如何將具有個別授權的使用者移轉至群組以進行授權
在 Microsoft Entra ID (Microsoft Entra 的一部分) 中,您可以直接指派、使用 PowerShell 指令碼或其他工具來指派個別使用者授權,將授權部署至租用戶組織中的使用者。 在您開始使用群組型授權來管理組織中的授權之前,您可以使用此移轉方案,透過群組型授權順暢地取代現有的解決方案。
最重要且需謹記的情況是,您應該避免移轉到以群組為基礎的授權,這會導致使用者暫時遺失其目前獲指派的授權。 您應避免可能造成授權移除的任何處理,藉此避免使用者失去服務及其資料的存取權。
建議的移轉程序
您有適用於使用者的現有自動化 (例如,PowerShell) 管理授權指派和移除。 讓其如往常般執行。
建立新的授權群組 (或決定要使用哪些現有群組),並確定所有必要的使用者都已新增為成員。
將必要的授權指派給這些群組;您的目標應該是反映現有自動化 (例如,PowerShell) 套用至這些使用者的相同授權狀態。
確認已將授權套用至這些群組中的所有使用者。 這個應用程式可以透過檢查每個群組的處理狀態以及檢查稽核記錄來完成。
您可以特別檢查個別使用者,方法是查看他們的授權詳細資料。 您會看到他們具有從群組「直接」和「繼承」指派的相同授權。
您可以執行 PowerShell 指令碼來驗證授權如何指派給使用者。
當相同的產品授權直接和透過群組指派給使用者時,使用者只會使用一個授權。 因此不需要其他授權即可執行移轉。
檢查每個群組中是否有處於錯誤狀態的使用者,以確認沒有失敗的授權指派。 如需詳細資訊,請參閱識別及解決群組的授權問題。
請考量移除原始的直接指派。 建議您逐步進行,並且先監視使用者子集上的結果。 您可以留著使用者上的原始直接指派,但是當使用者離開其授權群組時,將保留直接指派的授權,而這可能不是您預期的結果。
範例
組織有 1000 個使用者。 所有使用者都需要 Office 365 企業版 E3 授權。 目前組織有一個在內部部署執行的 PowerShell 指令碼,可隨著使用者來來去去而新增和移除授權。 不過,組織想要以群組型授權取代指令碼,以便讓 Microsoft Entra ID 自動管理授權。
移轉程序看起來會像這樣:
使用 Azure 入口網站,將 Office 365 E3 授權指派給 Microsoft Entra ID 中的 [所有使用者] 群組。
確認已完成所有使用者的授權指派。 移至群組的概觀頁面,選取 [授權],然後在 [授權] 刀鋒視窗頂端檢查處理狀態。
尋找「最新授權變更已套用至所有使用者」以確認處理已完成。
尋找通知,其中指出未成功指派授權的使用者。 我們是否已經為部分使用者用完授權? 某些使用者是否有衝突的授權方案,使其無法繼承群組授權?
特別檢查某些使用者,以確認其套用直接和群組授權。 移至使用者的設定檔頁面,選取 [授權],然後檢查授權狀態。
此影像顯示移轉期間的預期使用者狀態:
這可確認使用者擁有直接和繼承的授權。 我們會看到已指派 Office 365 E3。
選取每個授權以查看已啟用的服務。 若要確認直接和群組授權為使用者啟用的服務完全相同,請選取 [指派]。
確認直接授權和群組授權都相等之後,您就可以開始移除使用者的直接授權。 您可以在入口網站中移除個別使用者,藉此進行測試,然後執行自動化指令碼以大量移除。 以下是透過入口網站移除直接授權的相同使用者範例。 請注意,授權狀態維持不變,但是我們不會再看到直接指派。
下一步
深入了解群組授權管理的其他案例:
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: