Esercizio - Modificare le assegnazioni di licenze di gruppo

  • 10 minuti

Modificare l'assegnazione di licenze di gruppo

  1. Passare alla pagina Identità - Gruppi dell’interfaccia di amministrazione di Microsoft Entra.

  2. Nel riquadro di spostamento a sinistra, in Gruppi.

  3. Selezionare uno dei gruppi disponibili. Ad esempio, Marketing.

  4. Nel riquadro di spostamento a sinistra, in Gestisci, selezionare Licenze.

  5. Esaminare le assegnazioni correnti e quindi scegliere + Assegnazioni dal menu.

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. Nella pagina Aggiorna le assegnazioni di licenze è possibile selezionare un'altra licenza, deselezionare una licenza esistente, aggiungere o rimuovere opzioni di licenza o effettuare una combinazione qualsiasi di queste operazioni.

  7. Al termine, selezionare Salva.

  8. Nella pagina Licenze del gruppo esaminare la modifica.

Identificare e risolvere i problemi di assegnazione delle licenze per un gruppo in Microsoft Entra ID

La gestione delle licenze basata sui gruppi in Microsoft Entra ID introduce il concetto di utenti in uno stato di errore di licenza. Questa sezione illustra i motivi per cui gli utenti possono trovarsi in questo stato.

Quando si assegnano licenze direttamente a singoli utenti senza utilizzare licenze basate sui gruppi, l'operazione di assegnazione potrebbe non riuscire. Ad esempio, quando si esegue il cmdlet Set-MgUserLicense di PowerShell su un oggetto utente, è possibile che il cmdlet non venga eseguito per vari motivi correlati alla logica di business. Potrebbe essere disponibile, ad esempio, un numero insufficiente di licenze o potrebbe verificarsi un conflitto tra due piani di servizio che non possono essere assegnati contemporaneamente. Il problema viene immediatamente segnalato all'utente.

Quando si usano le licenze basate sui gruppi, è possibile che si verifichino gli stessi errori, che però rimangono in background mentre il servizio Microsoft Entra assegna le licenze. Per questo motivo, gli errori non possono essere comunicati immediatamente all'utente. Vengono invece registrati sull'oggetto utente e segnalati tramite il portale amministrativo. L'intento originale di assegnare una licenza all'utente non viene mai perso, ma viene registrato in uno stato di errore per indagini e soluzioni future.

Trovare errori di assegnazione delle licenze

Per trovare utenti con stato di errore in un gruppo

  1. Aprire il gruppo alla relativa pagina di panoramica e selezionare Licenze. Se sono presenti utenti in stato di errore viene visualizzata una notifica.

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. Selezionare la notifica per aprire un elenco di tutti gli utenti interessati. È possibile selezionare ogni utente singolarmente per visualizzare altri dettagli.

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. Per trovare tutti i gruppi che contengono almeno un errore, nel menu Microsoft Entra - Identità - Fatturazione selezionare Licenze, quindi selezionare Panoramica. Quando i gruppi richiedono attenzione, viene visualizzata una casella di informazioni.

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. Selezionare la casella per visualizzare un elenco di tutti i gruppi con errori. È possibile selezionare ogni gruppo per altri dettagli.

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

Le sezioni seguenti riportano una descrizione dei possibili problemi con la relativa soluzione.

Le licenze non sono sufficienti

Problema: le licenze disponibili per uno dei prodotti specificati nel gruppo non sono sufficienti. È necessario acquistare altre licenze per il prodotto o liberare licenze inutilizzate da altri utenti o gruppi.

Per visualizzare il numero di licenze disponibili, passare a Microsoft Entra - Identità - Fatturazione, quindi Licenze, poi Tutti i prodotti.

Per vedere quali utenti e gruppi utilizzano licenze, selezionare un prodotto. In Utenti con licenza viene visualizzato un elenco di tutti gli utenti cui sono state assegnate licenze direttamente o tramite uno o più gruppi. In Gruppi con licenzavengono visualizzati tutti i gruppi con licenze di prodotto assegnate.

PowerShell: i cmdlet di PowerShell segnalano questo errore come CountViolation.

Piani di servizio in conflitto

Problema: uno dei prodotti specificati nel gruppo contiene un piano di servizio in conflitto con un altro piano di servizio già assegnato all'utente tramite un prodotto diverso. Alcuni piani di servizio sono configurati in modo che non possano essere assegnati allo stesso utente di un altro piano di servizio correlato.

Si consideri l'esempio seguente. Un utente dispone di una licenza per Office 365 Enterprise E1 assegnata direttamente, con tutti i piani abilitati. L'utente è stato aggiunto a un gruppo cui è assegnato il prodotto Office 365 Enterprise E3. Il prodotto E3 contiene piani di servizio che non possono sovrapporsi con i piani inclusi in E1, quindi l'assegnazione della licenza di gruppo non riesce, generando il messaggio di errore Piani di servizio in conflitto. In questo esempio i piani di servizio in conflitto sono i seguenti:

  • SharePoint Online (piano 2) è in conflitto con SharePoint Online (piano 1).
  • Exchange Online (piano 2) è in conflitto con Exchange Online (piano 1).

Per risolvere il conflitto, è necessario disabilitare due piani. È possibile disabilitare la licenza E1 assegnata direttamente all'utente. In alternativa, è necessario modificare l'intera assegnazione di licenza del gruppo e disabilitare i piani nella licenza E3. In alternativa, è possibile decidere di rimuovere la licenza E1 dall'utente se è ridondante nel contesto della licenza E3.

La decisione sul modo in cui risolvere i conflitti per le licenze di prodotto è sempre compito dell'amministratore. Microsoft Entra ID non risolve automaticamente i conflitti di licenza.

PowerShell: i cmdlet di PowerShell segnalano questo errore come MutuallyExclusiveViolation.

Altri prodotti dipendono dalla licenza specifica

Problema: uno dei prodotti specificati nel gruppo contiene un piano di servizio che per funzionare deve essere abilitato per un altro piano di servizio, in un altro prodotto. Questo errore si verifica quando Microsoft Entra ID prova a rimuovere il piano di servizio sottostante. Questa situazione può verificarsi, ad esempio, quando si rimuove l'utente dal gruppo.

Per risolvere il problema, è necessario assicurarsi che il piano richiesto sia ancora assegnato agli utenti tramite un altro metodo o che i servizi dipendenti siano disabilitati per tali utenti. Dopo questa operazione, è possibile rimuovere correttamente la licenza del gruppo degli utenti.

PowerShell: i cmdlet di PowerShell segnalano questo errore come DependencyViolation.

La località di utilizzo non è consentita

Problema: alcuni servizi Microsoft non sono disponibili in tutte le località a causa di leggi e regolamenti locali. Prima di assegnare una licenza a un utente, è necessario specificare la proprietà Usage location per l'utente. È possibile specificare la località nella sezione Utente, Profilo, Modifica nel portale di Azure.

Quando Microsoft Entra ID prova ad assegnare una licenza di gruppo a un utente la cui località di utilizzo non è supportata, l'assegnazione ha esito negativo e viene registrato un errore in relazione all'utente.

Per risolvere questo problema, rimuovere gli utenti di località non supportate dal gruppo con licenza. In alternativa, se i valori delle località di utilizzo correnti non rappresentano la località effettiva dell'utente, è possibile modificarli in modo che le licenze vengano assegnate correttamente la volta successiva (se la nuova località è supportata).

PowerShell: i cmdlet di PowerShell segnalano questo errore come ProhibitedInUsageLocationViolation.

Nota

Quando Microsoft Entra ID assegna licenze di gruppo, tutti gli utenti senza una località di utilizzo specificata ereditano la posizione della directory. Per garantire la conformità alle leggi e alle normative locali, è consigliabile che gli amministratori impostino i valori corretti per la località di utilizzo per gli utenti prima di utilizzare le licenze basate sui gruppi.

Indirizzi proxy duplicati

Se si usa Exchange Online, alcuni utenti dell'organizzazione potrebbero non essere configurati correttamente con lo stesso valore di indirizzo proxy. Quando il sistema di gestione delle licenze basate sui gruppi tenta di assegnare una licenza a un utente di questo tipo, l'operazione non riesce e viene visualizzato il messaggio "Indirizzo proxy è già in uso".

Dopo aver risolto i problemi di indirizzo proxy per gli utenti interessati, forzare l'elaborazione delle licenze nel gruppo per assicurarsi che ora sia possibile applicarle.

Modifica dell’attributo Microsoft Entra ID Mail e ProxyAddresses

Problema: Durante l'aggiornamento dell'assegnazione della licenza a un utente o a un gruppo, è possibile che gli attributi Microsoft Entra Mail e ProxyAddresses di alcuni utenti vengano modificati.

L'aggiornamento dell'assegnazione delle licenze per un utente comporta l'attivazione del calcolo dell'indirizzo del proxy, che può determinare la modifica degli attributi utente.

LicenseAssignmentAttributeConcurrencyException nei log di controllo

Problema: nei log di controllo viene registrata l'eccezione LicenseAssignmentAttributeConcurrencyException relativa all'assegnazione di licenze a un utente. Quando la funzionalità di gestione delle licenze basate sui gruppi tenta di elaborare l'assegnazione simultanea di più istanze di una stessa licenza a un utente, viene registrata questa eccezione. Questa situazione si verifica in genere quando un utente è membro di più gruppi a cui è assegnata la stessa licenza. Microsoft Entra ID riproverà a elaborare la licenza utente e risolverà il problema. Non è richiesta alcuna azione da parte del cliente per risolvere questo problema.

Assegnazione di più licenze del prodotto a un gruppo

È possibile assegnare più licenze di prodotto a un gruppo. È possibile, ad esempio, assegnare Office 365 Enterprise E3 ed Enterprise Mobility + Security a un gruppo per abilitare facilmente tutti i servizi inclusi per gli utenti.

Microsoft Entra ID prova ad assegnare a ogni utente tutte le licenze specificate nel gruppo. Se Microsoft Entra ID non riesce ad assegnare uno dei prodotti a causa di problemi di logica di business, non assegna nemmeno le altre licenze del gruppo. Ciò si verifica, ad esempio, se non sono disponibili licenze sufficienti per tutti o se sono presenti conflitti con altri servizi abilitati per l'utente.

È possibile vedere gli utenti che non hanno ricevuto un'assegnazione e verificare i prodotti interessati dal problema.

Effetti dell'eliminazione di un gruppo con licenza

Per eliminare il gruppo, è necessario rimuovere tutte le licenze assegnate al gruppo stesso. La rimozione delle licenze da tutti gli utenti del gruppo, tuttavia, può richiedere tempo. Se all'utente è assegnata una licenza dipendente, possono essere presenti errori. Se un utente ha una licenza che dipende da un'altra licenza rimossa a causa dell'eliminazione del gruppo, l'assegnazione della licenza all'utente viene convertita da ereditata a diretta.

Si consideri ad esempio un gruppo cui è assegnato Office 365 E3/E5 con un piano di servizio Skype for Business abilitato. Si supponga anche che alcuni membri del gruppo abbiano licenze di audioconferenza assegnate direttamente. Quando il gruppo viene eliminato, le licenze basate sui gruppi provano a rimuovere Office 365 E3/E5 da tutti gli utenti. Poiché le licenze di audioconferenza dipendono da Skype for Business, per gli utenti cui è assegnata una licenza di audioconferenza, le funzioni di licenza basata sui gruppi convertono le licenze Office 365 E3/E5 in un'assegnazione diretta di licenze.

Gestire le licenze per i prodotti con prerequisiti

Alcuni prodotti Microsoft Online di cui l'utente può essere proprietario sono i componenti aggiuntivi. Per assegnare una licenza ai componenti aggiuntivi, è necessario abilitare un piano di servizio dei prerequisiti per un utente o un gruppo. Con le licenze basate sui gruppi, il sistema richiede che entrambi i piani di servizio dei prerequisiti e dei componenti aggiuntivi siano presenti nello stesso gruppo per garantire che gli utenti aggiunti al gruppo possano ricevere il prodotto completamente funzionante. Si consideri l'esempio seguente:

Microsoft Workplace Analytics è un componente aggiuntivo. Contiene un singolo piano di servizio con lo stesso nome. Tale piano di servizio può essere assegnato a un utente oppure a un gruppo solo quando viene assegnato uno dei prerequisiti seguenti:

  • Exchange Online (piano 1)
  • Exchange Online (piano 2)

Se si tenta di assegnare questo singolo prodotto a un gruppo, il portale restituisce un messaggio di notifica. Se si selezionano i dettagli relativi all'elemento in questione, viene visualizzato il messaggio di errore seguente:

L'operazione relativa alla licenza non è riuscita. Assicurarsi che il gruppo abbia i servizi necessari prima di aggiungere o rimuovere un servizio dipendente. Il servizio Microsoft Workplace Analytics richiede che sia abilitato anche il servizio Exchange Online (piano 2).

Per assegnare questa licenza per un componente aggiuntivo a un gruppo, è necessario verificare che il gruppo contenga anche il piano di servizio dei prerequisiti. È possibile ad esempio aggiornare un gruppo esistente che contiene già l'intero prodotto Office 365 E3 e quindi integrarvi il componente aggiuntivo.

È anche possibile creare un gruppo autonomo contenente solo i prodotti minimi necessari per il funzionamento del componente aggiuntivo. Tale gruppo può quindi essere utilizzato per concedere in licenza il componente aggiuntivo solo agli utenti selezionati. In base all'esempio precedente, si assegnerebbero i prodotti seguenti allo stesso gruppo:

  • Office 365 Enterprise E3 con il solo piano di servizio Exchange Online (piano 2) abilitato
  • Microsoft Workplace Analytics

D'ora in poi, tutti gli utenti aggiunti a questo gruppo utilizzano una licenza del prodotto E3 e una licenza del prodotto Workplace Analytics. Contemporaneamente, tali utenti possono essere membri di un altro gruppo che fornisce loro il prodotto E3 completo e utilizzano ancora una sola licenza per tale prodotto.

Suggerimento

È possibile creare più gruppi per ogni piano di servizio dei prerequisiti. Se ad esempio si utilizzano sia Office 365 Enterprise E1 che Office 365 Enterprise E3 per gli utenti, è possibile creare due gruppi per la licenza di Microsoft Workplace Analytics, ovvero uno che utilizza E1 come prerequisito e l'altro che utilizza E3. In questo modo è possibile distribuire il componente aggiuntivo agli utenti E1 ed E3 senza utilizzare altre licenze.

Forzare l'elaborazione delle licenze di gruppo per la risoluzione di errori

In base alle azioni intraprese per risolvere gli errori, potrebbe essere necessario attivare manualmente l'elaborazione di un gruppo per aggiornare lo stato dell'utente.

Se ad esempio si liberano alcune licenze rimuovendo le assegnazioni di licenze dirette dagli utenti, è necessario attivare l'elaborazione dei gruppi che in precedenza non erano in grado di assegnare completamente la licenza a tutti i membri utente. Per rielaborare un gruppo, passare al riquadro del gruppo, aprire Licenze, quindi selezionare il pulsante Rielabora sulla barra degli strumenti.

Forzare l'elaborazione delle licenze utente per la risoluzione di errori

In base alle azioni intraprese per risolvere gli errori, potrebbe essere necessario attivare manualmente l'elaborazione di un utente per aggiornarne lo stato.

Dopo aver risolto il problema dell'indirizzo proxy duplicato per un utente interessato, è necessario ad esempio attivare l'elaborazione dell'utente. Per rielaborare un utente, passare al riquadro dell'utente, aprire Licenze, quindi selezionare il pulsante Rielabora sulla barra degli strumenti.

Come eseguire la migrazione di utenti con licenze singole per raggruppare le licenze

Le licenze esistenti potrebbero essere state distribuite agli utenti nelle organizzazioni tramite "assegnazione diretta", ovvero usando script di PowerShell o altri strumenti per assegnare le licenze utente individuali. Prima di iniziare a usare le licenze basate sui gruppi per gestire le licenze nell'organizzazione, è possibile usare questo piano di migrazione per sostituire agilmente le soluzioni esistenti con la gestione delle licenze basate sui gruppi.

Tenere presente che è consigliabile evitare una situazione in cui la migrazione alle licenze basate sui gruppi possa provocare temporaneamente la perdita delle licenze attualmente assegnate agli utenti. Qualsiasi processo che può comportare la rimozione delle licenze deve essere evitato per eliminare il rischio che gli utenti perdano l'accesso ai servizi e ai dati.

  1. L'automazione esistente, ad esempio PowerShell, gestisce l'assegnazione e la rimozione delle licenze per gli utenti. Lasciarla in esecuzione senza modifiche.

  2. Creare un nuovo gruppo di licenze (o decidere quali gruppi utilizzare) e assicurarsi che tutti gli utenti necessari vengano aggiunti come membri.

  3. Assegnare le licenze necessarie a tali gruppi. L'obiettivo deve essere quello di riflettere lo stesso stato delle licenze che l'automazione esistente (ad esempio PowerShell) applica a tali utenti.

  4. Verificare che le licenze siano state applicate a tutti gli utenti dei gruppi. Per eseguire questa applicazione, controllare lo stato di elaborazione su ogni gruppo e i log di controllo.

    • È possibile eseguire un controllo casuale di alcuni singoli utenti esaminando i dettagli della licenza. Si noterà che hanno le stesse licenze assegnate "direttamente" ed "ereditate" dai gruppi.
    • È possibile eseguire uno script PowerShell per verificare come vengono assegnate licenze agli utenti.
    • Quando all'utente viene assegnata la stessa licenza di prodotto sia direttamente che tramite un gruppo, l'utente utilizza una sola licenza. Di conseguenza, non sono necessarie licenze aggiuntive per eseguire la migrazione.

  5. Verificare che tutte le assegnazioni di licenza siano riuscite controllando ogni gruppo per gli utenti in stato di errore.

Valutare l'opportunità di rimuovere le assegnazioni dirette originali. È consigliabile eseguire questa operazione gradualmente e monitorarne prima il risultato in un subset di utenti. Se si mantengono le assegnazioni dirette originali, quando gli utenti abbandonano i gruppi con licenza manterranno le licenze assegnate direttamente e questo potrebbe non essere auspicabile.

Esempio

In un'organizzazione sono presenti 1.000 utenti. Tutti gli utenti hanno bisogno di licenze Office 365 Enterprise E3. Attualmente è in esecuzione uno script PowerShell in locale, che consente di aggiungere e rimuovere licenze dagli utenti in base al loro arrivo o alla loro partenza. L'organizzazione intende tuttavia sostituire lo script con licenze basate sui gruppi in modo che le licenze possano essere gestite automaticamente da Microsoft Entra ID.

L'aspetto del processo di migrazione è il seguente:

  1. Usare il portale di Azure per assegnare la licenza Office 365 E3 al gruppo Tutti gli utenti in Microsoft Entra ID.

  2. Verificare che l'assegnazione delle licenze sia stata completata per tutti gli utenti. Passare alla pagina di panoramica di ogni singolo gruppo, selezionare Licenze e controllare lo stato di elaborazione nella parte superiore della pagina Licenze.

    • Cercare "Le modifiche più recenti alle licenze sono state applicate a tutti gli utenti" per verificare se l'elaborazione è stata completata.
    • Cercare una notifica in primo piano per gli utenti cui le licenze potrebbero non essere state assegnate correttamente. Le licenze per alcuni utenti sono esaurite? È anche possibile che alcuni utenti abbiano piani di licenza in conflitto che impediscono loro di ereditare le licenze di gruppo.

  3. Eseguire un controllo a campione su alcuni utenti per verificare che siano state applicate sia le licenze dirette che quelle di gruppo. Passare alla pagina del profilo di un utente, selezionare Licenze ed esaminare lo stato delle licenze.

    • Di seguito è riportato lo stato previsto per l'utente durante la migrazione:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. Dopo aver verificato che le licenze dirette e quelle di gruppo sono equivalenti, è possibile iniziare a rimuovere le licenze dirette dagli utenti. È possibile eseguire il test rimuovendo le licenze per singoli utenti nel portale e quindi eseguire script di automazione per rimuoverle in blocco. Ecco un esempio dello stesso utente con le licenze dirette rimosse tramite il portale. Si noti che lo stato della licenza rimane invariato, ma le assegnazioni dirette non sono più visibili.

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Modificare le assegnazioni di licenze per un utente o un gruppo in Microsoft Entra ID

In questa sezione viene descritto come spostare utenti e gruppi tra i piani di licenza dei servizi in Microsoft Entra ID. L'obiettivo è di garantire che non vi siano perdite di servizio o di dati durante la modifica della licenza. Gli utenti dovrebbero passare agevolmente da un servizio all'altro. Le istruzioni per l'assegnazione del piano di licenza in questa sezione illustrano come un utente o un gruppo di Office 365 E1 può passare a Office 365 E3, ma sono valide per tutti i piani di licenza. Quando si aggiornano le assegnazioni di licenze per un utente o un gruppo, le rimozioni di assegnazioni e le nuove assegnazioni vengono effettuate simultaneamente per evitare che gli utenti perdano l'accesso ai servizi durante le modifiche delle licenze o riscontrino conflitti di licenza tra i piani.

Prima di aggiornare le assegnazioni di licenze, verificare che determinati presupposti siano veri per tutti gli utenti o i gruppi da aggiornare. Se i presupposti non sono veri per tutti gli utenti di un gruppo, la migrazione potrebbe avere esito negativo per alcuni Di conseguenza, alcuni utenti potrebbero perdere l'accesso a servizi o dati. Assicurarsi che:

  • Gli utenti dispongano del piano di licenza corrente assegnato a un gruppo, ereditato e non assegnato direttamente.
  • Sia disponibile un numero sufficiente di licenze per il piano di licenza che si sta assegnando. Se le licenze non sono sufficienti, ad alcuni utenti potrebbe non essere assegnato il nuovo piano di licenza. È possibile controllare il numero di licenze disponibili.
  • Controllare che agli utenti non siano assegnate altre licenze di servizio potenzialmente in conflitto con la licenza desiderata o che potrebbero impedire la rimozione della licenza corrente. Ad esempio, una licenza di un servizio come Workplace Analytics o Project Online, che dipende da altri servizi.
  • Se si gestiscono i gruppi in locale e si sincronizzano con Microsoft Entra ID tramite Microsoft Entra Connect, è necessario aggiungere o rimuovere gli utenti usando il sistema locale. Può trascorrere del tempo prima che le modifiche da sincronizzare con Microsoft Entra ID vengano rilevate dalla funzionalità di gestione delle licenze basate sui gruppi.
  • Se si usano le appartenenze a gruppi dinamici di Microsoft Entra, è possibile aggiungere o rimuovere gli utenti cambiandone gli attributi, ma il processo di aggiornamento per le assegnazioni delle licenze è sempre lo stesso.