Cenários, limitações e problemas conhecidos com o uso de grupos para gerenciar o licenciamento no Microsoft Entra ID

  • Artigo

Use as informações e exemplos a seguir para obter uma compreensão mais avançada do licenciamento baseado em grupo no Microsoft Entra ID, parte do Microsoft Entra.

Local de uso

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Alguns serviços da Microsoft não estão disponíveis em todos os locais. Para a atribuição de licenças de grupo, qualquer usuário sem um local de uso especificado herdará o local do diretório. Se você tiver usuários em localizações diferentes, reflita isso corretamente nos recursos de usuário antes de adicionar usuários a grupos com licenças. Para que uma licença possa ser atribuída a um usuário, a propriedade Local de uso precisa ser especificada nele pelo administrador.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.

  2. Selecione ID do Microsoft Entra.

  3. Acesse Usuários>Todos os usuários e selecione um usuário.

    Screenshot of the All users pane.

  4. Selecione Editar propriedades.

  5. Selecione a guia Configurações e insira um local para o usuário.

  6. Selecione o botão Salvar.

Observação

A atribuição de licença de grupo nunca modificará um valor existente de localização de uso em um usuário. É recomendável sempre definir o local de uso como parte do fluxo de criação do usuário no Microsoft Entra ID (por exemplo, por meio da configuração do Microsoft Entra Connect). Seguir esse processo garante que o resultado da atribuição da licença esteja sempre correto e que os usuários não recebam os serviços em locais não permitidos.

Usar o licenciamento baseado em grupo com grupos dinâmicos

Você pode usar o licenciamento baseado em grupo com qualquer grupo de segurança, incluindo os grupos dinâmicos. Os grupos dinâmicos executam regras nos atributos de recursos do usuário para adicionar e remover os membros automaticamente. Atributos podem ser departamento, cargo, local de trabalho ou outro atributo personalizado. Cada grupo é atribuído com as licenças que você quer fornecer aos membros. Se um atributo for alterado, o membro deixará o grupo e as licenças serão removidas.

Você pode designar o atributo local e sincronizá-lo com o Microsoft Entra ID ou gerenciar o atributo diretamente na nuvem.

Aviso

Tenha cuidado ao modificar uma regra de associação de um grupo existente. Quando uma regra for alterada, a associação do grupo será reavaliada e os usuários que não correspondem mais à nova regra serão removidos (os usuários que ainda correspondem à nova regra não serão afetados durante esse processo). Esses usuários terão suas licenças removidas durante o processo, o que poderá resultar na perda de serviços ou, em alguns casos, na perda de dados.

Se você tiver um grupo dinâmico grande do qual depende para a atribuição de licença, considere a possibilidade de validar as alterações principais em um grupo de teste menor antes de aplicá-las ao grupo principal.

Vários grupos e várias licenças

Um usuário pode ser membro de vários grupos com licenças. Estas são algumas coisas que você deve considerar:

  • Várias licenças para o mesmo produto podem se sobrepor e resultam na aplicação de todos os serviços habilitados ao usuário. Um exemplo pode ser o M365-P1 contendo os serviços fundamentais para implantar em todos os usuários e o M365-P2 contendo os serviços P2 para implantar apenas em alguns usuários. É possível adicionar um usuário a um grupo, ou a ambos os grupos, e usar apenas uma licença para o produto.

  • Selecione uma licença para exibir mais detalhes, incluindo as informações sobre quais serviços são habilitados ao usuário pela atribuição de licença de grupo.

As licenças diretas coexistem com as licenças de grupo

Quando um usuário herdar uma licença de um grupo, não será possível remover ou modificar diretamente essa licença nas propriedades do usuário. Você poderá alterar a atribuição de licença somente no grupo e as alterações serão propagadas para todos os membros do grupo. Se for necessário atribuir outros recursos a um usuário que tenha a licença de uma atribuição de licença de grupo, crie outro grupo para atribuir os outros recursos ao usuário.

Ao usar o licenciamento baseado em grupo, considere os seguintes cenários:

  • Os membros do grupo herdam as licenças atribuídas ao grupo.
  • As opções de licença para licenças baseadas em grupo devem ser alteradas no nível de grupo.
  • Se for necessário atribuir diferentes opções de licença a um usuário, crie um novo grupo, atribua uma licença ao grupo e adicione o usuário a esse grupo.
  • Se diferentes opções de licença para esse produto forem usadas em diferentes licenças baseadas em grupo, os usuários ainda usarão apenas uma licença de um produto.

Quando você usa a atribuição direta, são permitidas as seguintes operações:

  • Licenças ainda não atribuídas por meio do licenciamento baseado em grupo poderão ser alteradas para um usuário individual.
  • Também será possível habilitar outros serviços como parte da licença atribuída diretamente.
  • Licenças atribuídas diretamente poderão ser removidas e não afetarão as licenças herdadas de um usuário.

Gerenciando novos serviços adicionados a produtos

Quando a Microsoft adicionar um novo serviço a um plano de licença de produto, por padrão ele será habilitado em todos os grupos aos quais você atribuiu a licença do produto. Os usuários na organização que estão inscritos em notificações sobre alterações do produto receberão emails antecipadamente, notificando sobre as próximas adições de serviço.

Como administrador, você pode examinar todos os grupos afetados pela alteração e tomar uma ação, como desabilitar o novo serviço em cada grupo. Por exemplo, se você criou grupos que direcionam apenas serviços específicos para implantação, reveja esses grupos e verifique se os serviços recém-adicionados estão desabilitados.

Este é um exemplo de como esse processo pode parecer:

  1. Originalmente, você atribuiu o produto Microsoft 365 E5 a vários grupos. Um desses grupos, chamado Microsoft 365 E5 – apenas Exchange foi projetado para habilitar apenas o serviço Exchange Online (Plano 2) para seus membros.

  2. Você recebeu uma notificação da Microsoft informando que o produto E5 será estendido com um novo serviço – o Microsoft Stream. Quando o serviço estiver disponível na organização, você poderá concluir as seguintes etapas:

    1. Entre no centro de administração do Microsoft Entra

  4. Selecione ID do Microsoft Entra.

  5. Selecione Cobrança>Licenças>Todos os produtos e selecione Microsoft 365 Enterprise E5e, em seguida, Grupos licenciados para exibir uma lista de todos os grupos com esse produto.

  6. Selecione o grupo que você quer examinar (neste caso, Microsoft 365 E5 – apenas Exchange). A guia Licenças abre. Selecione a licença E5 para exibir todos os serviços habilitados.

    Observação

    O serviço Microsoft Stream foi automaticamente adicionado e habilitado nesse grupo, além do serviço Exchange Online:

    Screenshot of new service added to a group license.

  7. Se você quiser desabilitar o novo serviço neste grupo, selecione o botão Salvar ao lado do serviço, e, selecione o botão Salvar para confirmar a alteração. O Microsoft Entra ID agora processará todos os usuários do grupo para aplicar a alteração e os novos usuários adicionados ao grupo não terão o serviço do Microsoft Stream.

    Observação

    Os usuários ainda podem ter o serviço habilitado por meio de alguma outra atribuição de licença (outro grupo do qual são membros ou uma atribuição de licença direta).

  8. Se necessário, realize as mesmas etapas para outros grupos com esse produto atribuído.

Usar o PowerShell para ver quem tem licenças herdadas e diretas

Use um script do PowerShell para verificar se os usuários têm uma licença atribuída diretamente ou herdada de um grupo.

  1. Execute o Connect-MgGraph -Scopes "Organization.Read.All" cmdlet para autenticar e conectar-se à sua organização usando o Microsoft Graph.

  2. O Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname pode ser usado para descobrir todas as licenças de produto provisionadas na organização do Microsoft Entra.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Use o valor ServicePlanld na licença do seu interesse com este script do PowerShell. Uma lista preenche os usuários que tenham essa licença e as informações sobre como a licença é atribuída.

Usar os Logs de auditoria para monitorar as atividades de licenciamento baseado em grupo

Use os logs de auditoria do Microsoft Entra para ver todas as atividades relacionadas ao licenciamento baseado em grupo, incluindo:

  • quem alterou licenças em grupos
  • quando o sistema iniciou o processamento de uma alteração de licença de grupo e quando isso foi concluído
  • quais alterações de licença foram feitas em um usuário como resultado de uma atribuição de licença de grupo.

Os logs de auditoria relacionados ao licenciamento baseado em grupo podem ser acessados nos logs de auditoria nas áreas Grupos ou Licenciamento do Microsoft Entra ID ou use as seguintes combinações de filtro dos principais logs de auditoria:

  • Serviço: Diretório Principal
  • Categoria: GroupManagement ou UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Descubra quem modificou uma licença

  1. Para ver os logs das alterações de licença de grupo, use as seguintes opções do filtro de Log de auditoria:
    • Serviço: Diretório Principal
    • Categoria: GroupManagement
    • Atividade: Definir licença de grupo
  2. Selecione uma linha na tabela resultante para exibir os detalhes.
  3. Selecione a guia Propriedades Modificadas para ver os valores novos e antigos do contrato de licença.

O exemplo a seguir mostra as configurações de filtro listadas acima, e o filtro Destino definido para todos os grupos que começam com "EMS."

Screenshot of the Microsoft Entra audit logs including a Target filter.

Para ver as alterações de licença de um usuário específico, use os seguintes filtros:

  • Serviço: Diretório Principal
  • Categoria: UserManagement
  • Atividade: Alterar licença de usuário

Descobrir quando as alterações de grupo iniciaram e concluíram o processamento

Quando uma licença é alterada em um grupo, o Microsoft Entra ID começa a aplicar as alterações a todos os usuários mas as alterações podem levar algum tempo para processar.

  1. Para ver quando os grupos começaram o processamento, utilize os seguintes filtros:
    • Serviço: Diretório Principal
    • Categoria: GroupManagement
    • Atividade: Iniciar a aplicação da licença baseada em grupo aos usuários
  2. Selecione uma linha na tabela resultante para exibir os detalhes.
  3. Selecione a guia Propriedades Modificadas para ver as alterações de licença que foram separadas para processamento.
    • Use esses detalhes se você estiver fazendo várias alterações em um grupo e não tiver certeza de qual licença foi processada.
    • O ator da operação é o Licenciamento Baseado em Grupo do Microsoft Entra, que é uma conta do sistema usada para executar todas as alterações de licença de grupo.

Para ver quando os grupos concluíram o processamento, altere o filtro Atividade para Concluir a aplicação da licença baseada em grupo aos usuários. Nesse caso, o campo Propriedades Modificadas campo contém um resumo dos resultados, o que é útil para verificar rapidamente se o processamento resultou em algum erro. Saída de exemplo:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Para ver o log completo de como um grupo foi processado, incluindo todas as alterações do usuário, adicione os seguintes filtros:

  • Destino: Nome de grupo
  • Iniciado Por (Ator): Licenciamento Baseado em Grupo do Microsoft Entra (diferencia maiúsculas de minúsculas)
  • Intervalo de Datas (opcional): intervalo personalizado para saber quando um grupo específico iniciou e concluiu o processamento

Esta saída de exemplo mostra o início e o término do processamento de alteração da licença.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Excluir um grupo com uma licença atribuída

Não é possível excluir um grupo com uma licença ativa atribuída. Um administrador poderá excluir um grupo sem perceber que isso causará a remoção das licenças dos usuários. Por esse motivo, solicitamos que todas as licenças sejam removidas do grupo primeiro, antes que possa ser excluído.

Ao tentar excluir um grupo no portal, talvez você veja uma notificação de erro como esta:

Screenshot group deletion failed.

Vá para a guia Licenças no grupo e verifique se há alguma licença atribuída. Em caso afirmativo, remova essas licenças e tente excluir o grupo novamente.

Você pode ver erros semelhantes ao tentar excluir o grupo por meio do PowerShell ou API do Graph. Se você estiver usando um grupo sincronizado do local, o Microsoft Entra Connect também poderá relatar erros se ocorrer falhas ao excluir o grupo no Microsoft Entra ID. Em todos esses casos, lembre-se de verificar se há licenças atribuídas ao grupo e remova-as primeiro.

Limitações e problemas conhecidos

Se você usa o licenciamento baseado em grupo, convém se familiarizar com a lista de limitações e problemas conhecidos a seguir.

  • Atualmente, o licenciamento baseado em grupo não dá suporte a grupos que contenham outros grupos (grupos aninhados). Se você aplicar uma licença a um grupo aninhado, somente os membros imediatos de primeiro nível do grupo terão as licenças aplicadas.

  • O recurso só pode ser usado com grupos de segurança e grupos do Microsoft 365 com securityEnabled=TRUE.

  • O Centro de administração do Microsoft 365 atualmente não dá suporte ao licenciamento baseado em grupo. Se um usuário herdar uma licença de um grupo, essa licença aparecerá no portal de administração do Office como uma licença de usuário comum. Se você tentar modificar essa licença ou tentar remover a licença, o portal retornará uma mensagem de erro. Licenças herdadas de grupos não podem ser modificadas diretamente em um usuário.

  • Quando as licenças são atribuídas ou modificadas para um grupo grande (por exemplo, 100.000 usuários), isso poderá afetar o desempenho. Especificamente, o volume de alterações geradas pela automação do Microsoft Entra poderá afetar negativamente o desempenho da sincronização de diretório entre o Microsoft Entra ID e os sistemas locais.

  • Se você usando grupos dinâmicos para gerenciar a associação do usuário, verifique se o usuário faz parte do grupo, o que é necessário para a atribuição de licença. Caso contrário, verifique o status de processamento para a regra de associação do grupo dinâmico.

  • Em determinadas situações de carga alta, talvez demore muito tempo para processar alterações da licença para grupos ou alterações de associação a grupos com as licenças existentes. Se as alterações estiverem demorando mais de 24 horas para processar grupos com tamanho de 60 mil usuários ou menos, abra um tíquete de suporte para que possamos investigar.

  • A automação do gerenciamento de licenças não reage automaticamente a todos os tipos de alterações no ambiente. Por exemplo, você pode ficar sem licenças, colocando alguns usuários em um estado de erro. Para liberar a contagem de estações disponíveis, você pode remover algumas licenças atribuídas diretamente de outros usuários. No entanto, o sistema não reage automaticamente a essa alteração e corrige os usuários nesse estado de erro.

    Como solução alternativa para esses tipos de limitações, você poderá ir para Microsoft Entra ID>Grupos> selecionar um grupo > selecionar Licenças> selecionar Reprocessar. Esse comando processa todos os usuários nesse grupo e resolve os estados de erro, se possível.

Próximas etapas

Para saber mais sobre outros cenários de gerenciamento de licenças por meio de licenciamento baseado em grupo, confira: