Azure Active Directory のライセンス管理にグループを使用する際のシナリオ、制限、および既知の問題

次の情報と例を使用して Microsoft Entra の一部である Azure Active Directory (Azure AD) のグループベースのライセンスについて詳しく理解できます。

利用場所

Microsoft サービスの中には、すべての場所では利用できないものもあります。 グループ ライセンスの割り当ての際、利用場所が指定されていないユーザーは、ディレクトリの場所を継承します。 複数の場所にユーザーがいる場合、そのことをユーザー リソースに正しく反映させてから、ライセンスが付与されたグループにユーザーを追加するようにしてください。 ライセンスをユーザーに割り当てる前に、管理者はユーザーの [利用場所] プロパティを指定しておく必要があります。

1. ユーザー管理者ロールで Azure portal にサインインします。
2. [Azure AD]>[ユーザー] に移動し、ユーザーを選択します。
3. [プロパティの編集] を選びます。
4. [設定] タブを選択し、ユーザーの場所を入力します。
5. [保存] ボタンを選択します。

注意

グループ ライセンスの割り当てによってユーザーの既存の利用場所の値が変更されることはありません。 Azure AD でのユーザー作成フローの一部として、常に (たとえば、Azure AD Connect の構成を使用して) 使用場所を設定することをお勧めします。 このようなプロセスに従うことにより、ライセンス割り当ての結果が常に正しくなり、ユーザーは許可されていない場所にあるサービスを受けなくなることが保証されます。

グループベースのライセンスを動的グループとともに使用する

グループ ベースのライセンスは、動的グループを含むすべてのセキュリティ グループで使用できます。 動的グループでは、メンバーを自動的に追加および削除するために、ユーザー リソース属性に対して規則が実行されます。 属性には、部門、役職、勤務地、またはその他のカスタム属性を指定できます。 各グループには、メンバーが受け取るライセンスが割り当てられます。 属性が変更された場合、そのメンバーはグループを離れ、ライセンスが削除されます。

属性をオンプレミスで割り当てて Azure AD と同期するか、属性をクラウドで直接管理できます。

警告

既存のグループのメンバーシップ規則を変更するときには注意が必要です。 規則を変更すると、グループのメンバーシップが再評価され、新しい規則と一致しなくなったユーザーが削除されます (新しい規則とも一致しているユーザーについては、このプロセス中に影響はありません)。 このプロセス中に、これらのユーザーはライセンスが削除されます。その結果、サービスを利用できなくなったり、場合によってはデータが失われたりする可能性があります。

ライセンス割り当ての基盤となる大きな動的グループがある場合、大規模な変更を加える際は、まず小さなテスト グループで検証し、それからメインのグループに適用することをご検討ください。

複数のグループと複数のライセンス

ユーザーは、ライセンスを持つ複数のグループのメンバーになることができます。 考慮事項をいくつか以下に示します。

• 同じ製品の複数のライセンスが重複することがあり、その結果、有効になっているすべてのサービスがユーザーに適用されることがあります。 たとえば、M365-P1 には、すべてのユーザーにデプロイする基本サービスを含め、M365-P2 には、一部のユーザーにのみデプロイする P2 サービスを含めることができます。 あるユーザーをこれらのグループのうちの 1 つまたは両方に追加し、製品の 1 つのライセンスだけを使用できます。

• ライセンスを選択すると、グループ ライセンス割り当てによりユーザーに対してどのサービスが有効になっているかに関する情報を含む詳細が表示されます。

グループ ライセンスと共存する直接ライセンス

ユーザーがグループからライセンスを継承する場合は、そのライセンスをユーザーのプロパティで直接削除または変更できません。 ライセンス割り当てはグループでのみ変更することができ、その後、それらの変更がすべてのグループ メンバーに伝達されます。 グループ ライセンス割り当てからライセンスを受け取っているユーザーに他の機能を割り当てる必要がある場合は、そのユーザーに他の機能を割り当てるための別のグループを作成する必要があります。

グループ ベースのライセンスを使用するときは、次のシナリオを検討してください。

• グループ メンバーは、グループに割り当てられているライセンスを継承します。
• グループ ベースのライセンスのライセンス オプションは、グループ レベルで変更する必要があります。
• あるユーザーに別のライセンス オプションを割り当てる必要がある場合は、新しいグループを作成し、そのグループにライセンスを割り当てた後、そのグループにユーザーを追加します。
• その製品の別のライセンス オプションが異なるグループ ベースのライセンスで使用されている場合でも、ユーザーは引き続き、その製品の 1 つのライセンスだけを使用します。

直接割り当てを使用すると、次の操作を行うことができます。

• まだグループ ベースのライセンスによって割り当てられていないライセンスは、個々のユーザーに対して変更できます。
• 直接割り当てられたライセンスの一部として、他のサービスを有効にすることができます。
• 直接割り当てられたライセンスは削除することができ、ユーザーの継承されたライセンスには影響を与えません。

製品に追加される新しいサービスを管理する

Microsoft が製品ライセンス プランに新しいサービスを追加した場合、そのサービスは、その製品ライセンスを割り当てているすべてのグループで既定で有効になります。 製品の変更に関する通知をサブスクライブしている組織のユーザーは、今後のサービスの追加について事前に通知するメールを受け取ります。

管理者は、変更によって影響を受けるすべてのグループを確認し、各グループで新しいサービスを無効にするなどのアクションを実行できます。 たとえば、デプロイする特定のサービスのみを対象とするグループを作成した場合、それらのグループに再度アクセスし、新しく追加されたサービスが無効になっていることを確認することができます。

このプロセスがどのようになるかという例を次に示します。

1. 最初は、Microsoft 365 E5 製品がいくつかのグループに割り当てられました。 それらのグループのうちの 1 つ ("Microsoft 365 E5 - Exchange のみ" と呼ばれます) が、そのメンバーに対して "Exchange Online (プラン 2)" サービスのみを有効にするように設計されました。

2. ユーザーは Microsoft から、E5 製品が新しいサービス (Microsoft Stream) で拡張される予定であるという内容の通知を受け取ります。 このサービスが組織で使用可能になったら、次の手順を完了できます。

3. [Azure Active Directory] > [ライセンス] > [すべての製品] に移動し、[Microsoft 365 Enterprise E5] を選択してから、[ライセンスされているグループ] を選択して、その製品を含むすべてのグループの一覧を表示します。

4. 確認するグループ (この場合は、"Microsoft 365 E5 - Exchange のみ") を選択します。 [ライセンス] タブが開きます。 E5 ライセンスを選択して、有効になっているすべてのサービスを表示します。

   注意

   このグループで Exchange Online サービスに加え、Microsoft Stream サービスも自動的に追加され、有効になっています。

   

5. このグループ内の新しいサービスを無効にする場合は、そのサービスの横にある [オン]/[オフ] の切り替えを選択し、[保存] ボタンを選択して変更を確認します。 これで、Azure AD がそのグループ内のすべてのユーザーを処理して変更を適用するようになりました。そのグループに追加された新しいユーザーでは Microsoft Stream サービスが有効になりません。

   注意

   他のライセンス割り当て (そのユーザーが属する他のグループまたはライセンスの直接割り当て) によって、そのサービスがまだユーザーに対して有効になっている可能性があります。

6. 必要に応じて、この製品が割り当てられている他のグループにも同じ手順を実行します。

PowerShell を使用して、継承したライセンスと直接ライセンスを持つユーザーを表示する

PowerShell スクリプトを使用して、ユーザーがライセンスを直接割り当てられたかグループから継承されたかを確認できます。

1. connect-msolservice コマンドレットを実行して組織を認証し、接続します。

2. Get-MsolAccountSku を使用して、Azure AD 組織にプロビジョニングされているすべての製品ライセンスを検出します。

   

3. 対象とするライセンスの AccountSkuId 値をこの PowerShell スクリプトで使用します。 このライセンスを持っているユーザーと、ライセンスの割り当て方法に関する情報が入力された一覧が表示されます。

監査ログを使用してグループベースのライセンスのアクティビティを監視する

Azure AD 監査ログを使用して、グループベースのライセンスに関連するすべてのアクティビティを参照できます。以下に例を挙げます。

• グループのライセンスの変更者
• グループ ライセンスの変更処理が開始された時と完了した時
• グループ ライセンス割り当ての結果としてユーザーに加えられたライセンス変更の内容

グループ ベースのライセンスに関連した監査ログには、Azure AD の [グループ] または [ライセンス] 領域の [監査ログ] からアクセスできます。または、メインの [監査ログ] から次のフィルターの組み合わせを使用します。

• サービス: コア ディレクトリ
• カテゴリ: GroupManagement または UserManagement

ライセンスを変更したユーザーを見つける

1. グループ ライセンスの変更のログを表示するには、次の監査ログ フィルター オプションを使用します。
   • サービス: コア ディレクトリ
   • カテゴリ: GroupManagement
   • アクティビティ: グループ ライセンスの設定
2. 結果のテーブル内の行を選択して詳細を表示します。
3. [変更されたプロパティ] タブを選択して、ライセンス契約の古い値と新しい値を表示します。

次の例は、上に一覧表示されているフィルター設定に加えて、"EMS" で始まるすべてのグループに設定されている "ターゲット" フィルターを示しています。

特定のユーザーのライセンス変更を表示するには、次のフィルターを使用します。

• サービス: コア ディレクトリ
• カテゴリ: UserManagement
• アクティビティ: ユーザー ライセンスの変更

グループ変更処理が開始された時と完了した時を検出する

グループでライセンスが変更されると、Azure AD ではその変更をすべてのユーザーに適用し始めますが、変更の処理に時間がかかることがあります。

1. グループがいつ処理を開始したかを表示するには、次のフィルターを使用します。
   • サービス: コア ディレクトリ
   • カテゴリ: GroupManagement
   • アクティビティ: ユーザーに対するグループ ベースのライセンスの適用の開始
2. 結果のテーブル内の行を選択して詳細を表示します。
3. [変更されたプロパティ] タブを選択して、処理のために選択されたライセンス変更を表示します。
   • これらの詳細は、グループに対して複数の変更を行っており、どのライセンスが処理されたかわからない場合に使用します。
   • この操作のアクターは、すべてのグループ ライセンス変更を実行するために使用されるシステム アカウントである "Microsoft Azure AD グループ ベースのライセンス" です。

グループがいつ処理を完了したかを表示するには、[アクティビティ] フィルターを [ユーザーに対するグループ ベースのライセンスの適用の終了] に変更します。 この場合は、[変更されたプロパティ] フィールドに、この処理で何らかのエラーが発生したかどうかをすばやく確認するために役立つ結果の概要が含まれています。 サンプル出力:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

グループがどのように処理されたか (すべてのユーザー変更を含む) に関する完全なログを表示するには、次のフィルターを追加します。

• ターゲット: グループ名
• 開始者 (アクター): Microsoft Azure AD グループ ベースのライセンス (大文字と小文字が区別される)
• 日付範囲 (省略可能): 特定のグループが処理を開始した時と完了した時がわかっている場合、その期間を表すユーザー設定の範囲

次のサンプル出力は、ライセンス変更の処理の開始と完了を示しています。

ライセンスが割り当てられているグループを削除する

アクティブなライセンスが割り当てられているグループを削除することはできません。 管理者が、ユーザーからライセンスが削除されるようになることを理解せずに、グループを削除する可能性があります。 このため、グループを削除するには、まず、そのグループからすべてのライセンスを削除することが必要になります。

Azure portal でグループを削除しようとすると、次のようなエラー通知が表示されることがあります。

グループの [ライセンス] タブに移動し、割り当てられているライセンスがないかどうかを確認します。 ライセンスが割り当てられている場合は、そのライセンスを削除してから、再度グループ削除してみてください。

PowerShell または Graph API でグループを削除しようとした場合も、同様のエラーが発生することがあります。 オンプレミスから同期されたグループを使用している場合は、Azure AD でそのグループの削除が失敗すると、Azure AD Connect でもエラーが報告される可能性があります。 このような場合は、そのグループにライセンスが割り当てられていないかどうかを確認し、そのライセンスを最初に削除します。

制限事項と既知の問題

グループベースのライセンスを使用する場合、次の制限事項と既知の問題の一覧について理解することをお勧めします。

• グループ ベースのライセンスでは現在、他のグループを含むグループ (入れ子になったグループ) はサポートされていません。 入れ子になったグループにライセンスを適用した場合は、グループの第 1 レベルのユーザー メンバーだけにライセンスが適用されます。

• この機能は、セキュリティ グループ、および securityEnabled=TRUE の Microsoft 365 グループでのみ使用できます。

• Microsoft 365 管理センターでは現在、グループ ベースのライセンスはサポートされていません。 ユーザーがライセンスをグループから継承する場合、このライセンスは Office 管理ポータルに通常のユーザー ライセンスとして表示されます。 そのライセンスを変更しようとした場合、または削除しようとした場合、ポータルはエラー メッセージを返します。 継承されたグループ ライセンスは、ユーザーに対して直接変更できません。

• 大きなグループ (たとえば、100,000 ユーザー) に対してライセンスが割り当てられるか、または変更された場合は、パフォーマンスに影響を与えることがあります。 特に、Azure AD の自動化によって生成された変更の量が Azure AD とオンプレミス システムの間のディレクトリ同期のパフォーマンスに悪影響を与える可能性があります。

• 動的グループを使用してユーザーのメンバーシップを管理している場合は、ユーザーがそのグループに含まれていることを確認してください。これは、ライセンス割り当てに必要です。 そうでない場合は、動的なグループのメンバーシップ ルールの処理状態を確認します。

• 負荷が高い状況では、グループのライセンス変更や、既存のライセンスがあるグループのメンバー シップ変更を処理する場合に時間がかかることがあります。 60,000 ユーザー以下のグループ サイズを処理する変更にかかる時間が 24 時間を超えているように見える場合は、Microsoft で調査できるようにサポート チケットを開いてください。

• ライセンス管理の自動化が、環境内のすべての種類の変更に自動的に対応するわけではありません。 たとえば、ライセンスの不足により一部のユーザーがエラー状態になる場合があります。 使用可能なシート数を解放するために、他のユーザーから直接割り当てられた一部のライセンスを削除できます。 ただし、システムがこの変更に自動的に対応し、そのエラー状態にあるユーザーを解決するわけではありません。

  これらの種類の制限の回避策として、[Azure AD]>[グループ] に移動し、グループ、[ライセンス]、[再処理] の順に選択できます。 このコマンドにより、そのグループ内のすべてのユーザーが処理され、可能であればエラー状態が解決されます。

次のステップ

グループベースのライセンスを通じたライセンス管理の他のシナリオについては、以下をご覧ください

• What is group-based licensing in Azure Active Directory? (Azure Active Directory のグループベースのライセンスとは)
• Assigning licenses to a group in Azure Active Directory (Azure Active Directory でのグループへのライセンス割り当て)
• Azure Active Directory のグループのライセンスに関する問題の特定と解決
• Azure Active Directory で個別にライセンスを付与されたユーザーをグループベースのライセンスに移行する方法
• Azure Active Directory のグループベースのライセンスを使用して製品ライセンス間でユーザーを移行する方法