Partilhar via


Cenários, limitações e problemas conhecidos usando grupos para gerenciar o licenciamento no Microsoft Entra ID

Use as informações e exemplos a seguir para obter uma compreensão mais avançada do licenciamento baseado em grupo no Microsoft Entra ID, parte do Microsoft Entra.

Localização de utilização

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Alguns serviços da Microsoft não estão disponíveis em todos os locais. Para atribuição de licença de grupo, todos os usuários sem um local de uso especificado herdam o local do diretório. Se você tiver usuários em vários locais, certifique-se de refletir isso corretamente em seus recursos de usuário antes de adicionar usuários a grupos com licenças. Antes que uma licença possa ser atribuída a um usuário, o administrador deve especificar a propriedade Local de uso no usuário.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.

  2. Selecione Microsoft Entra ID.

  3. Vá para Usuários>Todos os usuários e selecione um usuário.

    Captura de ecrã do painel Todos os utilizadores.

  4. Selecione Editar propriedades.

  5. Selecione a guia Configurações e insira um local para o usuário.

  6. Selecione o botão Save.

Nota

A atribuição de licença de grupo nunca modificará um valor de local de uso existente em um usuário. Recomendamos que você sempre defina o local de uso como parte do fluxo de criação do usuário no Microsoft Entra ID (por exemplo, por meio da configuração do Microsoft Entra Connect ). Seguir esse processo garante que o resultado da atribuição de licença esteja sempre correto e que os usuários não recebam serviços em locais que não são permitidos.

Usar licenciamento baseado em grupo com grupos de associação dinâmicos

Você pode usar o licenciamento baseado em grupo com qualquer grupo de segurança, incluindo grupos de associação dinâmica. As regras para grupos dinâmicos de associação são executadas em relação aos atributos de recursos do usuário para adicionar e remover membros automaticamente. Os atributos podem ser departamento, cargo, local de trabalho ou outro atributo personalizado. A cada grupo são atribuídas as licenças que pretende que os membros recebam. Se um atributo for alterado, o membro deixará o grupo e as licenças serão removidas.

Você pode atribuir o atributo no local e sincronizá-lo com o Microsoft Entra ID ou pode gerenciar o atributo diretamente na nuvem.

Aviso

Tenha cuidado ao modificar a regra de associação de um grupo existente. Quando uma regra é alterada, a associação do grupo é reavaliada e os usuários que não correspondem mais à nova regra são removidos (os usuários que ainda correspondem à nova regra não são afetados durante esse processo). Esses usuários terão suas licenças removidas durante o processo, o que pode resultar em perda de serviço ou, em alguns casos, perda de dados.

Se você tiver um grupo dinâmico grande do qual depende para atribuição de licença, considere validar quaisquer alterações importantes em um grupo de teste menor antes de aplicá-las ao grupo principal. Se você encontrar erros durante o teste, consulte Resolver problemas de licença de grupo.

Vários grupos e várias licenças

Um usuário pode ser membro de vários grupos com licenças. Eis alguns pontos a ter em consideração:

  • Várias licenças para o mesmo produto podem se sobrepor e resultam em todos os serviços habilitados sendo aplicados ao usuário. Um exemplo pode ser que o M365-P1 contém os serviços fundamentais a serem implantados para todos os usuários e o M365-P2 contém os serviços P2 para implantar apenas para alguns usuários. Você pode adicionar um usuário a um ou ambos os grupos e usar apenas uma licença para o produto.

  • Selecione uma licença para exibir mais detalhes, incluindo informações sobre quais serviços são habilitados para o usuário pela atribuição de licença de grupo.

As licenças diretas coexistem com as licenças de grupo

Quando um usuário herda uma licença de um grupo, você não pode remover ou modificar diretamente essa licença nas propriedades do usuário. Você pode alterar a atribuição de licença somente no grupo e as alterações são propagadas para todos os membros do grupo. Se você precisar atribuir outros recursos a um usuário que tenha sua licença de uma atribuição de licença de grupo, deverá criar outro grupo para atribuir os outros recursos ao usuário.

Ao usar o licenciamento baseado em grupo, considere os seguintes cenários:

  • Os membros do grupo herdam licenças atribuídas ao grupo.
  • As opções de licença para licenças baseadas em grupo devem ser alteradas no nível do grupo.
  • Se for necessário atribuir diferentes opções de licença a um utilizador, crie um novo grupo, atribua uma licença ao grupo e, em seguida, adicione o utilizador a esse grupo.
  • Os usuários ainda usam apenas uma licença de um produto se diferentes opções de licença para esse produto forem usadas nas diferentes licenças baseadas em grupo.

Quando você usa a atribuição direta, as seguintes operações são permitidas:

  • As licenças ainda não atribuídas através do licenciamento baseado em grupo podem ser alteradas para um utilizador individual.
  • Outros serviços podem ser ativados, como parte de uma licença atribuída diretamente.
  • As licenças atribuídas diretamente podem ser removidas e não afetam as licenças herdadas de um utilizador.

Gerir novos serviços adicionados aos produtos

Quando a Microsoft adiciona um novo serviço a um plano de licença de produto, ele é habilitado por padrão em todos os grupos aos quais você atribuiu a licença do produto. Os usuários em sua organização que estão inscritos em notificações sobre alterações de produtos receberão e-mails com antecedência notificando-os sobre as próximas adições de serviço.

Como administrador, você pode revisar todos os grupos afetados pela alteração e tomar medidas, como desabilitar o novo serviço em cada grupo. Por exemplo, se você criou grupos direcionados apenas a serviços específicos para implantação, poderá revisitar esses grupos e certificar-se de que todos os serviços recém-adicionados estejam desabilitados.

Aqui está um exemplo de como esse processo pode parecer:

  1. Originalmente, você atribuiu o produto Microsoft 365 E5 a vários grupos. Um desses grupos, chamado Microsoft 365 E5 - Exchange only foi projetado para habilitar apenas o serviço Exchange Online (Plano 2) para seus membros.

  2. Você recebeu uma notificação da Microsoft de que o produto E5 será estendido com um novo serviço - Microsoft Stream. Quando o serviço estiver disponível em sua organização, você poderá concluir as seguintes etapas:

    1. Inicie sessão no Centro de administração do Microsoft Entra.
  3. Selecione Microsoft Entra ID.

  4. Selecione Licenças>de Faturação>Todos os produtos e selecione Microsoft 365 Enterprise E5 e, em seguida, selecione Grupos Licenciados para ver uma lista de todos os grupos com esse produto.

  5. Selecione o grupo que deseja revisar (neste caso, Microsoft 365 E5 - somente Exchange). A guia Licenças é aberta. Selecione a licença E5 para visualizar todos os serviços habilitados.

    Nota

    O serviço Microsoft Stream foi adicionado e habilitado automaticamente neste grupo, além do serviço Exchange Online :

    Captura de ecrã do novo serviço adicionado a uma licença de grupo.

  6. Se quiser desativar o novo serviço neste grupo, selecione a alternância Ativar/Desativar ao lado do serviço e selecione o botão Salvar para confirmar a alteração. O Microsoft Entra ID agora processará todos os usuários do grupo para aplicar a alteração; todos os novos usuários adicionados ao grupo não terão o serviço Microsoft Stream habilitado.

    Nota

    Os usuários ainda podem ter o serviço habilitado por meio de alguma outra atribuição de licença (outro grupo do qual são membros ou uma atribuição direta de licença).

  7. Se necessário, execute as mesmas etapas para outros grupos com este produto atribuído.

Use o PowerShell para ver quem herdou e direcionou licenças

Você pode usar um script do PowerShell para verificar se os usuários têm uma licença atribuída diretamente ou herdada de um grupo.

  1. Execute o cmdlet para autenticar e conectar-se à sua organização usando o Connect-MgGraph -Scopes "Organization.Read.All" Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname pode ser usado para descobrir todas as licenças de produtos provisionados na organização do Microsoft Entra.

    Captura de tela do cmdlet Get-MgSubscribedSku.

  3. Use o valor ServicePlanId para a licença em que você está interessado com este script do PowerShell. Uma lista preenche os usuários que têm essa licença e informações sobre como a licença é atribuída.

Usar logs de auditoria para monitorar a atividade de licenciamento baseada em grupo

Você pode usar os logs de auditoria do Microsoft Entra para ver todas as atividades relacionadas ao licenciamento baseado em grupo, incluindo:

  • quem alterou licenças em grupos
  • quando o sistema começou a processar uma alteração de licença de grupo e quando ela terminou
  • quais alterações de licença foram feitas a um usuário como resultado de uma atribuição de licença de grupo.

Os logs de auditoria relacionados ao licenciamento baseado em grupo podem ser acessados a partir dos logs de auditoria nas áreas Grupos ou Licenciamento do Microsoft Entra ID ou usar as seguintes combinações de filtros dos logs de auditoria principais:

  • Serviço: Core Directory
  • Categoria: GroupManagement ou UserManagement

Captura de ecrã dos registos de auditoria do Microsoft Entra com as opções de filtro Core Directory e GroupManagement realçadas.

Descubra quem modificou uma licença

  1. Para ver os logs de alterações de licença de grupo, use as seguintes opções de filtro de log de auditoria:
    • Serviço: Core Directory
    • Categoria: GroupManagement
    • Atividade: Definir licença de grupo
  2. Selecione uma linha na tabela resultante para visualizar os detalhes.
  3. Selecione a guia Propriedades modificadas para ver os valores antigos e novos do contrato de licença.

O exemplo a seguir mostra as configurações de filtro listadas acima, além do filtro Target definido para todos os grupos que começam com "EMS".

Captura de tela dos logs de auditoria do Microsoft Entra, incluindo um filtro de destino.

Para ver as alterações de licença de um usuário específico, use os seguintes filtros:

  • Serviço: Core Directory
  • Categoria: UserManagement
  • Atividade: Alterar a licença do usuário

Descubra quando as alterações de grupo começaram e terminaram o processamento

Quando uma licença é alterada em um grupo, a ID do Microsoft Entra começará a aplicar as alterações a todos os usuários, mas as alterações podem levar tempo para serem processadas.

  1. Para ver quando os grupos começaram a processar, use os seguintes filtros:
    • Serviço: Core Directory
    • Categoria: GroupManagement
    • Atividade: Comece a aplicar a licença baseada em grupo aos usuários
  2. Selecione uma linha na tabela resultante para visualizar os detalhes.
  3. Selecione a guia Propriedades modificadas para ver as alterações de licença que foram coletadas para processamento.
    • Use esses detalhes se estiver fazendo várias alterações em um grupo e não tiver certeza de qual licença foi processada.
    • O ator da operação é o Licenciamento Baseado em Grupo do Microsoft Entra, que é uma conta do sistema usada para executar todas as alterações de licença de grupo.

Para ver quando os grupos terminaram o processamento, altere o filtro Atividade para Concluir a aplicação da licença baseada em grupo aos usuários. Nesse caso, o campo Propriedades modificadas contém um resumo dos resultados, que é útil para verificar rapidamente se o processamento resultou em erros. Saída de exemplo:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Para ver o log completo de como um grupo foi processado, incluindo todas as alterações do usuário, adicione os seguintes filtros:

  • Destino: Nome do grupo
  • Iniciado por (ator): Licenciamento baseado em grupo do Microsoft Entra (diferencia maiúsculas de minúsculas)
  • Intervalo de datas (opcional): intervalo personalizado para quando você sabe que um grupo específico iniciou e concluiu o processamento

Esta saída de exemplo mostra o início e o fim do processamento da alteração de licença.

Captura de ecrã dos filtros de registo de auditoria do Microsoft Entra e das horas de início e fim das alterações de licença.

Eliminar um grupo com uma licença atribuída

Não é possível excluir um grupo com uma licença ativa atribuída. Um administrador pode excluir um grupo sem perceber que isso fará com que as licenças sejam removidas dos usuários. Por esse motivo, exigimos que todas as licenças sejam removidas do grupo primeiro, antes que possam ser excluídas.

Ao tentar excluir um grupo no portal, você pode ver uma notificação de erro como esta:

Falha na exclusão do grupo de capturas de tela.

Vá para a guia Licenças no grupo e veja se há alguma licença atribuída. Se sim, remova essas licenças e tente excluir o grupo novamente.

Você pode ver erros semelhantes ao tentar excluir o grupo por meio do PowerShell ou da API do Graph. Se você estiver usando um grupo sincronizado localmente, o Microsoft Entra Connect também poderá relatar erros se não estiver conseguindo excluir o grupo na ID do Microsoft Entra. Em todos esses casos, certifique-se de verificar se há licenças atribuídas ao grupo e remova-as primeiro.

Problemas conhecidos e de limitações

Se você usa o licenciamento baseado em grupo, é uma boa ideia se familiarizar com a seguinte lista de limitações e problemas conhecidos.

  • Atualmente, o licenciamento baseado em grupo não suporta grupos que contenham outros grupos (grupos aninhados). Se aplicar uma licença a um grupo aninhado, apenas os membros utilizadores de primeiro nível do grupo têm as licenças aplicadas.

  • O recurso só pode ser usado com grupos de segurança e grupos do Microsoft 365 que tenham securityEnabled=TRUE.

  • Quando as licenças são atribuídas ou modificadas para um grupo grande (por exemplo, 100.000 usuários), isso pode afetar o desempenho. Especificamente, o volume de alterações geradas pela automação do Microsoft Entra pode afetar negativamente o desempenho da sincronização de diretórios entre o Microsoft Entra ID e os sistemas locais.

  • Se você estiver usando grupos de associação dinâmica para gerenciar as associações de usuários, verifique se o usuário faz parte do grupo, o que é necessário para a atribuição de licença. Caso contrário, verifique o estado de processamento para a regra de associação do grupo dinâmico.

  • Em determinadas situações de alta carga, pode levar muito tempo para processar alterações de licença para grupos ou alterações de associação para grupos com licenças existentes. Se você vir que suas alterações levam mais de 24 horas para processar o tamanho do grupo de 60 mil usuários ou menos, abra um tíquete de suporte para nos permitir investigar.

Próximos passos

Para saber mais sobre outros cenários para gestão de licenças através do licenciamento baseado no grupo, veja: