共用方式為

使用群組來管理 Microsoft Entra ID 授權的案例、限制及已知問題

  • 發行項

使用下列資訊和範例,以更深入了解 Microsoft Entra ID (Microsoft Entra 的一部分) 中的群組型授權。

使用位置

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

並非所有位置都可使用某些 Microsoft 服務。 至於群組授權的指派,未指定使用位置的使用者則會繼承目錄的位置。 如果您在多個位置皆有使用者,請確定您已在使用者資源中正確反映,再將使用者新增至具有授權的群組。 系統管理員應該先指定使用者的 [使用位置] 屬性,才能將授權指派給使用者。

  1. 至少以群組系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 選取 [Microsoft Entra ID]。

  3. 移至 [使用者]>[所有使用者],然後選取使用者。

    螢幕擷取畫面:[所有使用者] 窗格。

  4. 選取 [編輯屬性]

  5. 選取 [設定] 索引標籤,然後輸入使用者的位置。

  6. 選取儲存按鈕。

注意

群組授權指派永遠不會修改使用者現有的使用位置值。 建議您一律將使用位置設為 Microsoft Entra ID 中使用者建立流程的一部分 (例如,透過 Microsoft Entra Connect 設定)。 遵循這類流程可確保授權指派的結果一律正確,且使用者不會在不允許的位置收到服務。

將群組型授權與組動態成員資格群組結合使用

您可以使用任何安全性群組使用群組型授權,包括組動態成員資格群組。 組動態成員資格群組的規則會根據使用者資源屬性執行,以自動新增和移除成員。 屬性可以是部門、職稱、工作位置或其他自訂屬性。 每個群組都會獲指派您想要成員接收的授權。 如果屬性發生變更,成員就會離開群組,且授權會遭到移除。

您可以在內部部署指派屬性,再將其與 Microsoft Entra ID 同步,或者,也可以直接在雲端管理屬性。

警告

修改現有群組的成員資格規則時請小心。 變更規則後,將會重新評估群組的成員資格,並移除不再符合新規則的使用者 (在此流程期間不會影響仍符合新規則的使用者)。 這些使用者的授權會在程序期間移除,而導致服務遺失,或在某些情況下導致資料遺失。

如果需要授權指派的動態群組很大,請考慮在較小的測試群組上驗證任何重大變更,再將這些變更套用至主要群組。 如果您在測試期間遇到錯誤,請參閱 解決群組授權問題

多個群組和多個授權

使用者可以是多個具有授權之群組的成員。 以下是一些要考量的事項:

  • 相同產品的多個授權可能重疊,導致所有已啟用的服務套用至使用者。 例如,M365-P1 包含要部署到所有使用者的基礎服務,M365-P2 則包含只部署到某些使用者的 P2 服務。 您可以將使用者新增至一或兩個群組,並僅針對產品使用一個授權。

  • 選取授權可檢視更多詳細資料,包括透過群組授權指派為使用者啟用哪些服務的相關資訊。

直接授權與群組授權共存

使用者從群組繼承授權時,您無法直接在使用者屬性中移除或修改該授權。 您只能變更群組中的授權指派,變更會接著傳播至所有群組成員。 若要將其他功能指派給擁有群組授權指派授權的使用者,您必須建立另一個群組,才能將其他功能指派給使用者。

使用群組型授權時,請考慮下列案例:

  • 群組成員會繼承指派給群組的授權。
  • 群組型授權的授權選項必須在群組層級進行變更。
  • 如果需要將不同的授權選項指派給使用者,請建立新的群組、將授權指派給群組,然後將使用者新增至該群組。
  • 如果在不同群組型授權中使用某個產品的不同授權選項,則使用者仍然只能使用該產品的一個授權。

使用直接指派時允許下列作業︰

  • 可以為個別使用者變更尚未透過群組型授權指派的授權。
  • 可以啟用其他服務,作為直接指派授權的一部分。
  • 可以移除直接指派的授權,而不會影響使用者的繼承授權。

管理新增至產品的新服務

Microsoft 新增服務至某項產品授權方案時,預設會在您指派產品授權的所有群組中啟用這項服務。 您組織中訂閱產品變更相關通知的使用者會事先收到電子郵件,通知他們即將新增服務。

身為系統管理員,您可以檢閱受變更影響的所有群組,並採取動作,例如停用每個群組中的新服務。 例如,如果您建立的群組只要以用於部署的特定服務為目標,您可以返回這些群組,並確定已停用所有新增的服務。

此流程可能如以下範例所示:

  1. 您一開始將 Microsoft 365 E5 產品指派給數個群組。 其中一個群組稱為「Microsoft 365 E5 -僅限 Exchange」,設計成只會為其成員啟用 [Exchange Online (方案 2)] 服務。

  2. 您收到來自 Microsoft 的通知,指出 E5 產品將透過新服務 Microsoft Stream 擴充。 此服務可供您組織使用時,您可以完成下列步驟:

    1. 登入 Microsoft Entra 系統管理中心

  4. 選取 [Microsoft Entra ID]。

  5. 選取 [帳單]>[授權][所有產品]>,並選取 [Microsoft 365 企業版 E5],然後選取 [授權群組] 以檢視包含該產品的所有群組清單。

  6. 選取您要檢閱的群組 (在本例中為「Microsoft 365 E5 - 僅限 Exchange」)。 [授權] 索引標籤隨即開啟。 選取 E5 授權以檢視所有已啟用的服務。

    注意

    在此群組中,除了 Exchange Online 服務,還會自動新增並啟用 Microsoft Stream 服務:

    螢幕擷取畫面:新增至群組授權的新服務。

  7. 若要停用此群組中的新服務,請選取服務旁的 [開啟/關閉] 切換,然後選取 [儲存] 按鈕以確認變更。 Microsoft Entra ID 現在會處理群組中的所有使用者以套用變更;新增至群組的任何新使用者都不會啟用 Microsoft Stream 服務。

    注意

    使用者仍然可以透過其他授權指派 (使用者所屬的另一個群組或直接授權指派) 啟用服務。

  8. 如有需要,請對指派此產品的其他群組執行相同步驟。

使用 PowerShell 查看誰具有繼承和直接授權

您可以使用 PowerShell 指令碼,來檢查使用者是否有直接指派或繼承自群組的授權。

  1. 執行 Connect-MgGraph -Scopes "Organization.Read.All" Cmdlet 以使用 Microsoft Graph 驗證並連線至您的組織。

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname 可用於探索 Microsoft Entra 組織中佈建的所有產品授權。

    螢幕擷取畫面:Get-MgSubscribedSku Cmdlet。

  3. 透過此 PowerShell 指令碼對您感興趣的授權使用 ServicePlanId 值。 清單會填入具有此授權的使用者,以及指派授權方式的相關資訊。

使用稽核記錄來監視群組型授權活動

您可以使用 Microsoft Entra 稽核記錄來查看與群組型授權相關的所有活動,包括:

  • 哪些人變更了群組的授權
  • 系統何時開始處理群組授權變更,以及何時完成
  • 由於群組授權指派而對使用者做了哪些授權變更。

您可以從 Microsoft Entra ID 的 [群組] 或 [授權] 區域中的稽核記錄存取群組型授權的相關稽核記錄,或從主要稽核記錄使用下列篩選組合:

  • 服務:核心目錄
  • 類別:GroupManagement 或 UserManagement

螢幕擷取畫面:醒目提示 [核心目錄] 和 [GroupManagement] 篩選選項的 Microsoft Entra 稽核記錄。

了解哪些人修改了授權

  1. 若要查看群組授權變更的記錄,請使用下列稽核記錄篩選選項:
    • 服務:核心目錄
    • 類別:GroupManagement
    • 活動:設定群組授權
  2. 選取結果資料表中的資料列以檢視詳細資料。
  3. 選取 [已修改的屬性] 索引標籤,查看授權合約的新舊值。

下列範例顯示上面所列的篩選設定,加上 [目標] 篩選設定為以 "EMS" 開頭的所有群組。

螢幕擷取畫面:包含 [目標] 篩選的 Microsoft Entra 稽核記錄。

若要查看特定使用者的授權變更,請使用下列篩選:

  • 服務:核心目錄
  • 類別:UserManagement
  • 活動:變更使用者授權

了解群組變更何時開始和完成處理

群組上的授權變更時,Microsoft Entra ID 會開始將變更套用至所有使用者,但處理變更可能需要一段時間。

  1. 若要查看群組何時開始處理,請使用下列篩選:
    • 服務:核心目錄
    • 類別:GroupManagement
    • 活動︰開始將群組型授權套用至使用者
  2. 選取結果資料表中的資料列以檢視詳細資料。
  3. 選取 [已修改的屬性] 索引標籤,查看已挑選進行處理的授權變更。
    • 若要對群組進行多項變更,但不確定已處理哪些授權,請使用這些詳細資料。
    • 此作業的執行者是「Microsoft Entra 群組型授權」,這是用來執行所有群組授權變更的系統帳戶。

若要查看群組何時完成處理,請將 [活動] 篩選變更為 [完成將群組型授權套用至使用者]。 在此情況下,[已修改的屬性] 欄位會包含結果的摘要,這項資訊有助於快速檢查處理是否導致任何錯誤。 範例輸出:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

若要查看群組處理方式的完整記錄 (包括所有使用者變更),請新增下列篩選:

  • 目標:群組名稱
  • 起始者 (執行者):Microsoft Entra 群組型授權 (區分大小寫)
  • 日期範圍 (選用):特定群組開始和完成處理時間的自訂範圍

此範例輸出會顯示處理授權變更的開始和完成時間。

螢幕擷取畫面:Microsoft Entra 稽核記錄篩選和授權變更的開始和結束時間。

刪除含指派授權的群組

您無法刪除獲指派使用中授權的群組。 系統管理員可能會刪除某個群組,但未意識到這會導致移除使用者的授權。 基於這個理由,我們要求先從群組中移除任何授權,然後才能刪除群組。

嘗試在入口網站中刪除群組時,您可能會看到如下的錯誤通知:

螢幕擷取畫面:群組刪除失敗。

移至群組 [授權] 索引標籤,並查看是否有任何指派的授權。 如果是,移除這些授權,並試著再次刪除群組。

嘗試透過 PowerShell 或圖形 API 刪除群組時,您可能會看到類似的錯誤。 若使用從內部部署同步的群組, Microsoft Entra Connect 無法在 Microsoft Entra ID 中刪除群組時,可能也會報告錯誤。 在所有情況下,請務必檢查是否有指派給群組的任何授權,並先移除它們。

限制和已知問題

如果您使用群組型授權,最好先熟悉下列的限制和已知問題清單。

  • 群組型授權目前不支援包含其他群組的群組 (巢狀群組)。 如果您將授權套用至巢狀群組,則只有群組的直接第一層級使用者成員會套用授權。

  • 只有安全性群組和 securityEnabled = TRUE 的 Microsoft 365 群組才能使用此功能。

  • 指派或修改大型群組 (例如 100,000 個使用者) 的授權時,可能會影響效能。 具體來說,Microsoft Entra 自動化所產生的大量變更,可能會降低 Microsoft Entra ID 和內部部署系統之間目錄同步作業的效能。

  • 若使用組動態成員資格群組來管理使用者的成員資格,請驗證使用者是否屬於該群組,如此才能指派授權。 否則,請對動態群組檢查成員資格規則的處理狀態

  • 在某些高負載情況下,處理群組的授權變更,或現有授權的群組成員資格變更,可能需要很長的時間。 若發現變更需要 24 小時以上才能將使用者數為 60 K 或以下的群組大小處理完畢,請開啟支援票證讓我們調查。

下一步

若要深入了解透過群組型授權來管理授權的其他案例,請參閱: