管理许可证
Microsoft 付费云服务(如 Microsoft 365、企业移动性 + 安全性、Dynamics 365 及其他类似产品)需要许可证。 这些许可证将分配给需要访问这些服务的每个用户。 若要管理许可证,管理员可以使用某种管理门户(Office 或 Azure)和 PowerShell cmdlet。 Microsoft Entra ID 是支持所有 Microsoft 云服务的标识管理的底层基础结构。 Microsoft Entra ID 存储有关用户许可证分配状态的信息。
到目前为止,只能在单个用户级别分配许可证,因此,大规模管理可能会变得困难。 例如,若要根据组织变化(例如用户加入或离开组织或部门)添加或删除用户许可证,管理员通常必须编写一个复杂的 PowerShell 脚本。 此脚本对云服务进行单独的调用。
为了应对这些挑战,Microsoft Entra ID 现在包括了基于组的许可。 可将一个或多个产品许可证分配给某个组。 Microsoft Entra ID 确保将许可证分配给该组的所有成员。 将向加入该组的任何新成员分配适当的许可证。 在这些成员离开组时,将删除相应的许可证。 使用此许可管理功能后,将不再需要通过 PowerShell 自动执行许可证管理以反映每个用户的组织和部门结构变化。
许可要求
必须具有以下许可证之一才能使用基于组的许可:
- Microsoft Entra ID 高级版 P1 及更高版本的付费或试用订阅
- 付费版或试用版 Office 365 企业版 E3 或 Office 365 A3 或 Office 365 GCC G3 或 Office 365 E3 for GCCH 或 Office 365 E3 for DOD 及更高版本
所需许可证数
对于分配了许可证的任何组,你还必须具有用于每个唯一成员的许可证。 虽然不是必须为组的每个成员分配一个许可证,但是你必须至少具有足够的许可证来包括所有成员。 例如,如果你的租户中经许可的组有 1,000 个唯一成员,则必须至少具有 1,000 个许可证才满足许可协议。
功能
以下是基于组的许可的主要功能:
- 可以将许可证分配到 Microsoft Entra ID 中的任何安全组。 可以使用 Microsoft Entra Connect 从本地同步安全组。 还可以在 Microsoft Entra ID 中直接创建安全组(也称为仅限云的组),或通过 Microsoft Entra 动态组功能自动创建安全组。
- 将产品许可证分配到组时,管理员可以禁用产品中的一个或多个服务计划。 通常,在组织尚未准备好开始使用产品中包含的服务时会执行此分配。 例如,管理员可能会将 Microsoft 365 分配给某个部门,但暂时禁用 Yammer 服务。
- 支持需要用户级许可的所有 Microsoft 云服务。 此支持包括所有 Microsoft 365 产品、企业移动性 + 安全性和 Dynamics 365。
- 基于组的许可目前仅通过 Azure 门户提供。 (即将进入 Microsoft Entra 管理中心)
- Microsoft Entra ID 会自动管理由组成员身份更改导致的许可证修改。 通常,在组成员身份发生更改时,许可证修改在几分钟内就会生效。
- 用户可以是指定了许可证策略的多个组的成员。 用户也可以拥有在任何组外部直接分配的许可证。 生成的用户状态是所有已分配产品和服务许可证的组合。 如果为用户分配了来自多个源的同一许可证,则该许可证将仅使用一次。
- 在某些情况下,无法向用户分配许可证。 例如,当租户中可用许可证不足时,或者同时分配了冲突服务时。 管理员可以访问有关 Microsoft Entra ID 无法为其完全处理组许可证的用户的信息。 然后,可以根据这些信息采取纠正措施。
某些 Microsoft 服务不能在所有位置使用。 管理员在向用户分配许可证之前,应在用户配置文件中指定使用位置。
对于组许可证分配,任何没有指定使用位置的用户将继承该目录的位置。 如果你的用户位于多个位置,则建议你始终在 Microsoft Entra ID 中的用户创建流程中设置使用位置(例如通过 Microsoft Entra Connect 配置)- 这可确保许可证分配的结果始终正确并且用户不会在不允许的位置收到服务。