Forgatókönyvek, korlátozások és ismert problémák, amelyek csoportok használatával kezelik a licencelést a Microsoft Entra ID-ban

  • Cikk

Az alábbi információk és példák segítségével jobban megismerheti a Microsoft Entra ID-ban, a Microsoft Entra részét képező csoportalapú licencelést.

Felhasználás helye

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Egyes Microsoft-szolgáltatások nem minden helyen érhetők el. Csoportlicenc-hozzárendelés esetén a megadott használati hely nélküli felhasználók öröklik a címtár helyét. Ha több helyen is rendelkezik felhasználókkal, mindenképpen tükrözze ezt a felhasználói erőforrásokban, mielőtt licencekkel rendelkező csoportokhoz ad hozzá felhasználókat. Mielőtt licencet rendelhet egy felhasználóhoz, a rendszergazdának meg kell adnia a felhasználó Használati hely tulajdonságát.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább csoportként Rendszergazda istratorként.

  2. Select Microsoft Entra ID.

  3. Nyissa meg a Felhasználók>minden felhasználót, és válasszon ki egy felhasználót.

    Screenshot of the All users pane.

  4. Válassza a Tulajdonságok szerkesztése lehetőséget.

  5. Válassza a Gépház lapot, és adja meg a felhasználó helyét.

  6. Válassza ki a Mentés gombot.

Megjegyzés:

A csoportlicenc-hozzárendelés soha nem módosítja a felhasználó meglévő használati helyének értékét. Javasoljuk, hogy mindig a felhasználói létrehozási folyamat részeként állítsa be a használati helyet a Microsoft Entra-azonosítóban (például a Microsoft Entra Csatlakozás konfigurációján keresztül). Egy ilyen folyamat követése biztosítja, hogy a licenc-hozzárendelés eredménye mindig helyes legyen, és a felhasználók nem kapnak szolgáltatásokat olyan helyeken, amelyek nem engedélyezettek.

Csoportalapú licencelés használata dinamikus csoportokkal

Csoportalapú licencelést bármely biztonsági csoporttal használhat, beleértve a dinamikus csoportokat is. A dinamikus csoportok szabályokat futtatnak a felhasználói erőforrás attribútumai között a tagok automatikus hozzáadásához és eltávolításához. Az attribútumok lehetnek részleg, beosztás, munkahely vagy más egyéni attribútum. Minden csoporthoz hozzá vannak rendelve a tagok által megkapni kívánt licencek. Ha egy attribútum megváltozik, a tag elhagyja a csoportot, és a licencek törlődnek.

Hozzárendelheti a helyszíni attribútumot, és szinkronizálhatja a Microsoft Entra-azonosítóval, vagy közvetlenül a felhőben kezelheti az attribútumot.

Figyelmeztetés

Körültekintően módosítsa egy meglévő csoport tagsági szabályát. Egy szabály módosításakor a rendszer újra kiértékeli a csoporttagságokat, és az új szabálynak már nem megfelelő felhasználók törlődnek (az új szabálynak megfelelő felhasználókat ez a folyamat nem érinti). Ezek a felhasználók a folyamat során eltávolítják a licenceiket, ami szolgáltatásvesztést vagy bizonyos esetekben adatvesztést okozhat.

Ha nagy dinamikus csoporttal rendelkezik, amely a licenc hozzárendelésétől függ, érdemes lehet egy kisebb tesztcsoporton érvényesíteni a főbb módosításokat, mielőtt alkalmazva lenne a fő csoportra.

Több csoport és több licenc

Egy felhasználó több licenccel rendelkező csoport tagja lehet. Íme néhány megfontolandó szempont:

  • Ugyanahhoz a termékhez több licenc is átfedésben lehet, és az összes engedélyezett szolgáltatás a felhasználóra való alkalmazását eredményezi. Ilyen lehet például, hogy az M365-P1 tartalmazza az összes felhasználó számára üzembe helyezendő alapvető szolgáltatásokat, az M365-P2 pedig azokat a P2 szolgáltatásokat, amelyek csak bizonyos felhasználók számára telepíthetők. Hozzáadhat egy felhasználót egy vagy mindkét csoporthoz, és csak egy licencet használhat a termékhez.

  • Válasszon ki egy licencet a további részletek megtekintéséhez, beleértve a csoportlicenc-hozzárendelés által a felhasználó számára engedélyezett szolgáltatásokra vonatkozó információkat is.

Közvetlen licencek együtt élnek csoportlicencekkel

Ha egy felhasználó egy csoporttól örökli a licencet, nem távolíthatja el vagy módosíthatja közvetlenül a licencet a felhasználó tulajdonságai között. A licenc-hozzárendelést csak a csoportban módosíthatja, és a módosításokat a rendszer propagálja az összes csoporttagra. Ha más funkciókat kell hozzárendelnie egy olyan felhasználóhoz, akinek a licence csoportlicenc-hozzárendelésből származik, létre kell hoznia egy másik csoportot a többi funkció felhasználóhoz való hozzárendeléséhez.

Csoportalapú licencelés használatakor vegye figyelembe a következő forgatókönyveket:

  • A csoporttagok öröklik a csoporthoz rendelt licenceket.
  • A csoportalapú licencek licencbeállításait a csoport szintjén kell módosítani.
  • Ha más licencbeállításokat kell hozzárendelni egy felhasználóhoz, hozzon létre egy új csoportot, rendeljen hozzá egy licencet a csoporthoz, majd adja hozzá a felhasználót a csoporthoz.
  • A felhasználók továbbra is csak egy termék licencét használják, ha az adott termék különböző licencbeállításait használják a különböző csoportalapú licencekben.

Közvetlen hozzárendelés használata esetén a következő műveletek engedélyezettek:

  • A csoportalapú licenceléssel még nem hozzárendelt licencek egyéni felhasználók esetében módosíthatók.
  • Más szolgáltatások is engedélyezhetők egy közvetlenül hozzárendelt licenc részeként.
  • A közvetlenül hozzárendelt licencek eltávolíthatók, és nem érintik a felhasználó örökölt licenceit.

A termékekhez hozzáadott új szolgáltatások kezelése

Amikor a Microsoft új szolgáltatást ad hozzá egy terméklicenc-csomaghoz, alapértelmezés szerint engedélyezve van minden olyan csoportban, amelyhez a terméklicencet hozzárendelte. A szervezet azon felhasználói, akik feliratkoztak a termékmódosításokról szóló értesítésekre, előre megkapják az e-maileket, amelyek értesítik őket a közelgő szolgáltatás-kiegészítésekről.

Rendszergazdaként áttekintheti a módosítás által érintett összes csoportot, és műveletet hajthat végre, például letilthatja az új szolgáltatást az egyes csoportokban. Ha például olyan csoportokat hozott létre, amelyek csak bizonyos szolgáltatásokat céloznak meg az üzembe helyezéshez, újból megtekintheti ezeket a csoportokat, és meggyőződhet arról, hogy az újonnan hozzáadott szolgáltatások le vannak tiltva.

Íme egy példa a folyamat megjelenésére:

  1. Eredetileg a Microsoft 365 E5 terméket több csoporthoz rendelte. Az egyik ilyen csoport, az úgynevezett Microsoft 365 E5 – Exchange csak úgy lett kialakítva, hogy csak a Exchange Online (2. csomag) szolgáltatást engedélyezze a tagjai számára.

  2. Értesítést kapott a Microsofttól, hogy az E5-termék egy új szolgáltatással , a Microsoft Streamtel bővül. Amikor a szolgáltatás elérhetővé válik a szervezetben, a következő lépéseket hajthatja végre:

    1. Jelentkezzen be a Microsoft Entra felügyeleti központba

  4. Select Microsoft Entra ID.

  5. Válassza a Számlázási>licencek>Minden termék lehetőséget, és válassza az Microsoft 365 Nagyvállalati verzió E5 lehetőséget, majd a Licenccel rendelkező csoportok lehetőséget a termékhez tartozó összes csoport listájának megtekintéséhez.

  6. Válassza ki a megtekinteni kívánt csoportot (ebben az esetben csak Microsoft 365 E5 – Exchange). Megnyílik a Licencek lap. Válassza ki az E5-licencet az összes engedélyezett szolgáltatás megtekintéséhez.

    Megjegyzés:

    A Microsoft Stream szolgáltatás automatikusan hozzáadva és engedélyezve lett ebben a csoportban az Exchange Online szolgáltatáson kívül:

    Screenshot of new service added to a group license.

  7. Ha le szeretné tiltani az új szolgáltatást ebben a csoportban, válassza a szolgáltatás melletti Be/Ki kapcsolót, majd a Mentés gombra kattintva erősítse meg a módosítást. A Microsoft Entra ID mostantól a csoport összes felhasználóját feldolgozva alkalmazza a módosítást; a csoporthoz hozzáadott új felhasználók nem fogják engedélyezni a Microsoft Stream szolgáltatást.

    Megjegyzés:

    Előfordulhat, hogy a felhasználók valamilyen más licenckiosztáson keresztül is engedélyezve vannak a szolgáltatással (egy másik csoport tagjai vagy közvetlen licenckiosztás).

  8. Ha szükséges, hajtsa végre ugyanazokat a lépéseket a termékhez rendelt többi csoport esetében is.

A PowerShell használatával megtekintheti, hogy ki örökölt és közvetlen licenceket

PowerShell-szkripttel ellenőrizheti, hogy a felhasználók közvetlenül vagy egy csoporttól örökölt licenccel rendelkeznek-e.

  1. Futtassa a parancsmagot a Connect-MgGraph -Scopes "Organization.Read.All" microsoft graph használatával történő hitelesítéshez és a szervezethez való csatlakozáshoz.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname a Microsoft Entra szervezet összes kiépített terméklicenceinek felderítésére használható.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Használja a ServicePlanId értéket ahhoz a licenchez, amely érdekli ezzel a PowerShell-szkripttel. A lista kitölti a licenccel rendelkező felhasználókat, valamint a licenc hozzárendelésével kapcsolatos információkat.

Naplózási naplók használata csoportalapú licencelési tevékenységek figyeléséhez

A Microsoft Entra naplózási naplói segítségével megtekintheti a csoportalapú licenceléssel kapcsolatos összes tevékenységet, beleértve a következőket:

  • akik módosították a licenceket a csoportokon
  • amikor a rendszer elkezdte feldolgozni a csoportlicenc-módosítást, és mikor fejeződött be
  • milyen licencmódosításokat hajtottak végre egy felhasználón egy csoportlicenc-hozzárendelés eredményeként.

A csoportalapú licenceléssel kapcsolatos naplózási naplók a Microsoft Entra ID csoportok vagy licencelési területei naplózási naplóiból érhetők el, vagy a fő auditnaplókból származó alábbi szűrőkombinációkat használhatják:

  • Szolgáltatás: Core Directory
  • Kategória: GroupManagement vagy UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Megtudhatja, hogy ki módosította a licencet

  1. A csoportlicenc-módosítások naplóinak megtekintéséhez használja a következő naplózási naplószűrő-beállításokat:
    • Szolgáltatás: Core Directory
    • Kategória: GroupManagement
    • Tevékenység: Csoportlicencek beállítása
  2. A részletek megtekintéséhez jelöljön ki egy sort az eredményként kapott táblában.
  3. Válassza a Módosított tulajdonságok lapot, és tekintse meg a licencszerződés régi és új értékeit.

Az alábbi példa a fent felsorolt szűrőbeállításokat, valamint az "EMS"-vel kezdődő összes csoport célszűrőkészletét mutatja be.

Screenshot of the Microsoft Entra audit logs including a Target filter.

Egy adott felhasználó licencmódosításainak megtekintéséhez használja az alábbi szűrőket:

  • Szolgáltatás: Core Directory
  • Kategória: UserManagement
  • Tevékenység: Felhasználói licenc módosítása

Megtudhatja, hogy mikor kezdődtek a csoportmódosítások, és mikor fejeződött be a feldolgozás

Amikor egy csoport licence megváltozik, a Microsoft Entra-azonosító elkezdi alkalmazni a módosításokat az összes felhasználóra, de a módosítások feldolgozása időbe telhet.

  1. A csoportok feldolgozásának megkezdéséhez használja az alábbi szűrőket:
    • Szolgáltatás: Core Directory
    • Kategória: GroupManagement
    • Tevékenység: Csoportalapú licenc alkalmazásának megkezdése a felhasználókra
  2. A részletek megtekintéséhez jelöljön ki egy sort az eredményként kapott táblában.
  3. Válassza a Módosított tulajdonságok lapot, és tekintse meg a feldolgozáshoz felvett licencmódosításokat.
    • Ezeket a részleteket akkor használja, ha több módosítást végez egy csoportban, és nem tudja biztosan, hogy melyik licencet dolgozták fel.
    • A művelet szereplője a Microsoft Entra csoportalapú licencelés, amely egy olyan rendszerfiók, amely az összes csoportlicenc-módosítás végrehajtására szolgál.

Ha látni szeretné, hogy a csoportok mikor fejezték be a feldolgozást, módosítsa a tevékenységszűrőta csoportalapú licenc felhasználókra való alkalmazásának befejezésére. Ebben az esetben a Módosított tulajdonságok mező az eredmények összegzését tartalmazza, ami hasznos annak gyors ellenőrzéséhez, hogy a feldolgozás hibát eredményezett-e. Sample output:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Ha meg szeretné tekinteni a csoport feldolgozásának teljes naplóját, beleértve az összes felhasználói módosítást, adja hozzá a következő szűrőket:

  • Cél: Csoport neve
  • Kezdeményezője (színész):Microsoft Entra csoportalapú licencelés (kis- és nagybetűk megkülönböztetése)
  • Dátumtartomány (nem kötelező): Egyéni tartomány, ha tudja, hogy egy adott csoport elindult és befejeződött a feldolgozás

Ez a mintakimenet a licencmódosítás feldolgozásának kezdetét és befejezését mutatja.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Deleting a group with an assigned license

Aktív licenccel rendelkező csoport nem törölhető. A rendszergazdák törölhetik azt a csoportot, amely nem veszi észre, hogy a licencek el lesznek távolítva a felhasználókból. Ezért minden licencet el kell távolítani a csoportból, mielőtt törölhető lenne.

Amikor megpróbál törölni egy csoportot a portálon, az alábbihoz hasonló hibaüzenet jelenhet meg:

Screenshot group deletion failed.

Lépjen a csoport Licencek lapjára, és ellenőrizze, hogy vannak-e hozzárendelt licencek. Ha igen, távolítsa el ezeket a licenceket, és próbálja meg újból törölni a csoportot.

Hasonló hibák léphetnek fel a csoport PowerShell vagy Graph API használatával történő törlésekor. Ha helyszíniről szinkronizált csoportot használ, a Microsoft Entra Csatlakozás akkor is jelenthet hibákat, ha nem törli a csoportot a Microsoft Entra-azonosítóban. Minden ilyen esetben ellenőrizze, hogy vannak-e hozzárendelt licencek a csoporthoz, és távolítsa el őket először.

Korlátozások és ismert problémák

Ha csoportalapú licencelést használ, érdemes megismerkednie a korlátozások és az ismert problémák alábbi listájával.

  • A csoportalapú licencelés jelenleg nem támogatja a más csoportokat (beágyazott csoportokat) tartalmazó csoportokat. If you apply a license to a nested group, only the immediate first-level user members of the group have the licenses applied.

  • A funkció csak biztonsági csoportokkal és a securityEnabled=TRUE értékű Microsoft 365-csoportokkal használható.

  • A Microsoft 365 Felügyeleti központ jelenleg nem támogatja a csoportalapú licencelést. Ha egy felhasználó örököl egy licencet egy csoporttól, ez a licenc normál felhasználói licencként jelenik meg az Office felügyeleti portálján. Ha megpróbálja módosítani a licencet, vagy megpróbálja eltávolítani a licencet, a portál hibaüzenetet ad vissza. Az örökölt csoportlicencek nem módosíthatók közvetlenül a felhasználón.

  • Ha egy nagy csoporthoz (például 100 000 felhasználóhoz) licencek vannak hozzárendelve vagy módosítva, az hatással lehet a teljesítményre. Pontosabban a Microsoft Entra automation által generált módosítások mennyisége negatívan befolyásolhatja a Címtár-szinkronizálás teljesítményét a Microsoft Entra ID és a helyszíni rendszerek között.

  • Ha dinamikus csoportokat használ a felhasználó tagságának kezeléséhez, ellenőrizze, hogy a felhasználó a csoport része-e, amely a licenc hozzárendeléséhez szükséges. Ha nem, ellenőrizze dinamikus csoporthoz tartozó tagsági szabály feldolgozási folyamatának állapotát.

  • Bizonyos nagy terhelésű helyzetekben hosszú időt vehet igénybe a meglévő licencekkel rendelkező csoportokhoz tartozó csoportok licencmódosításainak vagy tagságváltozásainak feldolgozása. Ha úgy látja, hogy a módosítások több mint 24 órát vesznek igénybe a 60 K-os vagy annál kisebb csoportméret feldolgozásához, nyisson meg egy támogatási jegyet , amely lehetővé teszi számunkra a vizsgálatát.

  • A licenckezelési automatizálás nem reagál automatikusan a környezet minden típusú változására. Előfordulhat például, hogy elfogytak a licencek, ami miatt egyes felhasználók hibaállapotban vannak. Az elérhető ülőhelyek számának felszabadításához eltávolíthat néhány közvetlenül hozzárendelt licencet más felhasználóktól. A rendszer azonban nem reagál automatikusan erre a változásra, és nem javítja ki a felhasználókat ebben a hibaállapotban.

    Az ilyen típusú korlátozások megkerülő megoldásaként lépjen a Microsoft Entra-azonosítócsoportokra>>, és válasszon ki egy csoportot>, és válassza a Licencek> válassza az Újrafeldolgozás lehetőséget. Ez a parancs feldolgozza a csoport összes felhasználóját, és lehetőség szerint megoldja a hibaállapotokat.

További lépések

A csoportalapú licencelés segítségével folytatott licenckezelés egyéb forgatókönyveivel kapcsolatos további tudnivalókért tekintse át az alábbi témaköröket: