Cenários, limitações e problemas conhecidos com o uso de grupos para gerenciar o licenciamento no Microsoft Entra ID
Use as informações e exemplos a seguir para obter uma compreensão mais avançada do licenciamento baseado em grupo no Microsoft Entra ID, parte do Microsoft Entra.
Local de uso
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Alguns serviços da Microsoft não estão disponíveis em todos os locais. Para a atribuição de licenças de grupo, qualquer usuário sem um local de uso especificado herdará o local do diretório. Se você tiver usuários em localizações diferentes, reflita isso corretamente nos recursos de usuário antes de adicionar usuários a grupos com licenças. Para que uma licença possa ser atribuída a um usuário, a propriedade Local de uso precisa ser especificada nele pelo administrador.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Grupos.
Selecione ID do Microsoft Entra.
Acesse Usuários>Todos os usuários e selecione um usuário.
Selecione Editar propriedades.
Selecione a guia Configurações e insira um local para o usuário.
Selecione o botão Salvar.
Observação
A atribuição de licença de grupo nunca modificará um valor existente de localização de uso em um usuário. É recomendável sempre definir o local de uso como parte do fluxo de criação do usuário no Microsoft Entra ID (por exemplo, por meio da configuração do Microsoft Entra Connect). Seguir esse processo garante que o resultado da atribuição da licença esteja sempre correto e que os usuários não recebam os serviços em locais não permitidos.
Usar o licenciamento baseado em grupo com grupos de associação dinâmica
Você pode usar o licenciamento baseado em grupo com qualquer grupo de segurança, incluindo os grupos de associação dinâmica. As regras dos grupos de associação dinâmica são executadas em atributos de recursos do usuário para adicionar e remover os membros automaticamente. Atributos podem ser departamento, cargo, local de trabalho ou outro atributo personalizado. Cada grupo é atribuído com as licenças que você quer fornecer aos membros. Se um atributo for alterado, o membro deixará o grupo e as licenças serão removidas.
Você pode designar o atributo local e sincronizá-lo com o Microsoft Entra ID ou gerenciar o atributo diretamente na nuvem.
Aviso
Tenha cuidado ao modificar uma regra de associação de um grupo existente. Quando uma regra for alterada, a associação do grupo será reavaliada e os usuários que não correspondem mais à nova regra serão removidos (os usuários que ainda correspondem à nova regra não serão afetados durante esse processo). Esses usuários terão suas licenças removidas durante o processo, o que poderá resultar na perda de serviços ou, em alguns casos, na perda de dados.
Se você tiver um grupo dinâmico grande do qual depende para a atribuição de licença, considere a possibilidade de validar as alterações principais em um grupo de teste menor antes de aplicá-las ao grupo principal. Se você encontrar erros durante o teste, consulte Resolver problemas de licença de grupo.
Vários grupos e várias licenças
Um usuário pode ser membro de vários grupos com licenças. Estas são algumas coisas que você deve considerar:
Várias licenças para o mesmo produto podem se sobrepor e resultam na aplicação de todos os serviços habilitados ao usuário. Um exemplo pode ser o M365-P1 contendo os serviços fundamentais para implantar em todos os usuários e o M365-P2 contendo os serviços P2 para implantar apenas em alguns usuários. É possível adicionar um usuário a um grupo, ou a ambos os grupos, e usar apenas uma licença para o produto.
Selecione uma licença para exibir mais detalhes, incluindo as informações sobre quais serviços são habilitados ao usuário pela atribuição de licença de grupo.
As licenças diretas coexistem com as licenças de grupo
Quando um usuário herdar uma licença de um grupo, não será possível remover ou modificar diretamente essa licença nas propriedades do usuário. Você poderá alterar a atribuição de licença somente no grupo e as alterações serão propagadas para todos os membros do grupo. Se for necessário atribuir outros recursos a um usuário que tenha a licença de uma atribuição de licença de grupo, crie outro grupo para atribuir os outros recursos ao usuário.
Ao usar o licenciamento baseado em grupo, considere os seguintes cenários:
- Os membros do grupo herdam as licenças atribuídas ao grupo.
- As opções de licença para licenças baseadas em grupo devem ser alteradas no nível de grupo.
- Se for necessário atribuir diferentes opções de licença a um usuário, crie um novo grupo, atribua uma licença ao grupo e adicione o usuário a esse grupo.
- Se diferentes opções de licença para esse produto forem usadas em diferentes licenças baseadas em grupo, os usuários ainda usarão apenas uma licença de um produto.
Quando você usa a atribuição direta, são permitidas as seguintes operações:
- Licenças ainda não atribuídas por meio do licenciamento baseado em grupo poderão ser alteradas para um usuário individual.
- Também será possível habilitar outros serviços como parte da licença atribuída diretamente.
- Licenças atribuídas diretamente poderão ser removidas e não afetarão as licenças herdadas de um usuário.
Gerenciando novos serviços adicionados a produtos
Quando a Microsoft adicionar um novo serviço a um plano de licença de produto, por padrão ele será habilitado em todos os grupos aos quais você atribuiu a licença do produto. Os usuários na organização que estão inscritos em notificações sobre alterações do produto receberão emails antecipadamente, notificando sobre as próximas adições de serviço.
Como administrador, você pode examinar todos os grupos afetados pela alteração e tomar uma ação, como desabilitar o novo serviço em cada grupo. Por exemplo, se você criou grupos que direcionam apenas serviços específicos para implantação, reveja esses grupos e verifique se os serviços recém-adicionados estão desabilitados.
Este é um exemplo de como esse processo pode parecer:
Originalmente, você atribuiu o produto Microsoft 365 E5 a vários grupos. Um desses grupos, chamado Microsoft 365 E5 – apenas Exchange foi projetado para habilitar apenas o serviço Exchange Online (Plano 2) para seus membros.
Você recebeu uma notificação da Microsoft informando que o produto E5 será estendido com um novo serviço – o Microsoft Stream. Quando o serviço estiver disponível na organização, você poderá concluir as seguintes etapas:
Selecione ID do Microsoft Entra.
Selecione Cobrança>Licenças>Todos os produtos e selecione Microsoft 365 Enterprise E5e, em seguida, Grupos licenciados para exibir uma lista de todos os grupos com esse produto.
Selecione o grupo que você quer examinar (neste caso, Microsoft 365 E5 – apenas Exchange). A guia Licenças abre. Selecione a licença E5 para exibir todos os serviços habilitados.
Observação
O serviço Microsoft Stream foi automaticamente adicionado e habilitado nesse grupo, além do serviço Exchange Online:
Se você quiser desabilitar o novo serviço neste grupo, selecione o botão Salvar ao lado do serviço, e, selecione o botão Salvar para confirmar a alteração. O Microsoft Entra ID agora processará todos os usuários do grupo para aplicar a alteração e os novos usuários adicionados ao grupo não terão o serviço do Microsoft Stream.
Observação
Os usuários ainda podem ter o serviço habilitado por meio de alguma outra atribuição de licença (outro grupo do qual são membros ou uma atribuição de licença direta).
Se necessário, realize as mesmas etapas para outros grupos com esse produto atribuído.
Usar o PowerShell para ver quem tem licenças herdadas e diretas
Use um script do PowerShell para verificar se os usuários têm uma licença atribuída diretamente ou herdada de um grupo.
Execute o
Connect-MgGraph -Scopes "Organization.Read.All"
cmdlet para autenticar e conectar-se à sua organização usando o Microsoft Graph.O
Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname
pode ser usado para descobrir todas as licenças de produto provisionadas na organização do Microsoft Entra.Use o valor ServicePlanld na licença do seu interesse com este script do PowerShell. Uma lista preenche os usuários que tenham essa licença e as informações sobre como a licença é atribuída.
Usar os Logs de auditoria para monitorar as atividades de licenciamento baseado em grupo
Use os logs de auditoria do Microsoft Entra para ver todas as atividades relacionadas ao licenciamento baseado em grupo, incluindo:
- quem alterou licenças em grupos
- quando o sistema iniciou o processamento de uma alteração de licença de grupo e quando isso foi concluído
- quais alterações de licença foram feitas em um usuário como resultado de uma atribuição de licença de grupo.
Os logs de auditoria relacionados ao licenciamento baseado em grupo podem ser acessados nos logs de auditoria nas áreas Grupos ou Licenciamento do Microsoft Entra ID ou use as seguintes combinações de filtro dos principais logs de auditoria:
- Serviço: Diretório Principal
- Categoria: GroupManagement ou UserManagement
Descubra quem modificou uma licença
- Para ver os logs das alterações de licença de grupo, use as seguintes opções do filtro de Log de auditoria:
- Serviço: Diretório Principal
- Categoria: GroupManagement
- Atividade: Definir licença de grupo
- Selecione uma linha na tabela resultante para exibir os detalhes.
- Selecione a guia Propriedades Modificadas para ver os valores novos e antigos do contrato de licença.
O exemplo a seguir mostra as configurações de filtro listadas acima, e o filtro Destino definido para todos os grupos que começam com "EMS."
Para ver as alterações de licença de um usuário específico, use os seguintes filtros:
- Serviço: Diretório Principal
- Categoria: UserManagement
- Atividade: Alterar licença de usuário
Descobrir quando as alterações de grupo iniciaram e concluíram o processamento
Quando uma licença é alterada em um grupo, o Microsoft Entra ID começa a aplicar as alterações a todos os usuários mas as alterações podem levar algum tempo para processar.
- Para ver quando os grupos começaram o processamento, utilize os seguintes filtros:
- Serviço: Diretório Principal
- Categoria: GroupManagement
- Atividade: Iniciar a aplicação da licença baseada em grupo aos usuários
- Selecione uma linha na tabela resultante para exibir os detalhes.
- Selecione a guia Propriedades Modificadas para ver as alterações de licença que foram separadas para processamento.
- Use esses detalhes se você estiver fazendo várias alterações em um grupo e não tiver certeza de qual licença foi processada.
- O ator da operação é o Licenciamento Baseado em Grupo do Microsoft Entra, que é uma conta do sistema usada para executar todas as alterações de licença de grupo.
Para ver quando os grupos concluíram o processamento, altere o filtro Atividade para Concluir a aplicação da licença baseada em grupo aos usuários. Nesse caso, o campo Propriedades Modificadas campo contém um resumo dos resultados, o que é útil para verificar rapidamente se o processamento resultou em algum erro. Saída de exemplo:
Modified Properties ... Name : Result Old Value : [] New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];
Para ver o log completo de como um grupo foi processado, incluindo todas as alterações do usuário, adicione os seguintes filtros:
- Destino: Nome de grupo
- Iniciado Por (Ator): Licenciamento Baseado em Grupo do Microsoft Entra (diferencia maiúsculas de minúsculas)
- Intervalo de Datas (opcional): intervalo personalizado para saber quando um grupo específico iniciou e concluiu o processamento
Esta saída de exemplo mostra o início e o término do processamento de alteração da licença.
Excluir um grupo com uma licença atribuída
Não é possível excluir um grupo com uma licença ativa atribuída. Um administrador poderá excluir um grupo sem perceber que isso causará a remoção das licenças dos usuários. Por esse motivo, solicitamos que todas as licenças sejam removidas do grupo primeiro, antes que possa ser excluído.
Ao tentar excluir um grupo no portal, talvez você veja uma notificação de erro como esta:
Vá para a guia Licenças no grupo e verifique se há alguma licença atribuída. Em caso afirmativo, remova essas licenças e tente excluir o grupo novamente.
Você pode ver erros semelhantes ao tentar excluir o grupo por meio do PowerShell ou API do Graph. Se você estiver usando um grupo sincronizado do local, o Microsoft Entra Connect também poderá relatar erros se ocorrer falhas ao excluir o grupo no Microsoft Entra ID. Em todos esses casos, lembre-se de verificar se há licenças atribuídas ao grupo e remova-as primeiro.
Limitações e problemas conhecidos
Se você usa o licenciamento baseado em grupo, convém se familiarizar com a lista de limitações e problemas conhecidos a seguir.
Atualmente, o licenciamento baseado em grupo não dá suporte a grupos que contenham outros grupos (grupos aninhados). Se você aplicar uma licença a um grupo aninhado, somente os membros imediatos de primeiro nível do grupo terão as licenças aplicadas.
O recurso só pode ser usado com grupos de segurança e grupos do Microsoft 365 com securityEnabled=TRUE.
Quando as licenças são atribuídas ou modificadas para um grupo grande (por exemplo, 100.000 usuários), isso poderá afetar o desempenho. Especificamente, o volume de alterações geradas pela automação do Microsoft Entra poderá afetar negativamente o desempenho da sincronização de diretório entre o Microsoft Entra ID e os sistemas locais.
Se você estiver usando grupos de associação dinâmica para gerenciar a associação dos seus usuários, verifique se eles fazem parte do grupo, o que é necessário para a atribuição de licença. Caso contrário, verifique o status de processamento para a regra de associação do grupo dinâmico.
Em determinadas situações de carga alta, talvez demore muito tempo para processar alterações da licença para grupos ou alterações de associação a grupos com as licenças existentes. Se as alterações estiverem demorando mais de 24 horas para processar grupos com tamanho de 60 mil usuários ou menos, abra um tíquete de suporte para que possamos investigar.
Próximas etapas
Para saber mais sobre outros cenários de gerenciamento de licenças por meio de licenciamento baseado em grupo, confira:
- O que é licenciamento baseado em grupo no Microsoft Entra ID?
- Atribuir licenças a um grupo no Microsoft Entra ID
- Identificando e resolvendo problemas de licença para um grupo no Microsoft Entra ID
- Como migrar usuários licenciados individuais para o licenciamento baseado em grupo no Microsoft Entra ID
- Como migrar usuários entre licenças de produto usando o licenciamento baseado em grupo no Microsoft Entra ID