在 Microsoft Entra ID 中使用组管理许可的方案、限制和已知问题

  • 项目

使用以下信息和示例更深入地了解属于 Microsoft Entra 的 Microsoft Entra ID 中的基于组的许可。

使用位置

提示

本文中的步骤可能因开始使用的门户而略有不同。

某些 Microsoft 服务并非在所有位置都可以使用。 对于组许可证分配,任何没有指定使用位置的用户将继承该目录的位置。 如果用户位于多个位置,请在将用户添加到具有许可证的组之前,在用户资源中正确反映这种状态。 将许可证分配给用户之前,管理员应为该用户指定“使用位置”属性。

  1. 至少以组管理员身份登录到 Microsoft Entra 管理中心

  2. 选择“Microsoft Entra ID”。

  3. 转到“用户”>“所有用户”并选择一个用户。

    屏幕截图显示了“所有用户”窗格。

  4. 选择“编辑属性”。

  5. 选择“设置”选项卡,然后输入用户的位置。

  6. 选择“保存”按钮。

注意

组许可证分配永远不会修改用户的现有使用位置值。 建议始终将使用位置设置为 Microsoft Entra ID 中的用户创建流的一部分(例如,通过 Microsoft Entra Connect 配置进行设置)。 遵循这种流程可确保许可证分配的结果始终正确,并且用户不会在不允许的位置接受服务。

对动态组使用基于组的许可

可将基于组的许可用于任何安全组,包括动态组。 动态组针对用户资源属性运行规则,以自动添加和删除成员。 属性可以是部门、职务、工位或其他自定义属性。 将为每个组分配你希望成员接收的许可证。 如果属性发生更改,成员将离开组,并删除许可证。

可在本地分配属性并将它与 Microsoft Entra ID 同步,或者直接在云中管理属性。

警告

修改现有组的成员身份规则时请小心。 更改规则时,将重新评估组成员资格,并删除不再符合新规则的用户(在此过程中,仍然匹配新规则的用户不会受到影响)。 在此过程中,将删除这些用户的许可证,从而导致服务丢失,或在某些情况下导致数据丢失。

如果拥有大型动态组,并且依赖于该组进行许可证分配,请先考虑对较小的测试组验证所有主要更改,然后再将更改应用到主要组。

多个组和多个许可证

用户可能是具有许可证的多个组的成员。 以下是一些需要考虑的事项:

  • 相同产品的多个许可证可能重叠,从而导致向用户应用所有已启用的服务。 例如,M365-P1 包含部署给所有用户的基础服务,M365-P2 包含仅部署给部分用户的 P2 服务。 可以将用户添加到一个组或两个组,并仅为产品使用一个许可证。

  • 选择一个许可证可查看更多详细信息,包括有关组许可证分配为用户启用了哪些服务的信息。

直接许可证与组许可证共存

如果用户从组继承许可证,则无法直接在用户属性中删除或修改该许可证。 只能在组中更改许可证分配,然后更改会传播到所有组成员。 如果需要将其他功能分配给具有组许可证分配许可证的用户,则必须创建另一个组以将其他功能分配给该用户。

使用基于组的许可时,请考虑以下场景:

  • 组成员继承分配给组的许可证。
  • 必须在组级别更改基于组的许可证的许可证选项。
  • 如果需要将不同的许可证选项分配给某个用户,请创建一个新组,将许可证分配到该组,然后将该用户添加到该组。
  • 如果在不同的基于组的许可证中使用某个产品的不同许可证选项,则用户仍只能使用该产品的一个许可证。

使用直接分配时,允许执行以下操作:

  • 对于单个用户,可以更改尚未通过基于组的许可分配的许可证。
  • 可以启用其他服务作为直接分配的许可证的一部分。
  • 可以删除直接分配的许可证,不会影响用户继承的许可证。

管理添加到产品的新服务

当 Microsoft 向产品许可计划添加新服务时,将在分配到产品许可证的所有组中默认启用该服务。 组织中订阅了产品更改通知的用户将提前收到电子邮件,通知他们即将添加服务。

作为管理员,你可以查看受更改影响的所有组并执行操作,例如在每个组中禁用新服务。 例如,如果已创建的组仅面向部署的特定服务,则可以重新访问这些组,并确保禁用任何新添加的服务。

此过程如以下示例所示:

  1. 最初,你已将 Microsoft 365 E5 产品分配到多个组。 其中一个名为 Microsoft 365 E5 - Exchange only 的组旨在仅为其成员启用 Exchange Online(计划 2)服务。

  2. Microsoft 向你发送通知,告知 E5 产品将使用 Microsoft Stream 这项新服务进行扩展。 当该服务在你的组织中可用时,你可以完成以下步骤:

    1. 登录 Microsoft Entra 管理中心

  4. 选择“Microsoft Entra ID”。

  5. 选择“计费”>“许可证”>“所有产品”,选择“Microsoft 365 企业版 E5”然后选择“已许可的组”以查看具有该产品的所有组的列表。

  6. 选择要查看的组(在本例中为“Microsoft 365 E5 - 仅限 Exchange”)。 此时会打开“许可证”选项卡。 选择 E5 许可证以查看所有已启用的服务。

    注意

    除了 Exchange Online 服务外,Microsoft Stream 服务也已自动添加到此组中并已启用:

    屏幕截图显示了添加到组许可证的新服务。

  7. 如果要禁用此组中的新服务,请选择服务旁边的“开/关”切换器,然后选择“保存”按钮确认更改。 Microsoft Entra ID 现在将处理组中的所有用户以应用更改;添加到该组的任何新用户均不会启用 Microsoft Stream 服务。

    注意

    用户仍然可以通过一些其他许可证分配(用户作为成员的其他组或直接许可证分配)启用该服务。

  8. 如有必要,请为分配了此产品的其他组执行相同的步骤。

使用 PowerShell 查看谁拥有继承的许可证和直接许可证

可以使用 PowerShell 脚本来检查用户是具有直接分配的许可证还是具有从组继承的许可证。

  1. 运行 Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "Organization.Read.All" cmdlet 以使用 Microsoft Graph 进行身份验证并连接到组织。

  2. 可以使用 Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname 来发现 Microsoft Entra 组织中所有已预配的产品许可证。

    屏幕截图显示了 Get-MgSubscribedSku cmdlet。

  3. 通过此 PowerShell 脚本ServicePlanId 值用于你感兴趣的许可证。 列表中将填充拥有此许可证的用户以及有关如何分配此许可证的信息。

使用审核日志来监视基于组的许可活动

可以使用 Microsoft Entra 审核日志查看与基于组的许可相关的所有活动,其中包括:

  • 更改组许可证的人员
  • 系统开始处理组许可证更改的时间以及完成时间
  • 基于组合许可证分配,对用户进行了哪些许可证更改。

可以从 Microsoft Entra ID 的“组”或“许可”区域中的审核日志访问与基于组的许可相关的审核日志,或者从主审核日志使用以下筛选器组合:

  • 服务:核心目录
  • 类别:GroupManagement 或 UserManagement

Microsoft Entra 审核日志的屏幕截图,其中突出显示了“核心目录”和“GroupManagement”筛选器选项。

确定许可证的修改者

  1. 若要查看组许可证更改的日志,请使用以下审核日志筛选器选项:
    • 服务:核心目录
    • 类别:GroupManagement
    • 活动:设置组许可证
  2. 在生成的表中选择一行以查看详细信息。
  3. 选择“已修改的属性”选项卡查看许可协议的旧值和新值。

以下示例显示上面列出的筛选器设置,以及设置为以“EMS”开头的所有组的“目标”筛选器。

Microsoft Entra 审核日志(包括目标筛选器)的屏幕截图。

若要查看特定用户的许可证更改,请使用以下筛选器:

  • 服务:核心目录
  • 类别:UserManagement
  • 活动:更改用户许可证

了解组更改开始和完成处理的时间

当组的许可证发生更改时,Microsoft Entra ID 会开始将更改应用于所有用户,但处理更改可能需要一段时间。

  1. 若要查看组何时开始处理,请使用以下筛选器:
    • 服务:核心目录
    • 类别:GroupManagement
    • 活动:开始向用户应用基于组的许可证
  2. 在生成的表中选择一行以查看详细信息。
  3. 选择“已修改的属性”选项卡,查看已选择进行处理的许可证更改。
    • 如果你要对组进行多项更改,并且不确定处理了哪个许可证,请使用这些详细信息。
    • 操作的执行组件是“Microsoft Entra 基于组的许可”,这是用于执行所有组许可证更改的系统帐户。

若要查看组何时完成了处理,请将“活动”筛选器更改为“完成将基于组的许可证应用到用户”。 在这种情况下,“已修改的属性”字段包含结果摘要,这对于快速检查处理是否会导致任何错误而言非常有用。 示例输出:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

若要查看如何处理组的完整日志(包括所有用户更改),请添加以下筛选器:

  • 目标:组名称
  • 启动者(执行组件):Microsoft Entra 基于组的许可(区分大小写)
  • 日期范围(可选):你知道特定组开始处理和完成处理的自定义时间范围

此示例输出显示许可证更改的处理开始和完成时间。

Microsoft Entra 审核日志筛选器以及许可证更改开始和结束时间的屏幕截图。

使用分配的许可证删除组

无法使用所分配的有效许可证删除组。 管理员可能会删除某个组,但未意识到这会导致移除用户的许可证。 出于此原因,我们要求首先从组中移除任何许可证,然后才能将其删除。

在门户中尝试删除组时可能会看到如下错误通知:

屏幕截图显示了“组删除失败”。

请转到组的“许可证”选项卡,查看是否分配有任何许可证。 如果是,请删除这些许可证,然后再重试删除组。

尝试通过 PowerShell 或图形 API 删除组时,可能会看到类似的错误。 使用的是从本地同步的组时,如果无法在 Microsoft Entra ID 中删除组,Microsoft Entra Connect 也可能会报告错误。 在所有此类情况下,请务必检查是否有任何许可证分配给组,并先删除这些许可证。

限制和已知问题

如果使用基于组的许可,最好是熟悉以下限制和已知问题的列表。

  • 基于组的许可目前不支持包含其他组的组(嵌套组)。 如果将许可证应用到某个嵌套组,只会向该组的直接一级用户成员应用许可证。

  • 该功能只能用于安全组和其中 securityEnabled=TRUE 的 Microsoft 365 组。

  • Microsoft 365 管理中心目前不支持基于组的许可。 如果用户从组继承许可证,此许可证会在 Office 管理门户中显示为普通的用户许可证。 如果尝试修改该许可证或尝试删除它,门户会返回错误消息。 无法直接修改用户的继承的组许可证。

  • 如果针对大型组(例如,100,000 个用户)分配或修改许可证,则可能会影响性能。 具体而言,Microsoft Entra 自动化生成的大量更改可能会对 Microsoft Entra ID 与本地系统之间的目录同步性能产生负面影响。

  • 如果使用动态组来管理用户的成员身份,请验证用户是否包含在组中,这是进行许可证分配所必需的。 如果为否,则对于动态组,请检查成员身份规则的处理状态

  • 在某些高负载情况下,处理组的许可证更改或处理具有现有许可证的组的成员身份更改可能需要很长时间。 如果你发现对于 6 万及以下人数的用户群,处理更改所需时间超过 24 小时,请开具支持票证以便我们调查。

  • 许可证管理自动化不会自动根据环境中的所有更改类型做出反应。 例如,可能会用完许可证,导致某些用户进入错误状态。 若要释放可用的许可席位计数,可以删除其他用户的某些直接分配的许可证。 但是,系统不会自动对此项更改做出反应,也不会修复处于该错误状态的用户。

    要解决此类限制,可以转到“Microsoft Entra ID”>“组”> 选择一个组 > 选择“许可证”> 选择“重新处理”。 在可能的情况下,此命令会处理该组中的所有用户并修复错误状态。

后续步骤

若要详细了解通过基于组的许可进行许可证管理的其他方案,请参阅: