找出並解決 Microsoft Entra ID 中的群組授權指派問題
注意
從 9 月 1 日起,Microsoft Entra ID 系統管理中心和 Microsoft Azure 入口網站將不再支援透過其使用者介面授權指派。 若要管理使用者與群組的授權指派,管理員必須使用 Microsoft 365 系統管理中心。 此更新的設計目的是簡化 Microsoft 生態系統內的授權管理流程。 這項變更僅限於使用者介面。 API 和 PowerShell 存取仍然不受影響。 有關使用 Microsoft 365 系統管理中心指派授權的詳細指導,請參閱下列資源:
- 在 Microsoft 365 系統管理中心為使用者指派或取消指派授權
- 在 Microsoft 365 中新增使用者並指派授權
- 使用 Microsoft 365 系統管理中心將授權指派給群組
我們鼓勵所有系統管理員熟悉新程式,以確保順利轉換。 如需進一步的協助或查詢,請連絡我們的 支援小組。
Microsoft Entra ID 的群組型授權 (屬於 Microsoft Entra 的一部分) 可能會導致使用者處於授權錯誤狀態。 本文將說明使用者最終處於此狀態的可能原因。
當您將授權直接指派給個別使用者,而不使用以群組為基礎的授權時,指派作業可能會因為與商務邏輯相關的原因而失敗。 例如,授權數量可能不足,或是兩個服務方案之間無法同時指派因而發生衝突。 系統會立即向您回報問題。
尋找授權指派錯誤
當您使用群組型授權時,可能會發生相同錯誤,但是當 Microsoft Entra 服務指派授權時,則會在背景中發生錯誤。 因此,無法立即將錯誤傳達給您。 而是將其記錄在使用者物件上,然後透過系統管理入口網站回報。 授權使用者的原意永遠不變,但會記錄為錯誤狀態,供未來調查和解決。 您也可以 使用稽核記錄來監視群組型授權活動
若要尋找群組中處於錯誤狀態的使用者
至少以授權系統管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Microsoft Entra ID]。
依序瀏覽至 [帳單]>[授權] 以開啟頁面,讓您查看及管理組織中所有可授權的產品。
將群組開啟至其 [概觀] 頁面,然後選取 [授權]。 如果有任何使用者處於錯誤狀態,則會出現通知。
選取通知以開啟所有受影響使用者的清單。 您可以個別選取每個使用者,以查看更多詳細資料。
若要尋找包含至少一個錯誤的所有群組,在 [Microsoft Entra ID] 刀鋒視窗上選取 [授權],然後選取 [概觀]。 當群組需要您注意時,會顯示資訊方塊。
選取方塊以查看具有錯誤的所有群組清單。 您可以選取每個群組以取得更多詳細資料。
下列幾節描述每個潛在問題及其試圖解決方法。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。
我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題。 注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。
授權數不足
問題:群組中指定的其中一項產品沒有足夠的可用授權。 您需要為產品購買更多授權,或從其他使用者或群組釋出未使用的授權。
若要查看有多少授權可用,請移至 [身分識別]>[帳單]>[授權]>[所有產品]。
若要查看哪些使用者和群組正在使用授權,請選取產品。 在 [授權的使用者] 底下,您會看到已直接或透過一或多個群組指派授權的所有使用者清單。 在 [授權群組] 底下,您會看到已指派該產品的所有群組。
PowerShell:PowerShell Cmdlet 會將此錯誤報告為 CountViolation。
衝突的服務方案
問題:群組中指定的其中一個產品包含服務方案,與已透過不同產品指派給使用者的另一個服務方案相衝突。 某些服務方案的設定方式造成無法以另一個相關服務方案的形式指派給相同使用者。
提示
在此之前,Exchange Online Plan1 和 Plan2 是唯一且無法複製。 現在,這兩個服務方案已更新以允許複製。 如果這些服務方案發生衝突,請嘗試重新處理。
如何解決衝突產品授權一律由系統管理員決定。 Microsoft Entra ID 不會自動解決授權衝突。
PowerShell:PowerShell Cmdlet 會將此錯誤報告為 MutuallyExclusiveViolation。
其他相依於此授權的產品
問題:群組中指定的其中一個產品包含服務方案,必須在另一個產品中針對另一個服務方案啟用,才能夠運作。 當 Microsoft Entra ID 嘗試移除基礎服務方案時,會發生此錯誤。 比方說,從群組移除使用者時可能會發生此問題。
若要解決此問題,您必須確定必要方案仍透過一些其他方法指派給使用者,或這些使用者的相依服務已停用。 完成之後,您可以適當地從這些使用者移除群組授權。
PowerShell:PowerShell Cmdlet 會將此錯誤報告為 DependencyViolation。
不允許使用位置
問題:由於當地法律和法規,無法在所有位置使用某些 Microsoft 服務。 您必須先指定使用者的使用位置屬性,才能指派授權給使用者。 您可以在入口網站的 [使用者]>[設定檔]>[編輯] 區段之下指定此位置。
當 Microsoft Entra ID 嘗試將群組授權指派給其使用位置不受支援的使用者時,它會失敗並記錄使用者的錯誤。
若要解決這個問題,請從授權群組不支援的位置中移除使用者。 或者,如果目前的使用位置值不代表實際使用者的位置,您可以進行修改,以便下一次正確指派授權 (如果支援新的位置)。
PowerShell:PowerShell Cmdlet 會將此錯誤報告為 ProhibitedInUsageLocationViolation。
注意
- 當 Microsoft Entra ID 指派群組授權時,任何未指定使用位置的使用者都會繼承目錄的位置。 Microsoft 建議系統管理員先為使用者設定正確的使用位置值,再使用以群組為基礎的授權以符合當地法規。
- [名字]、[姓氏]、[其他電子郵件地址] 和 [使用者類型] 的屬性並非授權指派的必要屬性。
根據具有初始靜態群組的授權,移除具有規則的組動態成員資格群組
發生此錯誤的原因是,使用者新增和移除了另一批組動態成員資格群組,因為組動態成員資格群組的級聯設定會根據初始靜態群組上的授權來設定組動態成員資格群組。 此錯誤可能會影響多個組動態成員資格群組,而且需要大量重新處理才能還原存取權。
警告
將現有的靜態群組變更為動態群組時,系統將從群組中移除所有現有的成員,然後再處理成員資格規則,以新增成員。 如果群組用來控制對應用程式或資源的存取,則在完全處理成員資格規則之前,原始成員可能會喪失存取權。
建議您先測試新的成員資格規則,以確保群組中的新成員資格如預期般運作。 如果您在測試期間遇到錯誤,請參閱 使用稽核記錄來監視群組型授權活動。
重複的 Proxy 位址
問題:如果您使用 Exchange Online,則組織中有些使用者可能錯誤地設定相同的 Proxy 位址值。 當以群組為基礎的授權嘗試指派授權給這類使用者時,將會失敗,並顯示「Proxy 位址已在使用中」。
提示
若要查看是否有重複的 Proxy 位址,請針對 Exchange Online 執行下列 PowerShell Cmdlet:
Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses
如需此問題的詳細資訊,請參閱 Exchange Online 中出現「已使用此 Proxy 位址」錯誤訊息。 該文章也包括如何使用遠端 PowerShell 連線至 Exchange Online的相關資訊。
為受影響的使用者解決任何 Proxy 位址問題之後,請務必在群組上強制執行授權處理,以確保現在可以套用授權。
Microsoft Entra ID 和 ProxyAddresses 屬性變更
問題:在使用者或群組上更新授權指派時,您可能會看到某些使用者的 Microsoft Entra ID 和 ProxyAddresses 屬性已變更。
更新使用者的授權指派,會觸發 Proxy 位址計算,這會變更使用者屬性。 若要了解變更的確切原因並解決問題,請參閱這篇文章,了解如何在 Microsoft Entra ID 中填入 proxyAddresses 屬性。
稽核記錄中的 LicenseAssignmentAttributeConcurrencyException
問題:使用者在稽核記錄中有授權指派的 LicenseAssignmentAttributeConcurrencyException。
當群組型授權嘗試處理對使用者的相同授權並行授權指派時,會在使用者上記錄此例外狀況。 通常這種情況發生在使用者是多個具有相同指派授權的群組成員的時候。 Microsoft Entra ID 重試處理使用者授權,直到問題解決為止。 客戶不需要採取動作來修正此問題。
將一個以上的產品授權指派給群組
您可以指派多個產品授權給群組。 例如,您可以將 Office 365 企業版 E3 和 Enterprise Mobility + Security 指派給群組,以便輕鬆為使用者啟用所有包含的服務。
問題:Microsoft Entra ID 嘗試將群組中所有指定的授權指派給每個使用者。 不過,如果 Microsoft Entra ID 遇到授權不足或與其他已啟用服務發生衝突等問題,則不會指派群組中的其他授權。 您可以檢查無法受指派的使用者及受此問題影響的產品。
請務必注意,當將授權指派給群組時,如果沒有足夠的可用授權或發生無法同時指派服務方案等問題,則群組的指派可能無法完成。 例如,全體的授權不足,或與使用者已啟用的其他服務發生衝突。
此問題的其中一個可能解決方法是建立組動態成員資格群組。 您可以建立組動態成員資格群組以指派授權 (例如 Exchange Online),然後使用具有相同成員資格規則的第二個動態群組以套用先決條件授權。 您接者可以在初始群組已將 Exchange Online 授權套用至使用者之後,指派這些額外的授權。
如果您遇到任何授權錯誤,這些錯誤會記錄在使用者物件上,並透過 Azure 入口網站回報以解決問題。 如需詳細資訊,請參閱 Microsoft Graph PowerShell 群組型授權範例。
刪除授權群組時
問題:您必須移除指派給群組的所有授權,才能刪除該群組。 不過,移除群組中所有使用者的授權可能需要一些時間。 從群組中移除授權指派時,如果使用者已指派了相依的授權,或者存在禁止移除授權的 Proxy 位址衝突問題,則可能會出現故障。 如果使用者具有的授權與某個授權相依,而該授權由於群組刪除而遭到移除,則對使用者的授權指派會從繼承轉換為直接。
例如,考慮已指派 Office 365 E3/E5 且已啟用商務用 Skype 服務方案的群組。 也請想像一下,群組中的少數幾個成員已直接獲指派音訊會議授權。 刪除群組後,群組型授權會嘗試從所有使用者中移除 Office 365 E3/E5。 由於音訊會議是相依於商務用 Skype,對於獲指派音訊會議的任何使用者,群組型授權會將 Office 365 E3/E5 授權轉換為直接授權指派。
以必要條件管理產品的授權
您可能擁有的有些 Microsoft Online 產品是附加元件。 必須先為使用者或群組啟用必要條件服務方案,才能為附加元件指派授權。 使用以群組為基礎的授權時,系統會要求必要條件和附加元件服務方案必須出現在相同的群組中。 這是為了確保新增至群組的所有使用者都可以收到完整有效的產品。 讓我們考量一下下列範例:
「Microsoft 工作場所分析」是附加元件產品。 其包含相同名稱的單一服務方案。 只有在同時指派下列其中一個必要條件時,您才能將此服務方案指派給使用者或群組:
- Exchange Online (方案 1)
- Exchange Online (方案 2)
問題:如果您嘗試將此產品本身指派給群組,則入口網站會傳回通知訊息。 如果您選取項目詳細資料,則會顯示下列錯誤訊息:
「授權作業失敗。 請先確認群組具備必要服務,再新增或移除相依的服務。 Microsoft 工作場所分析」服務也需要啟用 Exchange Online (方案 2)。」
若要將此附加元件授權指派給群組,您必須確定群組中也包含必要條件服務方案。 例如,Microsoft Entra ID 可能更新已經包含完整 Office 365 E3 產品的現有群組,然後在其中新增附加元件產品。
也可以建立獨立群組,而其中只包含至少可讓附加元件運作的必要產品。 針對附加元件產品可用來只授權特定的使用者。 根據上述範例,您會將下列產品指派給相同的群組:
- 僅啟用 Exchange Online (方案 2) 服務方案的 Office 365 企業版 E3
- Microsoft 工作場所分析
從現在起,任何新增至此群組的使用者都會使用一個 E3 產品授權和一個「工作場所分析」產品授權。 同時,這些使用者可以是提供完整 E3 產品的另一個群組成員,而且他們仍然只會針對該產品使用一個授權。
提示
您可以針對每個必要條件服務方案建立多個群組。 例如,如果您同時為使用者使用 Office 365 企業版 E1 和 Office 365 企業版 E3,您可以建立兩個群組來授權「Microsoft 工作場所分析」:一個使用 E1 作為必要條件,另一個則使用 E3。 這可讓您將附加元件發佈給 E1 和 E3 使用者,而不會耗用額外的授權。
強制群組授權處理以解決錯誤
問題:根據您為了解決錯誤所採取的步驟而定,可能需要手動觸發處理群組來更新使用者狀態。
例如,如果您透過移除使用者的直接授權指派來釋出某些授權,您必須觸發先前無法完整授權所有使用者成員的群組處理。 若要重新處理群組,請移至群組窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。
強制群組授權處理以解決錯誤
問題:根據您為了解決錯誤所採取的步驟而定,可能需要手動觸發處理使用者來更新使用者狀態。
例如,在您為受影響的使用者解決重複的 Proxy 位址問題之後,您需要觸發處理使用者。 若要重新處理使用者,請移至使用者窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。
下一步
若要深入了解透過群組管理授權的其他案例,請閱讀下列各項: