共用方式為


Microsoft Entra ID 中的群組型授權為何?

注意

從 9 月 1 日起,Microsoft Entra ID 系統管理中心和 Microsoft Azure 入口網站將不再支援透過其使用者介面授權指派。 若要管理使用者與群組的授權指派,管理員必須使用 Microsoft 365 系統管理中心。 此更新的設計目的是簡化 Microsoft 生態系統內的授權管理流程。 這項變更僅限於使用者介面。 API 和 PowerShell 存取仍然不受影響。 有關使用 Microsoft 365 系統管理中心指派授權的詳細指導,請參閱下列資源:

Microsoft 付費雲端服務,例如 Microsoft 365、Enterprise Mobility + Security、Dynamics 365 和其他類似產品,都需要授權。 這些授權會指派給每個需要存取這些服務的使用者。 為了管理授權,管理員會使用其中一個管理入口網站 (Office或 Azure) 和 PowerShell Cmdlet。 Microsoft Entra ID 是支援所有 Microsoft 雲端服務身分識別管理的基礎結構。 Microsoft Entra ID 儲存使用者授權指派狀態的相關資訊。

Microsoft Entra ID 包含群組型授權,可讓您將一個或多個產品授權指派給群組。 Microsoft Entra ID 可確保授權會指派給群組的所有成員。 加入群組的任何新成員都會獲得適當的授權。 成員離開群組時,這些授權則會遭到移除。 此授權管理機制可讓您不必再透過 PowerShell 來自動管理授權,以根據每一使用者來反映組織和部門結構的變更。

授權需求

針對從群組型授權獲益的每個使用者,您必須擁有下列其中一個授權:

  • Microsoft Entra ID P1 和更新版本付費或試用訂用帳戶

  • Microsoft 365 商務進階版或 Office 365 企業版 E3 或 Office 365 A3 或 Office 365 GCC G3 或 Office 365 E3 for GCCH 或 Office 365 E3 for DOD 和更新版本的付費或試用版本

所需的授權數量

對於獲派授權的任何群組,您也必須為其中的每個唯一成員各準備一個授權。 雖然您不需要為群組的每個成員指派授權,但您至少必須擁有足以納入所有成員的授權。 例如,如果您的租用戶中有 1,000 個屬於所授權群組的唯一成員,則您必須至少有 1,000 個授權才能符合授權合約。

功能

以下是群組型授權的主要功能:

  • 可以將授權指派給 Microsoft Entra ID 中的任何安全性群組。 安全性群組可使用 Microsoft Entra Connect 從內部部署進行同步。 您也可以直接在 Microsoft Entra ID 中建立安全性群組 (也稱為僅限雲端群組),或透過 Microsoft Entra 動態群組功能自動建立。

  • 向群組指派產品授權時,管理員可以停用產品中的一或多個服務方案。 一般說來,當組織尚未準備好開始使用產品中包含的服務時,就會進行這樣的指派。 例如,系統管理員可能會將 Microsoft 365 指派給某個部門,但是暫時停用 Yammer 服務。

  • 支援所有需要使用者層級授權的 Microsoft 雲端服務。 這項支援包括所有 Office 365 產品、Enterprise Mobility + Security 和 Dynamics 365。

  • 群組型授權目前可透過 Azure 入口網站,以及透過 Microsoft 系統管理中心取得。

  • Microsoft Entra ID 會自動管理因群組成員資格變更而產生的授權修改。 一般情況下,授權修改會在成員資格變更後的幾分鐘內生效。

  • 在指定了授權原則的情況下,使用者可以是多個群組的成員。 使用者也可以擁有一些在任何群組之外所直接指派的授權。 所產生的使用者狀態是所有已指派產品與服務授權的組合。 如果使用者從多個來源獲派相同授權,則授權只會使用一次。

  • 在某些情況下,授權無法指派給使用者。 例如,租用戶中可能沒有足夠的可用授權,或可能同時指派了互相衝突的服務。 系統管理員可以存取 Microsoft Entra ID 無法完整處理群組授權的使用者相關訊息。 然後,管理員可以根據該資訊採取矯正措施。

歡迎您提供寶貴的意見!

如果您有意見反應或功能要求,請使用 Microsoft Entra 系統管理員論壇與我們分享。

下一步

若要深入了解透過群組型授權來管理授權的其他案例,請參閱: