找出並解決 Microsoft Entra ID 中的群組授權指派問題

  • 發行項

Microsoft Entra 識別碼中的群組型授權,屬於 Microsoft Entra 的一部分,會介紹使用者處於授權錯誤狀態的概念。 在本文中,我們會說明使用者最終可能處於此狀態的原因。

當您直接將授權指派給個別使用者,而不使用群組型授權時,指派作業可能會因為與商務邏輯相關的原因而失敗。 例如,授權數量可能不足,或是兩個服務方案之間無法同時指派因而發生衝突。 系統會立即向您回報問題。

尋找授權指派錯誤

當您使用以群組為基礎的授權時,可能會發生相同的錯誤,但在 Microsoft Entra 服務指派授權時,會發生在背景中。 因此,無法立即將錯誤傳達給您。 而是將其記錄在使用者物件上,然後透過系統管理入口網站回報。 授權使用者的原始目的從未遺失,但是會記錄為錯誤狀態,以供日後調查和解決。

若要尋找群組中處於錯誤狀態的使用者

  1. 以至少授權管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 流覽至 [計費 > 授權 ] 以開啟頁面,您可以在其中查看及管理組織中所有可授權的產品。

  4. 將群組開啟至其 [概觀] 頁面,然後選取 [授權]。 如果有任何使用者處於錯誤狀態,則會出現通知。

    Screenshot of group and error notifications messages.

  5. 選取通知以開啟所有受影響使用者的清單。 您可以個別選取每個使用者,以查看更多詳細資料。

    Screenshot of list of users in group licensing error state.

  6. 若要尋找包含至少一個錯誤的所有群組,請在 [ Microsoft Entra ID ] 刀鋒視窗上選取 [ 授權 ],然後選取 [ 概觀 ]。 當群組需要您注意時,會顯示資訊方塊。

    Screenshot of information about groups in error state.

  7. 選取方塊以查看具有錯誤的所有群組清單。 您可以選取每個群組以取得更多詳細資料。

    Screenshot of list of groups with errors.

下列各節提供每個潛在問題的描述,以及解決問題的方式。

授權數不足

問題:群組中指定的其中一項產品沒有足夠的可用授權。 您需要為產品購買更多授權,或從其他使用者或群組釋出未使用的授權。

若要查看有多少授權可用,請移至 [ 身分 > 識別帳單 > 授權 > ] [所有產品]。

若要查看哪些使用者和群組正在使用授權,請選取產品。 在 [授權使用者] 底下,您會看到已直接指派授權或透過一或多個群組指派授權的所有使用者清單。 在 [授權群組] 底下,您會看到已指派該產品的所有群組。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 CountViolation

衝突的服務方案

問題:群組中指定的其中一個產品包含服務方案,與已透過不同產品指派給使用者的另一個服務方案相衝突。 某些服務方案的設定方式造成無法以另一個相關服務方案的形式指派給相同使用者。

提示

先前,Exchange Online Plan1 和 Plan2 是唯一且無法複製的。 現在,這兩個服務方案都已更新,以允許重複。 如果您遇到這些服務方案衝突,請嘗試重新處理。

如何解決衝突產品授權一律由系統管理員決定。 Microsoft Entra ID 不會自動解決授權衝突。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 MutuallyExclusiveViolation

其他相依於此授權的產品

問題:群組中指定的其中一個產品包含服務方案,必須在另一個產品中針對另一個服務方案啟用,才能夠運作。 當 Microsoft Entra ID 嘗試移除基礎服務方案時,會發生此錯誤。 例如,當您從群組中移除使用者時,可能會發生這種情況。

若要解決此問題,您必須確定必要方案仍透過一些其他方法指派給使用者,或這些使用者的相依服務已停用。 完成之後,您可以適當地從這些使用者移除群組授權。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 DependencyViolation

不允許使用位置

問題:由於當地法律和法規,無法在所有位置使用某些 Microsoft 服務。 您必須先指定使用者的使用位置屬性,才能指派授權給使用者。 您可以在入口網站中的 [使用者設定檔 >> 編輯 ] 區段下指定位置。

當 Microsoft Entra ID 嘗試將群組授權指派給其使用位置不受支援的使用者時,它會失敗並記錄使用者的錯誤。

若要解決這個問題,請從授權群組不支援的位置中移除使用者。 或者,如果目前的使用位置值不代表實際的使用者位置,您可以修改它們,以便下次正確指派授權(如果支援新位置)。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 ProhibitedInUsageLocationViolation

注意

當 Microsoft Entra ID 指派群組授權時,任何未指定使用位置的使用者都會繼承目錄的位置。 我們建議系統管理員在使用群組型授權之前,先為使用者設定正確的使用位置值,以符合當地法律和法規。

重複的 Proxy 位址

如果您使用 Exchange Online,則組織中有些使用者可能錯誤地設定相同的 Proxy 位址值。 當群組型授權嘗試將授權指派給這類使用者時,它會失敗並顯示「Proxy 位址已使用中」。

提示

若要查看是否有重複的 Proxy 位址,請針對 Exchange Online 執行下列 PowerShell Cmdlet:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

如需此問題的詳細資訊,請參閱 Exchange Online 中的「Proxy 位址已使用」錯誤訊息。 本文也包含如何使用遠端 PowerShell 連線到 Exchange Online 的資訊

解決受影響使用者的任何 Proxy 位址問題之後,請務必強制群組上的授權處理,以確保現在可以套用授權。

Microsoft Entra ID 和 ProxyAddresses 屬性變更

問題:在使用者或群組上更新授權指派時,您可能會看到某些使用者的 Microsoft Entra ID 和 ProxyAddresses 屬性已變更。

更新使用者的授權指派,會觸發 Proxy 位址計算,這會變更使用者屬性。 若要瞭解變更的確切原因並解決問題,請參閱本文,以瞭解如何 在 Microsoft Entra ID 中填入 proxyAddresses 屬性。

稽核記錄中的 LicenseAssignmentAttributeConcurrencyException

問題:使用者在稽核記錄中有授權指派的 LicenseAssignmentAttributeConcurrencyException。 當群組型授權嘗試處理對使用者的相同授權並行授權指派時,會在使用者上記錄此例外狀況。 當使用者是多個具有相同指派授權的群組成員時,通常會發生這種情況。 Microsoft Entra ID 會重試處理使用者授權,直到問題解決為止。 客戶不需要採取任何動作來修正此問題。

將一個以上的產品授權指派給群組

您可以指派多個產品授權給群組。 例如,您可以將 Office 365 企業版 E3 和 Enterprise Mobility + Security 指派給群組,以便輕鬆為使用者啟用所有包含的服務。

Microsoft Entra ID 會嘗試將群組中指定的所有授權指派給每個使用者。 如果 Microsoft Entra ID 因為商務邏輯問題而無法指派其中一項產品,它也不會指派群組中的其他授權。 例如,如果授權不足以供所有使用者使用,或與使用者啟用的其他服務發生衝突。

您可以看到無法獲得指派的使用者,並且檢查哪些產品受到此問題影響。

刪除授權群組時

您必須先移除指派給群組的所有授權,才能刪除群組。 不過,移除群組中所有使用者的授權可能需要一些時間。 從群組移除授權指派時,如果使用者已指派相依授權,或 Proxy 位址衝突問題禁止移除授權,則可能會發生失敗。 如果使用者具有的授權與某個授權相依,而該授權由於群組刪除而遭到移除,則對使用者的授權指派會從繼承轉換為直接。

例如,考慮已指派 Office 365 E3/E5 且已啟用商務用 Skype 服務方案的群組。 也請想像一下,群組中的少數幾個成員已直接獲指派音訊會議授權。 刪除群組後,群組型授權會嘗試從所有使用者中移除 Office 365 E3/E5。 由於音訊會議是相依於商務用 Skype,對於獲指派音訊會議的任何使用者,群組型授權會將 Office 365 E3/E5 授權轉換為直接授權指派。

以必要條件管理產品的授權

您可能擁有的有些 Microsoft Online 產品是附加元件。 必須先為使用者或群組啟用必要條件服務方案,才能為附加元件指派授權。 使用群組型授權時,系統會要求必要條件和附加元件服務方案都存在於相同的群組中。 這樣做可確保新增至群組的任何使用者都可以接收完整的工作產品。 讓我們考量一下下列範例:

「Microsoft 工作場所分析」是附加元件產品。 其包含相同名稱的單一服務方案。 我們只能在同時指派下列其中一個必要條件時,將此服務方案指派給使用者或群組:

  • Exchange Online (方案 1)
  • Exchange Online (方案 2)

如果我們嘗試將此產品本身指派給群組,則入口網站會傳回通知訊息。 選取項目詳細資料會顯示下列錯誤訊息:

「授權作業失敗。 請先確認群組具備必要服務,再新增或移除相依的服務。 Microsoft 工作場所分析」服務也需要啟用 Exchange Online (方案 2)。

若要將此附加元件授權指派給群組,我們必須確保群組也包含必要條件服務方案。 例如,我們可能會更新已經包含完整 Office 365 E3 產品的現有群組,然後將附加元件產品新增至其中。

您也可以建立一個獨立群組,只包含讓附加元件運作所需的最低產品。 它只能授權附加元件產品的所選使用者。 根據上述範例,您會將下列產品指派給相同的群組:

  • 僅啟用 Exchange Online (方案 2) 服務方案的 Office 365 企業版 E3
  • Microsoft 工作場所分析

從現在起,任何新增至此群組的使用者都會使用一個 E3 產品授權和一個「工作場所分析」產品授權。 同時,這些使用者可以是提供完整 E3 產品的另一個群組成員,而且他們仍然只會針對該產品使用一個授權。

提示

您可以針對每個必要條件服務方案建立多個群組。 例如,如果您同時為使用者使用 Office 365 企業版 E1 和 Office 365 企業版 E3,您可以建立兩個群組來授權「Microsoft 工作場所分析」:一個使用 E1 作為必要條件,另一個則使用 E3。 這可讓您將附加元件發佈給 E1 和 E3 使用者,而不會耗用額外的授權。

強制群組授權處理以解決錯誤

根據您為了解決錯誤所採取的步驟而定,可能需要手動觸發處理群組來更新使用者狀態。

例如,如果您透過移除使用者的直接授權指派來釋出某些授權,您必須觸發先前無法完整授權所有使用者成員的群組處理。 若要重新處理群組,請移至群組窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。

強制使用者授權處理以解決錯誤

視您解決錯誤所採取的步驟而定,可能需要手動觸發使用者處理以更新使用者狀態。

例如,在您為受影響的使用者解決重複的 Proxy 位址問題之後,您需要觸發處理使用者。 若要重新處理使用者,請移至使用者窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。

下一步

若要深入瞭解透過群組管理授權的其他案例,請參閱下列各項: