Exercice - Modifier les affectations de licence de groupe

  • 10 minutes

Modifier une affectation de licence de groupe

  1. Accédez à la page Identité - Groupes du centre d’administration Microsoft Entra.

  2. Dans le volet de navigation de gauche, sous Groupes.

  3. Sélectionnez un des groupes disponibles. Par exemple, Marketing.

  4. Dans le volet de navigation de gauche, sous Gérer, sélectionnez Licences.

  5. Passez en revue les affectations actuelles, puis, dans le menu, sélectionnez + Affectations.

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. Dans la page Mettre à jour les affectations de licence, sélectionnez une autre licence, effacez la sélection d’une licence existante, ajoutez ou supprimez des options de licence ou effectuez une combinaison de ces opérations.

  7. Quand vous avez terminé, sélectionnez Enregistrer.

  8. Sur la page Licences du groupe, passez en revue la modification.

Identifier et résoudre les problèmes d’affectation de licences pour un groupe dans Microsoft Entra ID

La gestion des licences basées sur les groupes dans Microsoft Entra ID introduit le concept d’utilisateurs en état d’erreur d’affectation de licence. Cette section explique les raisons pour lesquelles les utilisateurs peuvent se trouver dans cet état.

Lorsque vous affectez directement des licences à des utilisateurs individuels, sans recourir à une licence basée sur le groupe, l’opération d’affectation peut échouer. Par exemple, la cmdlet PowerShell Set-MgUserLicense peut échouer pour diverses raisons liées à la logique métier lorsque vous l’exécutez sur un objet utilisateur. Par exemple, il peut y avoir un nombre insuffisant de licences ou bien un conflit entre deux plans de service qui ne peuvent pas être affectés en même temps. Le problème vous est immédiatement signalé.

Lorsque vous utilisez une licence basée sur les groupes, les mêmes erreurs peuvent se produire, mais elles apparaissent en arrière-plan lorsque le service Microsoft Entra attribue les licences. C’est pourquoi les erreurs ne peuvent pas vous être communiquées immédiatement. Au lieu de cela, elles sont enregistrées sur l’objet utilisateur et signalées par le biais du portail d’administration. L’intention initiale, qui consiste à attribuer une licence à l’utilisateur, est toujours conservée, mais est enregistrée dans un état d’erreur. Elle fera l’objet d’un examen et d’une résolution ultérieurs.

Rechercher des erreurs d’affectation de licence

Pour rechercher des utilisateurs en état d’erreur dans un groupe

  1. Ouvrez la page de vue d’ensemble du groupe et sélectionnez Licenses. Une notification s’affiche si des utilisateurs sont en état d’erreur.

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. Sélectionnez la notification pour ouvrir la liste de tous les utilisateurs concernés. Vous pouvez sélectionner chaque utilisateur individuellement pour afficher plus de détails.

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. Pour rechercher tous les groupes contenant au moins une erreur, dans le menu Microsoft Entra - Identité - Facturation, sélectionnez Licences, puis Vue d’ensemble. Une fenêtre d’informations s’affiche lorsque des groupes nécessitent votre attention.

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. Cliquez sur la zone pour afficher la liste de tous les groupes contenant des erreurs. Vous pouvez sélectionner chaque groupe pour afficher des détails supplémentaires.

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

Les sections suivantes décrivent chaque problème potentiel et la manière de le résoudre.

Nombre insuffisant de licences

Problème : Le nombre de licences disponibles est insuffisant pour un des produits spécifiés dans le groupe. Vous devez acheter des licences produit supplémentaires ou libérer des licences inutilisées par d’autres utilisateurs ou d’autres groupes.

Pour voir le nombre de licences disponibles, accédez à Microsoft Entra - Identité - Facturation, puis Licences et Tous les produits.

Pour voir quels utilisateurs et quels groupes utilisent des licences, sélectionnez un produit. Sous Utilisateurs sous licence, vous pouvez voir la liste des utilisateurs auxquels des licences ont été affectées directement, ou par le biais d’un ou de plusieurs groupes. Sous Groupes sous licence figurent tous les groupes auxquels sont attribuées des licences de produits.

PowerShell : Les applets de commande PowerShell signalent cette erreur comme CountViolation.

Plans de service en conflit

Problème : Un des produits spécifiés dans le groupe contient un plan de service en conflit avec un autre plan de service déjà attribué à l’utilisateur par le biais d’un autre produit. Certains plans de service sont configurés de sorte qu’ils ne puissent pas être attribués à l’utilisateur d’un autre plan de service lié.

Considérez l'exemple suivant. Un utilisateur possède une licence Office 365 Entreprise E1 qui lui a été attribuée directement, avec tous les plans activés. L’utilisateur a été ajouté à un groupe auquel le produit Office 365 Entreprise E3 est attribué. Ce produit E3 contient des plans de service incompatibles avec les plans contenus dans E1. Par conséquent, l’attribution de la licence de groupe échoue avec l’erreur Plans de service en conflit. Dans cet exemple, les plans de service en conflit sont les suivants :

  • SharePoint Online (Plan 2) est en conflit avec SharePoint Online (Plan 1).
  • Exchange Online (Plan 2) est en conflit avec Exchange Online (Plan 1).

Pour résoudre ce conflit, vous devez désactiver deux des plans. Vous pouvez désactiver la licence E1 directement attribuée à l’utilisateur. Sinon, vous devez modifier l’attribution de licence de l’ensemble du groupe et désactiver les plans dans la licence E3. Vous pouvez également supprimer la licence E1 à partir de l’utilisateur si elle est redondante dans le cadre de la licence E3.

Seul l’administrateur peut décider de la méthode à utiliser pour résoudre les problèmes de conflit de licences produit. Microsoft Entra ID ne résout pas automatiquement les conflits de licences.

PowerShell : Les applets de commande PowerShell signalent cette erreur comme MutuallyExclusiveViolation.

D’autres produits dépendent de cette licence

Problème : Un des produits spécifiés dans le groupe contient un plan de service qui, pour fonctionner, doit être activé pour un autre plan de service dans un autre produit. Cette erreur se produit quand Microsoft Entra ID tente de supprimer le plan de service sous-jacent. Par exemple, cela peut se produire lorsque vous supprimez l’utilisateur du groupe.

Pour résoudre ce problème, vous devez vérifier que le plan requis est toujours attribué aux utilisateurs par une autre méthode, ou que les services dépendants sont désactivés pour ces utilisateurs. Après cela, vous pouvez supprimer la licence de groupe sur ces utilisateurs.

PowerShell : Les applets de commande PowerShell signalent cette erreur comme DependencyViolation.

L’emplacement d’utilisation n’est pas autorisé

Problème : Certains services Microsoft ne sont pas disponibles partout en raison de lois et réglementations locales. Avant de pouvoir attribuer une licence à un utilisateur, vous devez spécifier la propriété Emplacement d’utilisation pour l’utilisateur. Vous pouvez spécifier l’emplacement sous la section Utilisateur, Profil et Modifier dans le portail Azure.

Si Microsoft Entra ID tente d’attribuer une licence de groupe à un utilisateur dont l’emplacement d’utilisation n’est pas pris en charge, il en résulte un échec et l’enregistrement d’une erreur pour cet utilisateur.

Pour résoudre ce problème, retirez du groupe sous licence les utilisateurs associés à des emplacements non pris en charge. Autrement, si les valeurs d’emplacement d’utilisation actuelles ne représentent pas l’emplacement réel des utilisateurs, vous pouvez modifier ceux-ci de sorte que les licences soient attribuées correctement la prochaine fois (à condition que le nouvel emplacement soit pris en charge).

PowerShell : Les applets de commande PowerShell signalent cette erreur comme ProhibitedInUsageLocationViolation.

Remarque

Quand Microsoft Entra ID attribue des licences de groupe, tous les utilisateurs sans emplacement d’utilisation spécifié héritent de l’emplacement de l’annuaire. Nous recommandons aux administrateurs de définir des valeurs d’emplacement d’utilisation correctes pour les utilisateurs avant d’utiliser la licence groupée afin de se conformer aux lois et réglementations locales.

Adresses proxy en double

Si vous utilisez Exchange Online, certains comptes d’utilisateur de votre organisation risquent d’être erronément configurés avec la même valeur d’adresse proxy. Lorsque la fonction de licence basée sur un groupe tente d’affecter une licence à un tel utilisateur, l’opération échoue et le message « L'adresse proxy est déjà utilisée » s’affiche.

Une fois que vous avez résolu les problèmes d’adresse de proxy pour les utilisateurs concernés, veillez à forcer le traitement des licences sur le groupe pour vous assurer que les licences peuvent maintenant être appliquées.

Modification de l’e-mail Microsoft Entra et de l’attribut ProxyAddresses

Problème : Lors de la mise à jour de l’attribution de licence sur un utilisateur ou un groupe, vous pouvez voir que l’e-mail Microsoft Entra et l’attribut ProxyAddresses de certains utilisateurs sont modifiés.

La mise à jour d’attribution de licence sur un utilisateur entraîne le déclenchement du calcul de l’adresse proxy, ce qui peut modifier les attributs de l’utilisateur.

LicenseAssignmentAttributeConcurrencyException dans les journaux d’audit

Problème : L’utilisateur dispose de LicenseAssignmentAttributeConcurrencyException pour l’affectation de licence dans les journaux d’audit. Lorsque la gestion des licences basée sur les groupes tente d’affecter simultanément la même licence à un utilisateur, cette exception est enregistrée sur l’utilisateur. Cela se produit généralement lorsqu’un utilisateur est membre de plusieurs groupes avec la même licence affectée. Microsoft Entra ID réessayera de traiter la licence utilisateur et résoudra le problème. Aucune action du client n’est requise pour résoudre ce problème.

Plusieurs licences de produit affectées à un groupe

Vous pouvez attribuer plusieurs licences produit à un même groupe. Par exemple, vous pouvez attribuer Office 365 Entreprise E3 et Enterprise Mobility + Security à un groupe afin de faciliter l’activation de tous les services inclus pour les utilisateurs.

Microsoft Entra ID tente d’attribuer toutes les licences spécifiées dans le groupe à chaque utilisateur. Si Microsoft Entra ID ne peut pas affecter l’un des produits en raison de problèmes liés à la logique métier, il ne pourra pas non plus affecter les autres licences du groupe. Exemple : si le nombre de licences est insuffisant, ou en cas de conflit avec les autres services activés pour l’utilisateur.

Vous pouvez voir les utilisateurs pour lesquels l’attribution a échoué et vérifier les produits concernés.

Quand un groupe sous licence est supprimé

Vous devez supprimer toutes les licences attribuées à un groupe pour pouvoir le supprimer. Toutefois, la suppression des licences de tous les utilisateurs dans le groupe peut prendre du temps. Il peut y avoir des échecs si l’utilisateur a une licence dépendante affectée. Si un utilisateur a une licence qui dépend d’une licence en cours de suppression dans le cadre d’une suppression de groupe, l’attribution de licence héritée de l’utilisateur est convertie en attribution directe.

Par exemple, prenons un groupe avec une licence Office 365 E3/E5 attribuée avec un plan de service Skype Entreprise activé. Imaginez que certains membres du groupe ont des licences d’audioconférence attribuées directement. Quand le groupe est supprimé, la gestion des licences attribuées au groupe tente de supprimer Office 365 E3/E5 pour tous les utilisateurs. Comme l’audioconférence dépend de Skype Entreprise, pour tous les utilisateurs bénéficiant de l’audioconférence, la gestion des licences attribuées au groupe convertit les licences Office 365 E3/E5 en attributions de licence directes.

Gérer les licences des produits avec des prérequis

Certains produits Microsoft Online que vous possédez peut-être sont des modules complémentaires. Ils nécessitent l’activation d’un plan de service requis pour un utilisateur ou un groupe pour qu’une licence puisse leur être attribuée. Avec les licences basées sur les groupes, le système exige que les plans de service prérequis et de module complémentaire soient présents dans le même groupe pour garantir que tous les utilisateurs ajoutés au groupe peuvent recevoir le produit entièrement opérationnel. Considérez l’exemple suivant :

Microsoft Workplace Analytics est un produit additionnel. Il contient un plan de service unique portant le même nom. Ce plan de service peut uniquement être affecté à un utilisateur ou à un groupe, lorsque l’une des conditions requises suivantes est également assignée :

  • Exchange Online (plan 1)
  • Exchange Online (plan 2)

Si nous essayons d’affecter ce produit seul à un groupe, le portail renvoie un message de notification. Si nous sélectionnons les détails, le message d’erreur suivant s’affiche :

Échec de l’opération de licence. Assurez-vous que le groupe possède les services nécessaires avant d’ajouter ou de retirer un service dépendant. Le service Microsoft Analyse du temps de travail nécessite Exchange Online (Plan 2) pour être activé.

Pour attribuer cette licence de module complémentaire à un groupe, nous devons nous assurer que le groupe contient également le plan de service requis. Par exemple, nous pouvons mettre à jour un groupe existant qui contient déjà le produit Office 365 E3 complet, et lui ajouter le produit additionnel.

Il est également possible de créer un groupe autonome contenant uniquement les produits requis pour que le module additionnel fonctionne. Il peut être utilisé pour fournir une licence uniquement aux utilisateurs sélectionnés pour le produit additionnel. Selon l’exemple précédent, vous devez attribuer les produits suivants au même groupe :

  • Office 365 Enterprise E3, avec uniquement le plan de service Exchange Online (plan 2) activé
  • Microsoft Workplace Analytics

Dorénavant, tout utilisateur ajouté à ce groupe utilise une licence de produit E3 et une licence de produit Workplace Analytics. Dans le même temps, ces utilisateurs peuvent être membres d’un autre groupe leur fournissant le produit E3 complet ; ils ne consommeront alors qu’une seule licence de ce produit.

Conseil

Vous pouvez créer plusieurs groupes pour chaque plan de service requis. Par exemple, si vous utilisez Office 365 Enterprise E1 et Office 365 Enterprise E3 pour vos utilisateurs, vous pouvez créer deux groupes pour accorder une licence Microsoft Workplace Analytics : un groupe demandant E1 comme condition préalable et un autre demandant E3. Cela vous permettra de distribuer le module complémentaire aux utilisateurs de E1 et de E3 sans consommer de licences supplémentaires.

Forcer le traitement des licences de groupe à résoudre des erreurs

Selon les actions entreprises pour résoudre les erreurs, il peut être nécessaire de déclencher manuellement le traitement d’un groupe pour mettre à jour l’état de l’utilisateur.

Par exemple, si vous avez libéré des licences en supprimant leurs affectations directes à des utilisateurs, vous devez déclencher le traitement des groupes ayant échoué précédemment afin d’attribuer des licences complètes à tous les utilisateurs membres. Pour traiter à nouveau un groupe, accédez au volet correspondant, ouvrez Licences, puis sélectionnez le bouton Retraiter dans la barre d’outils.

Forcer le traitement des licences d’utilisateur à résoudre des erreurs

Selon les mesures que vous avez prises pour résoudre les erreurs, il peut être nécessaire de déclencher manuellement le traitement d’un utilisateur pour mettre à jour l’état de l’utilisateur.

Par exemple, après avoir résolu le problème d’adresse proxy en double pour un utilisateur affecté, vous devez déclencher le traitement de l’utilisateur. Pour retraiter un utilisateur , accédez au volet correspondant, ouvrez Licences, puis sélectionnez le bouton Retraiter dans la barre d’outils.

Comment migrer des utilisateurs ayant des licences individuelles pour regrouper des licences

Vous pouvez déployer des licences existantes pour les utilisateurs dans les organisations par affectation directe, autrement dit utiliser des scripts PowerShell ou d’autres outils pour affecter des licences utilisateur individuelles. Avant de commencer à utiliser une licence basée sur le groupe pour gérer les licences de votre organisation, vous pouvez utiliser ce plan de migration afin de remplacer en toute transparence les solutions existantes par une licence basée le groupe.

N’oubliez pas que vous devez éviter une situation dans laquelle la migration vers une licence basée sur des groupes fera que des utilisateurs perdent temporairement les licences qui leur sont actuellement attribuées. Tous les processus susceptibles d’entraîner le retrait de licences doivent être évités afin d’éliminer le risque pour les utilisateurs de perdre l’accès aux services et à leurs données.

  1. Votre gestion de l’attribution et de la suppression des licences utilisateur est actuellement automatisée (par exemple, avec PowerShell). Conservez ce paramétrage.

  2. Créez un groupe de gestion des licences (ou choisissez les groupes existants à utiliser) et vérifiez que tous les utilisateurs requis sont ajoutés en tant que membres.

  3. Attribuez les licences nécessaires à ces groupes. Vous devez refléter l’état de licence que votre procédure de gestion automatisée existante (par exemple, avec PowerShell) applique à ces utilisateurs.

  4. Vérifiez que les licences ont bien été appliquées à tous les utilisateurs de ces groupes. Pour ce faire, vérifiez l’état de traitement de chaque groupe, ainsi que les journaux d’activité d’audit.

    • Vous pouvez effectuer une vérification aléatoire de quelques utilisateurs individuels en examinant les détails de leur licence. Vous constaterez qu’ils disposent des mêmes licences attribuées « directement » et « héritées » de groupes.
    • Vous pouvez exécuter un script PowerShell pour vérifier les méthodes d’attribution des licences aux utilisateurs.
    • Lorsque la même licence produit est attribuée à l’utilisateur à la fois directement et par le biais d’un groupe, une seule licence est employée par l’utilisateur. Par conséquent, aucune licence supplémentaire n’est requise pour la migration.

  5. Assurez-vous qu’aucune attribution de licence n’a échoué en vérifiant les utilisateurs en état d’erreur dans chaque groupe.

Envisagez de supprimer les affectations directes d’origine. Nous vous recommandons de le faire progressivement et de superviser d’abord le résultat sur une partie des utilisateurs. Si vous laissez les attributions directes d’origine sur les utilisateurs, ces derniers conservent les licences en question lorsqu’ils quittent leur groupe sous licence. Il ne s’agit pas nécessairement du comportement attendu.

exemple

Une organisation compte 1 000 utilisateurs. Tous les utilisateurs ont besoin de licences Office 365 Entreprise E3. Pour le moment, l’organisation dispose d’un script PowerShell qui s’exécute en local afin d’ajouter et de supprimer les licences des utilisateurs qui arrivent ou s’en vont. Néanmoins, l’organisation souhaite remplacer le script par une gestion des licences de groupes afin de pouvoir gérer les licences automatiquement avec Microsoft Entra ID.

Voici ce à quoi le processus de migration peut ressembler :

  1. À l’aide du portail Azure, affectez la licence Office 365 E3 au groupe Tous les utilisateurs dans Microsoft Entra ID.

  2. Vérifiez que l’affectation de licence est effectuée pour tous les utilisateurs. Accédez à la page du groupe, sélectionnez Licences, puis vérifiez l’état de traitement en haut de la page Licences.

    • Recherchez « Les dernières modifications de licence ont été appliquées à tous les utilisateurs » afin de confirmer la fin de l’opération.
    • Recherchez une notification en haut de la page, indiquant les utilisateurs pour lesquels des licences n’ont peut-être pas été correctement attribuées. Avons-nous manqué de licences pour certains utilisateurs ? Certains utilisateurs présentent-ils des plans de licence en conflit qui les empêchent d’hériter des licences de groupe ?

  3. Vous devez vérifier quelques utilisateurs afin de veiller à ce qu’à la fois les licences directes et les licences de groupe leur soient bien appliquées. Accédez à la page de profil d’un utilisateur, sélectionnez Licences, puis examinez l’état des licences.

    • Voici l’état utilisateur attendu lors de la migration :

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. Après avoir confirmé l’équivalence des licences directes et des licences de groupe, vous pouvez commencer à supprimer les licences directes des utilisateurs. Vous pouvez tester cette procédure en supprimant ces licences pour des utilisateurs individuels sur le portail, puis exécuter des scripts d’automatisation afin de les supprimer en bloc. Voici l’exemple d’un même utilisateur dont les licences directes ont été supprimées par le biais du portail. L’état de licence reste inchangé, mais les attributions directes n’apparaissent plus.

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Modifier les attributions de licence pour un utilisateur ou un groupe dans Microsoft Entra ID

Cette section décrit comment déplacer des utilisateurs et des groupes entre des plans de licences de services dans Microsoft Entra ID. L’objectif est de s’assurer qu’il n’y a aucune perte de service ou de données pendant la modification de licence. Les utilisateurs doivent passer d’un service à l’autre sans interruption. Les étapes d’affectation d’un plan de licence décrites dans cette section expliquent comment faire passer un utilisateur ou groupe d’Office 365 E1 à Office 365 E3, mais elles s’appliquent à tous les plans de licences. Quand vous mettez à jour des affectations de licence pour un utilisateur ou groupe, des suppressions et des ajouts sont effectués simultanément afin que les utilisateurs ne perdent pas l’accès à leurs services pendant les modifications de licences ou n’obtiennent pas de conflits de licence entre les plans.

Avant de mettre à jour les affectations de licence, vérifiez que certaines hypothèses sont vraies pour tous les utilisateurs ou groupes à mettre à jour. Si les hypothèses ne se vérifient pas pour tous les utilisateurs dans un groupe, la migration risque d’échouer pour certains d’entre eux. Certains utilisateurs peuvent alors perdre leur accès aux services ou aux données. Assurez-vous que :

  • Les utilisateurs disposent du plan de licence affecté à un groupe et hérité par l’utilisateur, mais pas affecté directement.
  • Vous avez suffisamment de licences disponibles pour le plan de licence que vous affectez. Si vous n’avez pas assez de licences, certains utilisateurs risquent de ne pas se voir affecter le nouveau plan de licence. Vous pouvez vérifier le nombre de licences disponibles.
  • Vérifiez toujours que les utilisateurs n’ont pas de licences de services affectées pouvant entrer en conflit avec la licence voulue ou empêcher la suppression de la licence actuelle. Par exemple, une licence d’un service comme Workplace Analytics ou Project Online, qui possède une dépendance vis-à-vis d’autres services.
  • Si vous gérez des groupes sur site et les synchronisez dans Microsoft Entra ID via Microsoft Entra Connect, vous ajoutez ou supprimez des utilisateurs à l'aide de votre système sur site. La synchronisation des modifications avec Microsoft Entra ID peut prendre un certain temps pour être récupérée par les licences de groupe.
  • Si vous utilisez les adhésions à des groupes dynamiques Microsoft Entra, vous ajoutez ou supprimez des utilisateurs en modifiant leurs attributs, mais le processus de mise à jour des attributions de licence reste le même.