管理授權
Microsoft 付費雲端服務,例如 Microsoft 365、Enterprise Mobility + Security、Dynamics 365 和其他類似產品,都需要授權。 這些授權會指派給每個需要存取這些服務的使用者。 為了管理授權,管理員會使用其中一個管理入口網站 (Office或 Azure) 和 PowerShell Cmdlet。 Microsoft Entra ID 是基礎結構,支援所有 Microsoft 雲端服務的身分識別管理。 Microsoft Entra ID 儲存使用者授權指派狀態的相關資訊。
到目前為止,授權只能在個別用戶層級指派,這會使大規模管理變得困難。 例如,若要根據組織變更新增或移除用戶授權,例如加入或離開組織或部門的使用者,系統管理員通常必須撰寫複雜的PowerShell腳本。 此腳本會對雲端服務進行個別呼叫。
為了解決這些挑戰,Microsoft Entra ID 現在包含以群組為基礎的授權。 您可以將一或多個產品授權指派給群組。 Microsoft Entra ID 可確保授權會指派給群組的所有成員。 加入群組的任何新成員都會獲得適當的授權。 成員離開群組時,這些授權則會遭到移除。 此授權管理機制可讓您不必再透過 PowerShell 來自動管理授權,以根據每一使用者來反映組織和部門結構的變更。
授權需求
您必須擁有下列其中一個授權,才能使用群組型授權:
- Microsoft Entra ID Premium P1 和以上版本的付費或試用版訂閱
- 付費或試用版 Office 365 企業版 E3 或更新版本
所需的授權數量
對於獲派授權的任何群組,您也必須為其中的每個唯一成員各準備一個授權。 雖然您不需要為群組的每個成員指派授權,但您至少必須擁有足以納入所有成員的授權。 例如,如果您的租用戶中有 1,000 個屬於所授權群組的唯一成員,則您必須至少有 1,000 個授權才能符合授權合約。
Features
以下是群組型授權的主要功能:
- 可以將授權指派給 Microsoft Entra ID 中的任何安全性群組。 可以使用 Microsoft Entra Connect,於內部同步處理安全性群組。 您也可以直接在 Microsoft Entra ID 中建立安全組(也稱為僅限雲端群組),或透過 Microsoft Entra 動態群組功能自動建立安全組。
- 向群組指派產品授權時,管理員可以停用產品中的一或多個服務方案。 一般而言,當組織尚未準備好開始使用產品中包含的服務時,就會完成此指派。 例如,系統管理員可能會將 Microsoft 365 指派給某個部門,但是暫時停用 Yammer 服務。
- 支援所有需要用戶層級授權的 Microsoft 雲端服務。 這項支援包括所有 Office 365 產品、Enterprise Mobility + Security 和 Dynamics 365。
- 群組型授權目前只能透過 Microsoft 365 系統管理中心取得。
- Microsoft Entra ID 會自動管理因群組成員資格變更而產生的授權修改。 一般情況下,授權修改會在成員資格變更後的幾分鐘內生效。
- 在指定了授權原則的情況下,使用者可以是多個群組的成員。 使用者也可以擁有一些不屬於任何群組、直接指派的授權。 所產生的使用者狀態是所有已指派產品與服務授權的組合。 如果使用者從多個來源指派相同的授權,則只會取用授權一次。
- 在某些情況下,授權無法指派給使用者。 例如,租戶中可能沒有足夠的授權可供使用,或同時指派了互相衝突的服務。 系統管理員可以存取 Microsoft Entra ID 無法完整處理群組授權的使用者相關訊息。 然後,管理員可以根據該資訊採取矯正措施。
某些Microsoft服務無法在所有位置使用。 系統管理員在將授權指派給使用者之前,應該在使用者配置檔中指定使用位置。
至於群組授權的指派,未指定使用位置的使用者則會繼承目錄的位置。 如果您的用戶分布在多個地點,我們建議您在建立使用者帳戶時始終設置使用位置。 使用位置有助於確保授權指派的結果一律正確,且使用者不會在不允許的位置收到服務。