 選取 [設定] 索引標籤，然後輸入使用者的位置。

6. 選取儲存按鈕。

注意

群組授權指派永遠不會修改使用者現有的使用位置值。 建議您一律將使用位置設為 Microsoft Entra ID 中使用者建立流程的一部分 (例如，透過 Microsoft Entra Connect 設定)。 遵循這類流程可確保授權指派的結果一律正確，且使用者不會在不允許的位置收到服務。

對動態群組使用群組型授權

您可以搭配任何安全性群組使用群組型授權，包括動態群組。 動態群組會對使用者資源屬性執行規則，以自動新增和移除成員。 屬性可以是部門、職稱、工作位置或其他自訂屬性。 每個群組都會獲指派您想要成員接收的授權。 如果屬性發生變更，成員就會離開群組，且授權會遭到移除。

您可以在內部部署指派屬性，再將其與 Microsoft Entra ID 同步，或者，也可以直接在雲端管理屬性。

警告

修改現有群組的成員資格規則時請小心。 變更規則時，將會重新評估群組的成員資格，並移除不再符合新規則的使用者 (在此程序期間不會影響仍符合新規則的使用者)。 這些使用者的授權會在程序期間移除，而導致服務遺失，或在某些情況下導致資料遺失。

如果需要授權指派的動態群組很大，請考慮在較小的測試群組上驗證任何重大變更，再將這些變更套用至主要群組。

多個群組和多個授權

使用者可以是多個具有授權之群組的成員。 以下是一些要考量的事項：

• 相同產品的多個授權可能重疊，導致所有已啟用的服務套用至使用者。 例如，M365-P1 包含要部署到所有使用者的基礎服務，M365-P2 則包含只部署到某些使用者的 P2 服務。 您可以將使用者新增至一或兩個群組，並僅針對產品使用一個授權。

• 選取授權可檢視更多詳細資料，包括透過群組授權指派為使用者啟用哪些服務的相關資訊。

直接授權與群組授權共存

使用者從群組繼承授權時，您無法直接在使用者屬性中移除或修改該授權。 您只能變更群組中的授權指派，變更會接著傳播至所有群組成員。 若要將其他功能指派給擁有群組授權指派授權的使用者，您必須建立另一個群組，才能將其他功能指派給使用者。

使用群組型授權時，請考慮下列案例：

• 群組成員會繼承指派給群組的授權。
• 群組型授權的授權選項必須在群組層級進行變更。
• 如果需要將不同的授權選項指派給使用者，請建立新的群組、將授權指派給群組，然後將使用者新增至該群組。
• 如果在不同群組型授權中使用某個產品的不同授權選項，則使用者仍然只能使用該產品的一個授權。

使用直接指派時允許下列作業︰

• 可以為個別使用者變更尚未透過群組型授權指派的授權。
• 可以啟用其他服務，作為直接指派授權的一部分。
• 可以移除直接指派的授權，而不會影響使用者的繼承授權。

管理新增至產品的新服務

Microsoft 新增服務至某項產品授權方案時，預設會在您指派產品授權的所有群組中啟用這項服務。 您組織中訂閱產品變更相關通知的使用者會事先收到電子郵件，通知他們即將新增服務。

身為系統管理員，您可以檢閱受變更影響的所有群組，並採取動作，例如停用每個群組中的新服務。 例如，如果您建立的群組只要以用於部署的特定服務為目標，您可以返回這些群組，並確定已停用所有新增的服務。

此流程可能如以下範例所示：

1. 您一開始將 Microsoft 365 E5 產品指派給數個群組。 其中一個群組稱為「Microsoft 365 E5 -僅限 Exchange」，設計成只會為其成員啟用 [Exchange Online (方案 2)] 服務。

2. 您收到來自 Microsoft 的通知，指出 E5 產品將透過新服務 Microsoft Stream 擴充。 此服務可供您組織使用時，您可以完成下列步驟：

3. 1. 登入 Microsoft Entra 系統管理中心

4. 選取 [Microsoft Entra ID]。

5. 選取 [帳單]>[授權][所有產品]>，並選取 [Microsoft 365 企業版 E5]，然後選取 [授權群組] 以檢視包含該產品的所有群組清單。

6. 選取您要檢閱的群組 (在本例中為「Microsoft 365 E5 - 僅限 Exchange」)。 [授權] 索引標籤隨即開啟。 選取 E5 授權以檢視所有已啟用的服務。

   注意

   在此群組中，除了 Exchange Online 服務，還會自動新增並啟用 Microsoft Stream 服務：

   

7. 若要停用此群組中的新服務，請選取服務旁的 [開啟/關閉] 切換，然後選取 [儲存] 按鈕以確認變更。 Microsoft Entra ID 現在會處理群組中的所有使用者以套用變更；新增至群組的任何新使用者都不會啟用 Microsoft Stream 服務。

   注意

   使用者仍然可以透過其他授權指派 (使用者所屬的另一個群組或直接授權指派) 啟用服務。

8. 如有需要，請對指派此產品的其他群組執行相同步驟。

使用 PowerShell 查看誰具有繼承和直接授權

您可以使用 PowerShell 指令碼，來檢查使用者是否有直接指派或繼承自群組的授權。

1. 執行 Connect-MgGraph -Scopes "Organization.Read.All" Cmdlet 以使用 Microsoft Graph 驗證並連線至您的組織。

2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname 可用於探索 Microsoft Entra 組織中佈建的所有產品授權。

   

3. 透過此 PowerShell 指令碼對您感興趣的授權使用 ServicePlanId 值。 清單會填入具有此授權的使用者，以及指派授權方式的相關資訊。

使用稽核記錄來監視群組型授權活動

您可以使用 Microsoft Entra 稽核記錄來查看與群組型授權相關的所有活動，包括：

• 哪些人變更了群組的授權
• 系統何時開始處理群組授權變更，以及何時完成
• 由於群組授權指派而對使用者做了哪些授權變更。

您可以從 Microsoft Entra ID 的 [群組] 或 [授權] 區域中的稽核記錄存取群組型授權的相關稽核記錄，或從主要稽核記錄使用下列篩選組合：

• 服務：核心目錄
• 類別：GroupManagement 或 UserManagement

了解哪些人修改了授權

1. 若要查看群組授權變更的記錄，請使用下列稽核記錄篩選選項：
   • 服務：核心目錄
   • 類別：GroupManagement
   • 活動：設定群組授權
2. 選取結果資料表中的資料列以檢視詳細資料。
3. 選取 [已修改的屬性] 索引標籤，查看授權合約的新舊值。

下列範例顯示上面所列的篩選設定，加上 [目標] 篩選設定為以 "EMS" 開頭的所有群組。

若要查看特定使用者的授權變更，請使用下列篩選：

• 服務：核心目錄
• 類別：UserManagement
• 活動：變更使用者授權

了解群組變更何時開始和完成處理

群組上的授權變更時，Microsoft Entra ID 會開始將變更套用至所有使用者，但處理變更可能需要一段時間。

1. 若要查看群組何時開始處理，請使用下列篩選：
   • 服務：核心目錄
   • 類別：GroupManagement
   • 活動︰開始將群組型授權套用至使用者
2. 選取結果資料表中的資料列以檢視詳細資料。
3. 選取 [已修改的屬性] 索引標籤，查看已挑選進行處理的授權變更。
   • 若要對群組進行多項變更，但不確定已處理哪些授權，請使用這些詳細資料。
   • 此作業的執行者是「Microsoft Entra 群組型授權」，這是用來執行所有群組授權變更的系統帳戶。

若要查看群組何時完成處理，請將 [活動] 篩選變更為 [完成將群組型授權套用至使用者]。 在此情況下，[已修改的屬性] 欄位會包含結果的摘要，這項資訊有助於快速檢查處理是否導致任何錯誤。 範例輸出：

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

若要查看群組處理方式的完整記錄 (包括所有使用者變更)，請新增下列篩選：

• 目標：群組名稱
• 起始者 (執行者)：Microsoft Entra 群組型授權 (區分大小寫)
• 日期範圍 (選用)：特定群組開始和完成處理時間的自訂範圍

此範例輸出會顯示處理授權變更的開始和完成時間。

刪除含指派授權的群組

您無法刪除獲指派使用中授權的群組。 系統管理員可能會刪除某個群組，但未意識到這會導致移除使用者的授權。 基於這個理由，我們要求先從群組中移除任何授權，然後才能刪除群組。

嘗試在入口網站中刪除群組時，您可能會看到如下的錯誤通知：

移至群組 [授權] 索引標籤，並查看是否有任何指派的授權。 如果是，移除這些授權，並試著再次刪除群組。

嘗試透過 PowerShell 或圖形 API 刪除群組時，您可能會看到類似的錯誤。 若使用從內部部署同步的群組， Microsoft Entra Connect 無法在 Microsoft Entra ID 中刪除群組時，可能也會報告錯誤。 在所有情況下，請務必檢查是否有指派給群組的任何授權，並先移除它們。

限制和已知問題

如果您使用群組型授權，最好先熟悉下列的限制和已知問題清單。

• 群組型授權目前不支援包含其他群組的群組 (巢狀群組)。 如果您將授權套用至巢狀群組，則只有群組的直接第一層級使用者成員會套用授權。

• 只有安全性群組和 securityEnabled = TRUE 的 Microsoft 365 群組才能使用此功能。

• Microsoft 365 系統管理中心目前不支援群組型授權。 如果使用者從群組繼承授權，此授權在 Office 系統管理入口網站中會顯示為一般使用者授權。 如果您嘗試修改該授權或嘗試移除授權，入口網站會傳回錯誤訊息。 無法直接修改使用者繼承的群組授權。

• 指派或修改大型群組 (例如 100,000 個使用者) 的授權時，可能會影響效能。 具體來說，Microsoft Entra 自動化所產生的大量變更，可能會降低 Microsoft Entra ID 和內部部署系統之間目錄同步作業的效能。

• 若使用動態群組來管理使用者的成員資格，請確認使用者是群組的一部分，如此才能指派授權。 否則，請對動態群組檢查成員資格規則的處理狀態。

• 在某些高負載情況下，處理群組的授權變更，或現有授權的群組成員資格變更，可能需要很長的時間。 若發現變更需要 24 小時以上才能將使用者數為 60 K 或以下的群組大小處理完畢，請開啟支援票證讓我們調查。

• 授權管理自動化並不會自動對環境中所有類型的變更做出回應。 例如，您可能已用盡授權，導致某些使用者處於錯誤狀態。 若要釋出可用的授權數量，您可以移除其他使用者的一些直接指派授權。 不過，系統不會自動回應這項變更，也不會修正處於該錯誤狀態的使用者。

  作為這類限制的因應措施，您可以移至 [Microsoft Entra ID]>[群組]> 選取群組 > 選取 [授權]> 選取 [重新處理]。 此命令會處理該群組中的所有使用者，並解決錯誤狀態 (如果可能)。

下一步

若要深入了解透過群組型授權來管理授權的其他案例，請參閱：

• Microsoft Entra ID 中的群組型授權為何？
• 將授權指派給 Microsoft Entra ID 中的群組
• 識別並解決 Microsoft Entra ID 中群組的授權問題
• 如何在 Microsoft Entra ID 中將個別授權使用者移轉至群組型授權
• 如何使用 Microsoft Entra ID 中的群組型授權在產品授權之間移轉使用者