什么是 Microsoft Entra ID 中基于组的许可?

注意

从 9 月 1 日起,Microsoft Entra ID 管理中心和 Azure 门户将不再支持通过其用户界面分配许可证。 若要管理用户和组的许可证分配,管理员必须使用 Microsoft 365 管理中心。 此更新旨在简化 Microsoft 生态系统中的许可证管理流程。 此更改仅限于用户界面。 API 和 PowerShell 访问不受影响。 有关使用 Microsoft 365 管理中心分配许可证的详细指南,请参阅以下资源:

Microsoft 付费云服务(如 Microsoft 365、企业移动性 + 安全性、Dynamics 365 及其他类似产品)需要许可证。 这些许可证将分配给需要访问这些服务的每个用户。 若要管理许可证,管理员可以使用某种管理门户(Office 或 Azure)和 PowerShell cmdlet。 Microsoft Entra ID 是支持所有 Microsoft Cloud 服务的标识管理的底层基础结构。 Microsoft Entra ID 存储有关用户许可证分配状态的信息。

Microsoft Entra ID 包括基于组的许可,支持向组分配一个或多个产品许可证。 Microsoft Entra ID 确保将许可证分配给该组的所有成员。 将向加入该组的任何新成员分配适当的许可证。 在这些成员离开组时,将删除相应的许可证。 使用此许可管理功能后,将不再需要通过 PowerShell 自动执行许可证管理以反映每个用户的组织和部门结构变化。

许可要求

对于受益于基于组的许可的每个用户,你必须具有以下许可证之一:

  • Microsoft Entra ID P1 及更高版本的付费订阅或试用订阅

  • Microsoft 365 商业高级版、Office 365 企业版 E3、Office 365 A3、Office 365 GCC G3、Office 365 E3 for GCCH 或 Office 365 E3 for DOD 及更高版本的付费或试用版

所需许可证数

对于分配了许可证的任何组,你还必须具有用于每个唯一成员的许可证。 虽然不是必须为组的每个成员分配一个许可证,但是你必须至少具有足够的许可证来包括所有成员。 例如,如果你的租户中经许可的组有 1,000 个唯一成员,则必须至少具有 1,000 个许可证才满足许可协议。

功能

以下是基于组的许可的主要功能:

  • 可以将许可证分配到 Microsoft Entra ID 中的任何安全组。 可以使用 Microsoft Entra Connect 从本地同步安全组。 还可以在 Microsoft Entra ID 中直接创建安全组(也称为仅限云的组),或通过 Microsoft Entra 动态组功能自动创建安全组。

  • 将产品许可证分配到组时,管理员可以禁用产品中的一个或多个服务计划。 通常,在组织尚未准备好开始使用产品中包含的服务时会执行此分配。 例如,管理员可能会将 Microsoft 365 分配给某个部门,但暂时禁用 Yammer 服务。

  • 支持需要用户级许可的所有 Microsoft Cloud 服务。 此支持包括所有 Microsoft 365 产品、企业移动性 + 安全性和 Dynamics 365。

  • 基于组的许可目前通过 Azure 门户提供。

  • Microsoft Entra ID 会自动管理由组成员身份更改导致的许可证修改。 通常,在组成员身份发生更改时,许可证修改在几分钟内就会生效。

  • 用户可以是指定了许可证策略的多个组的成员。 用户也可以拥有在任何组外部直接分配的许可证。 生成的用户状态是所有已分配产品和服务许可证的组合。 如果为用户分配了来自多个源的同一许可证,则该许可证将仅使用一次。

  • 在某些情况下,无法向用户分配许可证。 例如,当租户中可用许可证不足时,或者同时分配了冲突服务时。 对于 Microsoft Entra ID 无法完全处理其组许可证的用户,管理员有权访问其信息。 然后,可以根据这些信息采取纠正措施。

我们欢迎反馈!

如果有反馈或功能请求,请使用 Microsoft Entra 管理员论坛将其与我们共享。

后续步骤

若要详细了解通过基于组的许可进行许可证管理的其他方案,请参阅: