管理授權
Microsoft 付費雲端服務,例如 Microsoft 365、Enterprise Mobility + Security、Dynamics 365 和其他類似產品,都需要授權。 這些授權會指派給每個需要存取這些服務的使用者。 為了管理授權,管理員會使用其中一個管理入口網站 (Office或 Azure) 和 PowerShell Cmdlet。 Microsoft Entra ID 是基礎結構,支援所有 Microsoft 雲端服務的身分識別管理。 Microsoft Entra ID 儲存使用者授權指派狀態的相關資訊。
到目前為止,您只能在個別使用者層級指派授權,因此難以進行大規模管理。 例如,為了根據組織的變更 (例如有使用者加入或離開組織或部門) 來新增或移除使用者授權,管理員通常必須撰寫複雜的 PowerShell 指令碼。 此指令碼會個別呼叫雲端服務。
為了解決這些挑戰,Microsoft Entra ID 現在納入了群組型授權功能。 您可以向群組指派一或多個產品授權。 Microsoft Entra ID 可確保授權會指派給群組的所有成員。 加入群組的任何新成員都會獲得適當的授權。 成員離開群組時,這些授權則會遭到移除。 此授權管理機制可讓您不必再透過 PowerShell 來自動管理授權,以根據每一使用者來反映組織和部門結構的變更。
授權需求
您必須具備下列其中一個授權,才能使用群組型授權:
- Microsoft Entra ID Premium P1 和更新版本付費或試用訂用帳戶
- 付費或試用版的 Office 365 Enterprise E3 或 Office 365 A3 或 Office 365 GCC G3 或適用於 GCCH 的 Office 365 E3 或適用於 DOD 的 Office 365 E3 和以上版本
所需的授權數量
對於獲派授權的任何群組,您也必須為其中的每個唯一成員各準備一個授權。 雖然您不需要為群組的每個成員指派授權,但您至少必須擁有足以納入所有成員的授權。 例如,如果您的租用戶中有 1,000 個屬於所授權群組的唯一成員,則您必須至少有 1,000 個授權才能符合授權合約。
功能
以下是群組型授權的主要功能:
- 可以將授權指派給 Microsoft Entra ID 中的任何安全性群組。 可以使用 Microsoft Entra Connect,於內部同步處理安全性群組。 您也可以直接在 Microsoft Entra ID 中建立安全性群組 (也稱為僅限雲端群組),或透過 Microsoft Entra 動態群組功能自動建立。
- 向群組指派產品授權時,管理員可以停用產品中的一或多個服務方案。 一般說來,當組織尚未準備好開始使用產品中包含的服務時,就會進行這樣的指派。 例如,系統管理員可能會將 Microsoft 365 指派給某個部門,但是暫時停用 Yammer 服務。
- 只要是需要使用者層級授權的 Microsoft 雲端服務都會獲得支援。 這項支援包括所有 Office 365 產品、Enterprise Mobility + Security 和 Dynamics 365。
- 群組型授權目前僅透過 Azure 入口網站提供。 (即將於 Microsoft Entra 系統管理中心推出)
- Microsoft Entra ID 會自動管理因群組成員資格變更而產生的授權修改。 一般情況下,授權修改會在成員資格變更後的幾分鐘內生效。
- 在指定了授權原則的情況下,使用者可以是多個群組的成員。 使用者也可以擁有一些在任何群組之外所直接指派的授權。 所產生的使用者狀態是所有已指派產品與服務授權的組合。 如果使用者從多個來源獲派相同授權,則授權只會使用一次。
- 某些情況下可能無法向使用者指派授權。 例如,租用戶中可能沒有足夠的可用授權,或可能同時指派了互相衝突的服務。 針對 Microsoft Entra ID 無法完整處理群組授權的使用者,管理員可以存取其相關資訊。 然後,管理員可以根據該資訊採取矯正措施。
某些 Microsoft 服務無法在所有位置中使用。 將授權指派給使用者之前,管理員應該先在使用者設定檔中指定使用位置。
至於群組授權的指派,未指定使用位置的使用者則會繼承目錄的位置。 如果您的使用者分佈在多個位置,建議您一律在 Microsoft Entra ID 的使用者建立流程中設定使用位置 (例如,透過 Microsoft Entra Connect 設定),以確保授權指派一定會有正確的結果,而且使用者不會在不允許的位置收到服務。