Сценарии, ограничения и известные проблемы с помощью групп для управления лицензированием в идентификаторе Microsoft Entra

  • Статья

Используйте следующие сведения и примеры, чтобы получить более подробное представление о групповом лицензировании в идентификаторе Microsoft Entra, части Microsoft Entra.

Место использования

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Некоторые службы Майкрософт недоступны во всех расположениях. При назначении групповой лицензии все пользователи без указанного расположения использования наследуют расположение каталога. Если пользователи находятся в нескольких местах, это должно быть правильно обозначено в ресурсах пользователей до добавления пользователей в группы с лицензиями. Прежде чем назначать лицензию, администратор должен указать для пользователя свойство Место использования.

  1. Войдите в Центр администрирования Microsoft Entra как минимум группы Администратор istrator.

  2. Выберите Microsoft Entra ID.

  3. Перейдите ко >всем пользователям и выберите пользователя.

    Screenshot of the All users pane.

  4. Выберите Изменить свойства.

  5. Выберите вкладку Параметры и введите расположение для пользователя.

  6. Выберите кнопку Сохранить.

Примечание.

Назначение лицензии группе никогда не изменит существующее значение места использования для пользователя. Рекомендуется всегда задавать расположение использования как часть потока создания пользователя в идентификаторе Microsoft Entra (например, с помощью конфигурации Microsoft Entra Подключение). После такого процесса гарантируется, что результат назначения лицензии всегда правильный, и пользователи не получают службы в расположениях, которые не разрешены.

Лицензирование на основе группы с использованием динамических групп

Вы можете использовать групповое лицензирование с любой группой безопасности, включая динамические группы. Динамические группы выполняют правила для атрибутов ресурсов пользователя для автоматического добавления и удаления участников. Атрибуты могут быть отделом, названием задания, рабочим расположением или другим пользовательским атрибутом. Каждая группа назначает лицензии, которые должны получать участники. Если атрибут изменяется, член покидает группу, а лицензии удаляются.

Атрибут можно назначить локально и синхронизировать с идентификатором Microsoft Entra или управлять атрибутом непосредственно в облаке.

Предупреждение

При изменении правила членства в имеющейся группе следует соблюдать осторожность. После изменения правила для участия в группе применяются новые условия, и пользователи, которые больше не удовлетворяют условиям нового правила, будут удалены из группы (пользователи, которые по-прежнему соответствуют условиям нового правила, не будут затронуты во время этого процесса). Лицензии таких пользователей удаляются во время этого процесса, что может привести к прекращению обслуживания или, в некоторых случаях, к потере данных.

Если имеется крупная динамическая группа, от которой зависит назначение лицензии, рекомендуется проверить возможные значительные изменения на тестовой группе меньшего размера, прежде чем применять их к основной группе.

Несколько групп и несколько лицензий

Пользователь может быть участником нескольких групп с лицензиями. При этом нужно помнить о следующем:

  • При наличии нескольких лицензий на один продукт они могут перекрываться, что приведет к тому, что все включенные службы будут применены к пользователю. Примером может быть то, что M365-P1 содержит базовые службы для развертывания для всех пользователей, а M365-P2 содержит службы P2 для развертывания только для некоторых пользователей. Вы можете добавить пользователя в одну или обе группы и использовать только одну лицензию для продукта.

  • Выберите лицензию для просмотра дополнительных сведений, включая сведения о том, какие службы включены для пользователя назначением лицензии группы.

Совместное использование прямых лицензий с лицензиями группы

Когда пользователь наследует лицензию от группы, вы не можете напрямую удалить или изменить эту лицензию в свойствах пользователя. Вы можете изменить назначение лицензии только в группе, а изменения будут распространяться на всех участников группы. Если необходимо назначить другим функциям пользователя, имеющего лицензию на назначение групповой лицензии, необходимо создать другую группу, чтобы назначить другим функциям пользователя.

При использовании группового лицензирования рассмотрите следующие сценарии:

  • Члены группы наследуют лицензии, назначенные группе.
  • Параметры лицензии для лицензий на основе групп должны быть изменены на уровне группы.
  • Если пользователю необходимо назначить разные параметры лицензии, создайте новую группу, назначьте лицензию группе, а затем добавьте пользователя в эту группу.
  • Пользователи по-прежнему используют только одну лицензию продукта, если разные варианты лицензии для этого продукта используются в разных групповых лицензиях.

При использовании прямого назначения разрешены следующие операции:

  • Лицензии, которые еще не назначены через групповое лицензирование, можно изменить для отдельного пользователя.
  • Другие службы можно включить в рамках непосредственно назначенной лицензии.
  • Прямые назначенные лицензии можно удалить и не повлиять на унаследованные лицензии пользователя.

Управление новыми службами, добавляемыми в продукты

При добавлении новой службы в план лицензирования продукта она включена по умолчанию во всех группах, которым назначена лицензия на продукт. Пользователи в вашей организации, которые подписаны на уведомления об изменениях продукта, заранее получат по электронной почте сообщения с уведомлениями о предстоящем добавлении служб.

Администратор может просмотреть все группы, затронутые изменением, и принять соответствующие меры, например отключить новую службу в каждой группе. Например, при создании групп, предназначенных для развертывания только определенных служб, можно проверить эти группы и убедиться в том, что новые добавленные службы отключены.

Ниже приведен пример того, как выглядит этот процесс:

  1. Изначально вы назначили продукт Microsoft 365 E5 нескольким группам. Одна из этих групп, называемая Microsoft 365 E5 — Exchange предназначена только для включения только службы Exchange Online (план 2) для своих членов.

  2. Вы получили уведомление от корпорации Майкрософт, в котором сообщается, что продукт E5 будет дополнен новой службой — Microsoft Stream. Когда служба станет доступной в вашей организации, можно выполнить следующие действия.

    1. Вход в Центр администрирования Microsoft Entra

  4. Выберите Microsoft Entra ID.

  5. Выберите "Лицензии>выставления счетов>" Все продукты и выберите Microsoft 365 корпоративный E5, а затем выберите лицензированные группы, чтобы просмотреть список всех групп с этим продуктом.

  6. Выберите группу, которую вы хотите просмотреть (в этом случае Только Microsoft 365 E5 — Exchange). Откроется вкладка "Лицензии ". Выберите лицензию E5, чтобы просмотреть все включенные службы.

    Примечание.

    Служба Microsoft Stream автоматически добавлена и включена в этой группе, помимо службы Exchange Online:

    Screenshot of new service added to a group license.

  7. Если вы хотите отключить новую службу в этой группе, нажмите переключатель "Вкл./Выкл." рядом со службой и нажмите кнопку "Сохранить ", чтобы подтвердить изменение. Идентификатор Microsoft Entra теперь обрабатывает всех пользователей в группе, чтобы применить это изменение; у новых пользователей, добавленных в группу, не будет включена служба Microsoft Stream .

    Примечание.

    Пользователи по-прежнему могут активировать службу с помощью других назначений лицензий (посредством других групп, в которые они входят, или путем прямого назначения лицензий).

  8. При необходимости повторите эти действия для других групп, которым назначен этот продукт.

Использование PowerShell для просмотра пользователей с унаследованными и прямыми лицензиями

Чтобы проверить, назначена ли лицензия напрямую или унаследована от группы, можно использовать сценарий PowerShell.

  1. Connect-MgGraph -Scopes "Organization.Read.All" Запустите командлет для проверки подлинности и подключения к организации с помощью Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname можно использовать для обнаружения всех подготовленных лицензий на продукты в организации Microsoft Entra.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Используйте значение ServicePlanId для лицензии, которую вы хотите получить с помощью этого скрипта PowerShell. Список заполняет пользователей, имеющих эту лицензию, и сведения о назначении лицензии.

Использование журналов аудита для наблюдения за активностью лицензирования на основе групп

Журналы аудита Microsoft Entra можно использовать для просмотра всех действий, связанных с лицензированием на основе групп, в том числе:

  • кто изменил лицензии для групп;
  • когда система приступила к обработке изменения в лицензии для группы и когда она завершила обработку;
  • какие изменения были внесены в лицензию в результате назначения лицензии группе.

Журналы аудита, связанные с лицензированием на основе групп, можно получить из журналов аудита в областях групп или лицензирования идентификатора Microsoft Entra ID или использовать следующие сочетания фильтров из основных журналов аудита:

  • Служба: Основной каталог
  • Категория: GroupManagement или UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Узнайте, кто изменил лицензию

  1. Чтобы просмотреть журналы изменений лицензий группы, используйте следующие параметры фильтра журнала аудита:
    • Служба: Основной каталог
    • Категория: GroupManagement
    • Действие. Настройка лицензии группы
  2. Выберите строку в результирующей таблице, чтобы просмотреть сведения.
  3. Перейдите на вкладку "Измененные свойства", чтобы просмотреть старые и новые значения лицензионного соглашения.

В следующем примере показаны параметры фильтра, перечисленные выше, а также целевой фильтр, заданный для всех групп, начинающихся с "EMS".

Screenshot of the Microsoft Entra audit logs including a Target filter.

Чтобы просмотреть изменения лицензий для конкретного пользователя, используйте следующие фильтры:

  • Служба: Основной каталог
  • Категория: UserManagement
  • Действие. Изменение лицензии пользователя

Определение того, когда началась и завершилась обработка изменений

При изменении лицензии в группе идентификатор Microsoft Entra начнет применять изменения ко всем пользователям, но изменения могут занять некоторое время.

  1. Чтобы узнать, когда группы начали обработку, используйте следующие фильтры:
    • Служба: Основной каталог
    • Категория: GroupManagement
    • Действие. Начало применения лицензии на основе группы пользователям
  2. Выберите строку в результирующей таблице, чтобы просмотреть сведения.
  3. Перейдите на вкладку "Измененные свойства", чтобы просмотреть изменения лицензии, которые были выбраны для обработки.
    • Используйте эти сведения, если вы вносите несколько изменений в группу и не уверены, какая лицензия обработана.
    • Субъектом операции является лицензирование на основе группы Microsoft Entra, которая является системной учетной записью, которая используется для выполнения всех изменений лицензий группы.

Чтобы узнать, когда группы завершили обработку, измените фильтр действий на готовое применение лицензии на основе групп к пользователям. В этом случае поле "Измененные свойства" содержит сводку результатов, что полезно для быстрого проверка, если обработка привела к ошибкам. Образец вывода:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Чтобы просмотреть полный журнал обработки группы, включая все изменения пользователей, добавьте следующие фильтры:

  • Целевой объект: имя группы
  • Инициировано (субъект): лицензирование на основе группы Microsoft Entra (учитывает регистр)
  • Диапазон дат (необязательно): настраиваемый диапазон для того, когда вы знаете определенную группу, запущенную и завершенную обработку

В этом примере выходных данных показано начало и завершение обработки изменения лицензии.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Удаление группы с назначенной лицензией

Невозможно удалить группу с назначенной активной лицензией. Администратор может удалить группу, не осознавая, что она приведет к удалению лицензий от пользователей. По этой причине мы требуем, чтобы все лицензии были удалены из группы, прежде чем его можно удалить.

При попытке удалить группу на портале может появиться уведомление об ошибке следующим образом:

Screenshot group deletion failed.

Перейдите на вкладку Лицензии в группе и проверьте, нет ли назначенных лицензий. Если есть, удалите их и попытайтесь снова удалить группу.

Такая же ошибка может появиться при попытке удалить группу с помощью PowerShell или API Graph. Если вы используете группу, синхронизированную из локальной среды, Microsoft Entra Подключение также может сообщать об ошибках, если не удается удалить группу в идентификаторе Microsoft Entra. В таких случаях проверьте наличие лицензий, назначенных группе, и удалите их.

Известные проблемы и ограничения

При использовании лицензирования на основе группы мы рекомендуем ознакомиться со следующим списком ограничений и известных проблем.

  • Лицензирование на основе групп в настоящее время не поддерживает группы, содержащие другие группы (вложенные группы). Если применить лицензию к вложенной группе, она применяется только к участникам группы первого уровня.

  • Эту функцию можно использовать только с группами безопасности и группами Microsoft 365, в которых параметру securityEnabled присвоено значение TRUE.

  • В настоящее время Центр администрирования Microsoft 365 не поддерживает групповое лицензирование. Если пользователь наследует лицензию от группы, эта лицензия отображается на портале администрирования Office как обычная лицензия пользователя. При попытке изменить или удалить эту лицензию на портале появится сообщение об ошибке. Унаследованные лицензии группы нельзя изменять непосредственно на пользователя.

  • Если лицензии назначаются или изменяются для большой группы (например, 100 000 пользователей), это может повлиять на производительность. В частности, объем изменений, создаваемых автоматизацией Microsoft Entra, может негативно повлиять на производительность синхронизации каталогов между идентификатором Microsoft Entra и локальными системами.

  • Если вы используете динамические группы для управления членством пользователя, убедитесь, что пользователь является частью группы, которая необходима для назначения лицензий. Если нет, проверьте состояние обработки для правила членства динамической группы.

  • В некоторых ситуациях с большой нагрузкой изменение лицензий для групп или изменение состава групп с имеющимися лицензиями может выполняться длительное время. Если вы видите, что изменения занимают более 24 часов для обработки размера группы 60 K пользователей или меньше, откройте запрос в службу поддержки, чтобы разрешить нам исследовать.

  • Автоматизация управления лицензиями не реагирует автоматически на все типы изменений в среде. Например, у вас может быть недостаточно лицензий и некоторые пользователи будут находиться в состоянии ошибки. Чтобы освободить число доступных мест, вы можете удалить некоторые напрямую назначенные лицензии у других пользователей. Однако система не реагирует на это изменение и не исправляет пользователей в этом состоянии ошибки.

    В качестве обходного решения для этих типов ограничений можно перейти в группы> идентификаторов Microsoft Entra id>group select a group > select License select License> select Reprocess. После этого все пользователи в этой группе будут обработаны, и состояние ошибки будет устранено, если это возможно.

Следующие шаги

Дополнительные сведения о других сценариях управления лицензиями на основе группы см. в следующих статьях: