Scénáře, omezení a známé problémy s používáním skupin ke správě licencování v Microsoft Entra ID
Následující informace a příklady vám pomůžou získat pokročilejší znalosti licencování na základě skupin v rámci Microsoft Entra ID, která je součástí microsoft Entra.
Místo použití
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Některé služby Microsoft nejsou dostupné ve všech umístěních. Pro přiřazení licencí skupiny zdědí všichni uživatelé bez zadaného umístění použití umístění adresáře. Pokud máte uživatele ve více umístěních, nezapomeňte před přidáním uživatelů do skupin s licencemi správně odrážet prostředky uživatelů. Před přiřazením licence uživateli by měl správce zadat vlastnost Umístění využití pro uživatele.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.
Vyberte Microsoft Entra ID.
Přejděte na Uživatelé>Všichni uživatelé a vyberte uživatele.
Vyberte Upravit vlastnosti.
Vyberte kartu Nastavení a zadejte umístění uživatele.
Vyberte tlačítko Uložit.
Poznámka:
Přiřazení licencí skupiny nikdy neupraví stávající hodnotu umístění využití pro uživatele. Doporučujeme vždy nastavit umístění využití jako součást toku vytváření uživatelů v Microsoft Entra ID (například prostřednictvím konfigurace Microsoft Entra Connect ). Po provedení takového procesu zajistíte, že výsledek přiřazení licence je vždy správný a uživatelé nedostávají služby v umístěních, která nejsou povolená.
Použití licencování na základě skupin s dynamickými skupinami členství
Licencování na základě skupin můžete použít s libovolnou skupinou zabezpečení, včetně dynamických skupin členství. Pravidla pro dynamické skupiny členství se spouštějí na atributech uživatelských prostředků, které automaticky přidávají a odebírají členy. Atributy můžou být oddělení, pracovní pozice, pracovní umístění nebo jiný vlastní atribut. Každé skupině se přiřadí licence, které mají členové přijímat. Pokud se atribut změní, člen skupinu opustí a licence se odeberou.
Atribut můžete přiřadit místně a synchronizovat ho s ID Microsoft Entra nebo můžete atribut spravovat přímo v cloudu.
Upozorňující
Při úpravě pravidla členství existující skupiny buďte opatrní. Když se pravidlo změní, členství ve skupině se znovu vyhodnotí a uživatelé, kteří se už nebudou shodovat s novým pravidlem, se odeberou (uživatelé, kteří se stále shodují s novým pravidlem, nebudou během tohoto procesu ovlivněni). Tito uživatelé budou mít během procesu odebrané své licence, což může vést ke ztrátě služeb nebo v některých případech ke ztrátě dat.
Pokud máte velkou dynamickou skupinu, na které závisíte na přiřazení licence, zvažte ověření významných změn v menší testovací skupině, než je použijete u hlavní skupiny. Pokud během testu dojde k chybám, přečtěte si téma Řešení problémů s licencí skupiny.
Více skupin a více licencí
Uživatel může být členem více skupin s licencemi. Je potřeba vzít v úvahu některé skutečnosti:
Více licencí pro stejný produkt se může překrývat a výsledkem je, že se na uživatele použijí všechny povolené služby. Příkladem může být, že M365-P1 obsahuje základní služby, které se mají nasadit pro všechny uživatele, a M365-P2 obsahuje služby P2 , které se nasazují jenom některým uživatelům. Uživatele můžete přidat do jedné nebo obou skupin a používat jenom jednu licenci pro produkt.
Výběrem licence zobrazíte další podrobnosti, včetně informací o tom, které služby jsou uživateli povoleny přiřazením licence skupiny.
Přímé licence společně s licencemi skupin
Když uživatel zdědí licenci ze skupiny, nemůžete ji přímo odebrat ani upravit ve vlastnostech uživatele. Přiřazení licence můžete změnit pouze ve skupině a změny se pak rozšíří do všech členů skupiny. Pokud potřebujete přiřadit další funkce uživateli, který má licenci z přiřazení licence skupiny, musíte vytvořit další skupinu, která uživateli přiřadí ostatní funkce.
Pokud používáte licencování založené na skupinách, zvažte následující scénáře:
- Členové skupiny dědí licence přiřazené skupině.
- Možnosti licencí pro licence založené na skupinách se musí změnit na úrovni skupiny.
- Pokud je potřeba uživateli přiřadit různé možnosti licence, vytvořte novou skupinu, přiřaďte skupině licenci a pak přidejte uživatele do této skupiny.
- Uživatelé stále používají jenom jednu licenci produktu, pokud se v různých licencích založených na skupinách používají různé možnosti licencí pro daný produkt.
Při použití přímého přiřazení jsou povoleny následující operace:
- Licence, které ještě nejsou přiřazené prostřednictvím licencování na základě skupin, je možné u jednotlivých uživatelů změnit.
- Jiné služby je možné povolit jako součást přímo přiřazené licence.
- Přímo přiřazené licence je možné odebrat a neovlivní zděděné licence uživatele.
Správa nových služeb přidaných do produktů
Když Microsoft přidá novou službu do licenčního plánu produktu, povolí se ve výchozím nastavení ve všech skupinách, ke kterým jste přiřadili licenci na produkt. Uživatelé ve vaší organizaci, kteří se přihlašují k odběru oznámení o změnách produktů, dostanou e-maily předem s oznámením o nadcházejících doplňcích služeb.
Jako správce můžete zkontrolovat všechny skupiny ovlivněné změnou a provést akci, například zakázat novou službu v každé skupině. Pokud jste například vytvořili skupiny zaměřené pouze na konkrétní služby pro nasazení, můžete se k těmto skupinám vrátit a ujistit se, že jsou všechny nově přidané služby zakázané.
Tady je příklad, jak tento proces může vypadat:
Původně jste přiřadili produkt Microsoft 365 E5 několika skupinám. Jedna z těchto skupin s názvem Microsoft 365 E5 – Exchange byla navržena tak , aby umožňovala pouze službu Exchange Online (Plán 2) pro její členy.
Od Microsoftu jste dostali oznámení, že produkt E5 bude rozšířen o novou službu – Microsoft Stream. Jakmile bude služba dostupná ve vaší organizaci, můžete provést následující kroky:
-
- Přihlaste se do Centra pro správu Microsoft Entra
Vyberte Microsoft Entra ID.
Vyberte Fakturační>licence>Všechny produkty a vyberte Microsoft 365 Enterprise E5 a pak vyberte Licencované skupiny, abyste zobrazili seznam všech skupin s tímto produktem.
Vyberte skupinu, kterou chcete zkontrolovat (v tomto případě Microsoft 365 E5 – jenom Exchange). Otevře se karta Licence . Výběrem licence E5 zobrazíte všechny povolené služby.
Poznámka:
Služba Microsoft Stream byla automaticky přidána a povolena v této skupině kromě služby Exchange Online :
Pokud chcete zakázat novou službu v této skupině, vyberte přepínač Zapnuto/Vypnuto vedle služby a výběrem tlačítka Uložit potvrďte změnu. Id Microsoft Entra teď zpracuje všechny uživatele ve skupině, aby změnu použili; Všichni noví uživatelé přidaní do skupiny nebudou mít povolenou službu Microsoft Stream .
Poznámka:
Uživatelé můžou mít i nadále povolenou službu prostřednictvím jiného přiřazení licence (jiná skupina, které jsou členy nebo přiřazení přímé licence).
V případě potřeby proveďte stejné kroky pro ostatní skupiny s přiřazeným produktem.
Použití PowerShellu k zobrazení, kdo zdědil a přímé licence
Pomocí skriptu PowerShellu můžete zkontrolovat, jestli mají uživatelé přiřazenou licenci přímo nebo zděděnou ze skupiny.
Spuštěním rutiny
Connect-MgGraph -Scopes "Organization.Read.All"
ověřte a připojte se k vaší organizaci pomocí Microsoft Graphu.Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname
lze použít ke zjištění všech zřízených licencí na produkty v organizaci Microsoft Entra.Pro licenci, která vás zajímá, použijte hodnotu ServicePlanId s tímto skriptem PowerShellu. Seznam naplní uživatele, kteří mají tuto licenci, a informace o tom, jak je licence přiřazena.
Monitorování aktivit licencování na základě skupin pomocí protokolů auditu
Protokoly auditu Microsoft Entra můžete použít k zobrazení všech aktivit souvisejících s licencováním na základě skupin, mezi které patří:
- kdo změnil licence ve skupinách
- když systém začal zpracovávat změnu skupinové licence a po dokončení
- jaké změny licence uživatel provedl v důsledku přiřazení licence skupiny.
Protokoly auditu související s licencováním založené na skupinách je možné získat přístup z protokolů auditu ve skupinách nebo licenčních oblastech ID Microsoft Entra nebo použít následující kombinace filtrů z hlavních protokolů auditu:
- Služba: Základní adresář
- Kategorie: GroupManagement nebo UserManagement
Zjistěte, kdo upravil licenci
- Pokud chcete zobrazit protokoly změn skupinových licencí, použijte následující možnosti filtru protokolu auditu:
- Služba: Základní adresář
- Kategorie: GroupManagement
- Aktivita: Nastavení skupinové licence
- Výběrem řádku ve výsledné tabulce zobrazíte podrobnosti.
- Vyberte kartu Změněné vlastnosti a podívejte se na staré a nové hodnoty licenční smlouvy.
Následující příklad ukazuje výše uvedená nastavení filtru a filtr Target nastavený na všechny skupiny, které začínají na EMS.
Pokud chcete zobrazit změny licencí pro konkrétního uživatele, použijte následující filtry:
- Služba: Základní adresář
- Kategorie: UserManagement
- Aktivita: Změna uživatelské licence
Zjištění, kdy se změny skupiny spustily a dokončily zpracování
Když se ve skupině změní licence, začne microsoft Entra ID používat změny u všech uživatelů, ale zpracování změn může chvíli trvat.
- Pokud chcete zjistit, kdy se skupiny začaly zpracovávat, použijte následující filtry:
- Služba: Základní adresář
- Kategorie: GroupManagement
- Aktivita: Zahájení použití licence na základě skupiny pro uživatele
- Výběrem řádku ve výsledné tabulce zobrazíte podrobnosti.
- Vyberte kartu Změněné vlastnosti a zobrazte změny licencí, které byly vybrány ke zpracování.
- Tyto podrobnosti použijte, pokud provádíte více změn ve skupině a nejste si jistí, která licence se zpracovala.
- Actor pro operaci je Licencování založené na skupině Microsoft Entra, což je systémový účet, který se používá ke spuštění všech změn licencí skupiny.
Pokud chcete zjistit, kdy se skupiny dokončily zpracování, změňte filtr aktivity na dokončení použití licence na základě skupiny pro uživatele. V tomto případě obsahuje pole Změněné vlastnosti souhrn výsledků, což je užitečné k rychlé kontrole, jestli zpracování vedlo k chybám. Ukázkový výstup:
Modified Properties ... Name : Result Old Value : [] New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];
Pokud chcete zobrazit úplný protokol o tom, jak byla skupina zpracována, včetně všech změn uživatelů, přidejte následující filtry:
- Cíl: Název skupiny
- Inicioval (actor): Licencování založené na skupinách Microsoft Entra (rozlišují se malá a velká písmena)
- Rozsah kalendářních dat (volitelné): Vlastní rozsah, pro který víte, že konkrétní skupina začala a dokončila zpracování
Tento ukázkový výstup ukazuje začátek a dokončení zpracování změny licence.
Odstranění skupiny s přiřazenou licencí
Skupinu s přiřazenou aktivní licencí není možné odstranit. Správce může odstranit skupinu, která si neuvědomuje, že způsobí odebrání licencí uživatelům. Z tohoto důvodu vyžadujeme, aby se před odstraněním ze skupiny odebraly všechny licence.
Při pokusu o odstranění skupiny na portálu se může zobrazit chybové oznámení, které se zobrazí takto:
Přejděte na kartu Licence ve skupině a zkontrolujte, jestli jsou přiřazené nějaké licence. Pokud ano, odeberte tyto licence a zkuste skupinu odstranit znovu.
Při pokusu o odstranění skupiny prostřednictvím PowerShellu nebo rozhraní Graph API se můžou zobrazit podobné chyby. Pokud používáte skupinu synchronizovanou z místního prostředí, microsoft Entra Connect může také hlásit chyby, pokud se nedaří odstranit skupinu v Microsoft Entra ID. Ve všech takových případech zkontrolujte, jestli jsou ke skupině přiřazené nějaké licence, a nejprve je odeberte.
Omezení a známé problémy
Pokud používáte licencování založené na skupinách, je vhodné se seznámit s následujícím seznamem omezení a známých problémů.
Licencování založené na skupinách v současné době nepodporuje skupiny, které obsahují jiné skupiny (vnořené skupiny). Pokud použijete licenci pro vnořenou skupinu, použije se jenom pro bezprostřední členy této skupiny na první úrovni.
Tuto funkci lze použít pouze se skupinami zabezpečení a skupinami Microsoft 365, které mají securityEnabled=TRUE.
Pokud jsou licence přiřazeny nebo upraveny pro velkou skupinu (například 100 000 uživatelů), může to mít vliv na výkon. Konkrétně může objem změn generovaných automatizací Microsoft Entra negativně ovlivnit výkon synchronizace adresářů mezi ID Microsoft Entra a místními systémy.
Pokud ke správě členství uživatelů používáte dynamické skupiny členství, ověřte, že je uživatel součástí skupiny, což je nezbytné pro přiřazení licencí. V opačném případě zkontrolujte stav zpracování pravidla členství dané dynamické skupiny.
V některých situacích s vysokým zatížením může zpracování změn licencí pro skupiny nebo změny členství ve skupinách s existujícími licencemi trvat delší dobu. Pokud se zobrazí, že zpracování velikosti skupiny 60 K uživatelů trvá déle než 24 hodin, otevřete lístek podpory, který nám umožní prozkoumat.
Další kroky
Další informace o jiných scénářích pro správu licencí pomocí licencování na základě skupin najdete v tématech:
- Co je licencování založené na skupinách v Microsoft Entra ID?
- Přiřazení licencí ke skupině v Microsoft Entra ID
- Identifikace a řešení problémů s licencemi pro skupinu v ID Microsoft Entra
- Jak migrovat jednotlivé licencované uživatele na licencování na základě skupin v Microsoft Entra ID
- Jak migrovat uživatele mezi licencemi na produkty pomocí licencování na základě skupin v Microsoft Entra ID