Compartir vía


Identificación y resolución de problemas de asignación de licencias de un grupo en Microsoft Entra ID

Nota:

A partir del 1 de septiembre, el Centro de administración de Microsoft Entra ID y el Microsoft Azure Portal ya no admitirán la asignación de licencias a través de sus interfaces de usuario. Para administrar las asignaciones de licencias para usuarios y grupos, los administradores deben usar el Centro de administración de Microsoft 365. Esta actualización está diseñada para simplificar el proceso de administración de licencias dentro del ecosistema de Microsoft. Este cambio se limita a la interfaz de usuario. El acceso a la API y PowerShell no se ven afectados. Para obtener instrucciones detalladas sobre cómo asignar licencias mediante el Centro de administración de Microsoft 365, consulta los siguientes recursos:

El proceso de concesión de licencias basado en grupos de Microsoft Entra ID, que forma parte de Microsoft Entra, incorpora el concepto de usuarios como uno de los posibles estados de error de concesión de licencias. En este artículo, se explican los motivos por los que los usuarios pueden terminar en este estado.

Cuando asignas licencias directamente a usuarios individuales, sin usar licencias basadas en grupos, la operación de asignación podría fallar por razones que están relacionadas con la lógica del negocio. Por ejemplo, podría haber un número insuficiente de licencias o un conflicto entre dos planes de servicio que no se puedan asignar al mismo tiempo. El problema se te notifica inmediatamente.

Búsqueda de errores de asignación de licencias

Cuando se usan licencias basadas en grupo, se pueden producir los mismos errores, pero se producen en segundo plano mientras el servicio de Microsoft Entra está asignando las licencias. Por este motivo, los errores no se comunican inmediatamente. En su lugar, los errores se registran en el objeto de usuario y se notifican a través del portal de administración. Nunca se pierde la intención original de asignar la licencia al usuario, pero se registra en estado de error a efectos de futuras investigaciones y resoluciones. También puedes usar registros de auditoría para supervisar la actividad de licencias basadas en grupos.

Para buscar usuarios con estado de error en un grupo

  1. Inicia sesión en el centro de administración de Microsoft Entra al menos como administrador de licencia.

  2. Selecciona Microsoft Entra ID.

  3. Selecciona Facturación>Licencias para abrir una página donde puedas ver y administrar todos los productos con licencia de la organización.

  4. Abre el grupo en su página de información general y selecciona Licencias. Si hay usuarios con estado de error, aparece una notificación.

    Captura de pantalla de mensajes de notificaciones de grupo y de error.

  5. Selecciona la notificación para abrir una lista de todos los usuarios afectados. Puedes seleccionar individualmente cada usuario para ver más detalles.

    Captura de pantalla de la lista de usuarios en estado de error de licencia de grupo.

  6. Para buscar todos los grupos que contienen al menos un error, en la hoja Microsoft Entra ID selecciona Licencias y luego Información general. Si algunos grupos requieren atención, aparece un cuadro de información.

    Captura de pantalla de información sobre los grupos con estado de error.

  7. Selecciona el cuadro para ver una lista de todos los grupos con errores. Puedes seleccionar cada grupo para más detalles.

    Captura de pantalla de la lista de grupos con errores.

En las secciones siguientes se muestra una descripción de cada problema potencial y las maneras de intentar resolverlo.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

No hay suficientes licencias

Problema: no hay suficientes licencias disponibles para uno de los productos especificados en el grupo. Necesitas adquirir más licencias para el producto o liberar las licencias sin usar de otros usuarios o grupos.

Para ver cuántas licencias hay disponibles, ve a Identidad>Facturación>Licencias>Todos los productos.

Para ver qué usuarios y grupos consumen las licencias, selecciona un producto. En Usuarios con licencias, puedes ver una lista de todos los usuarios a los que se han asignado licencias directamente o a través de uno o varios grupos. En Grupos con licencias, puedes ver todos los grupos que tienen ese producto asignado.

PowerShell: los cmdlets de PowerShell informan de este error como CountViolation.

Planes de servicio en conflicto

Problema: uno de los productos especificados en el grupo contiene un plan de servicio que entra en conflicto con otro plan de servicio que ya está asignado al usuario a través de un producto diferente. Algunos planes de servicio se configuran de tal forma que no puedan asignarse al mismo usuario como otro plan de servicio relacionado.

Sugerencia

Anteriormente, Exchange Online Plan1 y Plan2 eran únicos y no se podían duplicar. Ahora, ambos planes de servicio se han actualizado para permitir la duplicación. Si tienes conflictos con estos planes de servicio, intenta volver a procesarlos.

El administrador es la única persona competente para decidir cómo resolver el conflicto entre las licencias de productos. Microsoft Entra ID no resuelve automáticamente los conflictos de licencias.

PowerShell: los cmdlets de PowerShell informan este error como MutuallyExclusiveViolation.

Otros productos dependen de esta licencia

Problema: uno de los productos especificados en el grupo contiene un plan de servicio que debe habilitarse para que otro plan de servicio, de otro producto, funcione. Este error se produce cuando Microsoft Entra ID intenta quitar el plan del servicio subyacente. Por ejemplo, este problema puede ocurrir cuando se elimina el usuario del grupo.

Para solucionar este problema, debes asegurarte de que el plan necesario todavía está asignado a los usuarios a través de algún otro método o que los servicios dependientes están deshabilitados para esos usuarios. Después, puedes quitar correctamente la licencia de grupo a esos usuarios.

PowerShell: los cmdlets de PowerShell informan este error como DependencyViolation.

No se permite la ubicación de uso

Problema: algunos servicios de Microsoft no están disponibles en todas las ubicaciones debido a las leyes y los reglamentos locales. Antes de poder asignar una licencia a un usuario, debe especificar la propiedad Ubicación de uso para el usuario. Puede especificar la ubicación en la sección Usuario>Perfil>Editar del portal.

Cuando Microsoft Entra ID intenta asignar una licencia de grupo a un usuario cuya ubicación de uso no se admite, se produce un error y se registra en el usuario.

Para solucionar este problema, quite del grupo con licencia a los usuarios de las ubicaciones no admitidas. O bien, si los valores de ubicación de uso actual no representan la ubicación de los usuarios reales, puede modificarlos para que la próxima vez las licencias se asignen correctamente (si se admite la nueva ubicación).

PowerShell: los cmdlets de PowerShell informan este error como ProhibitedInUsageLocationViolation.

Nota:

  • Cuando Microsoft Entra ID asigna licencias de grupo, los usuarios sin ubicación de uso especificada heredan la ubicación del directorio. Microsoft recomienda que los administradores establezcan valores de ubicación de uso correctos en los usuarios antes de utilizar licencias basadas en grupo para cumplir con la normativa y la legislación local.
  • Los atributos de Nombre, Apellidos, Otra dirección de correo electrónico y Tipo de usuario no son obligatorios para la asignación de licencias.

Eliminación de licencias de grupos de pertenencia dinámica con reglas basadas en licencias con un grupo estático inicial

Este error se produce cuando se agregan y eliminan usuarios de otro lote de grupos de pertenencia dinámica, debido a la configuración en cascada de grupos de pertenencia dinámica con reglas basadas en licencias en un grupo estático inicial. Este error puede afectar a varios grupos de pertenencia dinámica y requerir un reprocesamiento exhaustivo para restaurar el acceso.

Advertencia

Al cambiar un grupo estático existente a uno dinámico, se eliminarán todos sus miembros y, a continuación, se procesará la regla de pertenencia para agregar nuevos miembros. Si el grupo se usa para controlar el acceso a aplicaciones o recursos, ten en cuenta que los miembros originales podrían perder el acceso hasta que se procese por completo la regla de pertenencia.

Es recomendable que pruebe la nueva regla de pertenencia con antelación para asegurarse de que la nueva pertenencia al grupo es la que se preveía. Si se producen errores durante la prueba, consulta Uso de registros de auditoría para supervisar la actividad de licencias basada en grupos.

Direcciones proxy duplicadas

Problema: si usas Exchange Online, es posible que algunos de los usuarios de la organización no estén configurados correctamente con el mismo valor de dirección de proxy. Cuando el sistema de licencias basadas en grupos intenta asignar una licencia a un usuario de este tipo, se produce un error y se muestra un mensaje que indica que la dirección proxy ya está en uso.

Sugerencia

Para ver si hay una dirección del proxy duplicada, ejecuta el siguiente cmdlet de PowerShell en Exchange Online:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

Para obtener más información acerca de este problema, consulta Mensaje de error "la dirección del proxy ya está en uso" en Exchange Online. El artículo también incluye información sobre cómo conectarse a Exchange Online mediante PowerShell remoto.

Después de resolver los problemas de dirección del proxy para los usuarios afectados, asegúrate de forzar el procesamiento de la licencia en el grupo para asegurarte de que ahora se pueden aplicar las licencias.

Cambio de los atributos Mail y ProxyAddresses de Microsoft Entra ID

Problema: al actualizar la asignación de licencias en un grupo o un usuario, es posible que veas que se han cambiado los atributos Mail y ProxyAddresses de Microsoft Entra ID de algunos usuarios.

Si actualizas la asignación de licencias en un usuario, se desencadenará el cálculo de dirección proxy, lo que puede provocar un cambio en los atributos de usuario. Para comprender el motivo exacto del cambio y resolver el problema, consulta este artículo Cómo se rellena el atributo proxyAddresses en Microsoft Entra ID.

LicenseAssignmentAttributeConcurrencyException en registros de auditoría

Problema: el usuario tiene LicenseAssignmentAttributeConcurrencyException para la asignación de licencias en los registros de auditoría. Cuando la licencia basada en grupos intenta procesar la asignación simultánea de la misma licencia para un usuario, se registra esta excepción en el usuario. Esto suele suceder cuando un usuario es miembro de más de un grupo con la misma licencia asignada. Microsoft Entra ID vuelve a intentar procesar la licencia de usuario hasta que se resuelva el problema. No es necesario que el cliente tome ninguna medida para corregir este problema.

Más de una licencia de producto asignada a un grupo

Puede asignar más de una licencia de producto a un grupo. Por ejemplo, puede asignar Office 365 Enterprise E3 y Enterprise Mobility + Security a un grupo para habilitar fácilmente todos los servicios incluidos para los usuarios.

Problema: Microsoft Entra ID intenta asignar todas las licencias especificadas en el grupo a cada usuario. Sin embargo, si Microsoft Entra ID encuentra problemas como licencias insuficientes o conflictos con otros servicios habilitados, tampoco asignará otras licencias en el grupo. Puede comprobar los usuarios con los que se han producido errores de asignación y a qué productos ha afectado esta situación.

Es importante tener en cuenta que, al asignar licencias a un grupo, si no hay suficientes licencias disponibles o se produce un problema como planes de servicio que no se pueden asignar al mismo tiempo, es posible que no se complete la asignación al grupo. Un ejemplo se da si no hay suficientes licencias para todos o si hay conflictos con otros servicios que están habilitados en el usuario.

Una posible solución alternativa para este problema es crear grupos de pertenencia dinámica. Podrías crear grupos de pertenencia dinámica para asignar licencias, como Exchange Online y, después, usar un segundo grupo dinámico con las mismas reglas de pertenencia para aplicar licencias de requisitos previos. A continuación, puede asignar esas licencias adicionales después de que el grupo inicial haya aplicado la licencia de Exchange Online a los usuarios.

Si se producen errores de licencia, se registran en el objeto de usuario y se notifican a través de Azure Portal para su resolución. Para obtener más información, consulte Ejemplos de licencias basadas en grupos de PowerShell de Microsoft Graph.

Cuando se elimina un grupo con licencia

Problema: debe quitar todas las licencias asignadas a un grupo antes de poder eliminar el grupo. Sin embargo, quitar las licencias de todos los usuarios en el grupo puede llevar tiempo. Al quitar las asignaciones de licencias de un grupo, puede haber errores si el usuario tiene asignada una licencia dependiente o si hay un problema de conflicto de dirección de proxy que prohíbe la eliminación de la licencia. Si un usuario tiene una licencia que depende de una licencia que se va a quitar debido a la eliminación del grupo, la asignación de la licencia para el usuario se convierte de heredada a directa.

Por ejemplo, piense en un grupo que tiene asignado Office 365 E3/E5 con un plan de servicio de Skype Empresarial habilitado. Imagine también que algunos miembros del grupo tienen licencias de Audioconferencia asignadas directamente. Cuando se elimina el grupo, las licencias basadas en el grupo intentarán quitar Office 365 E3/E5 de todos los usuarios. Dado que Audioconferencia depende de Skype Empresarial, para los usuarios con Audioconferencia asignada, las licencias basadas en grupos convierten las licencias de Office 365 E3/E5 a una asignación de licencias directa.

Administración de licencias para productos con requisitos previos

Algunos productos de Microsoft Online que puede tener son complementos. Los complementos precisan de un plan de servicio de requisitos previos habilitado para un usuario o un grupo antes de poder asignarles una licencia. Cuando se usan licencias basadas en grupo, el sistema solicita que mantenga en el mismo grupo los planes de servicios de requisitos previos y de complementos. Esto se hace para garantizar que los usuarios que se agregan al grupo puedan recibir el producto de trabajo completo. Vea el siguiente ejemplo:

Microsoft Workplace Analytics es un producto complementario. Contiene un plan de servicio único con el mismo nombre. Este plan de servicio solo se puede asignar a un usuario o grupo cuando uno de los siguientes requisitos previos se asigna también:

  • Exchange Online (plan 1)
  • Exchange Online (plan 2)

Problema: si se intenta asignar este producto por sí solo a un grupo, el portal devuelve un mensaje de notificación. Al seleccionar los detalles del elemento, se muestra el siguiente mensaje de error:

"Error en la operación de la licencia. Asegúrese de que el grupo tiene los servicios necesarios antes de agregar o quitar un servicio dependiente. El servicio Microsoft Workplace Analytics necesita que Exchange Online (plan 2) también esté habilitado".

Para asignar esta licencia de complemento a un grupo, es necesario asegurarse de que el grupo también contiene el plan de servicio de requisitos previos. Por ejemplo, es posible que Microsoft Entra ID actualice un grupo existente que ya contenga el producto Office 365 E3 completo y, a continuación, agregue al mismo el complemento.

También es posible crear un grupo independiente que contenga solo los productos mínimos necesarios para que el complemento funcione. Después se puede usar para proporcionar la licencia del producto complementario solo a los usuarios seleccionados. Según el ejemplo anterior, asignaría los siguientes productos al mismo grupo:

  • Office 365 Enterprise E3, solo con el plan de servicio Exchange Online (plan 2) habilitado
  • Microsoft Workplace Analytics

De ahora en adelante, cualquier usuario que se agregue a este grupo utiliza una licencia del producto E3 y una licencia del producto Workplace Analytics. Al mismo tiempo, esos usuarios pueden formar parte de otro grupo que les proporcione acceso a todo el producto E3 y solo utilizan una licencia de ese producto.

Sugerencia

Puede crear varios grupos para cada plan de servicio de requisitos previos. Por ejemplo, si los usuarios usan las versiones Office 365 Enterprise E1 y Office 365 Enterprise E3, puede crear dos grupos para proporcionar licencias de Microsoft Workplace Analytics: una con E1 como requisito previo y la otra con E3. Esto le permite distribuir el complemento a los usuarios de E1 y E3 sin tener que usar licencias adicionales.

Forzado del procesamiento de licencias del grupo para resolver errores

Problema: dependiendo de qué pasos haya dado para resolver los errores, puede ser necesario desencadenar manualmente el procesamiento de un grupo para actualizar el estado del usuario.

Por ejemplo, si libera algunas licencias quitando asignaciones de licencia directas de usuarios, debe desencadenar el procesamiento de grupos con los que anteriormente se produjeron errores por asignar licencias íntegramente a todos los miembros. Para volver a procesar un grupo, vaya al panel del grupo, abra Licencias y, a continuación, seleccione el botón Volver a procesar en la barra de herramientas.

Forzado del procesamiento de licencias del usuario para resolver errores

Problema : dependiendo de qué pasos haya dado para resolver los errores, puede ser necesario desencadenar manualmente el procesamiento de un usuario para actualizar el estado del usuario.

Por ejemplo, después de resolver el problema con la dirección proxy duplicada en un usuario afectado, debe desencadenar el procesamiento del usuario. Para volver a procesar un usuario, vaya al panel del usuario, abra Licencias y, a continuación, seleccione el botón Volver a procesar en la barra de herramientas.

Pasos siguientes

Para más información sobre otros escenarios de administración de licencias a través de grupos, consulte lo siguiente: