如何將具有個別授權的使用者移轉至群組以進行授權

  • 發行項

在 Microsoft Entra 識別碼中,您可以透過直接指派、使用 PowerShell 腳本或其他工具來指派個別使用者授權,將授權部署到租用戶組織中的使用者。 在您開始使用群組型授權來管理組織中的授權之前,您可以使用此移轉方案,透過群組型授權順暢地取代現有的解決方案。

請記住,最重要的事項是,您應該避免移轉至群組型授權會導致用戶暫時失去目前指派的授權的情況。 應避免任何可能導致移除授權的程式,以消除使用者失去服務及其數據存取權的風險。

  1. 您有適用於使用者的現有自動化 (例如,PowerShell) 管理授權指派和移除。 讓其如往常般執行。

  2. 建立新的授權群組 (或決定要使用哪些現有群組),並確定所有必要的使用者都已新增為成員。

  3. 將必要的授權指派給這些群組;您的目標應該是反映現有自動化 (例如,PowerShell) 套用至這些使用者的相同授權狀態。

  4. 確認已將授權套用至這些群組中的所有使用者。 這個應用程式可以透過檢查每個群組的處理狀態以及檢查稽核記錄來完成。

    • 您可以查看其授權詳細數據,以找出個別使用者。 您會看到他們擁有指派「直接」和「繼承」自群組的相同授權。

    • 您可以執行 PowerShell 指令碼來驗證授權如何指派給使用者

    • 當相同的產品授權直接和透過群組指派給使用者時,使用者只會使用一個授權。 因此,執行移轉不需要其他授權。

  5. 檢查每個群組中是否有處於錯誤狀態的使用者,以確認沒有失敗的授權指派。 如需詳細資訊,請參閱 識別和解決群組的授權問題。

請考量移除原始的直接指派。 建議您逐步進行,並且先監視使用者子集上的結果。 您可以將原始直接指派留給使用者,但當使用者離開其授權群組時,他們保留直接指派的授權,這可能不是您想要的。

範例

組織有 1000 個使用者。 所有使用者都需要 Office 365 企業版 E3 授權。 目前組織有一個在內部部署執行的 PowerShell 指令碼,可隨著使用者來來去去而新增和移除授權。 不過,組織想要以群組型授權取代指令碼,以便讓 Microsoft Entra ID 自動管理授權。

移轉程序看起來會像這樣:

  1. 使用 Azure 入口網站,將 Office 365 E3 授權指派給 Microsoft Entra ID 中的 [所有使用者] 群組。

  2. 確認已完成所有使用者的授權指派。 移至群組的概觀頁面,選取 [授權],然後在 [授權] 刀鋒視窗頂端檢查處理狀態。

    • 尋找「最新授權變更已套用至所有使用者」以確認處理已完成。

    • 尋找通知,指出未成功指派授權的使用者。 我們是否已經為部分使用者用完授權? 某些使用者是否有衝突的授權方案,使其無法繼承群組授權?

  3. 抽查一些使用者以確認他們已套用直接授權和群組授權。 移至使用者的配置檔頁面,選取 [授權],然後檢查授權的狀態。

    • 此影像顯示移轉期間預期的用戶狀態:

      移轉期間預期用戶狀態的螢幕快照。

      這可確認使用者擁有直接和繼承的授權。 我們會看到已指派 Office 365 E3。

    • 選取每個授權以查看已啟用的服務。 若要確認直接授權和群組授權為用戶啟用完全相同的服務,請選取 [ 指派]。

  4. 確認直接授權和群組授權都相等之後,您就可以開始移除使用者的直接授權。 您可以在入口網站中移除個別使用者,藉此進行測試,然後執行自動化指令碼以大量移除。 以下是透過入口網站移除直接授權的相同使用者範例。 請注意,授權狀態維持不變,但是我們不會再看到直接指派。

    顯示如何確認已移除直接授權的螢幕快照

下一步

深入瞭解群組授權管理的其他案例: