Scenario's, beperkingen en bekende problemen met het gebruik van groepen voor het beheren van licenties in Microsoft Entra-id

  • Artikel

Gebruik de volgende informatie en voorbeelden om meer inzicht te krijgen in groepslicenties in Microsoft Entra ID, onderdeel van Microsoft Entra.

Gebruikslocatie

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Sommige Microsoft-services zijn niet beschikbaar op alle locaties. Bij het toewijzen van groepslicenties nemen alle gebruikers zonder opgegeven gebruikslocatie de locatie van de map over. Als u gebruikers op meerdere locaties hebt, moet u deze correct weergeven in uw gebruikersbronnen voordat u gebruikers toevoegt aan groepen met licenties. Voordat een licentie kan worden toegewezen aan een gebruiker, moet de beheerder de eigenschap Gebruikslocatie voor de gebruiker opgeven.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een groepen-Beheer istrator.

  2. Selecteer Microsoft Entra ID.

  3. Ga naar Alle>gebruikers en selecteer een gebruiker.

    Screenshot of the All users pane.

  4. Selecteer Eigenschappen bewerken.

  5. Selecteer het tabblad Instellingen en voer een locatie in voor de gebruiker.

  6. Selecteer de knop Opslaan.

Notitie

Groepslicentietoewijzing wijzigt nooit een bestaande gebruikslocatiewaarde voor een gebruiker. U wordt aangeraden altijd de gebruikslocatie in te stellen als onderdeel van de stroom voor het maken van gebruikers in Microsoft Entra-id (bijvoorbeeld via Microsoft Entra Verbinding maken configuratie). Door een dergelijk proces te volgen, zorgt u ervoor dat het resultaat van licentietoewijzing altijd juist is en ontvangen gebruikers geen services op locaties die niet zijn toegestaan.

Licenties op basis van groepen gebruiken met dynamische groepen

U kunt licenties op basis van groepen gebruiken voor elke beveiligingsgroep, inclusief dynamische groepen. Dynamische groepen voeren regels uit op basis van gebruikersresourcekenmerken om leden automatisch toe te voegen en te verwijderen. Kenmerken kunnen afdeling, functie, werklocatie of ander aangepast kenmerk zijn. Aan elke groep worden de licenties toegewezen die leden moeten ontvangen. Als een kenmerk wordt gewijzigd, verlaat het lid de groep en worden de licenties verwijderd.

U kunt het kenmerk on-premises toewijzen en synchroniseren met Microsoft Entra ID, of u kunt het kenmerk rechtstreeks in de cloud beheren.

Waarschuwing

Wees voorzichtig bij het wijzigen van de lidmaatschapsregel van een bestaande groep. Wanneer een regel wordt gewijzigd, wordt het lidmaatschap van de groep opnieuw geëvalueerd en worden gebruikers die niet langer overeenkomen met de nieuwe regel verwijderd (gebruikers die nog steeds overeenkomen met de nieuwe regel, worden tijdens dit proces niet beïnvloed). Deze gebruikers hebben hun licenties verwijderd tijdens het proces, wat kan leiden tot verlies van service of in sommige gevallen verlies van gegevens.

Als u een grote dynamische groep hebt die u nodig hebt voor licentietoewijzing, kunt u overwegen belangrijke wijzigingen in een kleinere testgroep te valideren voordat u deze toepast op de hoofdgroep.

Meerdere groepen en meerdere licenties

Een gebruiker kan lid zijn van meerdere groepen met licenties. Hier volgen enkele zaken waarmee u rekening moet houden:

  • Meerdere licenties voor hetzelfde product kunnen overlappen en leiden ertoe dat alle ingeschakelde services worden toegepast op de gebruiker. Een voorbeeld hiervan is dat M365-P1 de basisservices bevat die voor alle gebruikers moeten worden geïmplementeerd en dat M365-P2 de P2-services bevat die alleen voor sommige gebruikers moeten worden geïmplementeerd. U kunt een gebruiker toevoegen aan een of beide groepen en slechts één licentie voor het product gebruiken.

  • Selecteer een licentie om meer details weer te geven, inclusief informatie over welke services zijn ingeschakeld voor de gebruiker door de groepslicentietoewijzing.

Directe licenties bestaan naast groepslicenties

Wanneer een gebruiker een licentie overneemt van een groep, kunt u die licentie niet rechtstreeks verwijderen of wijzigen in de eigenschappen van de gebruiker. U kunt de licentietoewijzing alleen in de groep wijzigen en de wijzigingen worden vervolgens doorgegeven aan alle groepsleden. Als u andere functies wilt toewijzen aan een gebruiker met een licentietoewijzing voor een groep, moet u een andere groep maken om de andere functies aan de gebruiker toe te wijzen.

Houd rekening met de volgende scenario's wanneer u groepslicenties gebruikt:

  • Groepsleden nemen licenties over die zijn toegewezen aan de groep.
  • Licentieopties voor groepslicenties moeten worden gewijzigd op groepsniveau.
  • Als er verschillende licentieopties aan een gebruiker moeten worden toegewezen, maakt u een nieuwe groep, wijst u een licentie toe aan de groep en voegt u de gebruiker vervolgens toe aan die groep.
  • Gebruikers gebruiken nog steeds slechts één licentie van een product als er verschillende licentieopties voor dat product worden gebruikt in de verschillende groepslicenties.

Wanneer u directe toewijzing gebruikt, zijn de volgende bewerkingen toegestaan:

  • Licenties die nog niet zijn toegewezen via groepslicenties, kunnen worden gewijzigd voor een afzonderlijke gebruiker.
  • Andere services kunnen worden ingeschakeld als onderdeel van een rechtstreeks toegewezen licentie.
  • Rechtstreeks toegewezen licenties kunnen worden verwijderd en hebben geen invloed op de overgenomen licenties van een gebruiker.

Nieuwe services beheren die zijn toegevoegd aan producten

Wanneer Microsoft een nieuwe service toevoegt aan een productlicentieabonnement, wordt deze standaard ingeschakeld in alle groepen waaraan u de productlicentie hebt toegewezen. Gebruikers in uw organisatie die zijn geabonneerd op meldingen over productwijzigingen, ontvangen van tevoren e-mailberichten over de aanstaande servicetoevoegingen.

Als beheerder kunt u alle groepen controleren die worden beïnvloed door de wijziging en actie ondernemen, zoals het uitschakelen van de nieuwe service in elke groep. Als u bijvoorbeeld groepen hebt gemaakt die alleen zijn gericht op specifieke services voor implementatie, kunt u deze groepen opnieuw bezoeken en ervoor zorgen dat nieuwe toegevoegde services zijn uitgeschakeld.

Hier volgt een voorbeeld van hoe dit proces eruit kan zien:

  1. Oorspronkelijk hebt u het Microsoft 365 E5-product aan verschillende groepen toegewezen. Een van deze groepen, Microsoft 365 E5 - Exchange is alleen ontworpen om alleen de Exchange Online (Abonnement 2)-service voor de leden in te schakelen.

  2. U hebt een melding ontvangen van Microsoft dat het E5-product wordt uitgebreid met een nieuwe service - Microsoft Stream. Wanneer de service beschikbaar komt in uw organisatie, kunt u de volgende stappen uitvoeren:

    1. Meld u aan bij het Microsoft Entra-beheercentrum

  4. Selecteer Microsoft Entra ID.

  5. Selecteer Alle producten voor factureringslicenties>>en selecteer Microsoft 365 Enterprise E5 en selecteer vervolgens Gelicentieerde groepen om een lijst met alle groepen met dat product weer te geven.

  6. Selecteer de groep die u wilt controleren (in dit geval Alleen Microsoft 365 E5 - Exchange). Het tabblad Licenties wordt geopend. Selecteer de E5-licentie om alle ingeschakelde services weer te geven.

    Notitie

    De Microsoft Stream-service is automatisch toegevoegd en ingeschakeld in deze groep, naast de Exchange Online-service :

    Screenshot of new service added to a group license.

  7. Als u de nieuwe service in deze groep wilt uitschakelen, selecteert u de wisselknop Aan/Uit naast de service en selecteert u de knop Opslaan om de wijziging te bevestigen. Microsoft Entra ID verwerkt nu alle gebruikers in de groep om de wijziging toe te passen; nieuwe gebruikers die aan de groep zijn toegevoegd, hebben de Microsoft Stream-service niet ingeschakeld.

    Notitie

    Gebruikers kunnen de service nog steeds hebben ingeschakeld via een andere licentietoewijzing (een andere groep waarvan ze lid zijn of een directe licentietoewijzing).

  8. Voer indien nodig dezelfde stappen uit voor andere groepen waaraan dit product is toegewezen.

PowerShell gebruiken om te zien wie licenties heeft overgenomen en directe licenties heeft

U kunt een PowerShell-script gebruiken om te controleren of gebruikers een licentie rechtstreeks hebben toegewezen of overgenomen van een groep.

  1. Voer de Connect-MgGraph -Scopes "Organization.Read.All" cmdlet uit om te verifiëren en verbinding te maken met uw organisatie met behulp van Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname kan worden gebruikt om alle ingerichte productlicenties in de Microsoft Entra-organisatie te detecteren.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Gebruik de ServicePlanId-waarde voor de licentie waarin u geïnteresseerd bent met dit PowerShell-script. Een lijst vult de gebruikers met deze licentie en informatie over hoe de licentie wordt toegewezen.

Auditlogboeken gebruiken om licentieactiviteiten op basis van groepen te bewaken

U kunt auditlogboeken van Microsoft Entra gebruiken om alle activiteiten met betrekking tot groepslicenties weer te geven, waaronder:

  • wie licenties voor groepen heeft gewijzigd
  • wanneer het systeem is begonnen met het verwerken van een groepslicentiewijziging en wanneer het is voltooid
  • welke licentiewijzigingen zijn aangebracht aan een gebruiker als gevolg van een groepslicentietoewijzing.

Auditlogboeken met betrekking tot groepslicenties kunnen worden geopend vanuit de auditlogboeken in de groepen of licentiegebieden van Microsoft Entra-id of gebruik de volgende filtercombinaties uit de hoofdlogboeken voor audit:

  • Service: Core Directory
  • Categorie: GroupManagement of UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Achterhalen wie een licentie heeft gewijzigd

  1. Als u de logboeken voor wijzigingen in groepslicenties wilt zien, gebruikt u de volgende filteropties voor auditlogboeken:
    • Service: Core Directory
    • Categorie: GroupManagement
    • Activiteit: Groepslicentie instellen
  2. Selecteer een rij in de resulterende tabel om de details weer te geven.
  3. Selecteer het tabblad Aangepaste eigenschappen om de oude en nieuwe waarden voor de gebruiksrechtovereenkomst te zien.

In het volgende voorbeeld ziet u de bovenstaande filterinstellingen, plus het doelfilter dat is ingesteld op alle groepen die beginnen met EMS.

Screenshot of the Microsoft Entra audit logs including a Target filter.

Gebruik de volgende filters om licentiewijzigingen voor een specifieke gebruiker te bekijken:

  • Service: Core Directory
  • Categorie: UserManagement
  • Activiteit: Gebruikerslicentie wijzigen

Ontdekken wanneer groepswijzigingen zijn gestart en de verwerking is voltooid

Wanneer een licentie in een groep wordt gewijzigd, wordt de wijzigingen door Microsoft Entra ID toegepast op alle gebruikers, maar de wijzigingen kunnen enige tijd in beslag nemen.

  1. Gebruik de volgende filters om te zien wanneer groepen zijn begonnen met verwerken:
    • Service: Core Directory
    • Categorie: GroupManagement
    • Activiteit: Beginnen met het toepassen van groepslicenties op gebruikers
  2. Selecteer een rij in de resulterende tabel om de details weer te geven.
  3. Selecteer het tabblad Gewijzigde eigenschappen om de licentiewijzigingen te zien die zijn opgehaald voor verwerking.
    • Gebruik deze gegevens als u meerdere wijzigingen aanbrengt in een groep en niet zeker weet welke licentie is verwerkt.
    • De actor voor de bewerking is Microsoft Entra-groepslicenties. Dit is een systeemaccount dat wordt gebruikt om alle groepslicentiewijzigingen uit te voeren.

Als u wilt zien wanneer de verwerking van groepen is voltooid, wijzigt u het activiteitsfilter in Voltooien van het toepassen van groepslicenties op gebruikers. In dit geval bevat het veld Gewijzigde eigenschappen een samenvatting van de resultaten. Dit is handig om snel te controleren of de verwerking tot fouten heeft geleid. Voorbeelduitvoer:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Als u het volledige logboek wilt zien voor de verwerking van een groep, inclusief alle wijzigingen van gebruikers, voegt u de volgende filters toe:

  • Doel: groepsnaam
  • Gestart door (actor): Microsoft Entra groepslicenties (hoofdlettergevoelig)
  • Datumbereik (optioneel): Aangepast bereik voor wanneer u weet dat een specifieke groep is gestart en de verwerking is voltooid

In deze voorbeelduitvoer ziet u het begin en einde van de verwerking van de wijziging van de licentie.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Een groep met een toegewezen licentie verwijderen

Het is niet mogelijk om een groep te verwijderen waaraan een actieve licentie is toegewezen. Een beheerder kan een groep verwijderen die zich niet realiseert dat licenties worden verwijderd van gebruikers. Daarom moeten alle licenties eerst uit de groep worden verwijderd voordat deze kunnen worden verwijderd.

Wanneer u een groep probeert te verwijderen in de portal, ziet u mogelijk een foutmelding zoals deze:

Screenshot group deletion failed.

Ga naar het tabblad Licenties in de groep en kijk of er licenties zijn toegewezen. Zo ja, verwijder deze licenties en probeer de groep opnieuw te verwijderen.

Er kunnen vergelijkbare fouten optreden bij het verwijderen van de groep via PowerShell of Graph API. Als u een groep gebruikt die is gesynchroniseerd vanuit on-premises, kan Microsoft Entra Verbinding maken ook fouten melden als de groep niet kan worden verwijderd in Microsoft Entra-id. Zorg er in dergelijke gevallen voor dat u controleert of er licenties zijn toegewezen aan de groep en verwijder ze eerst.

Beperkingen en bekende problemen

Als u groepslicenties gebruikt, is het een goed idee om vertrouwd te raken met de volgende lijst met beperkingen en bekende problemen.

  • Licenties op basis van groepen bieden momenteel geen ondersteuning voor groepen die andere groepen (geneste groepen) bevatten. Als u een licentie toepast op een geneste groep, wordt die licentie alleen toegepast op de gebruikers die lid direct zijn van de groep.

  • De functie kan alleen worden gebruikt met beveiligingsgroepen en Microsoft 365-groepen met securityEnabled=TRUE.

  • De Microsoft 365-beheercentrum biedt momenteel geen ondersteuning voor groepslicenties. Als een gebruiker een licentie van een groep overneemt, wordt deze licentie weergegeven in de Office-beheerportal als een gewone gebruikerslicentie. Als u die licentie probeert te wijzigen of de licentie probeert te verwijderen, retourneert de portal een foutbericht. Overgenomen groepslicenties kunnen niet rechtstreeks op een gebruiker worden gewijzigd.

  • Wanneer licenties worden toegewezen of gewijzigd voor een grote groep (bijvoorbeeld 100.000 gebruikers), kan dit van invloed zijn op de prestaties. Met name het volume van wijzigingen dat door Microsoft Entra-automatisering wordt gegenereerd, kan een negatieve invloed hebben op de prestaties van uw adreslijstsynchronisatie tussen Microsoft Entra ID en on-premises systemen.

  • Als u dynamische groepen gebruikt om het lidmaatschap van uw gebruiker te beheren, controleert u of de gebruiker deel uitmaakt van de groep, wat nodig is voor licentietoewijzing. Als dit niet het geval is, controleert u de verwerkingsstatus voor de lidmaatschapsregel van de dynamische groep.

  • In bepaalde situaties met hoge belasting kan het lang duren voordat licentiewijzigingen worden verwerkt voor groepen of lidmaatschapswijzigingen in groepen met bestaande licenties. Als het langer dan 24 uur duurt voordat uw wijzigingen de groepsgrootte van 60 K-gebruikers of minder verwerken, opent u een ondersteuningsticket om ons te laten onderzoeken.

  • Automatisering van licentiebeheer reageert niet automatisch op alle typen wijzigingen in de omgeving. U hebt bijvoorbeeld onvoldoende licenties, waardoor sommige gebruikers een foutstatus hebben. Als u het beschikbare aantal zitplaatsen wilt vrijmaken, kunt u enkele rechtstreeks toegewezen licenties van andere gebruikers verwijderen. Het systeem reageert echter niet automatisch op deze wijziging en lost gebruikers in die foutstatus op.

    Als tijdelijke oplossing voor dit soort beperkingen kunt u naar Microsoft Entra ID-groepen>> gaan en een groep > selecteren waarvoor licenties> zijn geselecteerd. Met deze opdracht worden alle gebruikers in die groep verwerkt en worden de foutstatussen, indien mogelijk, opgelost.

Volgende stappen

Voor meer informatie over scenario’s voor licentiebeheer via licenties op basis van groepen, raadpleegt u: