Scénáře, omezení a známé problémy s používáním skupin ke správě licencování v Microsoft Entra ID

  • Článek

Následující informace a příklady vám pomůžou získat pokročilejší znalosti licencování na základě skupin v rámci Microsoft Entra ID, která je součástí microsoft Entra.

Místo použití

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Některé služby Microsoft nejsou dostupné ve všech umístěních. Pro přiřazení licencí skupiny zdědí všichni uživatelé bez zadaného umístění použití umístění adresáře. Pokud máte uživatele ve více umístěních, nezapomeňte před přidáním uživatelů do skupin s licencemi správně odrážet prostředky uživatelů. Před přiřazením licence uživateli by měl správce zadat vlastnost Umístění využití pro uživatele.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň skupiny Správa istrator.

  2. Vyberte Microsoft Entra ID.

  3. Přejděte na Uživatelé>Všichni uživatelé a vyberte uživatele.

    Screenshot of the All users pane.

  4. Vyberte Upravit vlastnosti.

  5. Vyberte kartu Nastavení a zadejte umístění uživatele.

  6. Vyberte tlačítko Uložit.

Poznámka:

Přiřazení licencí skupiny nikdy neupraví stávající hodnotu umístění využití pro uživatele. Doporučujeme vždy nastavit umístění použití jako součást toku vytváření uživatelů v Microsoft Entra ID (například prostřednictvím konfigurace Microsoft Entra Připojení). Po provedení takového procesu zajistíte, že výsledek přiřazení licence je vždy správný a uživatelé nedostávají služby v umístěních, která nejsou povolená.

Použití licencování na základě skupin s dynamickými skupinami

Licencování na základě skupin můžete použít s libovolnou skupinou zabezpečení, včetně dynamických skupin. Dynamické skupiny spouštějí pravidla pro atributy uživatelských prostředků, které automaticky přidávají a odebírat členy. Atributy můžou být oddělení, pracovní pozice, pracovní umístění nebo jiný vlastní atribut. Každé skupině se přiřadí licence, které mají členové přijímat. Pokud se atribut změní, člen skupinu opustí a licence se odeberou.

Atribut můžete přiřadit místně a synchronizovat ho s ID Microsoft Entra nebo můžete atribut spravovat přímo v cloudu.

Upozorňující

Při úpravě pravidla členství existující skupiny buďte opatrní. Když se pravidlo změní, členství ve skupině se znovu vyhodnotí a uživatelé, kteří se už nebudou shodovat s novým pravidlem, budou odebráni (uživatelé, kteří se stále shodují s novým pravidlem, nebudou během tohoto procesu ovlivněni). Tito uživatelé budou mít během procesu odebrané své licence, což může vést ke ztrátě služeb nebo v některých případech ke ztrátě dat.

Pokud máte velkou dynamickou skupinu, na které závisíte na přiřazení licence, zvažte ověření významných změn v menší testovací skupině, než je použijete u hlavní skupiny.

Více skupin a více licencí

Uživatel může být členem více skupin s licencemi. Je potřeba vzít v úvahu některé skutečnosti:

  • Více licencí pro stejný produkt se může překrývat a výsledkem je, že se na uživatele použijí všechny povolené služby. Příkladem může být, že M365-P1 obsahuje základní služby, které se mají nasadit pro všechny uživatele, a M365-P2 obsahuje služby P2 , které se nasazují jenom některým uživatelům. Uživatele můžete přidat do jedné nebo obou skupin a používat jenom jednu licenci pro produkt.

  • Výběrem licence zobrazíte další podrobnosti, včetně informací o tom, které služby jsou uživateli povoleny přiřazením licence skupiny.

Přímé licence společně s licencemi skupin

Když uživatel zdědí licenci ze skupiny, nemůžete ji přímo odebrat ani upravit ve vlastnostech uživatele. Přiřazení licence můžete změnit pouze ve skupině a změny se pak rozšíří do všech členů skupiny. Pokud potřebujete přiřadit další funkce uživateli, který má licenci z přiřazení licence skupiny, musíte vytvořit další skupinu, která uživateli přiřadí ostatní funkce.

Pokud používáte licencování založené na skupinách, zvažte následující scénáře:

  • Členové skupiny dědí licence přiřazené skupině.
  • Možnosti licencí pro licence založené na skupinách se musí změnit na úrovni skupiny.
  • Pokud je potřeba uživateli přiřadit různé možnosti licence, vytvořte novou skupinu, přiřaďte skupině licenci a pak přidejte uživatele do této skupiny.
  • Uživatelé stále používají jenom jednu licenci produktu, pokud se v různých licencích založených na skupinách používají různé možnosti licencí pro daný produkt.

Při použití přímého přiřazení jsou povoleny následující operace:

  • Licence, které ještě nejsou přiřazené prostřednictvím licencování na základě skupin, je možné u jednotlivých uživatelů změnit.
  • Jiné služby je možné povolit jako součást přímo přiřazené licence.
  • Přímo přiřazené licence je možné odebrat a neovlivní zděděné licence uživatele.

Správa nových služeb přidaných do produktů

Když Microsoft přidá novou službu do licenčního plánu produktu, povolí se ve výchozím nastavení ve všech skupinách, ke kterým jste přiřadili licenci na produkt. Uživatelé ve vaší organizaci, kteří se přihlašují k odběru oznámení o změnách produktů, dostanou e-maily předem s oznámením o nadcházejících doplňcích služeb.

Jako správce můžete zkontrolovat všechny skupiny ovlivněné změnou a provést akci, například zakázat novou službu v každé skupině. Pokud jste například vytvořili skupiny zaměřené pouze na konkrétní služby pro nasazení, můžete se k těmto skupinám vrátit a ujistit se, že jsou všechny nově přidané služby zakázané.

Tady je příklad, jak tento proces může vypadat:

  1. Původně jste přiřadili produkt Microsoft 365 E5 několika skupinám. Jedna z těchto skupin s názvem Microsoft 365 E5 – Exchange byla navržena tak , aby umožňovala pouze službu Exchange Online (Plán 2) pro její členy.

  2. Od Microsoftu jste dostali oznámení, že produkt E5 bude rozšířen o novou službu – Microsoft Stream. Jakmile bude služba dostupná ve vaší organizaci, můžete provést následující kroky:

    1. Přihlaste se do Centra pro správu Microsoft Entra

  4. Vyberte Microsoft Entra ID.

  5. Vyberte Fakturační>licence>Všechny produkty a vyberte Microsoft 365 Enterprise E5 a pak vyberte Licencované skupiny, abyste zobrazili seznam všech skupin s tímto produktem.

  6. Vyberte skupinu, kterou chcete zkontrolovat (v tomto případě Microsoft 365 E5 – jenom Exchange). Otevře se karta Licence . Výběrem licence E5 zobrazíte všechny povolené služby.

    Poznámka:

    Služba Microsoft Stream byla automaticky přidána a povolena v této skupině kromě služby Exchange Online :

    Screenshot of new service added to a group license.

  7. Pokud chcete zakázat novou službu v této skupině, vyberte přepínač Zapnuto/Vypnuto vedle služby a výběrem tlačítka Uložit potvrďte změnu. Id Microsoft Entra teď zpracuje všechny uživatele ve skupině, aby změnu použili; Všichni noví uživatelé přidaní do skupiny nebudou mít povolenou službu Microsoft Stream .

    Poznámka:

    Uživatelé můžou mít i nadále povolenou službu prostřednictvím jiného přiřazení licence (jiná skupina, které jsou členy nebo přiřazení přímé licence).

  8. V případě potřeby proveďte stejné kroky pro ostatní skupiny s přiřazeným produktem.

Použití PowerShellu k zobrazení, kdo zdědil a přímé licence

Pomocí skriptu PowerShellu můžete zkontrolovat, jestli mají uživatelé přiřazenou licenci přímo nebo zděděnou ze skupiny.

  1. Spuštěním rutiny Connect-MgGraph -Scopes "Organization.Read.All" ověřte a připojte se k vaší organizaci pomocí Microsoft Graphu.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname lze použít ke zjištění všech zřízených licencí na produkty v organizaci Microsoft Entra.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Pro licenci, která vás zajímá, použijte hodnotu ServicePlanId s tímto skriptem PowerShellu. Seznam naplní uživatele, kteří mají tuto licenci, a informace o tom, jak je licence přiřazena.

Monitorování aktivit licencování na základě skupin pomocí protokolů auditu

Protokoly auditu Microsoft Entra můžete použít k zobrazení všech aktivit souvisejících s licencováním na základě skupin, mezi které patří:

  • kdo změnil licence ve skupinách
  • když systém začal zpracovávat změnu skupinové licence a po dokončení
  • jaké změny licence uživatel provedl v důsledku přiřazení licence skupiny.

Protokoly auditu související s licencováním založené na skupinách je možné získat přístup z protokolů auditu ve skupinách nebo licenčních oblastech ID Microsoft Entra nebo použít následující kombinace filtrů z hlavních protokolů auditu:

  • Služba: Základní adresář
  • Kategorie: GroupManagement nebo UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Zjistěte, kdo upravil licenci

  1. Pokud chcete zobrazit protokoly změn skupinových licencí, použijte následující možnosti filtru protokolu auditu:
    • Služba: Základní adresář
    • Kategorie: GroupManagement
    • Aktivita: Nastavení skupinové licence
  2. Výběrem řádku ve výsledné tabulce zobrazíte podrobnosti.
  3. Vyberte kartu Změněné vlastnosti a podívejte se na staré a nové hodnoty licenční smlouvy.

Následující příklad ukazuje výše uvedená nastavení filtru a filtr Target nastavený na všechny skupiny, které začínají na EMS.

Screenshot of the Microsoft Entra audit logs including a Target filter.

Pokud chcete zobrazit změny licencí pro konkrétního uživatele, použijte následující filtry:

  • Služba: Základní adresář
  • Kategorie: UserManagement
  • Aktivita: Změna uživatelské licence

Zjištění, kdy se změny skupiny spustily a dokončily zpracování

Když se ve skupině změní licence, začne microsoft Entra ID používat změny u všech uživatelů, ale zpracování změn může chvíli trvat.

  1. Pokud chcete zjistit, kdy se skupiny začaly zpracovávat, použijte následující filtry:
    • Služba: Základní adresář
    • Kategorie: GroupManagement
    • Aktivita: Zahájení použití licence na základě skupiny pro uživatele
  2. Výběrem řádku ve výsledné tabulce zobrazíte podrobnosti.
  3. Vyberte kartu Změněné vlastnosti a zobrazte změny licencí, které byly vybrány ke zpracování.
    • Tyto podrobnosti použijte, pokud provádíte více změn ve skupině a nejste si jistí, která licence se zpracovala.
    • Actor pro operaci je Licencování založené na skupině Microsoft Entra, což je systémový účet, který se používá ke spuštění všech změn licencí skupiny.

Pokud chcete zjistit, kdy se skupiny dokončily zpracování, změňte filtr aktivity na dokončení použití licence na základě skupiny pro uživatele. V tomto případě obsahuje pole Změněné vlastnosti souhrn výsledků, což je užitečné k rychlé kontrole, jestli zpracování vedlo k chybám. Ukázkový výstup:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Pokud chcete zobrazit úplný protokol o tom, jak byla skupina zpracována, včetně všech změn uživatelů, přidejte následující filtry:

  • Cíl: Název skupiny
  • Inicioval (actor): Licencování založené na skupinách Microsoft Entra (rozlišují se malá a velká písmena)
  • Rozsah kalendářních dat (volitelné): Vlastní rozsah, pro který víte, že konkrétní skupina začala a dokončila zpracování

Tento ukázkový výstup ukazuje začátek a dokončení zpracování změny licence.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Odstranění skupiny s přiřazenou licencí

Skupinu s přiřazenou aktivní licencí není možné odstranit. Správce může odstranit skupinu, která si neuvědomuje, že způsobí odebrání licencí uživatelům. Z tohoto důvodu vyžadujeme, aby se před odstraněním ze skupiny odebraly všechny licence.

Při pokusu o odstranění skupiny na portálu se může zobrazit chybové oznámení, které se zobrazí takto:

Screenshot group deletion failed.

Přejděte na kartu Licence ve skupině a zkontrolujte, jestli jsou přiřazené nějaké licence. Pokud ano, odeberte tyto licence a zkuste skupinu odstranit znovu.

Při pokusu o odstranění skupiny prostřednictvím PowerShellu nebo rozhraní Graph API se můžou zobrazit podobné chyby. Pokud používáte skupinu synchronizovanou z místního prostředí, může Microsoft Entra Připojení také hlásit chyby, pokud se nedaří odstranit skupinu v Microsoft Entra ID. Ve všech takových případech zkontrolujte, jestli jsou ke skupině přiřazené nějaké licence, a nejprve je odeberte.

Omezení a známé problémy

Pokud používáte licencování založené na skupinách, je vhodné se seznámit s následujícím seznamem omezení a známých problémů.

  • Licencování založené na skupinách v současné době nepodporuje skupiny, které obsahují jiné skupiny (vnořené skupiny). Pokud použijete licenci pro vnořenou skupinu, použije se jenom pro bezprostřední členy této skupiny na první úrovni.

  • Tuto funkci lze použít pouze se skupinami zabezpečení a skupinami Microsoft 365, které mají securityEnabled=TRUE.

  • Centrum pro správu Microsoftu 365 v současné době nepodporuje licencování na základě skupin. Pokud uživatel zdědí licenci ze skupiny, zobrazí se tato licence na portálu pro správu Office jako běžná uživatelská licence. Pokud se pokusíte tuto licenci upravit nebo se pokusíte licenci odebrat, portál vrátí chybovou zprávu. Zděděné skupinové licence nelze upravovat přímo u uživatele.

  • Pokud jsou licence přiřazeny nebo upraveny pro velkou skupinu (například 100 000 uživatelů), může to mít vliv na výkon. Konkrétně může objem změn generovaných automatizací Microsoft Entra negativně ovlivnit výkon synchronizace adresářů mezi ID Microsoft Entra a místními systémy.

  • Pokud ke správě členství uživatele používáte dynamické skupiny, ověřte, že je uživatel součástí skupiny, což je nezbytné pro přiřazení licence. V opačném případě zkontrolujte stav zpracování pravidla členství dané dynamické skupiny.

  • V některých situacích s vysokým zatížením může zpracování změn licencí pro skupiny nebo změny členství ve skupinách s existujícími licencemi trvat delší dobu. Pokud se zobrazí, že zpracování velikosti skupiny 60 K uživatelů trvá déle než 24 hodin, otevřete lístek podpory, který nám umožní prozkoumat.

  • Automatizace správy licencí nereaguje automaticky na všechny typy změn v prostředí. Můžete mít například nedostatek licencí, což způsobí, že někteří uživatelé budou v chybovém stavu. Pokud chcete uvolnit počet dostupných míst, můžete některé licence přímo přiřazené jiným uživatelům odebrat. Systém ale na tuto změnu nereaguje automaticky a opravuje uživatele v tomto chybovém stavu.

    Jako alternativní řešení pro tyto typy omezení můžete přejít do skupin> ID Microsoft Entra>a vybrat skupinu>, vyberte Možnost Znovu zpracovat licence.> Tento příkaz zpracuje všechny uživatele v této skupině a v případě potřeby vyřeší chybové stavy.

Další kroky

Další informace o jiných scénářích pro správu licencí pomocí licencování na základě skupin najdete v tématech: