如何使用 Microsoft Graph PowerShell 分配用户许可证

分配 Microsoft 365 许可证可能是一项繁琐的任务，即使使用 Microsoft 365 管理中心中的批量操作工具，当您处理数百个用户时，这也不方便。

使用 PowerShell 来完成这些简单但乏味的任务总是更好，在与数百个用户打交道时，我绝对推荐它，特别是当您需要的脚本已经可用时！

在本教程中，我们将了解如何使用 Microsoft Graph PowerShell 在 Microsoft 365 中为用户分配和删除许可证。

先决条件

对于本教程，您必须安装 Microsoft Graph PowerShell 模块。如果您尚未安装，请查看我的指南如何安装 Microsoft Graph PowerShell 模块。

您还必须有足够的可用许可证来分配给您的用户。我在此处创建了一个手写脚本，它将使用 Microsoft Graph PowerShell 导出可用和已用许可证的列表。

使用 Set-MgUserLicense

Set-MgUserLicense cmdlet 可以在 Microsoft.Graph.Users.Actions 模块中找到，而使用该命令的最低权限级别是 Users.ReadWrite .All，您还可以使用Directory.ReadWrite.All权限范围。

这些信息可以通过Find-MgGraphCommand找到，我们也可以通过选择显示“模块”和“权限”信息来限制结果。

Find-MgGraphCommand -Command Set-MgUserLicense | Select Module, Permissions

上述命令的输出将如下所示。 （您将看到 2 个结果，因为它显示标准 (v1.0) 配置文件和 beta 配置文件的信息。

使用过滤器查找未经许可的用户

首先，您可能需要检查租户中未经许可的用户帐户。要查找未经许可的用户，您可以在使用 Get-MgUser cmdlet 时对分配的许可证属性应用筛选器。

例如，要查找许可证计数等于 0 的所有用户，请使用以下命令：

Get-MgUser -Filter 'assignedLicenses/$count eq 0' -ConsistencyLevel eventual -CountVariable CountVar -All

请记住，这将找到所有未经许可的用户帐户，如果您有任何在租户中自动分配免费许可证的动态组，这不会出现在您的结果中。

使用 Set-MgUserLicense 分配用户许可证

首先，我们需要将必要的模块导入到 PowerShell 会话中，并使用必要的权限连接到 Microsoft Graph。

Import-Module Microsoft.Graph.Users, Microsoft.Graph.Users.Actions
Connect-MgGraph -Scope User.ReadWrite.All

现在我们已连接，我们需要要分配的许可证 SKU 的 ID。我们可以通过运行 Get-MgSubscribedSku cmdlet 来解决这个问题。

Get-MgSubscribedSku | Select SkuPartNumber, SkuId

从输出中，您将看到所有可用许可证的列表以及使用 Set-MgUserLicense cmdlet 时需要的 SkuId。

从这里，我们可以将目标许可证存储在变量中，下面我们将 E5 Developer 许可证的信息存储在 $license 变量中。

$license = Get-MgSubscribedSku | `
Where-Object {$_.SkuPartNumber -eq "DEVELOPERPACK_E5"}

我们还需要知道的另一件事是目标用户的对象 ID。为此，我们使用类似的策略将用户信息存储在变量中。下面我们将“Adele Vance”的用户信息存储在 $user 变量中。

$user = Get-MgUser | Where-Object {$_.DisplayName -eq "Adele Vance"}

现在，我们可以通过带有 -UserId 和 -AddLicense 参数的 Set-MgUserLicense cmdlet 使用我们的变量。

Set-MgUserLicense -UserId $user.Id `
-AddLicenses @{SkuId = ($license.SkuId)} -RemoveLicenses @()

您可能会注意到我还使用空值定义了 -RemoveLicenses 参数。如果不定义 -RemoveLicenses 参数，您将收到以下错误：

Set-MgUserLicense ：请求负载中缺少操作“assignLicense”的一个或多个参数。缺少的参数是：removeLicenses。

以下是完整的脚本，您可以复制并粘贴它！

同时分配多个许可证

Import-Module Microsoft.Graph.Users
Connect-MgGraph -scope User.ReadWrite.All
$license = Get-MgSubscribedSku | Where-Object {$_.SkuPartNumber -eq "DEVELOPERPACK_E5"}
$user = Get-MgUser | Where-Object {$_.DisplayName -eq "Adele Vance"}

Set-MgUserLicense -UserId $user.Id -AddLicenses @{SkuId = ($license.SkuId)} -RemoveLicenses @()

-AllLicenses 参数还允许您通过将多个许可证添加到哈希表来同时分配多个许可证。我们可以通过几种方法来实现这一目标……

首先，我们可以将分配给单个用户的所有许可证（作为模板）分配给另一个用户。首先使用 Get-MgUserLicenseDetail cmdlet 将分配的许可证存储到变量。

$lic = Get-MgUserLicenseDetail -UserId $ID

然后，我们需要构建一个哈希表数组，可以将其包含在 Set-MgUserLicense 命令中。

$addlicense = @()
ForEach ($L in $Lic) {
	$addlicense += @{SkuId = ($($L.SkuId))}
}

让我们看看我们做了什么，这是之前和之后：

从上面你可以看到，在我们有每个许可证的对象列表之前，但在我们有一个包含每个许可证的键值对的哈希表数组之后。这是我们需要在命令中包含的内容，以便为一个或多个用户分配多个许可证。

Set-MgUserLicense -UserId $id -AddLicenses $addlicense -RemoveLicenses @()

创建哈希表的方法有多种，在某些情况下，如果您计划将特定许可证分配给多个用户，手动创建哈希表数组可能会更容易。例如：

$AADSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'AAD_PREMIUM'
$IntSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'INTUNE_A'
$addLicenses = @(
  @{SkuId = $AADSku.SkuId},
  @{SkuId = $IntSku.SkuId}
)

如何使用 Microsoft Graph PowerShell 将许可证分配给多个用户

要将许可证分配给多个用户，我们首先必须存储用户并使用 ForEach 命令循环访问它们。

您可以通过多种方式获取您的用户，您可以使用 Get-MgUser cmdlet 定义您的用户列表，您将能够简单地获取脚本所需的用户属性。

或者，如果您已有包含用户列表的 CSV，则可以导入 CSV，然后从循环内获取用户 ID。

下面是一个示例，我根据用户的邮件属性中包含“@ourcloudnetwork.com”存储用户列表，然后为每个用户分配一个 DEVELOPERPACK_E5 许可证。

Import-Module Microsoft.Graph.Users, Microsoft.Graph.Users.Actions
Connect-MgGraph -scope User.ReadWrite.All

$users = Get-MgUser | Where-Object {$_.Mail -match "@ourcloudnetwork.com"}
$license = Get-MgSubscribedSku | Where-Object {$_.SkuPartNumber -eq "DEVELOPERPACK_E5"}

ForEach ($user in $users) {
    Write-host "Assigning license: $($license.SkuPartNumber) to $($user.DisplayName)"
    Set-MgUserLicense -UserId $user.Id -AddLicenses @{SkuId = ($license.SkuId)} -RemoveLicenses @()
}

或者，如果您想执行相同的任务，但这次使用您保存在 CSV 中的现有用户列表，您可以使用以下脚本。

Import-Module Microsoft.Graph.Users, Microsoft.Graph.Users.Actions
Connect-MgGraph -scope User.ReadWrite.All

$users = Import-Csv "C:\temp\userlist.csv"
$license = Get-MgSubscribedSku | Where-Object {$_.SkuPartNumber -eq "DEVELOPERPACK_E5"}

ForEach ($user in $users) {
    Write-host "Assigning license: $($license.SkuPartNumber) to $($user.DisplayName)"
    $userid = $null
    $userid = (Get-MgUser -UserId [email ).Id
    Set-MgUserLicense -UserId $user.Id -AddLicenses @{SkuId = ($license.SkuId)} -RemoveLicenses @()
}

删除单用户许可证

删除单个用户许可证时，-RemoveLicenses 参数不需要哈希表，而只是许可证的 SkuId 字符串。例如，要删除用户的单个许可证，我们可以使用以下命令：

$lic = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'INTUNE_A'

Set-MgUserLicense -UserId $ID -AddLicenses @() -RemoveLicenses $lic.SkuId

我们可以看到，仅在参数中提供 SkuId 字符串值时，该命令就成功了。

删除多个许可证

与添加多个许可证相比，该概念类似于一次删除多个许可证。我们可以在命令中定义 SkuId 值数组来删除多个许可证。

与以前一样，有多种方法可以创建阵列，您可以在脚本中手动定义它，也可以根据现有用户或任何可用许可证的值创建它。

例如，要创建特定 SkuId 的数组列表，您可以使用以下命令：

$AADSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'AAD_PREMIUM'
$IntSku = Get-MgSubscribedSku -All | Where SkuPartNumber -eq 'INTUNE_A'
$Lics = "$($AADSku.SkuID)", "$($IntSku.SkuId)"

该数组将如下所示：

然后可以将该数组包含在您的命令中，如下所示，以删除单个用户的指定许可证。

Set-MgUserLicense -UserId $ID -AddLicenses @() -RemoveLicenses $lics

您可以使用前面的示例对组织中的多个用户运行此命令。