Skenario, batasan, dan masalah yang diketahui menggunakan grup untuk mengelola lisensi di ID Microsoft Entra

  • Artikel

Gunakan informasi dan contoh berikut untuk mendapatkan pemahaman yang lebih canggih tentang lisensi berbasis grup di ID Microsoft Entra, bagian dari Microsoft Entra.

Lokasi penggunaan

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Beberapa layanan Microsoft tidak tersedia di semua lokasi. Untuk penetapan lisensi grup, setiap pengguna tanpa lokasi penggunaan yang ditentukan mewarisi lokasi direktori. Jika Anda memiliki pengguna di beberapa lokasi, pastikan untuk mencerminkannya dengan benar di sumber daya pengguna Anda sebelum menambahkan pengguna ke grup dengan lisensi. Sebelum lisensi bisa ditetapkan ke pengguna, administrator harus menentukan properti Lokasi penggunaan pada pengguna.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Grup.

  2. Pilih Microsoft Entra ID.

  3. Buka Pengguna>Semua pengguna dan pilih pengguna.

    Screenshot of the All users pane.

  4. Pilih Edit properti.

  5. Pilih tab Pengaturan dan masukkan lokasi untuk pengguna.

  6. Pilih tombol Simpan.

Catatan

Penetapan lisensi grup tidak akan pernah mengubah nilai lokasi penggunaan yang ada pada pengguna. Kami menyarankan agar Anda selalu menetapkan lokasi penggunaan sebagai bagian dari alur pembuatan pengguna Anda di ID Microsoft Entra (misalnya, melalui konfigurasi Microsoft Entra Koneksi). Mengikuti proses seperti itu memastikan hasil penetapan lisensi selalu benar, dan pengguna tidak menerima layanan di lokasi yang tidak diizinkan.

Menggunakan lisensi berbasis grup dengan grup dinamis

Anda dapat menggunakan lisensi berbasis grup dengan grup keamanan apa pun, termasuk grup dinamis. Grup dinamis menjalankan aturan terhadap atribut sumber daya pengguna untuk menambahkan dan menghapus anggota secara otomatis. Atribut dapat berupa departemen, jabatan, lokasi kerja, atau atribut kustom lainnya. Setiap grup diberi lisensi yang Anda inginkan untuk diterima anggota. Jika atribut berubah, anggota meninggalkan grup, dan lisensi dihapus.

Anda dapat menetapkan atribut lokal dan menyinkronkannya dengan ID Microsoft Entra, atau Anda dapat mengelola atribut langsung di cloud.

Peringatan

Berhati-hatilah saat mengubah aturan keanggotaan grup yang ada. Saat aturan diubah, keanggotaan grup akan dievaluasi kembali dan pengguna yang tidak lagi sesuai dengan aturan baru akan dihapus (pengguna yang masih sesuai dengan aturan baru tidak akan terpengaruh selama proses ini). Pengguna tersebut akan menghapus lisensi mereka selama proses yang dapat mengakibatkan kehilangan layanan, atau dalam beberapa kasus, kehilangan data.

Jika Anda memiliki grup dinamis besar yang bergantung pada penetapan lisensi, pertimbangkan untuk memvalidasi perubahan besar pada grup pengujian yang lebih kecil sebelum menerapkannya ke grup utama.

Beberapa grup dan beberapa lisensi

Pengguna dapat menjadi anggota dari beberapa grup dengan lisensi. Beberapa hal yang perlu dipertimbangkan:

  • Beberapa lisensi untuk produk yang sama dapat tumpang tindih, dan mengakibatkan semua layanan yang diaktifkan diterapkan kepada pengguna. Contohnya adalah bahwa M365-P1 berisi layanan dasar untuk disebarkan ke semua pengguna, dan M365-P2 berisi layanan P2 untuk disebarkan hanya ke beberapa pengguna. Anda dapat menambahkan pengguna ke satu atau kedua grup dan hanya menggunakan satu lisensi untuk produk.

  • Pilih lisensi untuk melihat detail selengkapnya, termasuk informasi tentang layanan mana yang diaktifkan untuk pengguna oleh penetapan lisensi grup.

Lisensi langsung berdampingan dengan lisensi grup

Saat pengguna mewarisi lisensi dari grup, Anda tidak dapat langsung menghapus atau mengubah lisensi tersebut di properti pengguna. Anda hanya dapat mengubah penetapan lisensi di grup dan perubahan kemudian disebarluaskan ke semua anggota grup. Jika Anda perlu menetapkan fitur lain kepada pengguna yang memiliki lisensi mereka dari penetapan lisensi grup, Anda harus membuat grup lain untuk menetapkan fitur lain kepada pengguna.

Saat Anda menggunakan lisensi berbasis grup, pertimbangkan skenario berikut:

  • Anggota grup mewarisi lisensi yang ditetapkan ke grup.
  • Opsi lisensi untuk lisensi berbasis grup harus diubah di tingkat grup.
  • Jika opsi lisensi yang berbeda perlu ditetapkan ke pengguna, buat grup baru, tetapkan lisensi ke grup, lalu tambahkan pengguna ke grup tersebut.
  • Pengguna masih hanya menggunakan satu lisensi produk jika opsi lisensi yang berbeda untuk produk tersebut digunakan dalam lisensi berbasis grup yang berbeda.

Saat Anda menggunakan penetapan langsung, operasi berikut diizinkan:

  • Lisensi yang belum ditetapkan melalui lisensi berbasis grup dapat diubah untuk pengguna individual.
  • Layanan lain dapat diaktifkan, sebagai bagian dari lisensi yang ditetapkan langsung.
  • Lisensi yang ditetapkan secara langsung dapat dihapus dan tidak memengaruhi lisensi yang diwariskan pengguna.

Mengelola layanan baru yang ditambahkan ke produk

Saat Microsoft menambahkan layanan baru ke paket lisensi produk, layanan ini diaktifkan secara default di semua grup tempat Anda menetapkan lisensi produk. Pengguna di organisasi Anda yang berlangganan pemberitahuan tentang perubahan produk akan menerima email sebelumnya untuk memberi tahu mereka tentang penambahan layanan yang akan datang.

Sebagai administrator, Anda dapat meninjau semua grup yang terpengaruh oleh perubahan dan mengambil tindakan, seperti menonaktifkan layanan baru di setiap grup. Misalnya, jika Anda membuat grup yang hanya menargetkan layanan tertentu untuk penyebaran, Anda dapat mengunjungi kembali grup tersebut dan memastikan bahwa layanan yang baru ditambahkan akan dinonaktifkan.

Berikut adalah contoh seperti apa proses ini:

  1. Awalnya, Anda menetapkan produk Microsoft 365 E5 ke beberapa grup. Salah satu grup tersebut, yang disebut Microsoft 365 E5 - Exchange hanya dirancang untuk mengaktifkan hanya layanan Exchange Online (Paket 2) untuk anggotanya.

  2. Anda menerima pemberitahuan dari Microsoft bahwa produk E5 akan diperluas dengan layanan baru - Microsoft Stream. Saat layanan tersedia di organisasi, Anda dapat menyelesaikan langkah-langkah berikut:

    1. Masuk ke pusat admin Microsoft Entra

  4. Pilih Microsoft Entra ID.

  5. Pilih Lisensi>Tagihan>Semua produk dan pilih Microsoft 365 Enterprise E5, lalu pilih Grup Berlisensi untuk melihat daftar semua grup dengan produk tersebut.

  6. Pilih grup yang ingin Anda tinjau (dalam hal ini, Microsoft 365 E5 - Exchange saja). Tab Lisensi terbuka. Pilih lisensi E5 untuk melihat semua layanan yang diaktifkan.

    Catatan

    Layanan Microsoft Stream telah ditambahkan dan diaktifkan secara otomatis dalam grup ini, selain layanan Exchange Online:

    Screenshot of new service added to a group license.

  7. Jika Anda ingin menonaktifkan layanan baru dalam grup ini, pilih tombol Aktif/Nonaktif di samping layanan, dan pilih tombol Simpan untuk mengonfirmasi perubahan. ID Microsoft Entra sekarang akan memproses semua pengguna dalam grup untuk menerapkan perubahan; setiap pengguna baru yang ditambahkan ke grup tidak akan mengaktifkan layanan Microsoft Stream .

    Catatan

    Pengguna mungkin masih mengaktifkan layanan melalui beberapa penetapan lisensi lainnya (grup lain tempat mereka menjadi anggota atau penetapan lisensi langsung).

  8. Jika diperlukan, lakukan langkah yang sama untuk grup lain dengan menetapkan produk ini.

Menggunakan PowerShell untuk melihat siapa yang memiliki lisensi yang diwarisi dan langsung

Anda dapat menggunakan skrip PowerShell untuk memeriksa apakah pengguna memiliki lisensi yang ditetapkan secara langsung atau diwarisi dari grup.

  1. Jalankan Connect-MgGraph -Scopes "Organization.Read.All" cmdlet untuk mengautentikasi dan menyambungkan ke organisasi Anda menggunakan Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname dapat digunakan untuk menemukan semua lisensi produk yang disediakan di organisasi Microsoft Entra.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Gunakan nilai ServicePlanId untuk lisensi yang Anda minati dengan skrip PowerShell ini. Daftar mengisi pengguna yang memiliki lisensi ini dan informasi tentang bagaimana lisensi ditetapkan.

Menggunakan log Audit untuk memantau aktivitas lisensi berbasis grup

Anda dapat menggunakan log audit Microsoft Entra untuk melihat semua aktivitas yang terkait dengan lisensi berbasis grup, termasuk:

  • siapa yang mengubah lisensi pada grup
  • kapan sistem mulai memproses perubahan lisensi grup, dan kapan selesai
  • perubahan lisensi apa yang dilakukan pada pengguna sebagai akibat dari penetapan lisensi grup.

Log audit yang terkait dengan lisensi berbasis grup dapat diakses dari log Audit di area Grup atau Lisensi ID Microsoft Entra atau menggunakan kombinasi filter berikut dari log Audit utama:

  • Layanan: Direktori Inti
  • Kategori: GroupManagement atau UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Cari tahu siapa yang mengubah lisensi

  1. Untuk melihat log untuk perubahan lisensi grup, gunakan opsi filter log Audit berikut:
    • Layanan: Direktori Inti
    • Kategori: GroupManagement
    • Aktivitas: Mengatur lisensi grup
  2. Pilih baris dalam tabel yang dihasilkan untuk melihat detailnya.
  3. Pilih tab Properti yang Dimodifikasi lihat nilai lama dan baru untuk perjanjian lisensi.

Contoh berikut menunjukkan pengaturan filter yang tercantum di atas, ditambah filter Target diatur ke semua grup yang dimulai dengan "EMS."

Screenshot of the Microsoft Entra audit logs including a Target filter.

Untuk melihat perubahan lisensi untuk pengguna tertentu, gunakan filter berikut:

  • Layanan: Direktori Inti
  • Kategori: UserManagement
  • Aktivitas: Mengubah lisensi pengguna

Mencari tahu kapan perubahan grup dimulai dan selesai diproses

Saat lisensi berubah pada grup, ID Microsoft Entra akan mulai menerapkan perubahan pada semua pengguna, tetapi perubahan tersebut dapat memakan waktu untuk diproses.

  1. Untuk melihat kapan grup mulai diproses, gunakan filter berikut:
    • Layanan: Direktori Inti
    • Kategori: GroupManagement
    • Aktivitas: Mulai menerapkan lisensi berbasis grup kepada pengguna
  2. Pilih baris dalam tabel yang dihasilkan untuk melihat detailnya.
  3. Pilih tab Properti yang Dimodifikasi lihat perubahan lisensi yang diambil untuk diproses.
    • Gunakan detail ini jika Anda membuat beberapa perubahan pada grup dan tidak yakin lisensi mana yang diproses.
    • Aktor untuk operasi ini adalah Lisensi Berbasis Grup Microsoft Entra, yang merupakan akun sistem yang digunakan untuk menjalankan semua perubahan lisensi grup.

Untuk melihat kapan grup selesai diproses, ubah filter Aktivitas menjadi Selesai menerapkan lisensi berbasis grup kepada pengguna. Dalam hal ini, bidang Properti yang Dimodifikasi berisi ringkasan hasil, yang berguna untuk memeriksa dengan cepat apakah pemrosesan mengakibatkan kesalahan apa pun. Contoh output:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Untuk melihat log lengkap tentang cara grup diproses, termasuk semua perubahan pengguna, tambahkan filter berikut:

  • Target: Nama grup
  • Dimulai Oleh (Aktor): Lisensi Berbasis Grup Microsoft Entra (peka huruf besar/kecil)
  • Rentang Tanggal (opsional): Rentang kustom saat Anda mengetahui grup tertentu dimulai dan selesai diproses

Contoh output ini menunjukkan awal dan selesai memproses perubahan lisensi.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Menghapus grup dengan lisensi yang ditetapkan

Tidak dimungkinkan untuk menghapus grup dengan lisensi aktif yang ditetapkan. Administrator dapat menghapus grup yang tidak menyadari bahwa itu akan menyebabkan lisensi dihapus dari pengguna. Untuk alasan ini, kami mengharuskan lisensi apa pun dihapus dari grup terlebih dahulu, sebelum dapat dihapus.

Saat mencoba menghapus grup di portal, Anda mungkin melihat pemberitahuan kesalahan seperti ini:

Screenshot group deletion failed.

Masuk ke tab Lisensi di grup dan lihat apakah ada lisensi yang ditetapkan. Jika ya, hapus lisensi tersebut dan coba hapus grup lagi.

Anda mungkin melihat kesalahan serupa saat mencoba menghapus grup melalui PowerShell atau Graph API. Jika Anda menggunakan grup yang disinkronkan dari lokal, Microsoft Entra Koneksi mungkin juga melaporkan kesalahan jika gagal menghapus grup di ID Microsoft Entra. Dalam semua kasus tersebut, pastikan untuk memeriksa apakah ada lisensi yang ditetapkan ke grup, dan hapus terlebih dahulu.

Batasan dan masalah yang diketahui

Jika Anda menggunakan lisensi berbasis grup, ada baiknya Anda memahami daftar batasan dan masalah umum berikut ini.

  • Lisensi berbasis grup saat ini tidak mendukung grup yang berisi grup lain (grup berlapis). Jika Anda menerapkan lisensi ke grup berlapis, hanya anggota pengguna tingkat pertama langsung dari grup yang memiliki lisensi yang diterapkan.

  • Fitur ini hanya dapat digunakan dengan grup keamanan, dan grup Microsoft 365 yang memiliki securityEnabled=TRUE.

  • pusat admin Microsoft 365 saat ini tidak mendukung lisensi berbasis grup. Jika pengguna mewarisi lisensi dari grup, lisensi ini muncul di portal admin Office sebagai lisensi pengguna biasa. Jika Anda mencoba mengubah lisensi tersebut atau mencoba menghapus lisensi, portal akan menampilkan pesan kesalahan. Lisensi grup yang diwariskan tidak dapat dimodifikasi langsung pada pengguna.

  • Ketika lisensi ditetapkan atau dimodifikasi untuk grup besar (misalnya, 100.000 pengguna), lisensi tersebut dapat memengaruhi performa. Secara khusus, volume perubahan yang dihasilkan oleh otomatisasi Microsoft Entra mungkin berdampak negatif pada performa sinkronisasi direktori Anda antara ID Microsoft Entra dan sistem lokal.

  • Jika Anda menggunakan grup dinamis untuk mengelola keanggotaan pengguna Anda, verifikasi bahwa pengguna adalah bagian dari grup, yang diperlukan untuk penetapan lisensi. Jika tidak, periksa status pemrosesan untuk aturan keanggotaan grup dinamis.

  • Dalam situasi beban tinggi tertentu, mungkin perlu waktu lama untuk memproses perubahan lisensi untuk grup atau perubahan keanggotaan ke grup dengan lisensi yang sudah ada. Jika Anda melihat perubahan Anda membutuhkan waktu lebih dari 24 jam untuk memproses ukuran grup 60 K pengguna atau kurang, buka tiket dukungan untuk memungkinkan kami menyelidikinya.

  • Otomatisasi manajemen lisensi tidak secara otomatis bereaksi terhadap semua jenis perubahan di lingkungan. Misalnya, Anda mungkin kehabisan lisensi, menyebabkan beberapa pengguna berada dalam status kesalahan. Untuk mengosongkan jumlah seat yang tersedia, Anda dapat menghapus beberapa lisensi yang ditetapkan langsung dari pengguna lain. Namun, sistem tidak secara otomatis bereaksi terhadap perubahan ini dan memperbaiki pengguna dalam status kesalahan tersebut.

    Sebagai solusi untuk jenis batasan ini, Anda bisa masuk ke Grup> ID>Microsoft Entra memilih grup > pilih Lisensi> pilih Pemrosesan Ulang. Perintah ini memproses semua pengguna dalam grup tersebut dan mengatasi status kesalahan, jika memungkinkan.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang skenario lain untuk manajemen lisensi melalui lisensi berbasis grup, lihat: