Scenariusze, ograniczenia i znane problemy związane z używaniem grup do zarządzania licencjonowaniem w usłudze Microsoft Entra ID

  • Artykuł

Skorzystaj z poniższych informacji i przykładów, aby uzyskać bardziej zaawansowaną wiedzę na temat licencjonowania opartego na grupach w usłudze Microsoft Entra ID, części firmy Microsoft Entra.

Lokalizacja użycia

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Niektóre usługi firmy Microsoft nie są dostępne we wszystkich lokalizacjach. W przypadku przypisania licencji grupy wszyscy użytkownicy bez określonej lokalizacji użycia dziedziczą lokalizację katalogu. Jeśli masz użytkowników w wielu lokalizacjach, przed dodaniem użytkowników do grup z licencjami upewnij się, że są one poprawnie odzwierciedlane w zasobach użytkowników. Przed przypisaniem licencji do użytkownika administrator powinien określić właściwość Lokalizacja użycia dla użytkownika.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator grup.

  2. Wybierz Microsoft Entra ID.

  3. Przejdź do pozycji Użytkownicy>Wszyscy użytkownicy i wybierz użytkownika.

    Screenshot of the All users pane.

  4. Wybierz pozycję Edytuj właściwości.

  5. Wybierz kartę Ustawienia i wprowadź lokalizację użytkownika.

  6. Wybierz przycisk zapisywania.

Uwaga

Przypisanie licencji grupy nigdy nie zmodyfikuje istniejącej wartości lokalizacji użycia dla użytkownika. Zalecamy, aby zawsze ustawiać lokalizację użycia w ramach przepływu tworzenia użytkownika w identyfikatorze Entra firmy Microsoft (na przykład za pośrednictwem konfiguracji microsoft Entra Połączenie). Wykonanie takiego procesu gwarantuje, że wynik przypisania licencji jest zawsze poprawny, a użytkownicy nie otrzymują usług w lokalizacjach, które nie są dozwolone.

Używanie licencjonowania opartego na grupach grup dynamicznych

Licencjonowanie oparte na grupach można używać z dowolną grupą zabezpieczeń, w tym grupami dynamicznymi. Grupy dynamiczne uruchamiają reguły względem atrybutów zasobów użytkownika, aby automatycznie dodawać i usuwać elementy członkowskie. Atrybutami mogą być dział, stanowisko, lokalizacja pracy lub inny atrybut niestandardowy. Każda grupa ma przypisane licencje, które mają być odbierane przez członków. Jeśli atrybut ulegnie zmianie, członek opuści grupę, a licencje zostaną usunięte.

Atrybut można przypisać lokalnie i zsynchronizować z identyfikatorem Entra firmy Microsoft lub zarządzać atrybutem bezpośrednio w chmurze.

Ostrzeżenie

Należy zachować ostrożność podczas modyfikowania reguły członkostwa istniejącej grupy. Gdy reguła zostanie zmieniona, członkostwo w grupie zostanie ponownie ocenione, a użytkownicy, którzy nie będą już zgodni z nową regułą, zostaną usunięci (użytkownicy, którzy nadal pasują do nowej reguły, nie będą mieć wpływu podczas tego procesu). Ci użytkownicy będą mieli usunięte licencje podczas procesu, co może spowodować utratę usługi lub w niektórych przypadkach utratę danych.

Jeśli masz dużą grupę dynamiczną, od której zależy przypisanie licencji, rozważ zweryfikowanie wszelkich istotnych zmian w mniejszej grupie testowej przed zastosowaniem ich do głównej grupy.

Wiele grup i wiele licencji

Użytkownik może być członkiem wielu grup z licencjami. Oto kilka kwestii do rozważenia:

  • Wiele licencji dla tego samego produktu może się nakładać i powoduje, że wszystkie włączone usługi są stosowane do użytkownika. Przykładem może być to, że M365-P1 zawiera podstawowe usługi do wdrożenia dla wszystkich użytkowników, a M365-P2 zawiera usługi P2 do wdrożenia tylko dla niektórych użytkowników. Możesz dodać użytkownika do jednej lub obu grup i użyć tylko jednej licencji dla produktu.

  • Wybierz licencję, aby wyświetlić więcej szczegółów, w tym informacje o tym, które usługi są włączone dla użytkownika przez przypisanie licencji grupy.

Licencje bezpośrednie współistnieją z licencjami grup

Gdy użytkownik dziedziczy licencję z grupy, nie można bezpośrednio usunąć ani zmodyfikować tej licencji we właściwościach użytkownika. Możesz zmienić przypisanie licencji tylko w grupie, a zmiany są następnie propagowane do wszystkich członków grupy. Jeśli musisz przypisać inne funkcje do użytkownika, który ma licencję z przypisania licencji grupy, musisz utworzyć inną grupę, aby przypisać inne funkcje do użytkownika.

W przypadku korzystania z licencjonowania opartego na grupach należy wziąć pod uwagę następujące scenariusze:

  • Członkowie grupy dziedziczą licencje przypisane do grupy.
  • Opcje licencji dla licencji opartych na grupach muszą zostać zmienione na poziomie grupy.
  • Jeśli do użytkownika należy przypisać różne opcje licencji, utwórz nową grupę, przypisz licencję do grupy, a następnie dodaj użytkownika do tej grupy.
  • Użytkownicy nadal używają tylko jednej licencji produktu, jeśli różne opcje licencji dla tego produktu są używane w różnych licencjach opartych na grupach.

W przypadku używania przypisania bezpośredniego dozwolone są następujące operacje:

  • Licencje, które nie zostały jeszcze przypisane za pośrednictwem licencjonowania opartego na grupach, można zmienić dla pojedynczego użytkownika.
  • Inne usługi można włączyć w ramach licencji przypisanej bezpośrednio.
  • Licencje przypisane bezpośrednio można usunąć i nie mają wpływu na dziedziczone licencje użytkownika.

Zarządzanie nowymi usługami dodanymi do produktów

Gdy firma Microsoft dodaje nową usługę do planu licencji produktu, jest ona domyślnie włączona we wszystkich grupach, do których przypisano licencję produktu. Użytkownicy w organizacji, którzy subskrybują powiadomienia o zmianach produktów, otrzymają wiadomości e-mail z wyprzedzeniem z powiadomieniem o nadchodzących dodanych usługach.

Jako administrator możesz przejrzeć wszystkie grupy objęte zmianą i podjąć działania, takie jak wyłączenie nowej usługi w każdej grupie. Jeśli na przykład utworzono grupy przeznaczone tylko dla określonych usług do wdrożenia, możesz ponownie przejrzeć te grupy i upewnić się, że wszystkie nowo dodane usługi są wyłączone.

Oto przykład tego, jak może wyglądać ten proces:

  1. Pierwotnie do kilku grup przypisano produkt Microsoft 365 E5 . Jedna z tych grup o nazwie Microsoft 365 E5 — program Exchange został zaprojektowany tylko w celu włączenia tylko usługi Exchange Online (plan 2) dla jej członków.

  2. Otrzymano powiadomienie od firmy Microsoft, że produkt E5 zostanie rozszerzony o nową usługę — Microsoft Stream. Gdy usługa stanie się dostępna w organizacji, możesz wykonać następujące kroki:

    1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra

  4. Wybierz Microsoft Entra ID.

  5. Wybierz pozycję Licencje>rozliczeniowe>Wszystkie produkty i wybierz pozycję Microsoft 365 Enterprise E5, a następnie wybierz pozycję Grupy licencjonowane, aby wyświetlić listę wszystkich grup z tym produktem.

  6. Wybierz grupę, którą chcesz przejrzeć (w tym przypadku microsoft 365 E5 — tylko program Exchange). Zostanie otwarta karta Licencje . Wybierz licencję E5, aby wyświetlić wszystkie włączone usługi.

    Uwaga

    Usługa Microsoft Stream została automatycznie dodana i włączona w tej grupie oprócz usługi Exchange Online:

    Screenshot of new service added to a group license.

  7. Jeśli chcesz wyłączyć nową usługę w tej grupie, wybierz przełącznik Włącz/Wyłącz obok usługi, a następnie wybierz przycisk Zapisz , aby potwierdzić zmianę. Identyfikator entra firmy Microsoft będzie teraz przetwarzać wszystkich użytkowników w grupie w celu zastosowania zmiany; wszyscy nowi użytkownicy dodani do grupy nie będą mieć włączonej usługi Microsoft Stream .

    Uwaga

    Użytkownicy mogą nadal mieć włączoną usługę za pośrednictwem innego przypisania licencji (innej grupy są członkami lub bezpośredniego przypisania licencji).

  8. W razie potrzeby wykonaj te same kroki dla innych grup z przypisanym produktem.

Użyj programu PowerShell, aby zobaczyć, kto odziedziczył i licencje bezpośrednie

Możesz użyć skryptu programu PowerShell, aby sprawdzić, czy użytkownicy mają przypisaną licencję bezpośrednio lub odziedziczoną z grupy.

  1. Uruchom polecenie cmdlet, Connect-MgGraph -Scopes "Organization.Read.All" aby uwierzytelnić się i nawiązać połączenie z organizacją przy użyciu programu Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname Może służyć do odnajdywania wszystkich aprowizowanych licencji produktów w organizacji Firmy Microsoft Entra.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Użyj wartości ServicePlanId dla licencji, którą interesujesz się tym skryptem programu PowerShell. Lista wypełnia użytkowników, którzy mają tę licencję i informacje o sposobie przypisywanej licencji.

Monitorowanie aktywności licencjonowania opartej na grupach za pomocą dzienników inspekcji

Dzienniki inspekcji firmy Microsoft Entra umożliwiają wyświetlanie wszystkich działań związanych z licencjonowaniem opartym na grupach, w tym:

  • kto zmienił licencje na grupy
  • kiedy system zaczął przetwarzać zmianę licencji grupy i po zakończeniu
  • jakie zmiany licencji zostały wprowadzone dla użytkownika w wyniku przypisania licencji grupy.

Dzienniki inspekcji związane z licencjonowaniem opartym na grupach można uzyskać z dzienników inspekcji w obszarach Grupy lub Licencjonowanie identyfikatora Entra firmy Microsoft lub użyć następujących kombinacji filtrów z głównych dzienników inspekcji:

  • Usługa: katalog podstawowy
  • Kategoria: GroupManagement lub UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Dowiedz się, kto zmodyfikował licencję

  1. Aby wyświetlić dzienniki zmian licencji grupy, użyj następujących opcji filtru dziennika inspekcji:
    • Usługa: katalog podstawowy
    • Kategoria: GroupManagement
    • Działanie: Ustawianie licencji grupy
  2. Wybierz wiersz w tabeli wynikowej, aby wyświetlić szczegóły.
  3. Wybierz kartę Zmodyfikowane właściwości , aby wyświetlić stare i nowe wartości umowy licencyjnej.

W poniższym przykładzie przedstawiono ustawienia filtru wymienione powyżej oraz filtr Docelowy ustawiony na wszystkie grupy rozpoczynające się od "EMS".

Screenshot of the Microsoft Entra audit logs including a Target filter.

Aby wyświetlić zmiany licencji dla określonego użytkownika, użyj następujących filtrów:

  • Usługa: katalog podstawowy
  • Kategoria: UserManagement
  • Działanie: Zmienianie licencji użytkownika

Dowiedz się, kiedy zmiany grupy rozpoczęły się i zakończyły przetwarzanie

Gdy licencja zmieni się w grupie, identyfikator Entra firmy Microsoft rozpocznie stosowanie zmian do wszystkich użytkowników, ale zmiany mogą zająć trochę czasu na przetworzenie.

  1. Aby zobaczyć, kiedy grupy zaczęły przetwarzać, użyj następujących filtrów:
    • Usługa: katalog podstawowy
    • Kategoria: GroupManagement
    • Działanie: Rozpocznij stosowanie licencji opartej na grupach dla użytkowników
  2. Wybierz wiersz w tabeli wynikowej, aby wyświetlić szczegóły.
  3. Wybierz kartę Zmodyfikowane właściwości , aby wyświetlić zmiany licencji, które zostały odebrane do przetworzenia.
    • Użyj tych szczegółów, jeśli wprowadzasz wiele zmian w grupie i nie masz pewności, która licencja jest przetworzona.
    • Aktorem operacji jest licencjonowanie oparte na grupach firmy Microsoft, które jest kontem systemowym używanym do wykonywania wszystkich zmian licencji grupy.

Aby zobaczyć, kiedy grupy zakończyły przetwarzanie, zmień filtr Działania na Zakończ stosowanie licencji opartej na grupie dla użytkowników. W tym przypadku pole Zmodyfikowane właściwości zawiera podsumowanie wyników, co jest przydatne do szybkiego sprawdzenia, czy przetwarzanie spowodowało błędy. Przykładowe dane wyjściowe:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Aby wyświetlić pełny dziennik dotyczący sposobu przetwarzania grupy, w tym wszystkich zmian użytkowników, dodaj następujące filtry:

  • Element docelowy: nazwa grupy
  • Zainicjowane przez (aktor): licencjonowanie oparte na grupach firmy Microsoft (z uwzględnieniem wielkości liter)
  • Zakres dat (opcjonalnie): zakres niestandardowy dla momentu rozpoczęcia i zakończenia przetwarzania określonej grupy

Te przykładowe dane wyjściowe pokazują początek i zakończenie przetwarzania zmiany licencji.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Usuwanie grupy z przypisaną licencją

Nie można usunąć grupy z przypisaną aktywną licencją. Administrator może usunąć grupę, która nie zdaje sobie sprawy, że spowoduje usunięcie licencji od użytkowników. Z tego powodu należy najpierw usunąć wszystkie licencje z grupy, zanim będzie można je usunąć.

Podczas próby usunięcia grupy w portalu może zostać wyświetlone powiadomienie o błędzie w następujący sposób:

Screenshot group deletion failed.

Przejdź do karty Licencje w grupie i sprawdź, czy istnieją przypisane licencje . Jeśli tak, usuń te licencje i spróbuj ponownie usunąć grupę.

Podczas próby usunięcia grupy za pomocą programu PowerShell lub interfejsu API programu Graph mogą wystąpić podobne błędy. Jeśli używasz grupy zsynchronizowanej ze środowiska lokalnego, firma Microsoft Entra Połączenie może również zgłaszać błędy, jeśli nie można usunąć grupy w identyfikatorze Entra firmy Microsoft. We wszystkich takich przypadkach upewnij się, że istnieją jakieś licencje przypisane do grupy, i usuń je najpierw.

Ograniczenia i znane problemy

Jeśli używasz licencjonowania opartego na grupach, warto zapoznać się z poniższą listą ograniczeń i znanych problemów.

  • Licencjonowanie oparte na grupach obecnie nie obsługuje grup zawierających inne grupy (grupy zagnieżdżone). Jeśli zastosujesz licencję do grupy zagnieżdżonej, zostanie ona przypisana tylko do użytkowników będących bezpośrednimi członkami pierwszego poziomu grupy.

  • Tej funkcji można używać tylko z grupami zabezpieczeń i grupami platformy Microsoft 365, które mają zabezpieczeniaEnabled=TRUE.

  • Centrum administracyjne platformy Microsoft 365 obecnie nie obsługuje licencjonowania opartego na grupach. Jeśli użytkownik dziedziczy licencję z grupy, ta licencja jest wyświetlana w portalu administracyjnym pakietu Office jako zwykła licencja użytkownika. Jeśli spróbujesz zmodyfikować tę licencję lub spróbujesz usunąć licencję, portal zwróci komunikat o błędzie. Dziedziczone licencje grup nie mogą być modyfikowane bezpośrednio dla użytkownika.

  • Gdy licencje są przypisywane lub modyfikowane dla dużej grupy (na przykład 100 000 użytkowników), może to mieć wpływ na wydajność. W szczególności ilość zmian generowanych przez automatyzację firmy Microsoft Entra może negatywnie wpłynąć na wydajność synchronizacji katalogów między identyfikatorem Entra firmy Microsoft i systemami lokalnymi.

  • Jeśli używasz grup dynamicznych do zarządzania członkostwem użytkownika, sprawdź, czy użytkownik jest częścią grupy, która jest niezbędna do przypisania licencji. Jeśli tak nie jest, sprawdź stan przetwarzania reguły członkostwa grupy dynamicznej.

  • W niektórych sytuacjach dużego obciążenia przetwarzanie zmian licencji dla grup lub zmian członkostwa w grupach z istniejącymi licencjami może zająć dużo czasu. Jeśli widzisz, że zmiany potrwają ponad 24 godziny, aby przetworzyć rozmiar grupy 60 K użytkowników lub mniej, otwórz bilet pomocy technicznej, aby umożliwić nam zbadanie.

  • Automatyzacja zarządzania licencjami nie reaguje automatycznie na wszystkie typy zmian w środowisku. Na przykład może zabrakło licencji, co może spowodować, że niektórzy użytkownicy będą w stanie błędu. Aby zwolnić dostępną liczbę miejsc, możesz usunąć niektóre bezpośrednio przypisane licencje od innych użytkowników. Jednak system nie reaguje automatycznie na tę zmianę i naprawia użytkowników w tym stanie błędu.

    Aby obejść te typy ograniczeń, możesz przejść do pozycji Grupy> identyfikatorów>entra firmy Microsoft, wybierając grupę>, wybierz pozycję Licencje> wybierz pozycję Przeprocesuj ponownie. To polecenie przetwarza wszystkich użytkowników w tej grupie i usuwa stany błędów, jeśli to możliwe.

Następne kroki

Aby dowiedzieć się więcej na temat innych scenariuszy zarządzania licencjami w ramach programu licencjonowania opartego na grupach, zobacz: