Scenarier, begränsningar och kända problem med att använda grupper för att hantera licensiering i Microsoft Entra-ID
Använd följande information och exempel för att få en mer avancerad förståelse för gruppbaserad licensiering i Microsoft Entra ID, en del av Microsoft Entra.
Användningsplats
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Vissa Microsoft usluge är inte tillgängliga på alla platser. För grupplicenstilldelning ärver alla användare utan angiven användningsplats katalogens plats. Om du har användare på flera platser måste du se till att återspegla det korrekt i dina användarresurser innan du lägger till användare i grupper med licenser. Innan en licens kan tilldelas till en användare bör administratören ange egenskapen Användningsplats för användaren.
Logga in på administrationscentret för Microsoft Entra som minst gruppadministratör.
Välj Microsoft Entra ID.
Gå till Användare>Alla användare och välj en användare.
Välj Redigera egenskaper.
Välj fliken Inställningar och ange en plats för användaren.
Klicka på knappen Spara.
Kommentar
Grupplicenstilldelning ändrar aldrig ett befintligt användningsplatsvärde för en användare. Vi rekommenderar att du alltid anger användningsplats som en del av ditt användarskapandeflöde i Microsoft Entra-ID (till exempel via Microsoft Entra Connect-konfiguration ). Genom att följa en sådan process ser du till att resultatet av licenstilldelningen alltid är korrekt och att användarna inte tar emot tjänster på platser som inte är tillåtna.
Använda gruppbaserad licensiering med dynamiska medlemskapsgrupper
Du kan använda gruppbaserad licensiering med valfri säkerhetsgrupp, inklusive dynamiska medlemskapsgrupper. Regler för dynamiska medlemskapsgrupper körs mot användarens resursattribut för att automatiskt lägga till och ta bort medlemmar. Attribut kan vara avdelning, befattning, arbetsplats eller annat anpassat attribut. Varje grupp tilldelas de licenser som du vill att medlemmar ska ta emot. Om ett attribut ändras lämnar medlemmen gruppen och licenserna tas bort.
Du kan tilldela attributet lokalt och synkronisera det med Microsoft Entra-ID, eller så kan du hantera attributet direkt i molnet.
Varning
Var försiktig när du ändrar en befintlig grupps medlemskapsregel. När en regel ändras utvärderas medlemskapet i gruppen igen och användare som inte längre matchar den nya regeln tas bort (användare som fortfarande matchar den nya regeln påverkas inte under den här processen). Dessa användare kommer att få sina licenser borttagna under processen, vilket kan leda till förlust av tjänsten, eller i vissa fall förlust av data.
Om du har en stor dynamisk grupp som du är beroende av för licenstilldelning bör du överväga att validera eventuella större ändringar i en mindre testgrupp innan du tillämpar dem på huvudgruppen. Om du får fel under testet kan du läsa Lösa problem med grupplicenser.
Flera grupper och flera licenser
En användare kan vara medlem i flera grupper med licenser. Här är några saker att tänka på:
Flera licenser för samma produkt kan överlappa varandra, och de resulterar i att alla aktiverade tjänster tillämpas på användaren. Ett exempel kan vara att M365-P1 innehåller grundläggande tjänster som ska distribueras till alla användare, och M365-P2 innehåller P2-tjänsterna som endast distribueras till vissa användare. Du kan lägga till en användare i en eller båda grupperna och bara använda en licens för produkten.
Välj en licens för att visa mer information, inklusive information om vilka tjänster som aktiveras för användaren av grupplicenstilldelningen.
Direktlicenser samexisterar med grupplicenser
När en användare ärver en licens från en grupp kan du inte ta bort eller ändra licensen direkt i användarens egenskaper. Du kan bara ändra licenstilldelningen i gruppen och ändringarna sprids sedan till alla gruppmedlemmar. Om du behöver tilldela andra funktioner till en användare som har sin licens från en grupplicenstilldelning måste du skapa en annan grupp för att tilldela de andra funktionerna till användaren.
När du använder gruppbaserad licensiering bör du tänka på följande scenarier:
- Gruppmedlemmar ärver licenser som tilldelats gruppen.
- Licensalternativ för gruppbaserade licenser måste ändras på gruppnivå.
- Om olika licensalternativ behöver tilldelas till en användare skapar du en ny grupp, tilldelar en licens till gruppen och lägger sedan till användaren i gruppen.
- Användarna använder fortfarande bara en licens för en produkt om olika licensalternativ för den produkten används i de olika gruppbaserade licenserna.
När du använder direkttilldelning tillåts följande åtgärder:
- Licenser som inte redan har tilldelats via gruppbaserad licensiering kan ändras för en enskild användare.
- Andra tjänster kan aktiveras som en del av en direkt tilldelad licens.
- Direkttilldelade licenser kan tas bort och påverkar inte en användares ärvda licenser.
Hantera nya tjänster som lagts till i produkter
När Microsoft lägger till en ny tjänst i en produktlicensplan aktiveras den som standard i alla grupper som du har tilldelat produktlicensen till. Användare i din organisation som prenumererar på meddelanden om produktändringar får e-postmeddelanden i förväg som meddelar dem om de kommande tjänsttilläggen.
Som administratör kan du granska alla grupper som påverkas av ändringen och vidta åtgärder, till exempel inaktivera den nya tjänsten i varje grupp. Om du till exempel har skapat grupper som endast riktar sig till specifika tjänster för distribution kan du gå tillbaka till dessa grupper och se till att eventuella nyligen tillagda tjänster är inaktiverade.
Här är ett exempel på hur den här processen kan se ut:
Ursprungligen tilldelade du Microsoft 365 E5-produkten till flera grupper. En av dessa grupper, som kallas Microsoft 365 E5 – Exchange, utformades endast för att endast aktivera Exchange Online-tjänsten (plan 2) för sina medlemmar.
Du har fått ett meddelande från Microsoft om att E5-produkten kommer att utökas med en ny tjänst – Microsoft Stream. När tjänsten blir tillgänglig i din organisation kan du utföra följande steg:
-
- Logga in på Microsoft Entra administrationscenter
Välj Microsoft Entra ID.
Välj Faktureringslicenser>>Alla produkter och välj Microsoft 365 Enterprise E5 och välj sedan Licensierade grupper för att visa en lista över alla grupper med produkten.
Välj den grupp som du vill granska (i det här fallet Endast Microsoft 365 E5 – Exchange). Fliken Licenser öppnas. Välj E5-licensen för att visa alla aktiverade tjänster.
Kommentar
Microsoft Stream-tjänsten har lagts till och aktiverats automatiskt i den här gruppen, utöver Exchange Online-tjänsten:
Om du vill inaktivera den nya tjänsten i den här gruppen väljer du växlingsknappen På/Av bredvid tjänsten och väljer knappen Spara för att bekräfta ändringen. Microsoft Entra-ID bearbetar nu alla användare i gruppen för att tillämpa ändringen. alla nya användare som läggs till i gruppen har inte Microsoft Stream-tjänsten aktiverad.
Kommentar
Användare kan fortfarande ha tjänsten aktiverad via någon annan licenstilldelning (en annan grupp som de är medlemmar i eller en direkt licenstilldelning).
Utför vid behov samma steg för andra grupper med den här produkten tilldelad.
Använd PowerShell för att se vem som har ärvda och direkta licenser
Du kan använda ett PowerShell-skript för att kontrollera om användare har en tilldelad licens direkt eller ärvd från en grupp.
Kör cmdleten för att autentisera
Connect-MgGraph -Scopes "Organization.Read.All"
och ansluta till din organisation med hjälp av Microsoft Graph.Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname
kan användas för att identifiera alla etablerade produktlicenser i Microsoft Entra-organisationen.Använd ServicePlanId-värdet för den licens som du är intresserad av med det här PowerShell-skriptet. En lista fyller i de användare som har den här licensen och information om hur licensen tilldelas.
Använda granskningsloggar för att övervaka gruppbaserad licensieringsaktivitet
Du kan använda Microsoft Entra-granskningsloggar för att se all aktivitet som är relaterad till gruppbaserad licensiering, inklusive:
- som har ändrat licenser för grupper
- när systemet började bearbeta en grupplicensändring och när den var klar
- vilka licensändringar som har gjorts för en användare till följd av en grupplicenstilldelning.
Granskningsloggar som rör gruppbaserad licensiering kan nås från granskningsloggarna i områdena Grupper eller Licensiering i Microsoft Entra-ID eller använda följande filterkombinationer från huvudgranskningsloggarna:
- Tjänst: Core Directory
- Kategori: GroupManagement eller UserManagement
Ta reda på vem som ändrade en licens
- Om du vill se loggarna för grupplicensändringar använder du följande filteralternativ för granskningsloggar:
- Tjänst: Core Directory
- Kategori: GroupManagement
- Aktivitet: Ange grupplicens
- Välj en rad i den resulterande tabellen för att visa informationen.
- Välj fliken Ändrade egenskaper och se de gamla och nya värdena för licensavtalet.
I följande exempel visas filterinställningarna ovan, plus målfiltret inställt på alla grupper som börjar med "EMS".
Om du vill se licensändringar för en viss användare använder du följande filter:
- Tjänst: Core Directory
- Kategori: UserManagement
- Aktivitet: Ändra användarlicens
Ta reda på när gruppändringarna har startats och bearbetningen har slutförts
När en licens ändras i en grupp börjar Microsoft Entra-ID:t tillämpa ändringarna på alla användare, men ändringarna kan ta tid att bearbeta.
- Om du vill se när grupper började bearbetas använder du följande filter:
- Tjänst: Core Directory
- Kategori: GroupManagement
- Aktivitet: Börja tillämpa gruppbaserad licens för användare
- Välj en rad i den resulterande tabellen för att visa informationen.
- Välj fliken Ändrade egenskaper och se de licensändringar som har hämtats för bearbetning.
- Använd den här informationen om du gör flera ändringar i en grupp och inte är säker på vilken licens som bearbetas.
- Aktören för åtgärden är Microsoft Entra-gruppbaserad licensiering, som är ett systemkonto som används för att köra alla grupplicensändringar.
Om du vill se när grupper har bearbetats ändrar du filtret Aktivitet till Slutför tillämpningen av gruppbaserad licens för användare. I det här fallet innehåller fältet Ändrade egenskaper en sammanfattning av resultaten, vilket är användbart för att snabbt kontrollera om bearbetningen resulterade i fel. Exempel på utdata:
Modified Properties ... Name : Result Old Value : [] New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];
Om du vill se den fullständiga loggen för hur en grupp bearbetades, inklusive alla användarändringar, lägger du till följande filter:
- Mål: Gruppnamn
- Initierad av (aktör): Microsoft Entra-gruppbaserad licensiering (skiftlägeskänslig)
- Datumintervall (valfritt): Anpassat intervall för när du vet att en viss grupp har startats och slutfört bearbetningen
Det här exempelutdata visar början och slutförande av bearbetningen av licensändringen.
Ta bort en grupp med en tilldelad licens
Det går inte att ta bort en grupp med en aktiv tilldelad licens. En administratör kan ta bort en grupp som inte inser att det leder till att licenser tas bort från användare. Därför kräver vi att alla licenser tas bort från gruppen först innan de kan tas bort.
När du försöker ta bort en grupp i portalen kan ett felmeddelande visas så här:
Gå till fliken Licenser i gruppen och se om det finns några tilldelade licenser. Om ja tar du bort dessa licenser och försöker ta bort gruppen igen.
Du kan se liknande fel när du försöker ta bort gruppen via PowerShell eller Graph API. Om du använder en grupp som synkroniserats lokalt kan Microsoft Entra Connect också rapportera fel om gruppen inte tas bort i Microsoft Entra-ID. I alla sådana fall kontrollerar du om det finns några licenser som tilldelats gruppen och tar bort dem först.
Begränsningar och kända problem
Om du använder gruppbaserad licensiering är det en bra idé att bekanta dig med följande lista över begränsningar och kända problem.
Gruppbaserad licensiering stöder för närvarande inte grupper som innehåller andra grupper (kapslade grupper). Om du använder en licens för en kapslad grupp är det bara den första nivån av användarmedlemmar i gruppen som har licenser.
Funktionen kan endast användas med säkerhetsgrupper och Microsoft 365-grupper som har securityEnabled=TRUE.
När licenser tilldelas eller ändras för en stor grupp (till exempel 100 000 användare) kan det påverka prestandan. Mer specifikt kan volymen av ändringar som genereras av Microsoft Entra Automation påverka prestandan för katalogsynkroniseringen mellan Microsoft Entra-ID och lokala system negativt.
Om du använder dynamiska medlemskapsgrupper för att hantera användarnas medlemskap kontrollerar du att användaren är en del av gruppen, vilket är nödvändigt för licenstilldelning. Om inte kontrollerar du bearbetningsstatusen för medlemskapsregeln för den dynamiska gruppen.
I vissa situationer med hög belastning kan det ta lång tid att bearbeta licensändringar för grupper eller medlemskapsändringar i grupper med befintliga licenser. Om du ser att dina ändringar tar mer än 24 timmar att bearbeta gruppstorleken på 60 K-användare eller mindre öppnar du ett supportärende så att vi kan undersöka det.
Nästa steg
Mer information om andra scenarier för licenshantering via gruppbaserad licensiering finns här:
- Vad är gruppbaserad licensiering i Microsoft Entra-ID?
- Tilldela licenser till en grupp i Microsoft Entra-ID
- Identifiera och lösa licensproblem för en grupp i Microsoft Entra-ID
- Migrera enskilda licensierade användare till gruppbaserad licensiering i Microsoft Entra-ID
- Migrera användare mellan produktlicenser med gruppbaserad licensiering i Microsoft Entra-ID