当我们购买好需要的Office365产品许可证,接下来就是如何分配它,不同的许可证在服务不冲突的情况下是可以同时分配给同一个用户的,比如同时将E3和E5可以同时分配给同一个用户(E1和E3,E1和E5因为服务冲突不能同时分配),这样就会占用两个许可证,造成资源浪费,所以建议许可证管理过程中尽量减少手动设定,设计好自动化流程,让程序来管理,更加合理高效。
关于许可证的类型和区别等详细信息,可以参考之前的博文:
规划和购买office365许可证
如果混合环境中没有纯云端用户,用户全部由本地同步到云端,建议直接用本地组配合脚本来管理许可证,只需要管理本地组成员,即可实现许可证自动添加、回收。
上述只是示例代码,实际生产环境中,按需修改即可,主要是设计好自动化流程,这样符合条件的用户会被脚本自动添加或删除到相应的本地组,AAD上会给对应的本地组添加或移除许可证,这样就实现了许可证自动管理,这个过程中尽量减少人为操作,如果许可证计划出现故障(比如同时分配了E1和E3许可证),则会反应到AAD许可证首页出现报错,如图:
另外需注意同时分配了E3和E5不会显示错误,因为它们的许可证计划并不冲突,这就需要定期Review对应的组成员。
在AAD中,我们可以创建符合一定条件的动态组,让组成员根据预设的条件自动更新组成员。
场景:我们创建一个包含IT部门所有在职员工的动态组,并为该动态组分配许可证。
1.登录到AADhttps://portal.azure.com网站,导航到组管理页,创建新的动态组。
2. 创建新的动态组
3. 添加动态组成员查询条件:账户为Enabled状态且部门包含IT字符串。
4. 添加完规则之后,我们可以点击旁边的验证规则,来查看我们的规则是否生效。
5. 验证规则时,可以点击状态栏的“查看详细信息”以查看规则匹配情况,这可以帮助我们创建复杂的规则。
6. 创建完动态组之后,我们再为该动态组分配相应的Office365许可证即可。
注意:
1. 要动态组成员更新立即更新,可以通过更新成员资格规则以在末尾添加空格来手动触发重新处理组成员身份。
2. 动态条件不支持查询用户属于某个组的方式,所以有感觉有点局限性,个人还是比较喜欢使用本地组+脚本来管理,会更加灵活一些。
我们知道,小于 50 GB 且没有特定许可功能的共享邮箱和资源邮箱不需要 Office 365 许可证,所以在实际生产环境中,我们建议将离职用户的账号取消所有License,并转化为共享邮箱,保存邮箱数据,当然这些数据还是需要设置保留规则,定期清理。
示例代码
这是个简单的处理脚本,实际使用中可按需修改,后面我们可以将它放到Azure上,使其定时执行。
这一章完成之后,Office365实战进阶系列就结束了,后面会视情况再补一些安全和Azure方向的系列文章。