練習 - 變更群組授權指派

  • 10 分鐘

變更群組授權指派

  1. 瀏覽至 Microsoft Entra 系統管理中心的 [身分識別 - 群組] 頁面。

  2. 在左側導覽的 [群組] 底下。

  3. 選取其中一個可用的群組。 例如「行銷」。

  4. 在左側導覽中的 [管理] 底下,選取 [授權]

  5. 檢閱目前的指派,然後在功能表上選取 [+ 指派]

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. 在 [更新授權指派] 頁面上,選取其他授權、清除現有授權的選取項目、新增或移除授權選項,或任何組合。

  7. 完成時選取 [儲存]。

  8. 在群組的 [授權] 頁面上,檢閱變更。

找出並解決 Microsoft Entra ID 中的群組授權指派問題

Microsoft Entra ID 中的群組型授權導入了使用者處於授權錯誤狀態的概念。 在本章節中,我們會說明使用者最後都處於此狀態的原因。

當您直接將授權指派給個別使用者而未使用群組型授權時,指派作業可能會失敗。 例如,當您在使用者物件上執行 PowerShell Cmdlet Set-MgUserLicense 時,許多與商務邏輯相關的原因可能會造成此 Cmdlet 失敗。 例如,授權數量可能不足,或是兩個服務方案之間無法同時指派因而發生衝突。 系統會立即向您回報問題。

當您使用群組型授權時,可能會發生相同錯誤,但錯誤會在 Microsoft Entra 服務指派授權時在背景中發生。 因此,無法立即將錯誤傳達給您。 而是將其記錄在使用者物件上,然後透過系統管理入口網站回報。 授權使用者的原始目的從未遺失,但是會記錄為錯誤狀態,以供日後調查和解決。

尋找授權指派錯誤

若要尋找群組中處於錯誤狀態的使用者

  1. 將群組開啟至其 [概觀] 頁面,然後選取 [授權]。 如果有任何使用者處於錯誤狀態,則會出現通知。

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. 選取通知以開啟所有受影響使用者的清單。 您可以個別選取每個使用者,以查看更多詳細資料。

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. 若要尋找至少包含一個錯誤的所有群組,在 [Microsoft Entra - 身分識別 - 帳單] 功能表上選取 [授權],然後選取 [概觀]。 當群組需要您注意時,會顯示資訊方塊。

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. 選取方塊以查看具有錯誤的所有群組清單。 您可以選取每個群組以取得更多詳細資料。

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

下列幾節描述每個潛在問題及其解決方法。

授權數不足

問題:群組中指定的其中一項產品沒有足夠的可用授權。 您需要為產品購買更多授權,或從其他使用者或群組釋出未使用的授權。

若要查看有多少授權可用,請依序移至 [Microsoft Entra - 身分識別 - 帳單]、[授權]、[所有產品]

若要查看哪些使用者和群組正在使用授權,請選取產品。 在 [授權使用者] 底下,您會看到已直接指派授權或透過一或多個群組指派授權的所有使用者清單。 在 [授權群組] 底下,您會看到已指派該產品的所有群組。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 CountViolation

衝突的服務方案

問題:群組中指定的其中一個產品包含服務方案,與已透過不同產品指派給使用者的另一個服務方案相衝突。 某些服務方案的設定方式造成無法以另一個相關服務方案的形式指派給相同使用者。

請思考一下下列範例。 使用者有直接指派的 Office 365 企業版E1 授權,且已啟用所有方案。 使用者已新增至獲指派 Office 365 企業版 E3 產品的群組。 E3 產品包含的服務方案不能與 E1 包含的方案重疊,因此,群組授權指派會失敗,而發生衝突的服務方案錯誤。 在此範例中,衝突的服務方案為:

  • SharePoint Online (方案 2) 與 SharePoint Online (方案 1) 衝突。
  • Exchange Online (方案 2) 與 Exchange Online (方案 1) 衝突。

若要解決此衝突,您必須停用其中兩個方案。 您可以停用直接指派給使用者的 E1 授權。 或者,您必須修改整個群組授權指派,並停用 E3 授權中的方案。 或者,如果 E1 授權在 E3 授權內容中為備援,您可以決定移除使用者的 E1 授權。

如何解決衝突產品授權一律由系統管理員決定。 Microsoft Entra ID 不會自動解決授權衝突。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 MutuallyExclusiveViolation

其他相依於此授權的產品

問題:群組中指定的其中一個產品包含服務方案,必須在另一個產品中針對另一個服務方案啟用,才能夠運作。 當 Microsoft Entra ID 嘗試移除基礎服務方案時,會發生此錯誤。 例如,當您從群組中移除使用者時,可能會發生這種情況。

若要解決此問題,您必須確定必要方案仍透過一些其他方法指派給使用者,或這些使用者的相依服務已停用。 完成之後,您可以適當地從這些使用者移除群組授權。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 DependencyViolation

不允許使用位置

問題:由於當地法律和法規,無法在所有位置使用某些 Microsoft 服務。 您必須先指定使用者的使用位置屬性,才能指派授權給使用者。 您可以依序在 Azure 入口網站中的 [使用者]、[設定檔] 和 [編輯] 區段底下指定位置。

當 Microsoft Entra ID 嘗試將群組授權指派給其使用位置不受支援的使用者時,它會失敗並記錄使用者的錯誤。

若要解決這個問題,請從授權群組不支援的位置中移除使用者。 或者,如果目前的使用位置值不代表實際的使用者位置,您可以修改這些值,以便在下次正確指派授權 (如果支援新位置)。

PowerShell:PowerShell Cmdlet 會將此錯誤報告為 ProhibitedInUsageLocationViolation

注意

當 Microsoft Entra ID 指派群組授權時,任何未指定使用位置的使用者都會繼承目錄的位置。 我們建議系統管理員在使用群組型授權之前,先為使用者設定正確的使用位置值,以符合當地法律和法規。

重複的 Proxy 位址

如果您使用 Exchange Online,則組織中有些使用者可能錯誤地設定相同的 Proxy 位址值。 當以群組為基礎的授權嘗試指派授權給這類使用者時,將會失敗,並顯示 [Proxy 位址已在使用中]。

針對受影響的使用者解決任何 Proxy 位址問題之後,請務必在群組上強制執行授權處理,以確保現在可以套用授權。

Microsoft Entra Mail 和 ProxyAddresses 屬性變更

問題:在使用者或群組上更新授權指派時,您可能會看到某些使用者的 Microsoft Entra Mail 和 ProxyAddresses 屬性已變更。

更新使用者的授權指派,會觸發 Proxy 位址計算,這會變更使用者屬性。

稽核記錄中的 LicenseAssignmentAttributeConcurrencyException

問題:使用者在稽核記錄中有授權指派的 LicenseAssignmentAttributeConcurrencyException。 當群組型授權嘗試處理對使用者的相同授權並行授權指派時,會在使用者上記錄此例外狀況。 這通常發生在使用者是多個具有相同指派授權的群組成員時。 Microsoft Entra ID 將會重試處理使用者授權,並解決問題。 客戶不需要對修正此問題採取任何動作。

將一個以上的產品授權指派給群組

您可以指派多個產品授權給群組。 例如,您可以將 Office 365 企業版 E3 和 Enterprise Mobility + Security 指派給群組,以便輕鬆為使用者啟用所有包含的服務。

Microsoft Entra ID 會嘗試將群組中指定的所有授權指派給每個使用者。 如果 Microsoft Entra ID 因為商務邏輯問題而無法指派其中一項產品,它也不會指派群組中的其他授權。 例如,如果授權不足以供所有使用者使用,或與使用者啟用的其他服務發生衝突。

您可以看到無法獲得指派的使用者,並且檢查哪些產品受到此問題影響。

刪除授權群組時

您必須先移除指派給群組的所有授權,才能刪除群組。 不過,移除群組中所有使用者的授權可能需要一些時間。 如果使用者獲指派相依授權,則可能會失敗。 如果使用者具有的授權與某個授權相依,而該授權由於群組刪除而遭到移除,則對使用者的授權指派會從繼承轉換為直接。

例如,考慮已指派 Office 365 E3/E5 且已啟用商務用 Skype 服務方案的群組。 也請想像一下,群組中的少數幾個成員已直接獲指派音訊會議授權。 刪除群組後,群組型授權會嘗試從所有使用者中移除 Office 365 E3/E5。 由於音訊會議是相依於商務用 Skype,對於獲指派音訊會議的任何使用者,群組型授權會將 Office 365 E3/E5 授權轉換為直接授權指派。

以必要條件管理產品的授權

您可能擁有的有些 Microsoft Online 產品是附加元件。 必須先為使用者或群組啟用必要條件服務方案,才能為附加元件指派授權。 使用群組型授權時,系統會要求必要條件和附加元件服務方案都存在於相同群組中,以確保新增至群組的任何使用者都可以接收完整的工作產品。 讓我們考量一下下列範例:

「Microsoft 工作場所分析」是附加元件產品。 其包含相同名稱的單一服務方案。 我們只能在同時指派下列其中一個必要條件時,將此服務方案指派給使用者或群組:

  • Exchange Online (方案 1)
  • Exchange Online (方案 2)

如果我們嘗試將此產品本身指派給群組,則入口網站會傳回通知訊息。 選取項目詳細資料會顯示下列錯誤訊息:

授權作業失敗。 請先確認群組具備必要服務,再新增或移除相依的服務。 「Microsoft 工作場所分析」服務也需要啟用 Exchange Online (方案 2)

若要將此附加元件授權指派給群組,我們必須確保群組也包含必要條件服務方案。 例如,我們可能會更新已經包含完整 Office 365 E3 產品的現有群組,然後將附加元件產品新增至其中。

您也可以建立只包含使附加元件運作所需最低需求產品的獨立群組。 然後,可以用來僅針對附加元件產品授權給所選的使用者。 根據上述範例,您會將下列產品指派給相同的群組:

  • 僅啟用 Exchange Online (方案 2) 服務方案的 Office 365 企業版 E3
  • Microsoft 工作場所分析

從現在起,任何新增至此群組的使用者都會使用一個 E3 產品授權和一個「工作場所分析」產品授權。 同時,這些使用者可以是提供完整 E3 產品的另一個群組成員,而且他們仍然只會針對該產品使用一個授權。

提示

您可以針對每個必要條件服務方案建立多個群組。 例如,如果您同時為使用者使用 Office 365 企業版 E1 和 Office 365 企業版 E3,您可以建立兩個群組來授權「Microsoft 工作場所分析」:一個使用 E1 作為必要條件,另一個則使用 E3。 這可讓您將附加元件發佈給 E1 和 E3 使用者,而不會耗用額外的授權。

強制群組授權程序以解決錯誤

根據您為了解決錯誤所採取的步驟而定,可能需要手動觸發處理群組來更新使用者狀態。

例如,如果您透過移除使用者的直接授權指派來釋出某些授權,您必須觸發先前無法完整授權所有使用者成員的群組處理。 若要重新處理群組,請移至群組窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。

強制使用者授權程序以解決錯誤

根據您為了解決錯誤所採取的步驟而定,可能需要手動觸發處理使用者來更新使用者狀態。

例如,在您為受影響的使用者解決重複的 Proxy 位址問題之後,您需要觸發處理使用者。 若要重新處理使用者,請移至使用者窗格,開啟 [授權],然後選取工具列上的 [重新處理] 按鈕。

如何將具有個別授權的使用者遷移至群組授權

您可能會透過直接指派將現有授權部署給組織中的使用者,也就是,使用 PowerShell 指令碼或其他工具來指派個別使用者授權。 在您開始使用群組型授權來管理組織中的授權之前,您可以使用此移轉方案,透過群組型授權順暢地取代現有的解決方案。

請記住,您應該避免遷移至群組型授權導致使用者暫時,遺失其目前獲指派授權的情況。 應避免任何可能導致移除授權的程序,以移除使用者失去服務及其資料存取權的風險。

  1. 您有適用於使用者的現有自動化 (例如,PowerShell) 管理授權指派和移除。 讓其如往常般執行。

  2. 建立新的授權群組 (或決定要使用哪些現有群組),並確定所有必要的使用者都已新增為成員。

  3. 將必要的授權指派給這些群組;您的目標應該是反映現有自動化 (例如,PowerShell) 套用至這些使用者的相同授權狀態。

  4. 確認已將授權套用至這些群組中的所有使用者。 這個應用程式可以透過檢查每個群組的處理狀態以及檢查稽核記錄來完成。

    • 您可以查看少數個別使用者的授權詳細資料,以執行隨機檢查。 您會看到他們擁有相同的「直接」和「繼承」自群組的指派授權。
    • 您可以執行 PowerShell 指令碼來驗證授權如何指派給使用者
    • 當相同的產品授權直接和透過群組指派給使用者時,使用者只會使用一個授權。 因此不需要額外的授權即可執行移轉。

  5. 檢查每個群組中是否有處於錯誤狀態的使用者,以確認沒有失敗的授權指派。

請考量移除原始的直接指派。 建議您逐步進行,並且先監視使用者子集上的結果。 如果您留著使用者上的原始直接指派,當使用者離開其授權群組時,他們會保留直接指派授權,而這可能不是您所想要的。

範例

組織有 1000 個使用者。 所有使用者都需要 Office 365 企業版 E3 授權。 目前組織有一個在內部部署執行的 PowerShell 指令碼,可隨著使用者來來去去而新增和移除授權。 不過,組織想要以群組型授權取代指令碼,以便讓 Microsoft Entra ID 自動管理授權。

移轉程序看起來會像這樣:

  1. 使用 Azure 入口網站,將 Office 365 E3 授權指派給 Microsoft Entra ID 中的 [所有使用者] 群組。

  2. 確認已完成所有使用者的授權指派。 移至群組的概觀頁面,選取 [授權],然後在 [授權] 頁面頂端檢查處理狀態。

    • 尋找「最新授權變更已套用至所有使用者」以確認處理已完成。
    • 請在最上方尋找任何使用者的授權可能尚未成功指派的通知。 我們是否已經為部分使用者用完授權? 某些使用者是否有衝突的授權方案,使其無法繼承群組授權?

  3. 您需要檢查一些使用者,以確認其套用直接和群組授權。 移至使用者的設定檔頁面,選取 [授權],然後檢查授權狀態。

    • 這是移轉期間預期的使用者狀態:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. 確認直接授權和群組授權都相等之後,您就可以開始移除使用者的直接授權。 您可以在入口網站中移除個別使用者,藉此進行測試,然後執行自動化指令碼以大量移除。 以下是透過入口網站移除直接授權的相同使用者範例。 請注意,授權狀態維持不變,但是我們不會再看到直接指派。

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

在 Microsoft Entra ID 中變更使用者或群組的授權指派

此節說明如何在 Microsoft Entra ID 的服務授權方案之間移動使用者和群組。 目標是確保在授權變更期間不會遺失服務或資料。 使用者應該會在服務之間順暢地切換。 本節中的授權方案指派步驟說明如何將 Office 365 E1 上的使用者或群組變更為 Office 365 E3,但是這些步驟適用於所有授權方案。 當您更新使用者或群組的授權指派時,會同時進行授權指派移除和新指派,讓使用者不會在授權變更期間失去其服務的存取權,或看到方案之間的授權衝突。

在您更新授權指派之前,請先確認所有要更新的使用者或群組是否有特定假設。 如果這些假設對群組中的所有使用者並非全都成立,則部分使用者的移轉可能會失敗。 因此,部分使用者可能會失去服務或資料的存取權。 請確定:

  • 使用者的目前授權方案已指派給群組,並由使用者繼承,而不是直接指派。
  • 您所指派的授權方案有足夠的可用授權。 如果您沒有足夠的授權,某些使用者可能不會獲指派新的授權方案。 您可以查看可用授權的數目。
  • 一律確認使用者沒有會與所需授權衝突,或防止移除目前授權的已指派服務授權。 例如,與其他服務相依的服務 (例如工作場所分析或 Project Online) 的授權。
  • 如果您在內部部署環境中管理群組,然後透過 Microsoft Entra Connect 將其同步至 Microsoft Entra ID,則您會使用內部部署系統來新增或移除使用者。 變更可能需要一些時間才能與 Microsoft Entra ID 同步,以供群組授權挑選。
  • 如果您使用 Microsoft Entra 動態群組成員資格,則可以藉由變更其屬性來新增或移除使用者,但是授權指派的更新流程仍維持不變。