Escenarios, limitaciones y problemas conocidos del uso de grupos para administrar las licencias en Microsoft Entra ID

  • Artículo

Use la información y los ejemplos siguientes para obtener una descripción más avanzada del proceso de concesión de licencias basado en los grupos de Microsoft Entra ID, que forma parte de Microsoft Entra.

Ubicación de uso

Sugerencia

Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.

Algunos servicios de Microsoft no están disponibles en todas las ubicaciones. En el caso de la asignación de licencias de grupo, cualquier usuario sin una ubicación de uso especificada heredará la ubicación del directorio. Si hay usuarios en varias ubicaciones, asegúrese de reflejarlo correctamente en los recursos de usuario antes de agregar usuarios a grupos con licencias. Antes de poder asignar una licencia a un usuario, el administrador tiene que especificar la propiedad Ubicación de uso en el usuario.

  1. Inicie sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.

  2. Seleccione Microsoft Entra ID.

  3. Vaya a Usuarios>Todos los usuarios y seleccione un usuario.

    Screenshot of the All users pane.

  4. Seleccione Editar propiedades.

  5. Seleccione la pestaña Configuración y escriba una ubicación para el usuario.

  6. Seleccione el botón Guardar.

Nota:

La asignación de licencias de grupo no modificará nunca un valor de ubicación de uso existente para un usuario. Se recomienda establecer siempre la ubicación de uso como parte del flujo de creación de usuarios de Microsoft Entra ID (por ejemplo, a través de la configuración de Microsoft Entra Connect). Seguir ese proceso garantiza que el resultado de la asignación de licencias sea siempre correcto y que los usuarios no reciban servicios en ubicaciones que no estén permitidas.

Uso de licencias basadas en grupos con grupos dinámicos

Puede usar licencias basadas en grupos con cualquier grupo de seguridad, incluidos los grupos dinámicos. Los grupos dinámicos ejecutan reglas en los atributos de recurso de usuario para agregar y quitar miembros automáticamente. Los atributos pueden ser departamento, puesto, ubicación de trabajo u otro atributo personalizado. A cada grupo se le asignan las licencias que desea que reciban los miembros. Si cambia un atributo, el miembro deja el grupo y se eliminan las licencias.

Puede asignar el atributo en el entorno local y sincronizarlo con Microsoft Entra ID, o bien puede administrar el atributo directamente en la nube.

Advertencia

Tenga cuidado al modificar la regla de pertenencia de un grupo existente. Cuando se cambia una regla, se vuelve a evaluar la pertenencia del grupo y los usuarios que ya no coinciden con la nueva regla serán eliminados (los usuarios que todavía coincidan con la nueva regla no se verán afectados durante este proceso). Durante el proceso se quitarán las licencias de esos usuarios, lo que puede dar lugar a la pérdida de servicio, o bien, en algunos casos, a la pérdida de datos.

Si tiene un grupo dinámico grande del que depende para la asignación de licencias, considere la posibilidad de validar los cambios importantes en un grupo de prueba más pequeño antes de aplicarlos al grupo principal.

Varios grupos y varias licencias

Un usuario puede ser miembro de varios grupos con licencias. Estos son algunos aspectos que hay que tener en cuenta:

  • Se pueden superponer varias licencias para el mismo producto y, como resultado, todos los servicios habilitados se aplican al usuario. Un ejemplo podría ser que M365-P1 contiene los servicios fundamentales para implementar en todos los usuarios y M365-P2 contiene los servicios P2 para implementar solo en algunos usuarios. Puede agregar un usuario a uno o ambos grupos y usar solo una licencia para el producto.

  • Seleccione una licencia para ver más detalles, incluida la información sobre qué servicios se habilitaron para el usuario mediante la asignación de licencias de grupo.

Coexistencia de licencias directas con licencias de grupo

Cuando un usuario hereda una licencia de un grupo, no se puede quitar ni modificar esa licencia en las propiedades del usuario. Puede cambiar la asignación de licencias solo en el grupo y los cambios se propagan a todos los miembros del mismo. Si tiene que asignar otras características a un usuario que tenga su licencia desde una asignación de licencia de grupo, tendrá que crear otro grupo para asignar las características adicionales al usuario.

Cuando use licencias basadas en grupos, tenga en cuenta los siguientes escenarios:

  • Los miembros del grupo heredan las licencias asignadas al grupo.
  • Las opciones de licencia para licencias basadas en grupos deben cambiarse en el nivel de grupo.
  • Si es necesario asignar diferentes opciones de licencia a un usuario, cree un nuevo grupo, asigne una licencia al grupo y, a continuación, agregue el usuario a ese grupo.
  • Los usuarios seguirán usando solo una licencia de un producto si se usan diferentes opciones de licencia para ese producto en las distintas licencias basadas en grupos.

Cuando usa la asignación directa se permiten las siguientes operaciones:

  • Las licencias no asignadas a través de las licencias basadas en grupos se pueden cambiar para un usuario individual.
  • Otros servicios pueden estar habilitados, como parte de una licencia asignada directamente.
  • Las licencias asignadas directamente se pueden eliminar y no afectan a las licencias heredadas de un usuario.

Administración de servicios nuevos agregados a productos

Cuando Microsoft agrega un nuevo servicio al plan de licencia de un producto, se habilita de forma predeterminada en todos los grupos a los que se haya asignado la licencia del producto. Los usuarios de la organización que se suscriban a las notificaciones sobre cambios en el producto recibirán con antelación mensajes de correo electrónico que les informan sobre las próximas adiciones en los servicios.

Como administrador, puede revisar todos los grupos afectados por el cambio y realizar acciones como deshabilitar el nuevo servicio en cada grupo. Por ejemplo, si creó grupos destinados solo a servicios específicos para la implementación, puede volver a visitar esos grupos y asegurarse de que cualquier servicio recién agregado está deshabilitado.

Este es un ejemplo de cómo podría ser este proceso:

  1. Originalmente, asignó el producto Microsoft 365 E5 a varios grupos. Uno de esos grupos, denominado Microsoft 365 E5 (solo Exchange), se diseñó para habilitar solamente el servicio Exchange Online (Plan 2) para sus miembros.

  2. Recibió una notificación de Microsoft sobre que se extenderá el producto E5 con un nuevo servicio: Microsoft Stream. Cuando el servicio esté disponible en la organización, puede llevar a cabo los siguientes pasos:

    1. Inicio de sesión en el Centro de administración de Microsoft Entra

  4. Seleccione Microsoft Entra ID.

  5. Seleccione Facturación>Licencias>Todos los productos y luego Microsoft 365 Enterprise E5. Después, selecciona Grupos con licencia para ver una lista de todos los grupos con ese producto.

  6. Seleccione el grupo que desea revisar, en este caso, Microsoft 365 E5 (solo Exchange). Se abre la pestaña Licencias. Seleccione la licencia E5 para ver todos los servicios habilitados.

    Nota:

    El servicio Microsoft Stream se ha agregado automáticamente y se ha habilitado en este grupo, además del servicio Exchange Online:

    Screenshot of new service added to a group license.

  7. Si desea deshabilitar el nuevo servicio en este grupo, seleccione el botón de alternancia Activado/Desactivado junto al servicio y seleccione el botón Guardar para confirmar el cambio. Microsoft Entra ID ahora procesará todos los usuarios del grupo para aplicar el cambio; los nuevos usuarios agregados al grupo no tendrán habilitado el servicio Microsoft Stream.

    Nota:

    Los usuarios todavía pueden tener el servicio habilitado a través de otra asignación de licencias (de otro grupo del que sean miembros o con una asignación directa de licencia).

  8. Si es necesario, realice los mismos pasos para otros grupos con este producto asignado.

Uso de PowerShell para ver quién tiene licencias directas y heredadas

Puede usar un script de PowerShell para comprobar si los usuarios tienen una licencia asignada directamente o se hereda de un grupo.

  1. Ejecute el cmdlet Connect-MgGraph -Scopes "Organization.Read.All" para autenticarse y conectarse a la organización mediante Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname se puede usar para detectar todas las licencias de producto aprovisionadas en la organización de Microsoft Entra.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Use el valor ServicePlanId correspondiente a la licencia que le interesa con este script de PowerShell. Una lista se rellena con datos de los usuarios que tienen esta licencia e información sobre cómo se asigna la licencia.

Usar registros de auditoría para supervisar la actividad de licencias basadas en grupos

Puede usar los registros de auditoría de Microsoft Entra para ver todas las actividades relacionadas con las licencias basadas en grupos, incluido:

  • quién cambió las licencias en los grupos
  • cuándo empezó el sistema a procesar un cambio de la licencia de grupo y cuándo terminó
  • qué cambios de licencia se realizaron en un usuario como resultado de una asignación de licencia de grupo.

Se puede acceder a los registros de auditoría relacionados con las licencias basadas en grupos desde los registros de auditoría de las áreas Grupos o Licencias de Microsoft Entra ID o usar las siguientes combinaciones de filtros de los registros de auditoría principales:

  • Servicio: Directorio principal
  • Categoría: GroupManagement o UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Averiguar quién ha modificado una licencia

  1. Para ver los registros de los cambios de licencia de grupo, use las siguientes opciones de filtro de registros de auditoría:
    • Servicio: Directorio principal
    • Categoría: GroupManagement
    • Actividad: Establecimiento de licencia de grupo
  2. Seleccione una fila de la tabla resultante para ver los detalles.
  3. Seleccione la pestaña Propiedades modificadas para ver los valores antiguos y nuevos del contrato de licencia.

En el ejemplo siguiente se muestra la configuración de filtro indicada anteriormente, además del filtro Destino establecido en todos los grupos que comienzan por "EMS".

Screenshot of the Microsoft Entra audit logs including a Target filter.

Para ver los cambios de licencia de un usuario específico, use los siguientes filtros:

  • Servicio: Directorio principal
  • Categoría: UserManagement
  • Actividad: Cambio de la licencia de usuario

Averiguar cuándo se inició y finalizó el procesamiento de los cambios de grupo

Cuando una licencia cambia en un grupo, Microsoft Entra ID comienza a aplicar los cambios a todos los usuarios, pero los cambios podrían tardar un tiempo en procesarse.

  1. Para ver cuándo se inició el procesamiento de grupos, use los siguientes filtros:
    • Servicio: Directorio principal
    • Categoría: GroupManagement
    • Actividad: Empezar a aplicar licencias basadas en grupo a los usuarios.
  2. Seleccione una fila de la tabla resultante para ver los detalles.
  3. Seleccione la pestaña Propiedades modificadas para ver los cambios de licencia que se seleccionaron para el procesamiento.
    • Use estos detalles si va a realizar varios cambios en un grupo y no está seguro de qué licencia se procesó.
    • Tenga en cuenta que el actor de la operación es Microsoft Entra Group-Based Licensing (Licencias basadas en grupos de Microsoft Azure AD), una cuenta del sistema que se usa para ejecutar los cambios de licencia de todos los grupos.

Para ver cuándo finalizó el procesamiento de los grupos, cambie el filtro Actividad a Finalización de la aplicación de licencias basadas en grupos a los usuarios. En este caso, el campo Propiedades modificadas contiene un resumen de los resultados, lo cual resulta útil para comprobar rápidamente si se ha producido algún error en el procesamiento. Resultados del ejemplo:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Para ver el registro completo de cómo se procesó un grupo, incluidos todos los cambios de usuario, agregue los siguientes filtros:

  • Destino: Nombre del grupo
  • Iniciado por (actor): "Microsoft Entra Group-Based Licensing" (Licencias basadas en grupos de Microsoft Azure AD) (distingue mayúsculas de minúsculas)
  • Intervalo de fechas (opcional): intervalo personalizado para cuando se conoce el inicio y la finalización del procesamiento de un grupo concreto.

En esta salida de ejemplo se muestra el inicio y el fin del procesamiento del cambio de la licencia.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Eliminación de un grupo con una licencia asignada

No es posible eliminar un grupo con una licencia activa asignada. Un administrador podría eliminar un grupo sin darse cuenta de que hará que las licencias se quiten a los usuarios. Por esta razón, es necesario que las licencias se eliminen primero del grupo, antes de poder borrarlo.

Al intentar eliminar un grupo en el portal, es posible que vea una notificación de error similar a la siguiente:

Screenshot group deletion failed.

Vaya a la pestaña Licencias en el grupo y compruebe si hay licencias asignadas. Si es así, quite esas licencias e intente eliminar el grupo de nuevo.

Puede ver errores similares al intentar eliminar el grupo a través de PowerShell o de Graph API. Si usa un grupo sincronizado desde un entorno local, puede que también Microsoft Entra Connect notifique errores si no puede eliminar el grupo en Microsoft Entra ID. En todos estos casos, asegúrese de comprobar si hay licencias asignadas al grupo y quítelas primero.

Limitaciones y problemas conocidos

Si usa licencias basadas en grupo, se recomienda que se familiarice con la siguiente lista de limitaciones y problemas conocidos.

  • Actualmente, las licencias basadas en grupos no admiten grupos que contienen otros grupos (grupos anidados). Si aplica una licencia a un grupo anidado, solo se aplican a los usuarios miembros del primer nivel inmediato del grupo.

  • La característica solo se puede usar con grupos de seguridad y grupos de Microsoft 365 que tengan securityEnabled=TRUE.

  • El Centro de administración de Microsoft 365 no admite actualmente licencias basadas en grupo. Si un usuario hereda una licencia de un grupo, esta licencia aparece en el portal de administración de Office como una licencia de usuario normal. Si intenta modificar esa licencia o quitarla, el portal devuelve un mensaje de error. Las licencias de grupo heredadas no se pueden modificar directamente en un usuario.

  • Cuando se asignan o modifican licencias para un grupo grande (por ejemplo, con más de 100 000 usuarios), el rendimiento podría verse afectado. En concreto, el volumen de cambios generado por la automatización de Microsoft Entra podría afectar negativamente al rendimiento de la sincronización de directorios entre Microsoft Entra ID y los sistemas locales.

  • Si usa grupos dinámicos para administrar la pertenencia de los usuarios, compruebe que el usuario forma parte del grupo, lo cual es necesario para la asignación de licencias. De lo contrario, compruebe el estado de procesamiento de la regla de pertenencia del grupo dinámico.

  • En determinadas situaciones de carga elevada, los cambios en los grupos o en la pertenencia a grupos con las licencias existentes pueden tardar mucho tiempo en procesarse. Si observa que los cambios tardan más de 24 horas en procesar un tamaño de grupo de 60 000 usuarios o menos, abra una incidencia de soporte técnico para que podamos investigar lo que ocurre.

  • La automatización de la administración de licencias no reacciona automáticamente a todos los tipos de cambios en el entorno. Por ejemplo, es posible que se quede sin licencias, lo que haría que algunos usuarios tengan un estado de error. Para liberar el número de puestos disponibles, puede quitar algunas licencias asignadas directamente a otros usuarios. Sin embargo, el sistema no reacciona automáticamente a este cambio ni corrige el estado de error de los usuarios.

    Como solución alternativa a estos tipos de limitaciones, puede ir a Microsoft Entra ID>Grupos> y, una vez allí, seleccionar un grupo, > seleccionar Licencias> y, por último, seleccionar Reprocesar. Este comando procesa a todos los usuarios de ese grupo y resuelve los estados de error, si es posible.

Pasos siguientes

Para más información sobre otros escenarios de administración de licencias basadas en grupos, consulte: