Scénarios, limitations et problèmes connus liés à l’utilisation de groupes dans le cadre de la gestion des licences dans Azure Active Directory

Utilisez les informations et exemples suivants pour approfondir vos connaissances sur la gestion des licences par groupe dans Azure Active Directory (Azure AD), qui fait partie de Microsoft Entra.

Emplacement d’utilisation

Selon le lieu où vous vous trouvez, certains services Microsoft ne sont pas disponibles. Pour l’affectation d’une licence à un groupe, tous les utilisateurs sans emplacement d’utilisation spécifié héritent de l’emplacement du répertoire. Si vos utilisateurs se trouvent à plusieurs emplacements, assurez-vous de bien prendre en compte cette situation dans vos ressources utilisateur avant d’ajouter des utilisateurs à des groupes avec licences. Avant de pouvoir attribuer une licence à un utilisateur, l’administrateur doit spécifier la propriété Emplacement d’utilisation sur l’utilisateur.

  1. Connectez-vous au Portail Azure avec le rôle Administrateur d’utilisateurs.
  2. Accédez à Azure AD>Utilisateurs, puis sélectionnez un utilisateur.
  3. Sélectionnez Modifier les propriétés.
  4. Sélectionnez l’onglet Paramètres et entrez un emplacement pour l’utilisateur.
  5. Sélectionnez le bouton Enregistrer.

Notes

L’affectation d’une licence de groupe n’a jamais pour effet de modifier une valeur d’emplacement d’utilisation existante sur un utilisateur. Nous vous recommandons de toujours définir l’emplacement d’utilisation dans le cadre de votre flux de création d’utilisateurs dans Azure AD (par exemple avec la configuration Azure AD Connect). Ce processus garantit que le résultat de l’attribution de licence est toujours correct et que les utilisateurs ne reçoivent pas de services dans des emplacements non autorisés.

Utilisation de la gestion des licences par groupe avec des groupes dynamiques

Vous pouvez utiliser des licences en fonction du groupe avec n’importe quel groupe de sécurité, y compris les groupes dynamiques. Les groupes dynamiques exécutent des règles sur les attributs de ressource utilisateur pour ajouter et supprimer automatiquement des membres. Les attributs peuvent être un service, un poste, un emplacement de travail ou un autre attribut personnalisé. Chaque groupe se voit attribuer les licences que vous souhaitez que ses membres reçoivent. Si un attribut change, le membre quitte le groupe, et les licences sont supprimées.

Vous pouvez affecter l’attribut en local puis le synchroniser avec Azure AD, ou bien vous pouvez gérer l’attribut directement dans le cloud.

Avertissement

Faites preuve de vigilance lorsque vous modifiez la règle d’appartenance au groupe existante. Lors de la modification d’une règle, l’appartenance du groupe est réévaluée et les utilisateurs qui ne correspondent pas à la nouvelle règle sont supprimés (ceux qui y correspondent ne sont pas affectés par ce processus). Les licences de ces utilisateurs sont supprimées au cours du processus, ce qui peut occasionner une perte de service ou, dans certains cas, une perte de données.

Si vous avez un grand groupe dynamique dont vous dépendez pour l’attribution des licences, songez à valider des changements majeurs sur un groupe de test plus petit avant de les appliquer au groupe principal.

Plusieurs groupes et plusieurs licences

Un utilisateur peut être membre de plusieurs groupes avec des licences. Voici quelques possibilités d’opérations à prendre en considération :

  • Plusieurs licences pour le même produit peuvent se chevaucher, avec pour effet que tous les services activés sont appliqués à l’utilisateur. Par exemple, M365-P1 contient les services de base à déployer en premier pour tous les utilisateurs, et M365-P2 les services P2 à distribuer à certains utilisateurs seulement. Vous pouvez ajouter un utilisateur à un groupe ou aux deux et n’utiliser qu’une seule licence pour le produit.

  • Sélectionnez une licence pour voir d’autres informations, notamment sur les services activés pour l’utilisateur par l’attribution de licence de groupe.

Coexistence de licences directes avec des licences de groupe

Quand un utilisateur hérite une licence d’un groupe, vous ne pouvez pas supprimer ni modifier directement cette licence dans les propriétés de l’utilisateur. L’attribution de licence n’est modifiable que dans le groupe, auquel cas les changements sont ensuite propagés à tous ses membres. Si vous devez attribuer d’autres fonctionnalités à un utilisateur dont la licence est issue d’une attribution de licence de groupe, vous devez créer un autre groupe.

Lorsque vous utilisez des licences en fonction du groupe, tenez compte des scénarios suivants :

  • Les membres du groupe héritent des licences attribuées au groupe.
  • Les options des licences en fonction du groupe doivent être modifiées au niveau du groupe.
  • Si différentes options de licence doivent être attribuées à un utilisateur, créez un groupe, attribuez-lui une licence, puis ajoutez-y l’utilisateur.
  • Les utilisateurs n’ont besoin que d’une seule licence d’un produit même si différentes options de licence sont utilisées pour ce produit selon les licences en fonction du groupe.

Lorsque vous utilisez une affectation directe, les opérations suivantes sont autorisées :

  • Les licences non attribuées en fonction du groupe peuvent être modifiées pour un utilisateur individuel.
  • D’autres services peuvent être activés dans le cadre d’une licence attribuée directement.
  • Les licences attribuées directement peuvent être supprimées sans incidence sur les licences héritées d’un utilisateur.

Gestion des nouveaux services ajoutés aux produits

Lorsque Microsoft ajoute un nouveau service à un plan de licence de produit, ce service est activé par défaut dans tous les groupes auxquels vous avez attribué la licence du produit. Les utilisateurs de votre organisation qui sont abonnés aux notifications relatives aux modifications apportées au produit reçoivent des e-mails à l’avance, les informant des ajouts de service à venir.

En tant qu’administrateur, vous pouvez passer en revue tous les groupes affectés par la modification et prendre des mesures telles que la désactivation du nouveau service dans tous les groupes. Par exemple, si vous avez créé des groupes ciblant uniquement des services spécifiques pour le déploiement, vous pouvez réexaminer ces groupes pour vous assurer que les nouveaux services ajoutés sont désactivés.

Voici un exemple de ce processus :

  1. À l’origine, vous avez attribué le produit Microsoft 365 E5 à plusieurs groupes. L’un de ces groupes, nommé Microsoft 365 E5 – Exchange uniquement, a été conçu de façon à activer uniquement le service Exchange Online (Plan 2) pour ses membres.

  2. Vous avez reçu de Microsoft une notification signalant que le produit E5 va être étendu avec un nouveau service, Microsoft Stream. Lorsque le service devient disponible dans votre organisation, vous pouvez procéder comme suit :

  3. Accédez à Azure Active Directory > Licences > Tous les produits et sélectionnez Microsoft 365 Entreprise E5, puis Groupes sous licence pour afficher la liste de tous les groupes disposant de ce produit.

  4. Sélectionnez le groupe que vous souhaitez examiner (dans ce cas, Microsoft 365 E5 – Exchange uniquement). L’onglet Licences s’ouvre. Sélectionnez la licence E5 pour afficher tous les services activés.

    Notes

    Le service Microsoft Stream a été automatiquement ajouté et activé dans ce groupe, en plus du service Exchange Online:

    Capture d’écran du nouveau service ajouté à une licence de groupe

  5. Si vous souhaitez désactiver le nouveau service dans ce groupe, sélectionnez le bouton bascule Activé/Désactivé en regard du service, puis le bouton Enregistrer pour confirmer la modification. Azure AD traite alors tous les utilisateurs du groupe pour appliquer la modification. Le service Microsoft Stream n’est pas activé pour les nouveaux utilisateurs ajoutés au groupe.

    Notes

    Il se peut néanmoins que le service soit activé pour ces utilisateurs par le biais d’une autre attribution de licence (un autre groupe dont ils sont membres ou une attribution directe de licence).

  6. Si nécessaire, procédez de même pour d’autres groupes auxquels ce produit des attribué.

Utiliser PowerShell pour voir qui dispose de licences héritées et directes

Vous pouvez utiliser un script PowerShell pour vérifier si les utilisateurs disposent d’une licence attribuée directement ou héritée d’un groupe.

  1. Exécutez l’applet de commande connect-msolservice pour vous authentifier et vous connecter à votre organisation.

  2. Get-MsolAccountSku peut être utilisé pour connaître toutes les licences de produit provisionnées dans l’organisation Azure AD.

    Capture d’écran de l’applet de commande Get-Msolaccountsku

  3. Utilisez avec ce script PowerShell la valeur AccountSkuId correspondant à la licence qui vous intéresse. La liste qui s’affiche comprend les utilisateurs qui disposent de cette licence et des informations sur la façon dont celle-ci est attribuée.

Utiliser les journaux d’audit pour surveiller l’activité de gestion des licences par groupe

Vous pouvez utiliser les Journaux d’audit AD Azure pour voir toutes les activités relatives à la gestion des licences par groupe, à savoir :

  • qui a modifié les licences attribuées aux groupes ;
  • quand le système a démarré le traitement d’une modification de licence de groupe et quand il a terminé ;
  • quelles modifications de licence ont été apportées à un utilisateur à la suite d’une attribution de licence de groupe.

Les journaux d’audit liés aux licences en fonction du groupe sont accessibles dans Journaux d’audit, dans la zone Groupes ou Licences d’Azure AD. Vous pouvez également utiliser les combinaisons de filtres suivantes sur les principaux journaux d’audit :

  • Service : répertoire principal
  • Catégorie : GroupManagement ou UserManagement

Capture d’écran des journaux d’audit Azure AD avec les options de filtre Core Directory et GroupManagement encadrées.

Identification de l’auteur de la modification d’une licence

  1. Pour afficher les journaux des modifications d’une licence de groupe, utilisez les options de filtre de journal d’audit suivantes :
    • Service : répertoire principal
    • Catégorie : GroupManagement
    • Activité : Définir une licence de groupe
  2. Sélectionnez une ligne du tableau de résultats pour en afficher le détail.
  3. Sélectionnez l’onglet Propriétés modifiées pour afficher les anciennes et nouvelles valeurs du contrat de licence.

L’exemple suivant montre les paramètres de filtre ci-dessus, ainsi que le filtre Cible défini sur tous les groupes qui commencent par « EMS ».

Capture d’écran des journaux d’audit Azure AD, avec un filtre Cible.

Pour afficher les modifications de licence d’un utilisateur spécifique, utilisez les filtres suivants :

  • Service : répertoire principal
  • Catégorie : UserManagement
  • Activité : Modifier la licence d’un utilisateur

Déterminer quand le traitement de modifications de groupe a commencé et s’est terminé

Lorsqu’une licence change sur un groupe, Azure AD commence à appliquer les modifications auprès de tous les utilisateurs, mais leur traitement peut prendre du temps.

  1. Pour savoir quand le traitement des groupes a commencé, utilisez les filtres suivants :
    • Service : répertoire principal
    • Catégorie : GroupManagement
    • Activité : Commencer à appliquer une licence en fonction du groupe aux utilisateurs
  2. Sélectionnez une ligne du tableau de résultats pour en afficher le détail.
  3. Sélectionnez l’onglet Propriétés modifiées afin de voir les modifications de licence récupérées pour traitement.
    • Utilisez ces informations si vous apportez plusieurs modifications à un groupe et que vous ne savez pas quelle licence a été traitée.
    • L’acteur de l’opération est Microsoft Azure AD Group-Based Licensing, un compte système utilisé pour exécuter toutes les modifications de licence de groupe.

Pour voir quand le traitement des groupes s’est terminé, choisissez pour le filtre Activité la valeur Terminer l’application d’une licence en fonction du groupe à des utilisateurs. Dans ce cas, le champ Propriétés modifiées contient une synthèse des résultats, qui est utile pour vérifier rapidement si le traitement a généré des erreurs. Exemple de sortie :

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Pour afficher le journal complet indiquant la manière dont un groupe a été traité (toutes les modifications utilisateur comprises), ajoutez les filtres suivants :

  • Cible : nom du groupe
  • À l’initiative de (acteur) : Microsoft Azure AD Group-Based Licensing (respecte la casse)
  • Plage de dates : (facultatif) plage personnalisée indiquant quand, à votre connaissance, le traitement d’un groupe spécifique a commencé et s’est terminé.

Cet exemple de sortie montre le début et la fin du traitement de la modification de licence.

Capture d’écran des filtres de journal d’audit Azure AD et des heures de début et de fin des modifications de licence.

Suppression d’un groupe avec une licence attribuée

Il n’est pas possible de supprimer un groupe auquel est attribuée une licence active. Un administrateur risquerait de supprimer un groupe sans se rendre compte que cette action entraîne la suppression des licences des utilisateurs. C’est pourquoi nous exigeons que toutes les licences soient retirées du groupe pour qu’il puisse être supprimé.

Lorsque vous tentez de supprimer un groupe sur le Portail Azure, vous pouvez voir une notification d’erreur : Capture d’écran d’un échec de suppression du groupe

Accédez à l’onglet Licences du groupe et vérifiez si des licences sont attribuées. Si c’est le cas, supprimez ces licences et essayez de nouveau de supprimer le groupe.

Vous pouvez obtenir des erreurs similaires en tentant de supprimer le groupe avec PowerShell ou API Graph. Si vous utilisez un groupe synchronisé localement, Azure AD Connect peut également signaler des erreurs s’il n’arrive pas à supprimer le groupe dans Azure AD. Dans ce cas, veillez à vérifier s’il existe des licences attribuées au groupe et retirez-les d’abord.

Limitations et problèmes connus

Si vous utilisez la gestion des licences par groupe, il est conseillé de vous familiariser avec la liste suivante des limitations et problèmes connus.

  • Actuellement, la gestion des licences en fonction du groupe ne prend pas en charge les groupes contenant d’autres groupes (groupes imbriqués). Si vous appliquez une licence à un groupe imbriqué, les licences ne sont appliquées qu’aux membres utilisateurs de premier niveau immédiat du groupe.

  • Cette fonctionnalité peut uniquement être utilisée avec les groupes de sécurité et les groupes Microsoft 365 pour lesquels securityEnabled=TRUE.

  • Le Centre d’administration Microsoft 365 ne prend actuellement pas en charge les licences en fonction du groupe. Si un utilisateur hérite d’une licence d’un groupe, cette licence apparaît dans le portail d’administration Office comme une licence utilisateur normale. Si vous tentez de modifier ou de supprimer cette licence, le portail renvoie un message d’erreur. Les licences de groupe héritées ne sont pas directement modifiables sur un utilisateur.

  • Lorsque des licences sont attribuées ou modifiées pour un groupe de grande taille (par exemple 100 000 utilisateurs), les performances peuvent s’en trouver altérées. Plus précisément, le volume de modifications générées par l’automatisation Azure AD peut nuire aux performances de synchronisation de votre annuaire entre Azure AD et vos systèmes locaux.

  • Si vous utilisez des groupes dynamiques pour gérer l’appartenance d’un utilisateur, vérifiez que celui-ci fait partie du groupe (nécessaire pour l’attribution de licence). Si ce n’est pas le cas, vérifiez l’état de traitement pour la règle d’appartenance du groupe dynamique.

  • Dans certaines situations à charge élevée, il peut être long de traiter les modifications de licence pour les groupes ou les modifications d’appartenance à des groupes avec des licences existantes. Si vous constatez que le traitement de vos modifications prend plus de 24 heures pour un groupe de moins de 60 000 utilisateurs, ouvrez un ticket de support pour nous permettre d’examiner la situation.

  • L’automatisation de la gestion des licences ne réagit pas automatiquement à tous les types de modifications dans l’environnement. Par exemple, il se peut que vous manquiez de licences et que certains utilisateurs se retrouvent dans un état d’erreur. Pour libérer le nombre de sièges disponibles, vous pouvez supprimer des licences affectées directement d’autres utilisateurs. Le système ne réagit toutefois pas automatiquement à cette modification et ne corrige pas les utilisateurs qui se trouvent dans cet état d’erreur.

    Pour contourner ces types de limitations, accédez à Azure AD>Groupes, puis sélectionnez un groupe >Licences>Retraiter. Cette commande traite tous les utilisateurs de ce groupe et résout les états d’erreur, si cela est possible.

Étapes suivantes

Pour plus d’informations sur d’autres scénarios de gestion des licences par le biais des licences basées sur les groupes, consultez :