什麼是 Microsoft Entra 識別碼中的群組型授權?
Microsoft 付費雲端服務,例如 Microsoft 365、Enterprise Mobility + Security、Dynamics 365 和其他類似產品,都需要授權。 這些授權會指派給每個需要存取這些服務的使用者。 為了管理授權,管理員會使用其中一個管理入口網站 (Office或 Azure) 和 PowerShell Cmdlet。 Microsoft Entra ID 是支援所有 Microsoft 雲端服務身分識別管理的基礎基礎結構。 Microsoft Entra ID 儲存使用者授權指派狀態的相關資訊。
Microsoft Entra 識別碼包含群組型授權,可讓您將一或多個產品授權指派給群組。 Microsoft Entra ID 可確保授權會指派給群組的所有成員。 加入群組的任何新成員都會獲得適當的授權。 成員離開群組時,這些授權則會遭到移除。 此授權管理機制可讓您不必再透過 PowerShell 來自動管理授權,以根據每一使用者來反映組織和部門結構的變更。
授權需求
針對從群組型授權獲益的每個使用者,您必須擁有下列其中一個授權:
Microsoft Entra ID P1 和更新版本付費或試用訂用帳戶
Microsoft 365 商務進階版或 Office 365 企業版 E3 或 Office 365 A3 或 Office 365 GCC G3 或 Office 365 E3 for GCCH 或 Office 365 E3 for DOD 和更新版本的付費或試用版本
所需的授權數量
對於獲派授權的任何群組,您也必須為其中的每個唯一成員各準備一個授權。 雖然您不需要為群組的每個成員指派授權,但您至少必須擁有足以納入所有成員的授權。 例如,如果您的租用戶中有 1,000 個屬於所授權群組的唯一成員,則您必須至少有 1,000 個授權才能符合授權合約。
功能
以下是群組型授權的主要功能:
可以將授權指派給 Microsoft Entra ID 中的任何安全性群組。 您可以使用 Microsoft Entra 連線,從內部部署同步處理安全組。 您也可以直接在 Microsoft Entra ID 中建立安全組(也稱為僅限雲端群組),或透過 Microsoft Entra 動態群組功能自動建立安全組。
向群組指派產品授權時,管理員可以停用產品中的一或多個服務方案。 一般說來,當組織尚未準備好開始使用產品中包含的服務時,就會進行這樣的指派。 例如,系統管理員可能會將 Microsoft 365 指派給某個部門,但是暫時停用 Yammer 服務。
支援需要用戶層級授權的所有 Microsoft 雲端服務。 這項支援包括所有 Office 365 產品、Enterprise Mobility + Security 和 Dynamics 365。
群組型授權目前可透過 Azure 入口網站 和 Microsoft 管理員 中心取得。
Microsoft Entra ID 會自動管理因群組成員資格變更而產生的授權修改。 一般情況下,授權修改會在成員資格變更後的幾分鐘內生效。
在指定了授權原則的情況下,使用者可以是多個群組的成員。 使用者也可以擁有一些在任何群組之外所直接指派的授權。 所產生的使用者狀態是所有已指派產品與服務授權的組合。 如果使用者從多個來源獲派相同授權,則授權只會使用一次。
在某些情況下,授權無法指派給使用者。 例如,租用戶中可能沒有足夠的可用授權,或可能同時指派了互相衝突的服務。 管理員 istrators 可以存取 Microsoft Entra ID 無法完整處理群組授權的使用者相關信息。 然後,管理員可以根據該資訊採取矯正措施。
歡迎您提供寶貴的意見!
如果您有意見反應或功能要求,請使用 Microsoft Entra 系統管理員論壇與我們分享。
下一步
若要深入了解透過群組型授權來管理授權的其他案例,請參閱: