Compartilhar via


Identificar e resolver problemas de atribuição de licença para um grupo na ID do Microsoft Entra

Observação

A partir de 1º de setembro, o Centro de Administração do Microsoft Entra ID e o portal do Microsoft Azure não aceitarão mais a atribuição de licenças por meio das interfaces de usuário. Os administradores devem usar o Centro de administração do Microsoft 365 para gerenciar a atribuição de licenças a usuários e grupos. Esta atualização foi projetada para simplificar o processo de gerenciamento de licenças no ecossistema da Microsoft. Essa alteração é limitada à interface do usuário. O acesso à API e ao PowerShell permanece inalterado. Para ver diretrizes detalhadas sobre como atribuir licenças usando o Centro de administração do Microsoft 365, consulte os seguintes recursos:

O licenciamento baseado em grupo na ID do Microsoft Entra, parte do Microsoft Entra, introduz o conceito de usuários em um estado de erro de licenciamento. Este artigo explica os motivos pelos quais os usuários podem acabar nesse estado.

Quando você atribui licenças diretamente a usuários individuais, sem usar o licenciamento baseado em grupo, a operação de atribuição pode falhar por motivos relacionados à lógica de negócios. Por exemplo, pode haver um número insuficiente de licenças ou um conflito entre dois planos de serviço que não podem ser atribuídos ao mesmo tempo. O problema é relatado imediatamente para você.

Localizar erros de atribuição de licença

Quando você usa o licenciamento baseado em grupo, os mesmos erros podem ocorrer, mas eles ocorrem em segundo plano quando o serviço do Microsoft Entra atribui as licenças. Por esse motivo, os erros não podem ser comunicados a você imediatamente. Em vez disso, eles são registrados no objeto do usuário e relatados por meio do portal administrativo. A intenção original de licenciar o usuário nunca é perdida, mas é registrada em um estado de erro para investigação e resolução futuras. Você também pode usar os logs de auditoria para monitorar as atividades de licenciamento baseado em grupo.

Para encontrar usuários em um estado de erro em um grupo

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Licenças.

  2. Selecione ID do Microsoft Entra.

  3. Navegue até Cobrança>Licenças para abrir um painel no qual é possível ver e gerenciar todos os produtos licenciados na organização.

  4. Abra o grupo em sua página de visão geral e selecione Licenças. Uma notificação será exibida se houver usuários em um estado de erro.

    Captura de tela das mensagens de notificações de grupo e de erro.

  5. Selecione a notificação para abrir uma lista de todos os usuários afetados. Você pode selecionar cada usuário individualmente para ver mais detalhes.

    Captura de tela da lista de usuários no estado de erro de licenciamento de grupo.

  6. Para encontrar todos os grupos que contêm, pelo menos, um erro, na folha ID do Microsoft Entra, selecione Licenças e Visão geral. Uma caixa de informações é exibida quando grupos exigem sua atenção.

    Captura de tela de informações sobre grupos no estado de erro.

  7. Selecione a caixa para ver uma lista de todos os grupos com erros. Você pode selecionar cada grupo para obter mais detalhes.

    Captura de tela da lista de grupos com erros.

As seções a seguir fornecem uma descrição de cada problema em potencial e maneiras para tentar resolvê-lo.

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Não há licenças suficientes

Problema: não há licenças suficientes disponíveis para um dos produtos especificados no grupo. Você precisa adquirir mais licenças para o produto ou liberar as licenças não utilizadas de outros usuários ou grupos.

Para ver quantas licenças estão disponíveis, acesse Identidade>Cobrança>Licenças>Todos os produtos.

Para ver quais usuários e grupos estão consumindo licenças, selecione um produto. Em Usuários licenciados, você verá uma lista de todos os usuários que tiveram licenças atribuídas diretamente ou por meio de um ou mais grupos. Em Grupos licenciados, você verá todos os grupos que têm esses produtos atribuídos.

PowerShell: os cmdlets do PowerShell reportam esse erro como CountViolation.

Planos de serviço conflitante

Problema: um dos produtos especificados no grupo contém um plano de serviço que está em conflito com outro plano de serviço já atribuído ao usuário por meio de um produto diferente. Alguns planos de serviço são configurados de uma maneira que não possam ser atribuídos ao mesmo usuário que outro plano de serviço relacionado.

Dica

Anteriormente, o Exchange Online Plan1 e Plan2 eram exclusivos e não podiam ser duplicados. Agora, ambos os planos de serviço foram atualizados para permitirem a duplicação. Se você estiver enfrentando conflitos com esses planos de serviço, tente reprocessá-los.

A decisão de como resolver conflitantes licenças de produtos sempre pertence ao administrador. A ID do Microsoft Entra não resolve os conflitos de licenças automaticamente.

PowerShell: os cmdlets do PowerShell reportam esse erro como MutuallyExclusiveViolation.

Outros produtos dependem desta licença

Problema: um dos produtos especificados no grupo contém um plano de serviço que deve ser habilitado para que outro plano de serviço, em outro produto, funcione. Esse erro ocorre quando a ID do Microsoft Entra tenta remover o plano de serviço subjacente. Por exemplo, esse problema pode acontecer quando você remove o usuário do grupo.

Para resolver esse problema, você precisará garantir que o plano necessário ainda esteja atribuído aos usuários por meio de algum outro método ou que os serviços dependentes sejam desabilitados para esses usuários. Depois de fazer isso, você pode remover corretamente a licença de grupo dos usuários.

PowerShell: os cmdlets do PowerShell reportam esse erro como DependencyViolation.

O local de uso não é permitido

Problema: alguns serviços da Microsoft não estão disponíveis em todos os locais devido a leis e regulamentações locais. Para poder atribuir uma licença a um usuário, você deve especificar a propriedade Local de uso para o usuário. Você pode especificar o local na seção Edição>de Perfil>de Usuário no portal.

Quando a ID do Microsoft Entra tenta atribuir uma licença de grupo a um usuário cuja localização de uso não tem suporte, ela gera uma falha e registra esse erro no usuário.

Para resolver esse problema, remova os usuários locais sem suporte do grupo licenciado. Ou, se os valores atuais de local de uso não representarem o local real do usuário, você poderá modificá-los para que as licenças sejam atribuídas corretamente na próxima vez (se houver suporte para o novo local).

PowerShell: os cmdlets do PowerShell reportam esse erro como ProhibitedInUsageLocationViolation.

Observação

  • Quando a ID do Microsoft Entra atribui licenças de grupo, qualquer usuário sem uma localização de uso especificada herda a localização do diretório. A Microsoft recomenda que os administradores definam os valores de local de uso corretos nos usuários antes de usar o licenciamento baseado em grupo para cumprir as leis e regulamentos locais.
  • Os atributos de Nome, Sobrenome, Outro endereço de email e Tipo de usuário não são obrigatórios para atribuição de licença.

Remoção de licença de grupos de associação dinâmica com regras baseadas em licenças com um grupo estático inicial

Esse erro ocorre devido à adição e remoção de usuários de outro lote de grupos de associação dinâmica, devido à configuração em cascata de grupos de associação dinâmica com regras baseadas em licenças em um grupo estático inicial. Esse erro pode afetar vários grupos de associação dinâmica e exigir reprocessamento extensivo para restaurar o acesso.

Aviso

Ao alterar um grupo estático existente para um grupo dinâmico, todos os membros existentes serão removidos do grupo e, em seguida, a regra de associação será processada para adicionar novos membros. Se o grupo for utilizado para controlar o acesso a aplicativos ou recursos, observe os membros originais poderão perder o acesso até que a regra de associação seja totalmente processada.

É recomendável testar a nova regra de associação antes para garantir que a nova associação no grupo esteja conforme esperado. Se você encontrar erros durante o teste, consulte Usar logs de auditoria para monitorar a atividade de licenciamento baseado em grupo.

Endereços de proxy duplicados

Problema: se você usa o Exchange Online, alguns usuários em sua organização poderão estar configurados incorretamente com o mesmo valor de endereço proxy. Quando o licenciamento baseado em grupo tenta ceder uma licença para esse usuário, ele falha e mostra “O endereço Proxy já está sendo usado”.

Dica

Para ver se há um endereço de proxy duplicado, execute o seguinte cmdlet do PowerShell no Exchange Online:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

Para obter mais informações sobre esse problema, consulte a mensagem de erro "O endereço Proxy já está sendo usado" no Exchange Online. O artigo também inclui informações sobre como se conectar ao Exchange Online usando o PowerShell remoto.

Depois de solucionar quaisquer problemas de endereço proxy para os usuários afetados, force o processamento de licença no grupo para garantir que as licenças agora possam ser aplicadas.

Alteração dos atributos Email e ProxyAddresses da ID do Microsoft Entra

Problema: ao atualizar a atribuição de licença em um usuário ou um grupo, talvez você observe que os atributos Mail e ProxyAddresses da ID do Microsoft Entra de alguns usuários foram alterados.

Atualizar a atribuição de licença em um usuário faz com que o cálculo do endereço proxy seja disparado, o que pode alterar os atributos do usuário. Para entender o motivo exato da alteração e resolver o problema, confira este artigo sobre como o atributo proxyAddresses é preenchido na ID do Microsoft Entra.

LicenseAssignmentAttributeConcurrencyException em logs de auditoria

Problema: o usuário tem LicenseAssignmentAttributeConcurrencyException para a atribuição de licença nos logs de auditoria. Quando o licenciamento baseado em grupo tenta processar a atribuição de licença simultânea da mesma licença a um usuário, essa exceção é registrada no usuário. Normalmente, isso acontece quando um usuário é membro de mais de um grupo com a mesma licença atribuída. A ID do Microsoft Entra tenta processar novamente a licença do usuário até que o problema seja resolvido. Não é necessária nenhuma ação do cliente para corrigir esse problema.

Mais de uma licença de produto atribuída a um grupo

Você pode atribuir mais de uma licença de produto a um grupo. Por exemplo, você pode atribuir o Office 365 Enterprise E3 e o Enterprise Mobility + Security a um grupo para habilitar facilmente todos os serviços incluídos para os usuários.

Problema: o Microsoft Entra ID tenta atribuir todas as licenças especificadas no grupo a cada usuário. No entanto, se o Microsoft Entra ID encontrar problemas, como licenças insuficientes ou conflitos com outros serviços habilitados, ele também não atribuirá outras licenças no grupo. Você pode verificar quais usuários não foram atribuídos e quais produtos foram afetados por esse problema.

É importante observar que, ao atribuir licenças a um grupo, se não houver licenças disponíveis suficientes ou ocorrer um problema como planos de serviço que não podem ser atribuídos ao mesmo tempo, a atribuição ao grupo pode não ser concluída. Um exemplo é se não houver licenças suficientes para todos ou se houver conflitos com outros serviços que estejam habilitados para o usuário.

Uma possível solução alternativa para esse problema é criar grupos de associação dinâmica. Você pode criar grupos de associação dinâmica para atribuir licenças, como o Exchange Online, e usar um segundo grupo dinâmico com as mesmas regras de associação para aplicar licenças de pré-requisito. Em seguida, você pode atribuir essas licenças adicionais depois que o grupo inicial tiver aplicado a licença do Exchange Online aos usuários.

Se você encontrar erros de licenciamento, eles serão registrados no objeto de usuário e relatados por meio do portal do Azure para resolução. Para obter mais informações, consulte Exemplos de licenciamento baseados em grupo no PowerShell do Microsoft Graph.

Quando um grupo licenciado é excluído

Problema: você deve remover todas as licenças atribuídas a um grupo antes de excluir o grupo. No entanto, remover licenças de todos os usuários no grupo pode levar tempo. Ao remover atribuições de licença de um grupo, pode haver falhas se o usuário tem uma licença dependente atribuída ou se há um problema de conflito de endereço de proxy que proíbe a remoção da licença. Se um usuário tiver uma licença que é dependente de outra licença que está sendo removida devido à exclusão do grupo, a atribuição de licença ao usuário será convertida de herdada para direta.

Por exemplo, considere um grupo que tenha as licenças do Office 365 E3/E5 atribuídas com um plano de serviço Skype for Business habilitado. Imagine também que alguns membros do grupo têm licenças de conferência de áudio atribuídas diretamente. Quando o grupo é excluído, o licenciamento com base em grupo tentará remover as licenças do Office 365 E3/E5 de todos os usuários. Já que a conferência de áudio é dependente do Skype for Business, para todos os usuários com a conferência de áudio atribuída, o licenciamento com base em grupo converte as licenças do Office 365 E3/E5 para a atribuição de licença direta.

Gerenciar licenças para produtos com pré-requisitos

Alguns produtos da Microsoft Online que talvez você tenha são complementos. Complementos exigem que um plano de serviço de pré-requisito seja habilitado para um usuário ou um grupo antes que possam receber uma licença. Com o licenciamento baseado em grupo, o sistema exige que tanto os planos de serviço de complemento quanto os de pré-requisito estejam presentes no mesmo grupo. Isso é feito para garantir que qualquer usuário adicionado ao grupo possa receber o produto totalmente funcional. Considere o seguinte exemplo:

O Microsoft Workplace Analytics é um produto complementar. Contém um único plano de serviço com o mesmo nome. Você só pode atribuir esse plano de serviço a um usuário ou grupo quando um dos seguintes pré-requisitos também for atribuído:

  • Exchange Online (Plano 1)
  • Exchange Online (Plano 2)

Problema: se você tentar atribuir esse produto por conta própria a um grupo, o portal retornará uma mensagem de notificação. Se você selecionar os detalhes do item, ele mostrará a seguinte mensagem de erro:

“Falha na operação de licença. Certifique-se de que o grupo possua os serviços necessários, antes de adicionar ou remover um serviço dependente. O serviço Microsoft Workplace Analytics exige que o Exchange Online (Plano 2) seja habilitado também.

Para atribuir essa licença complementar a um grupo, é necessário garantir que o grupo também contenha o plano de serviço de pré-requisito. Por exemplo, o Microsoft Entra ID pode atualizar um grupo existente que já contém o produto completo do Office 365 E3 e, em seguida, adicionar o produto complemento a ele.

Também é possível criar um grupo independente que contenha apenas os produtos mínimos necessários para fazer o complemento funcionar. Ele pode ser usado para licenciar apenas os usuários selecionados para o produto complementar. Com base no exemplo anterior, você atribuiria os seguintes produtos ao mesmo grupo:

  • Office 365 Enterprise E3 com apenas o plano de serviço do Exchange Online (Plano 2) habilitado
  • Microsoft Workplace Analytics

De agora em diante, qualquer usuário adicionado a esse grupo consumirá uma licença do produto E3 e uma licença do produto Workplace Analytics. Ao mesmo tempo, esses usuários podem ser membros de outro grupo que lhes dê o produto E3 completo e eles ainda consumirão apenas uma licença para esse produto.

Dica

É possível criar vários grupos para cada plano de serviço de pré-requisito. Por exemplo, se você utilizar tanto o Office 365 Enterprise E1 quanto o Office 365 Enterprise E3 para seus usuários, você poderá criar dois grupos para licença do Microsoft Workplace Analytics: um que use E1 como pré-requisito e o outro que use E3. Isso permite que você distribua o complemento aos usuários E1 e E3 sem consumir licenças adicionais.

Forçar o processo de licença de grupo para solucionar erros

Problema: dependendo de quais etapas você adotou para resolver os erros, talvez seja necessário disparar manualmente o processamento de um grupo para atualizar o estado do usuário.

Por exemplo, se você tiver liberado algumas licenças removendo atribuições de licença diretas dos usuários, precisará disparar o processamento de grupos que falharam anteriormente para licenciar totalmente todos os membros usuários. Para reprocessar um grupo, vá para o painel de grupo, abra Licenças e, em seguida, selecione o botão Reprocessar na barra de ferramentas.

Forçar o processo de licença de usuário para solucionar erros

Problema: dependendo das etapas que você adotou para resolver os erros, talvez seja necessário disparar manualmente o processamento de um usuário para atualizar o estado dos usuários.

Por exemplo, depois de resolver o problema de endereço proxy duplicado para um usuário afetado, você precisará disparar o processamento do usuário. Para reprocessar um usuário, vá para o painel de usuário, abra Licenças e, em seguida, selecione o botão Reprocessar na barra de ferramentas.

Próximas etapas

Para saber mais sobre outros cenários de gerenciamento de licenças por meio de grupos, leia o seguinte: