Упражнение — изменение назначений лицензий группы

  • 10 мин

Изменение назначений лицензий группам

  1. Перейдите на страницу "Удостоверения — группы" центра администрирования Microsoft Entra.

  2. В области навигации слева в разделе "Группы".

  3. Выберите одну из доступных групп. Например, Marketing.

  4. В области навигации слева в разделе Управление (Manage) выберите Лицензии (Licenses).

  5. Просмотрите текущие назначения, а затем в меню выберите + Назначения (Assignments).

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. На странице "Обновление назначений лицензий" выберите другую лицензию, отмените выбор существующей лицензии, добавьте или удалите параметры лицензии или выберите любую другую комбинацию.

  7. Когда все будет готово, нажмите кнопку ОК.

  8. Проверьте изменение на странице лицензий группы.

Определение и устранение проблем с назначением лицензий для группы в идентификаторе Microsoft Entra

Групповое лицензирование в идентификаторе Microsoft Entra представляет концепцию пользователей в состоянии ошибки лицензирования. В этой статье рассматриваются причины, вызывающие данное состояние.

При назначении лицензий непосредственно отдельным пользователям без использования группового лицензирования операция назначения может завершиться ошибкой. Например, при выполнении командлета Set-MgUserLicense PowerShell в объекте пользователя командлет может завершиться ошибкой по многим причинам, связанным с бизнес-логикой. Например, может быть недостаточно лицензий или возникнуть конфликт между двумя планами обслуживания, которые невозможно назначить одновременно. О проблеме немедленно сообщается вам.

При использовании группового лицензирования могут возникать те же ошибки, но они происходят в фоновом режиме, пока служба Microsoft Entra назначает лицензии. По этой причине ошибки не могут быть сообщены вам немедленно. Вместо этого они записываются в объект пользователя, а затем передаются через портал администрирования. Исходное намерение лицензирования пользователя никогда не теряется, но оно записывается в состояние ошибки для последующего исследования и разрешения.

Поиск ошибок назначения лицензий

Поиск пользователей в состоянии ошибки в группе

  1. Откройте группу на странице обзора и выберите Licenses (лицензии). Если есть пользователи с состоянием ошибки, в разделе "Лицензии" появится уведомление.

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. Выберите уведомление, чтобы открыть список всех затронутых пользователей. Вы можете выбрать каждого пользователя по отдельности, чтобы просмотреть дополнительные сведения.

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. Чтобы найти все группы, содержащие по крайней мере одну ошибку, в меню "Удостоверение Майкрософт — удостоверение - выставление счетов " выберите "Лицензии" и выберите " Обзор". Когда группы требуют вашего внимания, отображается информационное поле.

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. Установите флажок, чтобы просмотреть список всех групп с ошибками. Для получения дополнительных сведений можно выбрать каждую группу.

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

В следующих разделах описываются все возможные проблемы и способы их устранения.

Недостаточно лицензий

Проблема: недостаточно доступных лицензий для одного из продуктов, указанных в группе. Необходимо либо приобрести дополнительные лицензии для продукта, либо забрать неиспользуемые лицензии у других пользователей или групп.

Чтобы узнать, сколько лицензий доступно, перейдите к Microsoft Entra — Identity — Billing, а затем Лицензии, а затем все продукты.

Чтобы узнать, какие пользователи и группы потребляют лицензии, выберите продукт. В разделе Лицензированные пользователи отображается список всех пользователей, которым назначены лицензии напрямую или через одну или несколько групп. В разделе "Лицензированные группы" отображаются все группы с назначенными лицензиями на продукты.

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке CountViolation.

Планы обслуживания, которые конфликтуют

Проблема: один из продуктов, определенный в группе, содержит план обслуживания, конфликтующий с другим планом, назначенным пользователю в другом продукте. Некоторые планы обслуживания настроены таким образом, что их нельзя назначить тому же пользователю, как другой связанный план обслуживания.

Рассмотрим следующий пример. У пользователя есть лицензия на Office 365 корпоративный E1, назначенная напрямую и со всеми включенными планами. Пользователь был добавлен в группу, которой назначен Office 365 корпоративный E3. Продукт E3 содержит планы обслуживания, которые не должны пересекаться с планами, включенными в лицензию E1, поэтому групповое назначение лицензии завершится ошибкой Конфликтующие планы обслуживания. В этом примере конфликтуют такие планы обслуживания:

  • SharePoint Online (план 2) конфликтует с SharePoint Online (план 1).
  • Exchange Online (план 2) конфликтует с Exchange Online (план 1).

Чтобы решить этот конфликт, необходимо отключить два плана. Можно отключить лицензию E1, которая назначена пользователю напрямую. Либо необходимо изменить назначение лицензии всей группы и отключить планы в лицензии E3. Можно также удалить лицензию E1 у пользователя, если она является избыточной в контексте лицензии E3.

Решение о том, как решить конфликт лицензий на продукты, всегда принимается администратором. Идентификатор Microsoft Entra не разрешает конфликты лицензий автоматически.

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке MutuallyExclusiveViolation.

Другие продукты зависят от этой лицензии

Проблема: один из продуктов, указанных в группе, содержит план обслуживания, который нужно включить для другого плана обслуживания в другом продукте, чтобы он заработал. Эта ошибка возникает, когда идентификатор Microsoft Entra пытается удалить базовый план обслуживания. Например, это может произойти при удалении пользователя из группы.

Чтобы решить эту проблему, нужно убедиться, что необходимый план по-прежнему назначен пользователям с помощью другого метода или что зависимые службы отключены для этих пользователей. После этого можно правильно удалить лицензию группы у этих пользователей.

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке DependencyViolation.

Место использования не разрешено

Проблема: некоторые службы Майкрософт доступны не во всех расположениях из-за требований местного законодательства. Перед назначением лицензии пользователю необходимо указать свойство Место использования для пользователя. Расположение можно указать, последовательно выбрав Пользователь, Профиль, Изменить на портале Azure.

Когда идентификатор Microsoft Entra пытается назначить лицензию группы пользователю, расположение которого не поддерживается, он завершается ошибкой и записывает ошибку на пользователя.

Чтобы устранить эту проблему, удалите пользователей из неподдерживаемых расположений из лицензированной группы. Как вариант, если текущие значения места использования не представляют фактическое расположение пользователя, вы можете изменить их так, чтобы лицензии были правильно назначены в следующий раз (если новое расположение поддерживается).

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке ProhibitedInUsageLocationViolation.

Примечание.

Когда идентификатор Microsoft Entra назначает лицензии группы, все пользователи без указанного расположения использования наследуют расположение каталога. Мы рекомендуем администраторам задать правильные значения места использования для пользователей перед использованием группового лицензирования в соответствии с локальными законами и нормативными актами.

Дублирование адресов прокси-сервера

Если вы используете Exchange Online, для некоторых пользователей в вашем клиенте может быть ошибочно настроено одно и то же значение адреса прокси-сервера. Если при групповом лицензировании производится попытка назначить лицензию такому пользователю, она завершается сбоем, и появляется сообщение "Proxy address is already being used".

После устранения проблем с прокси-адресами для затронутых пользователей обязательно выполните принудительную обработку лицензий для группы, чтобы убедиться, что лицензии теперь можно применять.

Изменение атрибута Microsoft Entra Mail и ProxyAddresses

Проблема. При обновлении назначения лицензий для пользователя или группы может возникнуть изменение атрибута Microsoft Entra Mail и ProxyAddresses некоторых пользователей.

Обновление назначения лицензий для пользователя вызывает срабатывание вычисления адреса прокси-сервера, что может изменить атрибуты пользователя.

LicenseAssignmentAttributeConcurrencyException в журналах аудита

Проблема: у пользователя есть LicenseAssignmentAttributeConcurrencyException для назначения лицензии в журналах аудита. Если групповое лицензирование пытается обработать одновременное назначение лицензии для одного пользователя, это исключение записывается на пользователя. Обычно это происходит, когда пользователь входит в несколько групп с одной и той же назначенной лицензией. Идентификатор Microsoft Entra повторит обработку лицензии пользователя и устранит проблему. Для решения этой проблемы не требуется никаких действий от клиента.

Группе назначено более одной лицензии на продукт.

Группе можно назначить несколько лицензий на продукт. Например, вы можете назначить группе Office 365 корпоративный E3 и Enterprise Mobility + Security, чтобы легко включить для пользователей все включенные службы.

Идентификатор Microsoft Entra пытается назначить все лицензии, указанные в группе каждому пользователю. Если идентификатор Microsoft Entra ID не может назначить один из продуктов из-за проблем бизнес-логики, он не назначит другие лицензии в группе. Например, если лицензий недостаточно для всех или есть конфликты с другими службами, включенными для пользователя.

Вы можете просмотреть пользователей, которым не удалось получить назначения, и проверить, какие продукты затронула эта проблема.

При удалении лицензированной группы

Перед удалением группы необходимо удалить все назначенные ей лицензии. Однако удаление лицензий для всех пользователей в группе может занять некоторое время. Если пользователю назначена зависимая лицензия, могут возникнуть сбои. Если у пользователя есть лицензия, которая зависит от лицензии, удаляемой из-за удаления группы, назначение лицензии пользователю преобразуется из наследуемого в прямое.

Например, рассмотрим группу, у которой есть Office 365 E3/E5 с включенным планом обслуживания Skype для бизнеса. Кроме того, предположим, что несколько участников группы имеют назначенные напрямую лицензии для аудиоконференций. Групповое лицензирование при удалении группы попытается удалить Office 365 E3/E5 для всех пользователей. Поскольку аудиоконференции зависят от Skype для бизнеса, для всех пользователей с назначением для аудиоконференций групповое лицензирование преобразует лицензии Office 365 E3/E5 в прямое назначение лицензий.

Управление лицензиями для продуктов с предварительными требованиями

Некоторые продукты Microsoft Online, которые могут принадлежать вам, являются надстройками. Для надстроек требуется включить предварительный план обслуживания для пользователя или группы, прежде чем им может быть назначена лицензия. При лицензировании на основе групп система требует, чтобы в одной группе присутствовали планы обслуживания необходимых компонентов и надстроек, чтобы пользователи, которые добавлены в группу, могли получить полный рабочий продукт. Рассмотрим следующий пример.

Microsoft Workplace Analytics — это надстройка. Он содержит одиночный план обслуживания с тем же именем. Этот план службы можно назначить только пользователю или группе, если также назначено одно из следующих предварительных условий:

  • Exchange Online (план 1)
  • Exchange Online (план 2)

Если мы попытаемся назначить группе этот продукт отдельно, портал отобразит сообщение об ошибке. Если выбрать сведения продукте, отобразится следующее сообщение об ошибке:

Сбой операции лицензирования. Убедитесь, что группа имеет необходимые службы, прежде чем добавлять или удалять зависимую службу. Для службы Microsoft Workplace Analytics требуется включить Exchange Online (план 2).

Чтобы назначить эту лицензию надстройки группе, необходимо убедиться, что группа также содержит необходимый план обслуживания. Например, можно обновить существующую группу, которая уже содержит полный продукт Office 365 E3, а затем добавить в нее продукт надстройки.

Кроме того, можно создать отдельную группу, содержащую только минимальные необходимые продукты для работы надстройки. Затем он может использоваться для лицензирования только выбранных пользователей для надстройки. На основе предыдущего примера вы назначите следующие продукты одной группе:

  • Office 365 корпоративный E3 с включенным только планом обслуживания Exchange Online (план 2)
  • Microsoft Workplace Analytics

С этого времени все пользователи, добавленные в эту группу, потребляют одну лицензию на продукт E3 и одну лицензию на продукт Workplace Analytics. В то же время эти пользователи могут быть членами другой группы, которая предоставляет им полный продукт E3, и они по-прежнему потребляют только одну лицензию для этого продукта.

Совет

Для каждого необходимого плана обслуживания можно создать несколько групп. Например, если вы используете как Office 365 корпоративный E1, так и Office 365 корпоративный E3 для пользователей, можно создать две группы для лицензирования Microsoft Workplace Analytics: одна будет использовать E1 в качестве необходимого компонента, а другая — E3. Это позволяет распространять надстройку среди пользователей E1 и E3 без потребления дополнительных лицензий.

Принудительно выполнить процесс лицензирования группы для разрешения ошибок

В зависимости от того, какие действия были предприняты для устранения ошибок, может потребоваться запустить обработку группы вручную, чтобы обновить состояние пользователя.

Например, если вы освобождаете некоторые лицензии путем удаления прямых назначений лицензий у пользователей, необходимо активировать обработку групп, которые ранее не могли полностью лицензировать всех пользователей. Чтобы повторно обработать группу, перейдите на панель группы, откройте Лицензии, а затем нажмите кнопку Повторная обработка на панели инструментов.

Принудительно выполнить процесс лицензирования пользователя для разрешения ошибок

В зависимости от того, какие действия были предприняты для устранения ошибок, может потребоваться запустить обработку пользователя вручную, чтобы обновить его состояние.

Например, после устранения проблемы с дублирующимся адресом прокси-сервера для затронутого пользователя необходимо активировать обработку пользователя. Чтобы повторно обработать пользователя, перейдите на панель пользователя, откройте Лицензии, а затем нажмите кнопку Повторная обработка на панели инструментов.

Перенос пользователей с отдельными лицензиями в групповые лицензии

Возможно, у вас есть существующие лицензии, развернутые для пользователей в организациях путем прямого назначения, то есть с помощью скриптов PowerShell или других средств для назначения отдельных пользовательских лицензий. Прежде чем приступить к использованию группового лицензирования для управления лицензиями в организации, можно использовать этот план миграции для простой замены существующих решений на основе группового лицензирования.

Помните, что следует избегать ситуации, когда миграция на групповые лицензии приведет к тому, что пользователи временно потеряют назначенные им лицензии. Любого процесса, который может привести к удалению лицензий, следует избегать, чтобы исключить риск потери пользователями доступа к службам и их данным.

  1. У вас есть автоматизация (например, PowerShell), управляющая назначением и удалением лицензий для пользователей. Оставьте ее выполняться как есть.

  2. Создайте новую группу лицензирования (или определите, какие существующие группы использовать) и убедитесь, что все необходимые пользователи добавлены в качестве участников.

  3. Назначьте необходимые лицензии этим группам. Ваша цель должна быть в том, чтобы отразить то же состояние лицензирования, что и существующая служба автоматизации (например, PowerShell), применяемая к этим пользователям.

  4. Убедитесь, что лицензии применены ко всем пользователям в этих группах. Это приложение можно выполнить, проверив состояние обработки в каждой группе и проверив журналы аудита.

    • Вы можете произвольно проверить несколько отдельных пользователей, просмотрев сведения об их лицензиях. Вы увидите, что у них одинаковые лицензии, назначенные "напрямую" и "унаследованные" от групп.
    • Можно запустить сценарий PowerShell, чтобы проверить, как лицензии назначаются пользователям.
    • Если пользователю назначена одна и та же лицензия продукта как напрямую, так и через группу, пользователь потребляет только одну лицензию. Поэтому для выполнения миграции дополнительные лицензии не требуются.

  5. Убедитесь, что ни одно из назначений лицензий не завершилось сбоем, проверив каждую группу на наличие пользователей в состоянии ошибки.

Рассмотрите возможность удаления исходных прямых назначений. Мы рекомендуем сделать это постепенно и сначала отслеживать результат для подмножества пользователей. Если вы оставляете исходные прямые назначения пользователям, когда пользователи покидают свои лицензированные группы, они сохраняют прямые назначенные лицензии, что может не быть нужным.

Пример.

В организации 1000 пользователей. Для всех пользователей требуются лицензии Office 365 Enterprise E3. В настоящее время в организации есть скрипт PowerShell, выполняемый локально, который добавляет и удаляет лицензии у пользователей по мере их использования. Однако организация хочет заменить сценарий групповым лицензированием, чтобы лицензии могли управляться автоматически идентификатором Microsoft Entra.

Вот как может выглядеть процесс миграции:

  1. Используя портал Azure, назначьте лицензию Office 365 E3 группе всех пользователей в идентификаторе Microsoft Entra.

  2. Убедитесь, что назначение лицензий завершено для всех пользователей. Перейдите на страницу обзора для каждой группы, выберите Лицензии и проверьте состояние обработки в верхней части страницы Лицензии.

    • Найдите сообщение "Последние изменения лицензии применены ко всем пользователям", чтобы убедиться, что обработка завершена.
    • Найдите уведомление о пользователях, которым не удалось успешно назначить лицензии. У нас не было лицензий для некоторых пользователей? Некоторым пользователям присвоены конфликтующие лицензионные планы, что препятствует наследованию ими лицензий группы?

  3. Проверьте нескольких пользователей, чтобы убедиться, что у них есть и лицензии, назначенные им напрямую, и лицензии группы. Перейдите в колонку для пользователя, выберите Licenses и проверьте состояние лицензий.

    • Это ожидаемое состояние пользователя во время миграции:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. Убедившись, что прямые и групповые лицензии эквивалентны, можно начать удаление прямых лицензий у пользователей. Это можно проверить, удалив их для отдельных пользователей на портале, а затем выполнив скрипты автоматизации, чтобы удалить их массово. Ниже приведен пример того же пользователя у которого прямые лицензии удалены через портал. Обратите внимание, что состояние лицензии остается неизменным, но прямые назначения больше не отображаются.

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Изменение назначений лицензий для пользователя или группы в идентификаторе Microsoft Entra

В этом разделе описывается перемещение пользователей и групп между планами лицензий службы в идентификаторе Microsoft Entra. Цель заключается в том, чтобы гарантировать отсутствие потери службы или данных во время изменения лицензии. Пользователи должны без проблем переключаться между службами. Действия по назначению плана лицензий в этом разделе описывают изменение пользователя или группы в Office 365 E1 на Office 365 E3, но эти действия применимы ко всем планам лицензирования. При обновлении назначений лицензий для пользователя или группы назначения лицензий удаляются и новые назначения создаются одновременно, поэтому пользователи не теряют доступ к своим службам во время изменений лицензий или видят конфликты лицензий между планами.

Перед обновлением назначений лицензий убедитесь, что определенные предположения справедливы для обновления всех пользователей или групп. Если для некоторых пользователей предположения не выполнены, перемещение таких пользователей может завершиться сбоем. В результате некоторые пользователи могут потерять доступ к службам или данным. Убедитесь в следующем:

  • У пользователей есть текущий план лицензирования, назначенный группе, который наследуется пользователем и не назначается напрямую.
  • У вас есть достаточно лицензий, доступных для назначенного плана лицензирования. Если у вас недостаточно лицензий, некоторым пользователям может не быть назначен новый план лицензирования. Вы можете проверить количество доступных лицензий.
  • Всегда проверяйте, что у пользователей нет других назначенных лицензий на службу, которые могут конфликтовать с требуемой лицензией или запрещать удаление текущей лицензии. Например, лицензия от такой службы, как Workplace Analytics или Project Online, зависит от других служб.
  • Если вы управляете группами в локальной среде и синхронизируете их с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение, вы добавите или удалите пользователей с помощью локальной системы. Для синхронизации изменений с идентификатором Microsoft Entra ID может потребоваться некоторое время, чтобы их можно было забрать с помощью группового лицензирования.
  • Если вы используете динамическое членство в группах Microsoft Entra, вы добавляете или удаляете пользователей, изменяя их атрибуты, но процесс обновления назначений лицензий остается неизменным.