Scenari, limitazioni e problemi noti usando i gruppi per gestire le licenze in Microsoft Entra ID

  • Articolo

Usare le informazioni e gli esempi seguenti per acquisire una conoscenza più avanzata delle licenze basate su gruppi in Microsoft Entra ID, parte di Microsoft Entra.

Località di utilizzo

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Alcune servizi Microsoft non sono disponibili in tutte le località. Per l'assegnazione di licenze di gruppo, tutti gli utenti senza una località di utilizzo specificata ereditano la posizione della directory. Se si hanno utenti in più posizioni, assicurarsi di riflettere correttamente nelle risorse utente prima di aggiungere utenti a gruppi con licenze. Prima di poter assegnare una licenza a un utente, l'amministratore deve specificare la proprietà Percorso utilizzo per l'utente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un gruppo Amministrazione istrator.

  2. Selezionare Microsoft Entra ID.

  3. Passare a Utenti>Tutti gli utenti e selezionare un utente.

    Screenshot of the All users pane.

  4. Selezionare Modifica proprietà.

  5. Selezionare la scheda Impostazioni e immettere un percorso per l'utente.

  6. Selezionare il pulsante Salva.

Nota

L'assegnazione di licenze ai gruppi non modificherà mai un valore di località di utilizzo esistente per un utente. È consigliabile impostare sempre la posizione di utilizzo come parte del flusso di creazione utente in Microsoft Entra ID (ad esempio, tramite la configurazione di Microsoft Entra Connessione). Seguendo questo processo si garantisce che il risultato dell'assegnazione di licenze sia sempre corretto e che gli utenti non ricevano servizi in posizioni non consentite.

Usare licenze basate sui gruppi con i gruppi dinamici

È possibile usare le licenze basate sui gruppi con qualsiasi gruppo di sicurezza, inclusi i gruppi dinamici. I gruppi dinamici eseguono regole sugli attributi delle risorse utente per aggiungere e rimuovere automaticamente i membri. Gli attributi possono essere reparto, titolo di lavoro, posizione di lavoro o altro attributo personalizzato. A ogni gruppo vengono assegnate le licenze che si desidera ricevere dai membri. Se un attributo viene modificato, il membro lascia il gruppo e le licenze vengono rimosse.

È possibile assegnare l'attributo locale e sincronizzarlo con Microsoft Entra ID oppure è possibile gestire l'attributo direttamente nel cloud.

Avviso

Prestare attenzione quando si modifica la regola di appartenenza di un gruppo esistente. Quando si modifica una regola, l'appartenenza al gruppo verrà valutata nuovamente e gli utenti che non corrispondono più alla nuova regola saranno rimossi (gli utenti che corrispondono alla nuova regola non saranno interessati da questo processo). Per questi utenti verranno rimosse le licenze durante il processo; ciò potrebbe comportare la perdita del servizio o, in alcuni casi, la perdita di dati.

Se si dispone di un gruppo dinamico di grandi dimensioni da cui si dipende per l'assegnazione delle licenze, è consigliabile convalidare le modifiche principali in un gruppo di test più piccolo prima di applicarle al gruppo principale.

Più gruppi e più licenze

Un utente può essere membro di più gruppi con licenze. Di seguito sono indicati alcuni aspetti da considerare:

  • Più licenze per lo stesso prodotto possono sovrapporsi e di conseguenza tutti i servizi abilitati vengono applicati all'utente. Un esempio potrebbe essere che M365-P1 contiene i servizi fondamentali da distribuire a tutti gli utenti e M365-P2 contiene i servizi P2 da distribuire solo ad alcuni utenti. È possibile aggiungere un utente a uno o entrambi i gruppi e usare una sola licenza per il prodotto.

  • Selezionare una licenza per visualizzare altri dettagli, incluse le informazioni sui servizi abilitati per l'utente dall'assegnazione di licenze di gruppo.

Le licenze dirette coesistono con le licenze di gruppo

Quando un utente eredita una licenza da un gruppo, non è possibile rimuovere o modificare direttamente tale licenza nelle proprietà dell'utente. È possibile modificare l'assegnazione di licenza solo nel gruppo e le modifiche vengono propagate a tutti i membri del gruppo. Se è necessario assegnare altre funzionalità a un utente che dispone della licenza da un'assegnazione di licenza di gruppo, è necessario creare un altro gruppo per assegnare le altre funzionalità all'utente.

Quando si usano licenze basate su gruppi, considerare gli scenari seguenti:

  • I membri del gruppo ereditano le licenze assegnate al gruppo.
  • Le opzioni di licenza per le licenze basate su gruppi devono essere modificate a livello di gruppo.
  • Se è necessario assegnare diverse opzioni di licenza a un utente, creare un nuovo gruppo, assegnare una licenza al gruppo, quindi aggiungere l'utente a tale gruppo.
  • Gli utenti usano ancora una sola licenza di un prodotto se diverse opzioni di licenza per tale prodotto vengono usate nelle diverse licenze basate su gruppo.

L'assegnazione diretta consente le operazioni seguenti:

  • Le licenze non già assegnate tramite licenze basate su gruppo possono essere modificate per un singolo utente.
  • È possibile abilitare altri servizi, come parte di una licenza assegnata direttamente.
  • Le licenze assegnate direttamente possono essere rimosse e non influiscono sulle licenze ereditate di un utente.

Gestione di nuovi servizi aggiunti ai prodotti

Quando Microsoft aggiunge un nuovo servizio a un piano di licenza del prodotto, è abilitato per impostazione predefinita in tutti i gruppi a cui è stata assegnata la licenza del prodotto. Gli utenti dell'organizzazione che sono iscritti alle notifiche relative alle modifiche del prodotto riceveranno messaggi di posta elettronica in anticipo per notificare le aggiunte di servizio future.

Come amministratore, è possibile esaminare tutti i gruppi interessati dalla modifica e scegliere come agire, ad esempio disabilitando il nuovo servizio in ogni gruppo. Se ad esempio sono stati creati gruppi interessati solo ai servizi specifici per la distribuzione, è possibile rivedere tali gruppi e assicurarsi di disabilitare i servizi appena aggiunti.

Ecco un esempio dell'aspetto di questo processo:

  1. Originariamente, è stato assegnato il prodotto Microsoft 365 E5 a diversi gruppi. Uno di questi gruppi, denominato Microsoft 365 E5- Exchange è stato progettato solo per abilitare solo il servizio Exchange Online (Piano 2) per i relativi membri.

  2. Si riceve una notifica da Microsoft in cui si informa che il prodotto E5 sarà esteso con un nuovo servizio denominato Microsoft Stream. Quando il servizio diventa disponibile nell'organizzazione, è possibile completare i passaggi seguenti:

    1. Accedere all'interfaccia di amministrazione di Microsoft Entra

  4. Selezionare Microsoft Entra ID.

  5. Selezionare Licenze di fatturazione>Tutti i>prodotti e selezionare Microsoft 365 Enterprise E5, quindi selezionare Gruppi con licenza per visualizzare un elenco di tutti i gruppi con tale prodotto.

  6. Selezionare il gruppo da rivedere (in questo caso, Solo Microsoft 365 E5 - Exchange). Verrà visualizzata la scheda Licenze . Selezionare la licenza E5 per visualizzare tutti i servizi abilitati.

    Nota

    Il servizio Microsoft Stream è stato aggiunto e abilitato automaticamente al gruppo, che già dispone del servizio Exchange Online:

    Screenshot of new service added to a group license.

  7. Se si vuole disabilitare il nuovo servizio in questo gruppo, selezionare l'interruttore Attivato/Disattivato accanto al servizio e selezionare il pulsante Salva per confermare la modifica. Microsoft Entra ID ora elabora tutti gli utenti del gruppo per applicare la modifica; tutti i nuovi utenti aggiunti al gruppo non avranno il servizio Microsoft Stream abilitato.

    Nota

    Gli utenti possono ancora ottenere l'attivazione del servizio tramite l'assegnazione di altre licenze (tramite un altro gruppo di cui sono membri o l'assegnazione diretta di una licenza).

  8. Se necessario, seguire la stessa procedura per altri gruppi a cui è assegnato il prodotto.

Usare PowerShell per determinare gli utenti con licenze ereditate e dirette

È possibile usare uno script di PowerShell per verificare se gli utenti hanno una licenza assegnata direttamente o ereditata da un gruppo.

  1. Eseguire il Connect-MgGraph -Scopes "Organization.Read.All" cmdlet per autenticare e connettersi all'organizzazione usando Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname può essere usato per individuare tutte le licenze di prodotto di cui è stato effettuato il provisioning nell'organizzazione Microsoft Entra.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Usare il valore ServicePlanId per la licenza a cui si è interessati con questo script di PowerShell. Un elenco popola gli utenti che dispongono di questa licenza e informazioni sulla modalità di assegnazione della licenza.

Usare i log di controllo per monitorare l'attività delle licenze basate su gruppo

È possibile usare i log di controllo di Microsoft Entra per visualizzare tutte le attività correlate alle licenze basate sui gruppi, tra cui:

  • l'utente che ha modificato le licenze nei gruppi
  • quando il sistema ha avviato l'elaborazione di una modifica di licenza di gruppo e quando ha terminato
  • quali modifiche di licenza sono state apportate a un utente in seguito a un'assegnazione di licenze di gruppo.

È possibile accedere ai log di controllo correlati alle licenze basate su gruppo dai log di controllo nelle aree Gruppi o Licenze di Microsoft Entra ID oppure usare le combinazioni di filtro seguenti dai log di controllo principali:

  • Servizio: Directory principale
  • Categoria: GroupManagement o UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Scopri chi ha modificato una licenza

  1. Per visualizzare i log per le modifiche alle licenze di gruppo, usare le opzioni di filtro del log di controllo seguenti:
    • Servizio: Directory principale
    • Categoria: GroupManagement
    • Attività: Impostare la licenza di gruppo
  2. Selezionare una riga nella tabella risultante per visualizzare i dettagli.
  3. Selezionare la scheda Proprietà modificate per visualizzare i valori precedenti e nuovi per il contratto di licenza.

L'esempio seguente mostra le impostazioni di filtro elencate in precedenza, più il filtro Target impostato su tutti i gruppi che iniziano con "EMS".

Screenshot of the Microsoft Entra audit logs including a Target filter.

Per visualizzare le modifiche delle licenze per un utente specifico, usare i filtri seguenti:

  • Servizio: Directory principale
  • Categoria: UserManagement
  • Attività: Modificare la licenza utente

Sapere quando è iniziata e terminata l'elaborazione delle modifiche al gruppo

Quando una licenza cambia in un gruppo, Microsoft Entra ID inizierà ad applicare le modifiche a tutti gli utenti, ma le modifiche potrebbero richiedere tempo per l'elaborazione.

  1. Per verificare quando i gruppi hanno iniziato l'elaborazione, usare i filtri seguenti:
    • Servizio: Directory principale
    • Categoria: GroupManagement
    • Attività: iniziare ad applicare una licenza basata su gruppo agli utenti
  2. Selezionare una riga nella tabella risultante per visualizzare i dettagli.
  3. Selezionare la scheda Proprietà modificate per visualizzare le modifiche alle licenze selezionate per l'elaborazione.
    • Usare questi dettagli se si apportano più modifiche a un gruppo e non si è certi della licenza elaborata.
    • L'attore per l'operazione è Microsoft Entra group-Based Licensing, ovvero un account di sistema usato per eseguire tutte le modifiche alle licenze di gruppo.

Per verificare quando i gruppi hanno terminato l'elaborazione, modificare il filtro Attività in Fine applicazione della licenza basata su gruppi agli utenti. In questo caso, il campo Proprietà modificate contiene un riepilogo dei risultati, utile per verificare rapidamente se l'elaborazione ha generato errori. Output di esempio:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Per visualizzare il log completo per l'elaborazione di un gruppo, incluse tutte le modifiche dell'utente, aggiungere i filtri seguenti:

  • Destinazione: Nome gruppo
  • Avviato da (attore): licenze basate sul gruppo Microsoft Entra (con distinzione tra maiuscole e minuscole)
  • Intervallo di date (facoltativo): intervallo personalizzato per quando si conosce un gruppo specifico avviato e completato l'elaborazione

Questo output di esempio mostra l'inizio e la fine dell'elaborazione della modifica della licenza.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Eliminazione di un gruppo con una licenza assegnata

Non è possibile eliminare un gruppo con una licenza attiva assegnata. Un amministratore potrebbe eliminare un gruppo senza rendersi conto che causerà la rimozione delle licenze dagli utenti. Per questo motivo è necessario rimuovere tutte le licenze dal gruppo prima di poterle eliminare.

Quando si tenta di eliminare un gruppo nel portale, è possibile che venga visualizzata una notifica di errore simile alla seguente:

Screenshot group deletion failed.

Passare alla scheda Licenze per il gruppo e verificare se sono presenti licenze assegnate. In caso affermativo, rimuovere le licenze e provare di nuovo a eliminare il gruppo.

È possibile che vengano visualizzati errori simili quando si tenta di eliminare il gruppo tramite PowerShell o l'API Graph. Se si usa un gruppo sincronizzato dall'ambiente locale, Microsoft Entra Connessione potrebbe anche segnalare errori se non riesce a eliminare il gruppo in Microsoft Entra ID. In tutti questi casi verificare se sono presenti licenze assegnate al gruppo e procedere prima alla rimozione.

Limitazioni e problemi noti

Se si usano le licenze basate sui gruppi, è consigliabile acquisire familiarità con l'elenco di limitazioni e problemi noti che segue.

  • Attualmente le licenze basate su gruppo non supportano gruppi che contengono altri gruppi (gruppi annidati). Se si applica una licenza a un gruppo annidato, la licenza è applicabile solo ai membri di primo livello del gruppo.

  • La funzionalità può essere usata solo con i gruppi di sicurezza e i gruppi di Microsoft 365 con securityEnabled=TRUE.

  • Il interfaccia di amministrazione di Microsoft 365 attualmente non supporta le licenze basate sui gruppi. Se un utente eredita una licenza da un gruppo, la licenza viene visualizzata nel portale di amministrazione di Office come una normale licenza utente. Se si tenta di modificare la licenza o di rimuoverla, il portale restituisce un messaggio di errore. Le licenze di gruppo ereditate non possono essere modificate direttamente in un utente.

  • Quando le licenze vengono assegnate o modificate per un gruppo di grandi dimensioni (ad esempio, 100.000 utenti), potrebbe influire sulle prestazioni. In particolare, il volume di modifiche generate dall'automazione di Microsoft Entra potrebbe influire negativamente sulle prestazioni della sincronizzazione della directory tra Microsoft Entra ID e sistemi locali.

  • Se si usano gruppi dinamici per gestire l'appartenenza dell'utente, verificare che l'utente faccia parte del gruppo, necessario per l'assegnazione delle licenze. Altrimenti controllare lo stato di elaborazione per la regola di appartenenza del gruppo dinamico.

  • In determinate situazioni di carico elevato, può essere necessario molto tempo per elaborare le modifiche alle licenze per i gruppi o le modifiche all'appartenenza ai gruppi con licenze esistenti. Se le modifiche richiedono più di 24 ore per elaborare le dimensioni del gruppo di 60 K utenti o meno, aprire un ticket di supporto per consentire l'analisi.

  • L'automazione della gestione delle licenze non reagisce automaticamente a tutti i tipi di modifiche nell'ambiente. Ad esempio, se le licenze sono esaurite, alcuni utenti potrebbero riscontrare uno stato di errore. Per liberare il numero di postazioni disponibili è possibile rimuovere alcune licenze assegnate direttamente ad altri utenti. Tuttavia, il sistema non reagisce automaticamente a questa modifica e corregge gli utenti in tale stato di errore.

    Come soluzione alternativa a questi tipi di limitazioni, è possibile passare a Gruppi> ID Entra Microsoft>selezionare Un gruppo > selezionare Licenze> selezionare Rielabora. Questo comando elabora tutti gli utenti nel gruppo e risolve gli stati di errore, se possibile.

Passaggi successivi

Per informazioni su altri scenari per la gestione delle licenze tramite i gruppi, vedere: