Partager via


Identifier et résoudre les problèmes d’affectation de licences pour un groupe dans Microsoft Entra ID

Remarque

À compter du 1er septembre, le Centre d’administration Microsoft Entra ID et le Portail Microsoft Azure ne prendront plus en charge l’attribution de licence via leurs interfaces utilisateur. Les administrateurs devront utiliser le Centre d’administration Microsoft 365 pour gérer les utilisateurs et groupes d’utilisateurs et l’attribution de licences. Cette mise à jour vise à simplifier le processus de gestion des licences au sein de l’écosystème Microsoft. Ce changement ne concerne que l’interface utilisateur. L’accès à l’API et à PowerShell ne sont pas affectés. Pour obtenir des instructions détaillées sur l’attribution de licences à l’aide du Centre d’administration Microsoft 365, reportez-vous aux ressources suivantes :

La gestion des licences par groupe dans Microsoft Entra ID, qui fait partie de Microsoft Entra, introduit le concept d’utilisateurs en état d’erreur d’attribution de licence. Cet article explique les raisons pour lesquelles les utilisateurs peuvent se trouver dans cet état.

Lorsque vous affectez directement des licences à des utilisateurs individuels, sans recourir à une licence basée sur le groupe, l’opération d’affectation peut échouer pour des raisons liées à la logique métier. Par exemple, il peut y avoir un nombre insuffisant de licences ou bien un conflit entre deux plans de service qui ne peuvent pas être affectés en même temps. Le problème vous est immédiatement signalé.

Rechercher des erreurs d’affectation de licence

Quand vous utilisez la gestion des licences par groupe, les mêmes erreurs peuvent se produire, mais elles apparaissent en arrière-plan quand le service Microsoft Entra attribue des licences. C’est pourquoi les erreurs ne peuvent pas vous être communiquées immédiatement. Au lieu de cela, elles sont enregistrées sur l’objet utilisateur et signalées par le biais du portail d’administration. L’intention initiale, qui consiste à attribuer une licence à l’utilisateur, est toujours conservée, mais est enregistrée dans un état d’erreur. Elle fera l’objet d’un examen et d’une résolution ultérieurs. Vous pouvez également utiliser les journaux d’audit pour surveiller l’activité de gestion des licences par groupe.

Pour rechercher des utilisateurs en état d’erreur dans un groupe

  1. Connectez-vous au centre d'administration Microsoft Entra au moins en tant qu'administrateur de licences.

  2. Sélectionnez Microsoft Entra ID.

  3. Accédez à Facturation>Licenses afin d’ouvrir une page vous permettant de voir et de gérer tous les produits sous licence dans l’organisation.

  4. Ouvrez la page de vue d’ensemble du groupe et sélectionnez Licenses. Une notification s’affiche si des utilisateurs sont en état d’erreur.

    Capture d’écran des messages de notifications de groupe et d’erreur.

  5. Sélectionnez la notification pour ouvrir la liste de tous les utilisateurs concernés. Vous pouvez sélectionner chaque utilisateur individuellement pour afficher plus de détails.

    Capture d’écran de la liste des utilisateurs en état d’erreur de licences de groupe.

  6. Pour rechercher tous les groupes contenant au moins une erreur, dans le panneau Microsoft Entra ID, sélectionnez Licences, puis Vue d’ensemble. Une fenêtre d’informations s’affiche lorsque des groupes nécessitent votre attention.

    Capture d’écran des informations sur les groupes en état d’erreur.

  7. Cliquez sur la zone pour afficher la liste de tous les groupes contenant des erreurs. Vous pouvez sélectionner chaque groupe pour afficher des détails supplémentaires.

    Capture d’écran de la liste des groupes contenant des erreurs.

Les sections suivantes décrivent chaque problème potentiel et la manière d’essayer de le résoudre.

Remarque

Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Nombre insuffisant de licences

Problème : il n’y pas assez de licences disponibles pour l’un des produits spécifiés dans le groupe. Vous devez acheter des licences produit supplémentaires ou libérer des licences inutilisées par d’autres utilisateurs ou d’autres groupes.

Pour connaître le nombre de licences disponibles, accédez à Identité>Facturation>Licenses>Tous les produits.

Pour voir quels utilisateurs et quels groupes utilisent des licences, sélectionnez un produit. Sous Utilisateurs sous licence, vous pouvez consulter la liste des utilisateurs auxquels des licences ont été affectées directement, ou par le biais d’un ou de plusieurs groupes. Sous Groupes sous licence, vous pouvez voir tous les groupes auxquels ce produit est attribué.

PowerShell : Les applets de commande PowerShell signalent cette erreur comme CountViolation.

Plans de service en conflit

Problème : l’un des produits spécifiés dans le groupe contient un plan de service en conflit avec un autre plan de service déjà attribué à l’utilisateur par le biais d’un autre produit. Certains plans de service sont configurés de sorte qu’ils ne puissent pas être attribués à l’utilisateur d’un autre plan de service lié.

Conseil

Auparavant, les plans Exchange Online 1 et 2 étaient uniques et ne pouvaient pas être dupliqués. Désormais, les deux plans de services ont été mis à jour pour permettre la duplication. Si vous rencontrez des conflits avec ces plans de service, essayez de les retraiter.

Seul l’administrateur peut décider de la méthode à utiliser pour résoudre les problèmes de conflit de licences produit. Microsoft Entra ID ne résout pas automatiquement les conflits de licences.

PowerShell : Les applets de commande PowerShell signalent cette erreur comme MutuallyExclusiveViolation.

D’autres produits dépendent de cette licence

Problème : l’un des produits spécifiés dans le groupe contient un plan de service qui doit être activé pour un autre plan de service, dans un autre produit, afin de fonctionner. Cette erreur se produit quand Microsoft Entra ID tente de supprimer le plan de service sous-jacent. Par exemple, ce problème peut se produire lorsque vous supprimez l’utilisateur du groupe.

Pour résoudre ce problème, vous devez vérifier que le plan requis est toujours attribué aux utilisateurs par une autre méthode, ou que les services dépendants sont désactivés pour ces utilisateurs. Après cela, vous pouvez supprimer la licence de groupe sur ces utilisateurs.

PowerShell : Les applets de commande PowerShell signalent cette erreur comme DependencyViolation.

L’emplacement d’utilisation n’est pas autorisé

Problème : Certains services Microsoft ne sont pas disponibles partout en raison de lois et réglementations locales. Avant de pouvoir attribuer une licence à un utilisateur, vous devez spécifier la propriété Emplacement d’utilisation pour l’utilisateur. Vous pouvez spécifier l’emplacement sous la section Utilisateur>Profil>Modifier du Portail Azure.

Si Microsoft Entra ID tente d’attribuer une licence de groupe à un utilisateur dont l’emplacement d’utilisation n’est pas pris en charge, il en résulte un échec et l’enregistrement d’une erreur pour cet utilisateur.

Pour résoudre ce problème, retirez du groupe sous licence les utilisateurs associés à des emplacements non pris en charge. Autrement, si les valeurs d’emplacement d’utilisation actuelles ne représentent pas l’emplacement réel des utilisateurs, vous pouvez les modifier afin que les licences soient attribuées correctement la prochaine fois (à condition que le nouvel emplacement soit pris en charge).

PowerShell : Les applets de commande PowerShell signalent cette erreur comme ProhibitedInUsageLocationViolation.

Remarque

  • Quand Microsoft Entra ID attribue des licences de groupe, tous les utilisateurs sans emplacement d’utilisation spécifié héritent de l’emplacement de l’annuaire. Microsoft recommande aux administrateurs de définir des valeurs d’emplacement d’utilisation correctes pour les utilisateurs avant d’utiliser la licence groupée afin de se conformer aux lois et réglementations locales.
  • Les attributs de prénom, nom, autre adresse e-mail et type d'utilisateur ne sont pas obligatoires pour l'affectation de licence.

Suppression de licences pour les groupes dynamiques avec des règles basées sur des licences avec un groupe statique initial

Cette erreur se produit lorsque des utilisateurs sont ajoutés et supprimés dans un autre lot de groupes dynamiques, en raison de la configuration en cascade de groupes dynamiques avec des règles basées sur des licences sur un groupe statique initial. Cette erreur peut avoir un impact sur plusieurs groupes dynamiques et nécessiter un retraitement étendu pour restaurer l’accès.

Avertissement

Quand vous transformez un groupe statique existant en groupe dynamique, tous les membres existants sont supprimés du groupe, puis la règle d’appartenance est traitée pour ajouter de nouveaux membres. Si le groupe est utilisé pour contrôler l’accès aux applications ou aux ressources, n’oubliez pas que les membres d’origine peuvent perdre leur accès tant que la règle d’appartenance n’a pas été totalement traitée.

Nous vous recommandons de tester la nouvelle règle d’appartenance au préalable pour vous assurer que la nouvelle appartenance du groupe est conforme à votre attente. Si vous rencontrez des erreurs pendant votre test, consultez Utiliser les journaux d’audit pour surveiller l’activité de gestion des licences par groupe.

Adresses proxy en double

Problème : si vous utilisez Exchange Online, certains comptes d’utilisateur de votre organisation risquent d’être erronément configurés avec la même valeur d’adresse proxy. Lorsque la fonction de licence basée sur un groupe tente d’affecter une licence à un tel utilisateur, l’opération échoue et le message « L’adresse proxy est déjà utilisée » s’affiche.

Conseil

Pour cela, exécutez la cmdlet PowerShell suivante par rapport à Exchange Online :

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

Pour en savoir plus sur ce problème, consultez le message d’erreur indiquant que l’adresse de proxy est déjà utilisée dans Exchange Online. L’article inclut également des informations sur la connexion à Exchange Online à l’aide de PowerShell à distance.

Une fois les problèmes d’adresse de proxy résolus pour les utilisateurs concernés, veillez à forcer le traitement des licences sur le groupe, pour vous assurer que les licences peuvent désormais être appliquées.

Modification des attributs Microsoft Entra ID Mail et ProxyAddresses

Problème : lors de la mise à jour de l’attribution de licence sur un utilisateur ou un groupe, vous pouvez voir que les attributs Microsoft Entra ID Mail et ProxyAddresses de certains utilisateurs sont modifiés.

La mise à jour d’attribution de licence sur un utilisateur entraîne le déclenchement du calcul de l’adresse proxy, ce qui peut modifier les attributs de l’utilisateur. Pour comprendre la raison exacte de la modification et résoudre le problème, consultez l’article Comment l’attribut proxyAddresses est renseigné dans Microsoft Entra ID.

LicenseAssignmentAttributeConcurrencyException dans les journaux d’audit

Problème : l’utilisateur dispose de LicenseAssignmentAttributeConcurrencyException pour l’affectation de licence dans les journaux d’audit. Lorsque la gestion des licences basée sur les groupes tente d’affecter simultanément la même licence à un utilisateur, cette exception est enregistrée sur l’utilisateur. Cela se produit généralement lorsqu’un utilisateur est membre de plusieurs groupes avec la même licence affectée. Microsoft Entra ID tente de traiter la licence utilisateur jusqu’à ce que le problème soit résolu. Aucune action du client n’est requise pour corriger ce problème.

Plusieurs licences de produit affectées à un groupe

Vous pouvez attribuer plusieurs licences produit à un même groupe. Par exemple, vous pouvez attribuer Office 365 Entreprise E3 et Enterprise Mobility + Security à un groupe afin de faciliter l’activation de tous les services inclus pour les utilisateurs.

Problème : Microsoft Entra ID tente d’attribuer toutes les licences spécifiées dans le groupe à chaque utilisateur. Toutefois, si l’ID Microsoft Entra rencontre des problèmes tels que des licences insuffisantes ou des conflits avec d’autres services activés, il n’attribue pas d’autres licences dans le groupe. Vous pouvez vérifier quels utilisateurs n’ont pas pu être attribué et quels produits ont été affectés par ce problème.

Il est important de noter que lors de l’attribution de licences à un groupe, s’il n’y a pas suffisamment de licences disponibles ou qu’un problème se produit, comme des plans de service qui ne peuvent pas être attribués en même temps, l’affectation au groupe pourrait ne pas être complétée. Exemple : si le nombre de licences est insuffisant ou en cas de conflit avec les autres services activés pour l’utilisateur.

Un travail potentiel autour de ce problème consiste à créer des groupes dynamiques. Vous pourriez créer des groupes dynamiques pour attribuer des licences, telles qu’Exchange Online, puis utiliser un deuxième groupe dynamique avec les mêmes règles d’adhésion pour appliquer les licences préalables. Vous pourrez ensuite attribuer ces licences supplémentaires une fois que le groupe initial ait appliqué la licence Exchange Online aux utilisateurs.

Si vous rencontrez des erreurs de licence, elles sont enregistrées sur l’objet utilisateur et signalées via le Portail Azure pour la résolution. Pour plus d’informations, veuillez consulter Exemples de gestion des licences basées sur le groupe Microsoft Graph PowerShell.

Quand un groupe sous licence est supprimé

Problème : vous devez supprimer toutes les licences attribuées à un groupe pour pouvoir le supprimer. Toutefois, la suppression des licences de tous les utilisateurs dans le groupe peut prendre du temps. La suppression d’attributions de licence d’un groupe peut échouer si l’utilisateur a une licence dépendante attribuée ou en cas de conflit d’adresse proxy qui interdit la suppression de la licence. Si un utilisateur a une licence qui dépend d’une licence en cours de suppression dans le cadre d’une suppression de groupe, l’attribution de licence héritée de l’utilisateur est convertie en attribution directe.

Par exemple, prenons un groupe avec une licence Office 365 E3/E5 attribuée avec un plan de service Skype Entreprise activé. Imaginez que certains membres du groupe ont des licences d’audioconférence attribuées directement. Quand le groupe est supprimé, la gestion des licences attribuées au groupe tente de supprimer Office 365 E3/E5 pour tous les utilisateurs. Comme l’audioconférence dépend de Skype Entreprise, pour tous les utilisateurs bénéficiant de l’audioconférence, la gestion des licences attribuées au groupe convertit les licences Office 365 E3/E5 en attributions de licence directes.

Gérer les licences des produits avec des prérequis

Certains produits Microsoft Online que vous possédez peut-être sont des modules complémentaires. Ils nécessitent l’activation d’un plan de service requis pour un utilisateur ou un groupe pour qu’une licence puisse leur être attribuée. Avec les licences basées sur le groupe, le système impose que les plans de service requis et du module complémentaire soient présents pour le même groupe. Cela permet de veiller à ce que tous les utilisateurs ajoutés au groupe puissent recevoir le produit de travail complet. Considérez l’exemple suivant :

Microsoft Workplace Analytics est un produit additionnel. Il contient un plan de service unique portant le même nom. Vous ne pouvez attribuer ce plan de service à un utilisateur ou à un groupe que lorsque l’une des conditions préalables suivantes est également attribuée :

  • Exchange Online (plan 1)
  • Exchange Online (plan 2)

Problème : si vous essayez d’attribuer ce produit seul à un groupe, le portail renvoie un message de notification. Si vous sélectionnez les détails de l’élément, le message d’erreur suivant s’affiche :

« Échec de l’opération de licence. Assurez-vous que le groupe possède les services nécessaires avant d’ajouter ou de retirer un service dépendant. Le service Microsoft Workplace Analytics nécessite Exchange Online (plan 2) pour être activé également. »

Pour attribuer cette licence de module complémentaire à un groupe, veuillez vous assurer que le groupe contient également le plan de service préalable. Par exemple, Microsoft Entra ID pourrait mettre à jour un groupe existant qui contient déjà le produit complet Office 365 E3 et lui ajouter le produit additionnel.

Il est également possible de créer un groupe autonome contenant uniquement les produits requis pour le fonctionnement du module additionnel. Il peut être utilisé pour fournir une licence uniquement aux utilisateurs sélectionnés pour le produit de module complémentaire. Selon l’exemple précédent, vous devez attribuer les produits suivants au même groupe :

  • Office 365 Enterprise E3, avec uniquement le plan de service Exchange Online (plan 2) activé
  • Microsoft Workplace Analytics

Dorénavant, tout utilisateur ajouté à ce groupe utilise une licence de produit E3 et une licence de produit Workplace Analytics. Dans le même temps, ces utilisateurs peuvent être membres d’un autre groupe leur fournissant le produit E3 complet ; ils ne consommeront alors qu’une seule licence de ce produit.

Conseil

Vous pouvez créer plusieurs groupes pour chaque plan de service requis. Par exemple, si vous utilisez Office 365 Enterprise E1 et Office 365 Enterprise E3 pour vos utilisateurs, vous pouvez créer deux groupes pour accorder une licence Microsoft Workplace Analytics : un groupe demandant E1 comme condition préalable et un autre demandant E3. Cela vous permettra de distribuer le module complémentaire aux utilisateurs de E1 et de E3 sans consommer de licences supplémentaires.

Forcer le traitement des licences de groupe pour résoudre des erreurs

Problème : selon les actions entreprises pour résoudre les erreurs, il peut être nécessaire de déclencher manuellement le traitement d’un groupe pour mettre à jour l’état de l’utilisateur.

Par exemple, si vous avez libéré des licences en supprimant leurs affectations directes à des utilisateurs, vous devez déclencher le traitement des groupes ayant échoué précédemment afin d’attribuer des licences complètes à tous les utilisateurs membres. Pour traiter à nouveau un groupe, accédez au volet correspondant, ouvrez Licences, puis sélectionnez le bouton Retraiter dans la barre d’outils.

Forcer le traitement des licences utilisateur pour résoudre des erreurs

Problème : selon les mesures que vous avez prises pour résoudre les erreurs, il peut être nécessaire de déclencher manuellement le traitement d’un utilisateur pour mettre à jour l’état de l’utilisateur.

Par exemple, après avoir résolu le problème d’adresse proxy en double pour un utilisateur affecté, vous devez déclencher le traitement de l’utilisateur. Pour retraiter un utilisateur , accédez au volet correspondant, ouvrez Licences, puis sélectionnez le bouton Retraiter dans la barre d’outils.

Étapes suivantes

Pour plus d’informations sur d’autres scénarios de gestion des licences par le biais des groupes, consultez les articles suivants :