共用方式為


找出並解決 Microsoft Entra ID 中的群組授權指派問題

Microsoft Entra 識別符中的群組型授權,屬於 Microsoft Entra 的一部分,會介紹使用者處於授權錯誤狀態的概念。 本文說明用戶最終可能處於此狀態的原因。

當您直接將授權指派給個別使用者,而不使用群組型授權時,指派作業可能會因為與商業規則相關的原因而失敗。 例如,授權數量可能不足,或是兩個服務方案之間無法同時指派因而發生衝突。 系統會立即向您回報問題。

尋找授權指派錯誤

當您使用以群組為基礎的授權時,可能會發生相同的錯誤,但在 Microsoft Entra 服務指派授權時,會發生在背景中。 因此,無法立即將錯誤傳達給您。 而是將其記錄在使用者物件上,然後透過系統管理入口網站回報。 授權使用者的原始意圖永遠不會遺失,但會記錄為錯誤狀態,以供日後調查和解決。

若要尋找群組中處於錯誤狀態的使用者

  1. 以至少授權 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 流覽至 [計費>授權] 以開啟頁面,您可以在其中查看及管理組織中所有可授權的產品。

  4. 將群組開啟至其 [概觀] 頁面,然後選取 [授權]。 如果有任何使用者處於錯誤狀態,則會出現通知。

    群組和錯誤通知訊息的螢幕快照。

  5. 選取通知以開啟所有受影響使用者的清單。 您可以個別選取每個使用者,以查看更多詳細資料。

    群組授權錯誤狀態中使用者清單的螢幕快照。

  6. 若要尋找包含至少一個錯誤的所有群組,請在 [ Microsoft Entra ID ] 刀鋒視窗上選取 [ 授權],然後選取 [ 概觀]。 當群組需要您注意時,會顯示資訊方塊。

    錯誤狀態群組相關信息的螢幕快照。

  7. 選取方塊以查看具有錯誤的所有群組清單。 您可以選取每個群組以取得更多詳細資料。

    具有錯誤的群組清單螢幕快照。

下列各節提供每個潛在問題的描述,以及嘗試解決問題的方法。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

授權數不足

問題: 群組中指定的其中一個產品沒有足夠的可用授權。 您需要為產品購買更多授權,或從其他使用者或群組釋出未使用的授權。

若要查看有多少授權可用,請移至 [身分>識別帳單>授權>] [所有產品]。

若要查看哪些使用者和群組正在使用授權,請選取產品。 在 [已授權的使用者] 下,您會看到已直接指派授權或透過一或多個群組指派的所有用戶清單。 在 [授權群組] 底下,您會看到已指派該產品的所有群組。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 CountViolation

衝突的服務方案

問題: 群組中指定的其中一個產品包含服務方案,與已透過不同產品指派給使用者的另一個服務方案發生衝突。 某些服務方案的設定方式造成無法以另一個相關服務方案的形式指派給相同使用者。

提示

先前,Exchange Online Plan1 和 Plan2 是唯一且無法複製的。 現在,這兩個服務方案都已更新,以允許重複。 如果您遇到這些服務方案衝突,請嘗試重新處理。

如何解決衝突產品授權一律由系統管理員決定。 Microsoft Entra ID 不會自動解決授權衝突。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 MutuallyExclusiveViolation

其他相依於此授權的產品

問題: 群組中指定的其中一個產品包含必須針對另一個產品中的另一個服務方案啟用的服務方案才能運作。 當 Microsoft Entra ID 嘗試移除基礎服務方案時,會發生此錯誤。 例如,當您從群組中移除使用者時,就會發生此問題。

若要解決此問題,您必須確定必要方案仍透過一些其他方法指派給使用者,或這些使用者的相依服務已停用。 完成之後,您可以適當地從這些使用者移除群組授權。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 DependencyViolation

不允許使用位置

問題:由於當地法律和法規,無法在所有位置使用某些 Microsoft 服務。 您必須先指定使用者的使用位置屬性,才能指派授權給使用者。 您可以在入口網站中的 [使用者設定檔>>編輯] 區段下指定位置。

當 Microsoft Entra ID 嘗試將群組授權指派給其使用位置不受支援的使用者時,它會失敗並記錄使用者的錯誤。

若要解決這個問題,請從授權群組不支援的位置中移除使用者。 或者,如果目前的使用位置值不代表實際的使用者位置,您可以修改它們,以便下次正確指派授權(如果支援新位置)。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 ProhibitedInUsageLocationViolation

注意

當 Microsoft Entra ID 指派群組授權時,任何未指定使用位置的使用者都會繼承目錄的位置。 Microsoft 建議系統管理員在使用群組型授權以符合當地法律和法規之前,先對使用者設定正確的使用位置值。

重複的 Proxy 位址

問題: 如果您使用 Exchange Online,組織中的某些使用者可能會設定為相同的 Proxy 位址值。 當群組型授權嘗試將授權指派給這類使用者時,它會失敗並顯示「Proxy 位址已使用中」。

提示

若要查看是否有重複的 Proxy 位址,請針對 Exchange Online 執行下列 PowerShell Cmdlet:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

如需此問題的詳細資訊,請參閱 Exchange Online 中的「Proxy 位址已使用」錯誤訊息。 本文也包含如何使用遠端 PowerShell 連線到 Exchange Online 的資訊

解決受影響使用者的任何 Proxy 位址問題之後,請務必強制群組上的授權處理,以確保現在可以套用授權。

Microsoft Entra ID 和 ProxyAddresses 屬性變更

問題:在使用者或群組上更新授權指派時,您可能會看到某些使用者的 Microsoft Entra ID 和 ProxyAddresses 屬性已變更。

更新使用者的授權指派,會觸發 Proxy 位址計算,這會變更使用者屬性。 若要了解變更的確切原因並解決問題,請參閱本文,以瞭解如何 在 Microsoft Entra ID 中填入 proxyAddresses 屬性。

稽核記錄中的 LicenseAssignmentAttributeConcurrencyException

問題:使用者在稽核記錄中有授權指派的 LicenseAssignmentAttributeConcurrencyException。 當群組型授權嘗試處理對使用者的相同授權並行授權指派時,會在使用者上記錄此例外狀況。 當使用者是多個具有相同指派授權的群組成員時,通常會發生這種情況。 Microsoft Entra ID 會重試處理用戶授權,直到問題解決為止。 客戶不需要採取任何動作來修正此問題。

將一個以上的產品授權指派給群組

您可以指派多個產品授權給群組。 例如,您可以將 Office 365 企業版 E3 和 Enterprise Mobility + Security 指派給群組,以便輕鬆為使用者啟用所有包含的服務。

問題: Microsoft Entra ID 會嘗試將群組中的所有指定授權指派給每個使用者。 不過,如果 Microsoft Entra ID 遇到授權不足或與其他服務啟用衝突等問題,則不會指派群組中的其他授權。 您可以檢查哪些用戶無法獲指派,以及哪些產品受到此問題影響。

請務必注意,將授權指派給群組時,如果沒有足夠的可用授權,或發生問題,例如無法同時指派的服務方案,則可能無法完成指派給群組。 例如,如果沒有足夠的授權可供所有人使用,或與為使用者啟用的其他服務發生衝突,則為 。

此問題的其中一個可能解決方法是 建立動態群組。 您可以建立動態群組來指派授權,例如 Exchange Online,然後使用具有相同成員資格規則的第二個動態群組來套用必要條件授權。 然後,您可以在初始群組將 Exchange Online 授權套用至用戶之後,指派這些額外的授權。

如果您遇到任何授權錯誤,這些錯誤會記錄在用戶物件上,並透過 Azure 入口網站 回報以進行解決。 如需詳細資訊,請參閱 Microsoft Graph PowerShell 群組型授權範例

刪除授權群組時

問題: 您必須先移除指派給群組的所有授權,才能刪除群組。 不過,移除群組中所有使用者的授權可能需要一些時間。 從群組移除授權指派時,如果使用者已指派相依授權,或 Proxy 位址衝突問題禁止移除授權,則可能會發生失敗。 如果使用者具有的授權與某個授權相依,而該授權由於群組刪除而遭到移除,則對使用者的授權指派會從繼承轉換為直接。

例如,考慮已指派 Office 365 E3/E5 且已啟用商務用 Skype 服務方案的群組。 也請想像一下,群組中的少數幾個成員已直接獲指派音訊會議授權。 刪除群組後,群組型授權會嘗試從所有使用者中移除 Office 365 E3/E5。 由於音訊會議是相依於商務用 Skype,對於獲指派音訊會議的任何使用者,群組型授權會將 Office 365 E3/E5 授權轉換為直接授權指派。

以必要條件管理產品的授權

您可能擁有的有些 Microsoft Online 產品是附加元件。 必須先為使用者或群組啟用必要條件服務方案,才能為附加元件指派授權。 使用群組型授權時,系統會要求必要條件和附加元件服務方案都存在於相同的群組中。 這樣做可確保新增至群組的任何使用者都可以接收完整的工作產品。 讓我們考量一下下列範例:

「Microsoft 工作場所分析」是附加元件產品。 其包含相同名稱的單一服務方案。 當下列其中一項必要條件也指派時,您只能將此服務方案指派給使用者或群組:

  • Exchange Online (方案 1)
  • Exchange Online (方案 2)

問題: 如果您嘗試自行將此產品指派給群組,入口網站會傳回通知訊息。 如果您選取項目詳細資料,它會顯示下列錯誤訊息:

「授權作業失敗。 請先確認群組具備必要服務,再新增或移除相依的服務。 Microsoft 工作場所分析」服務也需要啟用 Exchange Online (方案 2)。

若要將此附加元件授權指派給群組,您必須確定該群組也包含必要服務方案。 例如,Microsoft Entra ID 可能會更新已包含完整 Office 365 E3 產品的現有群組,然後將附加元件產品新增至其中。

您也可以建立一個獨立群組,只包含讓附加元件運作所需的最低產品。 它只能授權附加元件產品的所選使用者。 根據上述範例,您會將下列產品指派給相同的群組:

  • 僅啟用 Exchange Online (方案 2) 服務方案的 Office 365 企業版 E3
  • Microsoft 工作場所分析

從現在起,任何新增至此群組的使用者都會使用一個 E3 產品授權和一個「工作場所分析」產品授權。 同時,這些使用者可以是提供完整 E3 產品的另一個群組成員,而且他們仍然只會針對該產品使用一個授權。

提示

您可以針對每個必要條件服務方案建立多個群組。 例如,如果您同時為使用者使用 Office 365 企業版 E1 和 Office 365 企業版 E3,您可以建立兩個群組來授權「Microsoft 工作場所分析」:一個使用 E1 作為必要條件,另一個則使用 E3。 這可讓您將附加元件發佈給 E1 和 E3 使用者,而不會耗用額外的授權。

強制群組授權處理以解決錯誤

問題: 視您解決錯誤所採取的步驟而定,可能需要手動觸發群組的處理以更新用戶狀態。

例如,如果您透過移除使用者的直接授權指派來釋出某些授權,您必須觸發先前無法完整授權所有使用者成員的群組處理。 若要重新處理群組,請移至群組窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。

強制使用者授權處理以解決錯誤

問題: 視您解決錯誤所採取的步驟而定,可能需要手動觸發使用者處理以更新用戶狀態。

例如,在您為受影響的使用者解決重複的 Proxy 位址問題之後,您需要觸發處理使用者。 若要重新處理使用者,請移至使用者窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。

下一步

若要深入瞭解透過群組管理授權的其他案例,請參閱下列各項: