Exercício – alterar atribuições de licença de grupo

  • 10 minutos

Alterar a atribuição de licença de grupo

  1. Navegue até a página Identidade - Grupos do Centro de administração Microsoft Entra.

  2. Na navegação à esquerda, em Grupos.

  3. Selecione um dos grupos disponíveis. Por exemplo, Marketing.

  4. No painel de navegação esquerdo, em Gerenciar, selecione Licenças.

  5. Examine as atribuições atuais e, no menu, selecione + Atribuições.

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. Na página Atualizar atribuições de licença, selecione outra licença, desmarque a seleção de uma licença existente e, em seguida, adicione ou remova opções de licença ou qualquer combinação.

  7. Ao concluir, selecione Salvar.

  8. Na página Licenças do grupo, examine a alteração.

Identificar e resolver problemas de atribuição de licença para um grupo na ID do Microsoft Entra

O licenciamento baseado em grupo no Microsoft Entra ID introduz o conceito de usuários em um estado de erro de licenciamento. Nesta seção, explicaremos os motivos pelos quais os usuários podem acabar tendo esse estado.

Quando você atribui licenças diretamente a usuários individuais, sem usar o licenciamento baseado em grupo, a operação de atribuição pode falhar. Por exemplo, quando você executa o cmdlet Set-MgUserLicense do PowerShell em um objeto de usuário, o cmdlet pode falhar por vários motivos relacionados à lógica de negócios. Por exemplo, pode haver um número insuficiente de licenças ou um conflito entre dois planos de serviço que não podem ser atribuídos ao mesmo tempo. O problema é relatado imediatamente para você.

Quando você está usando o licenciamento baseado em grupo, os mesmos erros podem ocorrer, mas eles acontecem em segundo plano, enquanto o serviço do Microsoft Entra está atribuindo licenças. Por esse motivo, os erros não podem ser comunicados a você imediatamente. Em vez disso, eles são registrados no objeto do usuário e relatados por meio do portal administrativo. Observe que a intenção original de licenciar o usuário nunca é perdida, mas é registrada em um estado de erro para investigação e resolução futuras.

Localizar erros de atribuição de licença

Para encontrar usuários em um estado de erro em um grupo

  1. Abra o grupo em sua página de visão geral e selecione Licenças. Uma notificação será exibida se houver usuários em um estado de erro.

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. Selecione a notificação para abrir uma lista de todos os usuários afetados. Você pode selecionar cada usuário individualmente para ver mais detalhes.

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. Para encontrar todos os grupos que contenham pelo menos um erro, no menu Microsoft Entra - Identidade - Cobrança selecione Licenças e, em seguida, Visão Geral. Uma caixa de informações é exibida quando grupos exigem sua atenção.

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. Selecione a caixa para ver uma lista de todos os grupos com erros. Você pode selecionar cada grupo para obter mais detalhes.

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

As seções a seguir dão uma descrição de cada problema possível e a maneira de resolvê-lo.

Não há licenças suficientes

Problema: não há licenças suficientes disponíveis para um dos produtos especificados no grupo. Você precisa adquirir mais licenças para o produto ou liberar as licenças não utilizadas de outros usuários ou grupos.

Para ver quantas licenças estão disponíveis, vá para Microsoft Entra - Identidade - Cobrança , Licenças e Todos os produtos.

Para ver quais usuários e grupos estão consumindo licenças, selecione um produto. Em Usuários licenciados, você verá todos os usuários que tiveram licenças atribuídas diretamente ou por meio de um ou mais grupos. Em Grupos licenciados, você verá todos os grupos com essas licenças de produtos atribuídas.

PowerShell: os cmdlets do PowerShell reportam esse erro como CountViolation.

Planos de serviço em conflito

Problema: um dos produtos especificados no grupo contém um plano de serviço que está em conflito com outro plano de serviço que já está atribuído ao usuário por meio de um produto diferente. Alguns planos de serviço são configurados de uma maneira que não possam ser atribuídos ao mesmo usuário que outro plano de serviço relacionado.

Considere o exemplo a seguir. Um usuário tem uma licença para o Office 365 Enterprise E1 atribuída diretamente, com todos os planos habilitados. O usuário foi adicionado a um grupo que tem o Office 365 Enterprise E3 produto atribuído a ele. O produto E3 contém planos de serviço que não sobrepõem os planos inclusos no E1, assim, ocorre uma falha na atribuição da licença de grupo com o erro Conflito nos planos de serviço. Neste exemplo, os planos de serviço conflitantes são:

  • SharePoint Online (plano 2) está em conflito com o SharePoint Online (plano 1).
  • O Exchange Online (plano 2) está em conflito com o Exchange Online (plano 1).

Para resolver esse conflito, você precisa desabilitar dois dos planos. Você pode desabilitar a licença de E1 está diretamente atribuída ao usuário. Ou você precisa modificar a atribuição de licença do grupo inteiro e desabilitar os planos na licença E3. Como alternativa, você pode decidir remover a licença de E1 do usuário se ela é redundante no contexto da licença E3.

A decisão de como resolver conflitantes licenças de produtos sempre pertence ao administrador. A ID do Microsoft Entra não resolve os conflitos de licenças automaticamente.

PowerShell: os cmdlets do PowerShell reportam esse erro como MutuallyExclusiveViolation.

Outros produtos dependem desta licença

Problema: um dos produtos especificados no grupo contém um plano de serviço que deve ser habilitado para outro plano de serviço em outro produto para funcionar. Esse erro ocorre quando a ID do Microsoft Entra tenta remover o plano de serviço subjacente. Por exemplo, isso pode acontecer quando você remove o usuário do grupo.

Para resolver esse problema, você precisará garantir que o plano necessário ainda esteja atribuído aos usuários por meio de algum outro método ou que os serviços dependentes sejam desabilitados para esses usuários. Depois de fazer isso, você pode remover corretamente a licença de grupo dos usuários.

PowerShell: os cmdlets do PowerShell reportam esse erro como DependencyViolation.

O local de uso não é permitido

Problema: alguns serviços da Microsoft não estão disponíveis em todos os locais devido a leis e regulamentações locais. Para poder atribuir uma licença a um usuário, você deve especificar a propriedade Local de uso para o usuário. Você pode especificar o local na seção Usuário, escolhendo Perfil e Editar no portal do Azure.

Quando a ID do Microsoft Entra tenta atribuir uma licença de grupo a um usuário cuja localização de uso não tem suporte, ela gera uma falha e registra esse erro no usuário.

Para resolver esse problema, remova os usuários locais sem suporte do grupo licenciado. Como alternativa, se os valores atuais de local de uso não representarem o local real do usuário, você poderá modificá-los para que as licenças sejam atribuídas corretamente na próxima vez (se houver suporte para o novo local).

PowerShell: os cmdlets do PowerShell reportam esse erro como ProhibitedInUsageLocationViolation.

Observação

Quando a ID do Microsoft Entra atribui licenças de grupo, qualquer usuário sem uma localização de uso especificada herda a localização do diretório. É recomendável que os administradores definam os valores de local de uso corretos nos usuários antes de usar o licenciamento baseado em grupo para cumprir as leis e regulamentações locais.

Endereços de proxy duplicados

Se você usar o Exchange Online, alguns usuários em sua organização poderão estar configurados incorretamente com o mesmo valor de endereço do proxy. Quando o licenciamento baseado em grupo tenta ceder uma licença para esse usuário, ele falha e mostra “O endereço proxy já está sendo usado”.

Depois de resolver qualquer problema de endereço de proxy para os usuários afetados, force o processamento de licença no grupo para garantir que as licenças agora possam ser aplicadas.

Alteração do atributo Microsoft Entra Mail e ProxyAddresses

Problema: Ao atualizar a atribuição de licença em um usuário ou grupo, você poderá ver que o atributo Microsoft Entra Mail e ProxyAddresses de alguns usuários foram alterados.

Atualizar a atribuição de licença em um usuário faz com que o cálculo do endereço proxy seja disparado, o que pode alterar os atributos do usuário.

LicenseAssignmentAttributeConcurrencyException em logs de auditoria

Problema: o usuário tem LicenseAssignmentAttributeConcurrencyException para a atribuição de licença nos logs de auditoria. Quando o licenciamento baseado em grupo tenta processar a atribuição de licença simultânea da mesma licença a um usuário, essa exceção é registrada no usuário. Isso normalmente acontece quando um usuário é membro de mais de um grupo com a mesma licença atribuída. O Microsoft Entra ID tentará processar novamente a licença de usuário e resolverá o problema. Não é necessária nenhuma ação do cliente para corrigir esse problema.

Mais de uma licença de produto atribuída a um grupo

Você pode atribuir mais de uma licença de produto a um grupo. Por exemplo, você pode atribuir o Office 365 Enterprise E3 e o Enterprise Mobility + Security a um grupo para habilitar facilmente todos os serviços incluídos para os usuários.

A ID do Microsoft Entra tenta atribuir todas as licenças que são especificadas no grupo para cada usuário. Se a ID do Microsoft Entra não puder atribuir um dos produtos devido a problemas de lógica de negócios, ele não atribuirá outras licenças no grupo também. Um exemplo é se não houver licenças suficientes para todos ou se houver conflitos com outros serviços que estejam habilitados no usuário.

Você pode ver os usuários que não foram atribuídos e verificar quais produtos são afetados por esse problema.

Quando um grupo licenciado é excluído

Você deve remover todas as licenças atribuídas a um grupo antes de poder excluí-lo. No entanto, remover licenças de todos os usuários no grupo pode levar tempo. Pode haver falhas se o usuário tiver uma licença dependente atribuída. Se um usuário tiver uma licença que é dependente de outra licença que está sendo removida devido à exclusão do grupo, a atribuição de licença ao usuário será convertida de herdada para direta.

Por exemplo, considere um grupo que tenha as licenças do Office 365 E3/E5 atribuídas com um plano de serviço Skype for Business habilitado. Imagine também que alguns membros do grupo têm licenças de conferência de áudio atribuídas diretamente. Quando o grupo é excluído, o licenciamento com base em grupo tentará remover as licenças do Office 365 E3/E5 de todos os usuários. Já que a conferência de áudio é dependente do Skype for Business, para todos os usuários com a conferência de áudio atribuída, o licenciamento com base em grupo converte as licenças do Office 365 E3/E5 para a atribuição de licença direta.

Gerenciar licenças para produtos com pré-requisitos

Alguns produtos da Microsoft Online que talvez você tenha são complementos. Complementos exigem que um plano de serviço de pré-requisito seja habilitado para um usuário ou um grupo antes que possam receber uma licença. Com o licenciamento baseado em grupo, o sistema requer que ambos os planos de serviço de pré-requisito e complemento estejam presentes no mesmo grupo para garantir que todos os usuários adicionados ao grupo possam receber o produto funcionando completamente. Considere o seguinte exemplo:

O Microsoft Workplace Analytics é um produto complementar. Contém um único plano de serviço com o mesmo nome. Somente podemos atribuir esse plano de serviço um usuário ou grupo, quando um dos seguintes pré-requisitos também é atribuído:

  • Exchange Online (Plano 1)
  • Exchange Online (Plano 2)

Se tentarmos atribuir esse produto sozinho a um grupo, o portal retornará uma mensagem de notificação. Se selecionarmos os detalhes, a seguinte mensagem de erro será exibida:

Falha na operação de licença. Certifique-se de que o grupo possua os serviços necessários, antes de adicionar ou remover um serviço dependente. O serviço Microsoft Workplace Analytics exige que o Exchange Online (Plano 2) também seja habilitado.

Para atribuir essa licença complementar a um grupo, é necessário garantir que o grupo também contenha o plano de serviço de pré-requisito. Por exemplo, é possível atualizar um grupo existente que já contenha o produto Office 365 E3 completo e adicionar o produto complementar a ele.

Também é possível criar um grupo independente que contenha apenas os produtos mínimos necessários para fazer o complemento funcionar. Em seguida, ele pode ser usado para licenciar apenas os usuários selecionados para o produto complementar. Com base no exemplo anterior, você atribuiria os seguintes produtos ao mesmo grupo:

  • Office 365 Enterprise E3 com apenas o plano de serviço do Exchange Online (Plano 2) habilitado
  • Microsoft Workplace Analytics

De agora em diante, qualquer usuário adicionado a esse grupo consumirá uma licença do produto E3 e uma licença do produto Workplace Analytics. Ao mesmo tempo, esses usuários podem ser membros de outro grupo que lhes dê o produto E3 completo e eles ainda consumirão apenas uma licença para esse produto.

Dica

É possível criar vários grupos para cada plano de serviço de pré-requisito. Por exemplo, se você utilizar tanto o Office 365 Enterprise E1 quanto o Office 365 Enterprise E3 para seus usuários, você poderá criar dois grupos para licença do Microsoft Workplace Analytics: um que use E1 como pré-requisito e o outro que use E3. Isso permite que você distribua o complemento aos usuários E1 e E3 sem consumir licenças adicionais.

Forçar o processo de licença de grupo para resolver erros

Dependendo de quais etapas você executou para resolver os erros, talvez seja necessário disparar manualmente o processamento de um grupo para atualizar o estado do usuário.

Por exemplo, se você tiver liberado algumas licenças removendo atribuições de licença diretas dos usuários, precisará disparar o processamento de grupos que falharam anteriormente para licenciar totalmente todos os membros usuários. Para reprocessar um grupo, vá para o painel de grupo, abra Licenças e, em seguida, selecione o botão Reprocessar na barra de ferramentas.

Forçar o processo de licença de usuário para resolver erros

Dependendo de quais etapas você executou para resolver os erros, talvez seja necessário disparar manualmente o processamento de um usuário para atualizar o estado dos usuários.

Por exemplo, depois de resolver o problema de endereço proxy duplicado para um usuário afetado, você precisará disparar o processamento do usuário. Para reprocessar um usuário, vá para o painel de usuário, abra Licenças e, em seguida, selecione o botão Reprocessar na barra de ferramentas.

Como migrar usuários com licenças individuais para licenças de grupo

Você pode ter licenças existentes implantadas para usuários em organizações via “atribuição direta”, ou seja, usando scripts do PowerShell ou outras ferramentas para atribuir licenças de usuário individuais. Antes de começar a usar o licenciamento baseado em grupo para gerenciar licenças em sua organização, você pode usar esse plano de migração para substituir diretamente as soluções existentes com o licenciamento baseado em grupo.

Tenha em mente que você deve evitar uma situação em que a migração para o licenciamento baseado em grupo faça com que os usuários percam temporariamente suas licenças atualmente atribuídas. Deve-se evitar qualquer processo que pode resultar na remoção de licenças, a fim de remover o risco de os usuários perderem o acesso aos serviços e a seus dados.

  1. Você tem a automação existente (por exemplo, PowerShell) gerenciando a atribuição e a remoção de licenças para usuários. Deixe-o em execução como está.

  2. Crie um novo grupo de licenciamento (ou decida quais grupos existentes serão usados) e verifique se todos os usuários necessários foram adicionados como membros.

  3. Atribua as licenças necessárias para esses grupos; sua meta deve ser refletir o estado de licenciamento mesmo que sua automação existente (por exemplo, PowerShell) esteja sendo aplicada aos usuários.

  4. Verifique se as licenças foram aplicadas a todos os usuários nesses grupos. Esta aplicação pode ser feita verificando o estado de processamento em cada grupo e conferindo os logs de auditoria.

    • Você pode executar uma verificação aleatória de alguns usuários individuais examinando os detalhes da licença. Você verá que eles têm as licenças atribuídas "diretamente" e "herdadas" de grupos.
    • Você pode executar um script do PowerShell para verificar como as licenças são atribuídas a usuários.
    • Quando a mesma licença do produto é atribuída para o usuário diretamente e por meio de um grupo, apenas uma licença é consumida pelo usuário. Portanto, não há nenhuma licença adicional é necessária para realizar uma migração.

  5. Verifique se nenhuma atribuição de licença falhou ao verificar cada grupo de usuários em estado de erro.

Considere remover as atribuições diretas originais. É recomendável que você o faça gradualmente e monitore o resultado em um subconjunto de usuários primeiro. Se você deixar as atribuições diretas originais nos usuários, quando os usuários saírem dos grupos licenciados, eles manterão as licenças atribuídas diretamente, algo que provavelmente você não vai querer.

Um exemplo

Uma organização tem 1.000 usuários. Todos os usuários exigem licenças do Office 365 Enterprise E3. Atualmente, a organização tem um script do PowerShell em execução local, adicionando e removendo licenças de usuários à medida que elas entram e saem. No entanto, a organização deseja substituir o script pelo licenciamento baseado em grupo para que as licenças possam ser gerenciadas automaticamente pelo Microsoft Entra ID.

Veja como deve se parecer o processo de migração:

  1. Usando o portal do Azure, atribua a licença do Office 365 E3 ao grupo Todos os usuários no Microsoft Entra ID.

  2. Confirme se a atribuição de licença foi concluída para todos os usuários. Vá até a página Visão Geral do grupo, selecione Licenças e verifique o status de processamento na parte superior da página Licenças.

    • Procure "As alterações mais recentes de licença foram aplicadas a todos os usuários" para confirmar que o processamento foi concluído.
    • Procure uma notificação na parte superior sobre quaisquer usuários para os quais as licenças talvez não tenham sido atribuídas com êxito. Nós não temos mais licenças para alguns usuários? Alguns usuários têm planos de licenças conflitantes que os impedem de herdar as licenças de grupo?

  3. Você precisa verificar alguns usuários para ver se eles têm as licenças diretas ou de grupo aplicadas. Vá até a página de perfil de um usuário, selecione Licenças e examine o estado das licenças.

    • Este é o estado do usuário esperado durante a migração:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. Depois de confirmar que as licenças direta e de grupo são equivalentes, você poderá começar a remover as licenças diretas dos usuários. É possível testar isso removendo-as para usuários individuais no portal e, em seguida, executar scripts de automação para removê-las em massa. Este é um exemplo do mesmo usuário com as licenças diretas removidas por meio do portal. Observe que o estado da licença permanece inalterado, mas não vemos mais as atribuições diretas.

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Alterar atribuições de licença para um usuário ou grupo no Microsoft Entra ID

Esta seção descreve como mover usuários e grupos entre planos de licença de serviço no Microsoft Entra ID. A meta é garantir que não haja perda de serviço ou de dados durante a alteração da licença. Os usuários devem alternar entre os serviços diretamente. As etapas de atribuição do plano de licença nesta seção descrevem a alteração de um usuário ou grupo no Office 365 E1 para o Office 365 E3, mas as etapas se aplicam a todos os planos de licença. Quando você atualiza as atribuições de licença para um usuário ou grupo, as remoções de atribuição de licença e as novas atribuições são feitas simultaneamente para que os usuários não percam o acesso aos seus serviços durante as alterações de licença ou observem conflitos de licença entre os planos.

Antes de atualizar as atribuições de licença, verifique se determinadas pressuposições são verdadeiras para todos os usuários ou grupos a serem atualizados. Se as suposições não forem verdadeiras para todos os usuários em um grupo, a migração poderá falhar para alguns. Como resultado, alguns dos usuários poderão perder o acesso a serviços ou dados. Verifique se:

  • Os usuários têm o plano de licença atual atribuído a um grupo e herdado pelo usuário e não atribuído diretamente.
  • Você tem licenças suficientes disponíveis para o plano de licença que está atribuindo. Se você não tiver licenças suficientes, talvez alguns usuários não sejam atribuídos ao novo plano de licença. É possível verificar o número de licenças disponíveis.
  • Sempre confirme se os usuários não têm licenças de serviço atribuídas que podem entrar em conflito com a licença desejada ou impedir a remoção da licença de atual. Por exemplo, uma licença de um serviço como o Workplace Analytics ou o Project Online que tenha uma dependência em outros serviços.
  • Se você gerenciar grupos locais e sincronizá-los no Microsoft Entra ID por meio do Microsoft Entra Connect, você adicionará ou removerá usuários usando seu sistema local. Pode levar algum tempo para que as alterações sejam sincronizadas com o Microsoft Entra ID para serem selecionadas por licenciamento de grupo.
  • Se você estiver usando associações de grupo dinâmicas do Microsoft Entra, adicione ou remova usuários alterando seus atributos, mas o processo de atualização para atribuições de licença permanece o mesmo.