Cvičení – změna přiřazení licencí skupiny

  • 10 min

Změna přiřazení licencí skupiny

  1. Přejděte na stránku Identita – skupiny v Centru pro správu Microsoft Entra.

  2. V levém navigačním panelu v části Skupiny.

  3. Vyberte jednu z dostupných skupin. Například Marketing.

  4. V levém navigačním panelu v části Spravovat vyberte Licence.

  5. Zkontrolujte aktuální zadání a pak v nabídce vyberte + Zadání.

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. Na stránce Aktualizovat přiřazení licencí vyberte jinou licenci, zrušte výběr stávající licence, přidejte nebo odeberte možnosti licence nebo libovolnou kombinaci.

  7. Po dokončení vyberte Uložit.

  8. Na stránce Licence skupiny zkontrolujte změnu.

Identifikace a řešení problémů s přiřazením licencí pro skupinu v ID Microsoft Entra

Licencování založené na skupinách v Microsoft Entra ID zavádí koncept uživatelů ve stavu chyby licencování. V této části vysvětlujeme důvody, proč můžou uživatelé skončit v tomto stavu.

Když přiřadíte licence přímo jednotlivým uživatelům bez použití licencování na základě skupin, operace přiřazení může selhat. Když například spustíte rutinu Set-MgUserLicense PowerShellu na objektu uživatele, může rutina selhat z mnoha důvodů, které souvisejí s obchodní logikou. Může se například jednat o nedostatečný počet licencí nebo konflikt mezi dvěma plány služeb, které se nedají přiřadit současně. Problém se okamžitě ohlásí zpět vám.

Pokud používáte licencování založené na skupinách, může dojít ke stejným chybám, ale na pozadí dochází k nim, zatímco služba Microsoft Entra přiřazuje licence. Z tohoto důvodu se vám chyby nedají okamžitě sdělit. Místo toho se zaznamenávají do objektu uživatele a pak se hlásí prostřednictvím portálu pro správu. Původní záměr licencování uživatele se nikdy neztratí, ale zaznamená se do chybového stavu pro budoucí šetření a řešení.

Vyhledání chyb přiřazení licencí

Vyhledání uživatelů ve stavu chyby ve skupině

  1. Otevřete skupinu na stránce přehledu a vyberte Licence. Pokud jsou v chybovém stavu nějaké uživatele, zobrazí se oznámení.

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. Výběrem oznámení otevřete seznam všech ovlivněných uživatelů. Pokud chcete zobrazit další podrobnosti, můžete vybrat jednotlivé uživatele.

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. Pokud chcete najít všechny skupiny, které obsahují aspoň jednu chybu, v nabídce Microsoft Entra – Identita – Fakturace vyberte Licence a pak vyberte Přehled. Informační pole se zobrazí, když skupiny vyžadují vaši pozornost.

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. Výběrem pole zobrazíte seznam všech skupin s chybami. Pro další podrobnosti můžete vybrat každou skupinu.

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

Následující části obsahují popis jednotlivých potenciálních problémů a způsob, jak ho vyřešit.

Nedostatek licencí

Problém: Pro některý z produktů zadaných ve skupině není dostatek dostupných licencí. Musíte si buď koupit další licence pro produkt, nebo uvolnit nepoužité licence od jiných uživatelů nebo skupin.

Pokud chcete zjistit, kolik licencí je k dispozici, přejděte na Microsoft Entra – Identita – Fakturace, licence a potom Všechny produkty.

Pokud chcete zjistit, kteří uživatelé a skupiny využívají licence, vyberte produkt. V části Licencovaní uživatelé se zobrazí seznam všech uživatelů, kteří měli přiřazené licence přímo nebo prostřednictvím jedné nebo více skupin. V části Licencované skupiny se zobrazí všechny skupiny s přiřazenými licencemi produktů.

PowerShell: Rutiny PowerShellu hlásí tuto chybu jako CountViolation.

Plány služeb, které jsou v konfliktu

Problém: Jeden z produktů zadaných ve skupině obsahuje plán služby, který je v konfliktu s jiným plánem služby, který je již přiřazen uživateli prostřednictvím jiného produktu. Některé plány služeb se konfigurují způsobem, který není možné přiřadit stejnému uživateli jako jiný související plán služby.

Představte si následující příklad. Uživatel má přiřazenou licenci pro Office 365 Enterprise E1 přímo se všemi povolenými plány. Uživatel byl přidán do skupiny, která má přiřazený produkt Office 365 Enterprise E3 . Produkt E3 obsahuje plány služeb, které se nemůžou překrývat s plány, které jsou součástí E1, takže přiřazení licence skupiny selže s chybou Konfliktní plány služeb. V tomto příkladu jsou konfliktní plány služeb:

  • SharePoint Online (Plán 2) je v konfliktu se SharePointem Online (Plán 1).
  • Exchange Online (Plán 2) je v konfliktu s Exchangem Online (Plán 1).

Pokud chcete tento konflikt vyřešit, musíte zakázat dva plány. Licenci E1, která je přímo přiřazená uživateli, můžete zakázat. Nebo musíte změnit přiřazení licence celé skupiny a zakázat plány v licenci E3. Případně se můžete rozhodnout odebrat licenci E1 uživateli, pokud je redundantní v kontextu licence E3.

Rozhodnutí o řešení konfliktních licencí produktů vždy patří správci. ID Microsoft Entra neřeší konflikty licencí automaticky.

PowerShell: Rutiny PowerShellu hlásí tuto chybu jako VzájemněexclusiveViolation.

Další produkty závisí na této licenci.

Problém: Jeden z produktů zadaných ve skupině obsahuje plán služby, který musí být povolený pro jiný plán služby v jiném produktu, aby fungoval. K této chybě dochází, když se Microsoft Entra ID pokusí odebrat základní plán služby. K tomu může dojít například v případě, že odeberete uživatele ze skupiny.

Pokud chcete tento problém vyřešit, musíte zajistit, aby byl požadovaný plán stále přiřazen uživatelům prostřednictvím jiné metody nebo že závislé služby jsou pro tyto uživatele zakázané. Potom můžete uživatelům správně odebrat licenci skupiny.

PowerShell: Rutiny PowerShellu hlásí tuto chybu jako DependencyViolation.

Umístění využití není povolené.

Problém: Některé služby Microsoft nejsou dostupné na všech místech kvůli místním zákonům a předpisům. Abyste mohli uživateli přiřadit licenci, musíte pro uživatele zadat vlastnost Umístění využití. Můžete zadat umístění v části Uživatel a potom Profil a pak upravit oddíl na webu Azure Portal.

Když se MICROSOFT Entra ID pokusí přiřadit licenci skupiny uživateli, jehož umístění využití není podporováno, selže a zaznamená chybu uživatele.

Pokud chcete tento problém vyřešit, odeberte uživatele z nepodporovaných umístění z licencované skupiny. Pokud hodnoty aktuálního umístění využití nepředstavují skutečné umístění uživatele, můžete je upravit tak, aby se licence při příštím přiřazení správně přiřadily (pokud je nové umístění podporované).

PowerShell: Rutiny PowerShellu hlásí tuto chybu jako ProhibitedInUsageLocationViolation.

Poznámka:

Když Microsoft Entra ID přiřadí licence skupiny, všichni uživatelé bez zadaného umístění využití dědí umístění adresáře. Doporučujeme správcům nastavit správné hodnoty polohy využití pro uživatele před použitím licencování na základě skupin, aby dodržovali místní zákony a předpisy.

Duplicitní adresy proxy serveru

Pokud používáte Exchange Online, můžou být někteří uživatelé ve vaší organizaci nesprávně nakonfigurovaní se stejnou hodnotou adresy proxy. Když se licencování na základě skupin pokusí přiřadit licenci takovému uživateli, selže a zobrazí se "Adresa proxy serveru se už používá".

Po vyřešení problémů s adresou proxy serveru pro ovlivněné uživatele nezapomeňte ve skupině vynutit zpracování licencí, aby se zajistilo, že se licence teď dají použít.

Změna atributu Microsoft Entra Mail a ProxyAddresses

Problém: Při aktualizaci přiřazení licence u uživatele nebo skupiny se může zobrazit změna atributu Microsoft Entra Mail a ProxyAddresses některých uživatelů.

Aktualizace přiřazení licence pro uživatele způsobí aktivaci výpočtu adresy proxy serveru, což může změnit atributy uživatele.

LicenseAssignmentAttributeConcurrencyException v protokolech auditu

Problém: Uživatel má licenciAssignmentAttributeConcurrencyException pro přiřazení licence v protokolech auditu. Když se licencování na základě skupin pokusí zpracovat souběžné přiřazování licencí uživateli, zaznamená se tato výjimka pro uživatele. K tomu obvykle dochází, když je uživatel členem více než jedné skupiny se stejnou přiřazenou licencí. ID Microsoft Entra zopakuje zpracování uživatelské licence a vyřeší problém. K vyřešení tohoto problému není od zákazníka nutná žádná akce.

Více než jedna licence produktu přiřazená ke skupině

Skupině můžete přiřadit více než jednu licenci na produkt. Můžete například přiřadit Office 365 Enterprise E3 a Enterprise Mobility + Security skupině, aby bylo možné snadno povolit všechny zahrnuté služby pro uživatele.

Id Microsoft Entra se pokusí přiřadit všechny licence zadané ve skupině každému uživateli. Pokud id Microsoft Entra nemůže přiřadit jeden z produktů kvůli problémům s obchodní logikou, nepřiřadí ani ostatní licence ve skupině. Příkladem je, že neexistuje dostatek licencí pro všechny nebo pokud jsou v konfliktu s jinými službami, které jsou pro uživatele povolené.

Můžete zobrazit uživatele, kteří se nepodařilo přiřadit, a zkontrolovat, které produkty jsou tímto problémem ovlivněny.

Při odstranění licencované skupiny

Před odstraněním skupiny musíte odebrat všechny licence přiřazené skupině. Odebrání licencí všem uživatelům ve skupině ale může nějakou dobu trvat. Pokud má uživatel přiřazenou závislá licenci, může dojít k chybám. Pokud má uživatel licenci, která je závislá na licenci, která se odebírá z důvodu odstranění skupiny, přiřazení licence uživateli se převede zděděné na přímé.

Představte si například skupinu, která má přiřazený plán služby Office 365 E3/E5 s povoleným plánem služby Skype pro firmy. Představte si také, že několik členů skupiny má přiřazené přímo Audiokonference licence. Po odstranění skupiny se licencování na základě skupin pokusí odebrat Office 365 E3/E5 ze všech uživatelů. Vzhledem k tomu, že Audiokonference závisí na Skype pro firmy, pro všechny uživatele s přiřazenými Audiokonference se licencování na základě skupin převede licence Office 365 E3/E5 na přímé přiřazení licencí.

Správa licencí pro produkty s požadavky

Některé produkty Microsoft Online, které můžete vlastnit, jsou doplňky. Doplňky vyžadují povolení požadovaného plánu služby pro uživatele nebo skupinu, aby jim bylo možné přiřadit licenci. V případě licencování na základě skupin systém vyžaduje, aby se ve stejné skupině vyskytovaly jak požadované plány, tak plány služeb doplňků, aby všichni uživatelé přidaní do skupiny mohli získat plně funkční produkt. Podívejme se na následující příklad:

Microsoft Workplace Analytics je doplněk. Obsahuje jeden plán služby se stejným názvem. Tento plán služby můžeme přiřadit pouze uživateli nebo skupině, pokud je přiřazena také některá z následujících požadavků:

  • Exchange Online (Plán 1)
  • Exchange Online (Plán 2)

Pokud se pokusíme přiřadit tento produkt samostatně ke skupině, portál vrátí zprávu s oznámením. Pokud vybereme podrobnosti o položce, zobrazí se následující chybová zpráva:

Operace licence se nezdařila. Před přidáním nebo odebráním závislé služby se ujistěte, že skupina obsahuje nezbytné služby. Služba Microsoft Workplace Analytics vyžaduje, aby byl povolený i Exchange Online (plán 2).

Abychom mohli přiřadit tuto doplňkovou licenci ke skupině, musíme zajistit, aby skupina obsahovala také požadovaný plán služby. Můžeme například aktualizovat existující skupinu, která už obsahuje celý produkt Office 365 E3, a pak do ní přidat doplněk.

Je také možné vytvořit samostatnou skupinu, která obsahuje pouze minimální požadované produkty, aby doplněk fungoval. Pak se dá použít k licencování jenom vybraných uživatelů pro doplněk. Na základě předchozího příkladu byste ke stejné skupině přiřadili následující produkty:

  • Office 365 Enterprise E3 s povoleným plánem služby Exchange Online (plán 2)
  • Microsoft Workplace Analytics

Od této chvíle všichni uživatelé přidaní do této skupiny využívají jednu licenci produktu E3 a jednu licenci produktu Workplace Analytics. Současně můžou být tito uživatelé členy jiné skupiny, která jim poskytuje plný produkt E3 a stále využívají pouze jednu licenci pro tento produkt.

Tip

Pro každý požadovaný plán služby můžete vytvořit více skupin. Pokud například pro uživatele používáte Office 365 Enterprise E1 i Office 365 Enterprise E3, můžete vytvořit dvě skupiny pro licencování Microsoft Workplace Analytics: jednu, která jako předpoklad používá E1, a druhou, která používá E3. Díky tomu můžete doplněk distribuovat uživatelům E1 a E3 bez nutnosti využívat další licence.

Vynutit, aby proces licencování skupiny vyřešil chyby

V závislosti na krocích, které jste provedli při řešení chyb, může být nutné ručně aktivovat zpracování skupiny, aby se aktualizoval stav uživatele.

Pokud například uvolníte některé licence odebráním přímých přiřazení licencí od uživatelů, musíte aktivovat zpracování skupin, které se dříve nepodařilo plně licencovat všechny členy uživatele. Pokud chcete skupinu znovu zpracovat, přejděte do podokna skupiny, otevřete Licence a pak na panelu nástrojů vyberte tlačítko Znovu zpracovat .

Vynucení procesu uživatelské licence k vyřešení chyb

V závislosti na krocích, které jste provedli při řešení chyb, může být nutné ručně aktivovat zpracování uživatele, aby se aktualizoval stav uživatele.

Například po vyřešení duplicitního problému s adresou proxy serveru pro ovlivněného uživatele je potřeba aktivovat zpracování uživatele. Pokud chcete uživatele znovu zpracovat, přejděte do podokna uživatele, otevřete Licence a pak na panelu nástrojů vyberte tlačítko Znovu zpracovat .

Jak migrovat uživatele s jednotlivými licencemi na seskupit licence

Můžete mít stávající licence nasazené pro uživatele v organizacích prostřednictvím přímého přiřazení; to znamená, že pomocí skriptů PowerShellu nebo jiných nástrojů přiřazujte jednotlivé uživatelské licence. Než začnete používat licencování založené na skupinách ke správě licencí ve vaší organizaci, můžete pomocí tohoto plánu migrace bezproblémově nahradit stávající řešení licencováním na základě skupin.

Mějte na paměti, že byste se měli vyhnout situaci, kdy migrace na licencování na základě skupin způsobí, že uživatelé dočasně ztratí své aktuálně přiřazené licence. Veškerý proces, který může vést k odebrání licencí, by se měl vyhnout riziku, že uživatelé ztratí přístup ke službám a jejich datům.

  1. Máte existující automatizaci (například PowerShell), která spravuje přiřazení a odebrání licencí pro uživatele. Nechte ho spuštěný tak, jak je.

  2. Vytvořte novou skupinu licencování (nebo rozhodněte, které existující skupiny se mají použít) a ujistěte se, že se všichni povinní uživatelé přidají jako členové.

  3. Přiřaďte těmto skupinám požadované licence; vaším cílem by mělo být odrážet stejný stav licencování, který vaše stávající automatizace (například PowerShell) pro tyto uživatele používá.

  4. Ověřte, že se licence použily pro všechny uživatele v těchto skupinách. Tuto aplikaci je možné provést kontrolou stavu zpracování jednotlivých skupin a kontrolou protokolů auditu.

    • Můžete provést náhodnou kontrolu několika jednotlivých uživatelů tak, že se podíváte na podrobnosti o licenci. Uvidíte, že mají stejné licence přiřazené přímo a zděděné ze skupin.
    • Spuštěním skriptu PowerShellu můžete ověřit, jak se licence přiřazují uživatelům.
    • Pokud je uživateli přiřazena stejná licence na produkt přímo i prostřednictvím skupiny, uživatel využívá pouze jednu licenci. Proto nejsou k provedení migrace potřeba žádné další licence.

  5. Ověřte, že přiřazení licencí selhalo, a to tak, že zkontrolujete každou skupinu uživatelů v chybovém stavu.

Zvažte odebrání původních přímých přiřazení. Doporučujeme ho provést postupně a nejprve monitorovat výsledek u podmnožina uživatelů. Pokud ponecháte původní přímá přiřazení uživatelům, když uživatelé opustí jejich licencované skupiny, zachovávají si přímo přiřazené licence, což nemusí být to, co chcete.

Příklad

Organizace má 1 000 uživatelů. Všichni uživatelé vyžadují licence Office 365 Enterprise E3. V současné době má organizace spuštěný powershellový skript spuštěný místně, přidává a odebírá licence uživatelům, jak přicházejí a odcházejí. Organizace ale chce nahradit skript licencováním založeným na skupinách, aby licence bylo možné spravovat automaticky pomocí ID Microsoft Entra.

Proces migrace může vypadat takto:

  1. Pomocí webu Azure Portal přiřaďte licenci Office 365 E3 skupině Všichni uživatelé v ID Microsoft Entra.

  2. Potvrďte, že přiřazení licence bylo dokončeno pro všechny uživatele. Přejděte na stránku přehledu skupiny, vyberte Licence a v horní části stránky Licence zkontrolujte stav zpracování.

    • Vyhledejte "Nejnovější změny licencí byly použity pro všechny uživatele", abyste potvrdili, že se zpracování dokončilo.
    • Vyhledejte oznámení o všech uživatelích, kterým se licence nepodařilo úspěšně přiřadit. Vypršela nám licence pro některé uživatele? Mají někteří uživatelé konfliktní licenční plány, které jim brání v dědění licencí skupiny?

  3. Musíte zkontrolovat několik uživatelů, abyste ověřili, že mají použité přímé i skupinové licence. Přejděte na stránku profilu uživatele, vyberte Licence a zkontrolujte stav licencí.

    • Toto je očekávaný stav uživatele během migrace:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. Po potvrzení, že jsou přímé i skupinové licence ekvivalentní, můžete začít odebírat přímé licence uživatelům. Můžete to otestovat odebráním jednotlivých uživatelů na portálu a následným spuštěním automatizačních skriptů je hromadně odebrat. Tady je příklad stejného uživatele s přímými licencemi odebranými prostřednictvím portálu. Všimněte si, že stav licence zůstává beze změny, ale už se nezobrazují přímá přiřazení.

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Změna přiřazení licencí pro uživatele nebo skupinu v ID Microsoft Entra

Tato část popisuje, jak přesouvat uživatele a skupiny mezi plány licencí služeb v Microsoft Entra ID. Cílem je zajistit, aby během změny licence nedošlo ke ztrátě služeb ani dat. Uživatelé by měli bezproblémově přepínat mezi službami. Kroky přiřazení licenčního plánu v této části popisují změnu uživatele nebo skupiny v Office 365 E1 na Office 365 E3, ale postup platí pro všechny licenční plány. Když aktualizujete přiřazení licencí pro uživatele nebo skupinu, dojde k odebrání přiřazení licencí a novým přiřazením současně, aby uživatelé během změn licencí nepřišli o přístup ke svým službám nebo se zobrazily konflikty licencí mezi plány.

Před aktualizací přiřazení licencí ověřte, že platí určité předpoklady pro aktualizaci všech uživatelů nebo skupin. Pokud předpoklady neplatí pro všechny uživatele ve skupině, může migrace u některých selhat. V důsledku toho můžou někteří uživatelé přijít o přístup ke službám nebo datům. Zajistěte následující:

  • Uživatelé mají aktuální licenční plán, který je přiřazen ke skupině a zdědil ho uživatel a nepřiřadil ho přímo.
  • Máte dostatek dostupných licencí pro licenční plán, který přiřazujete. Pokud nemáte dostatek licencí, nemusí být některým uživatelům přiřazen nový licenční plán. Můžete zkontrolovat počet dostupných licencí.
  • Vždy ověřte, že uživatelé nemají přiřazené licence služeb, které můžou kolidovat s požadovanou licencí nebo zabránit odebrání aktuální licence. Například licence ze služby, jako je Třeba Analýza pracoviště nebo Project Online, která má závislost na jiných službách.
  • Pokud spravujete skupiny místně a synchronizujete je s Microsoft Entra ID přes Microsoft Entra Připojení, přidáte nebo odeberete uživatele pomocí místního systému. Synchronizace změn s ID Microsoft Entra může nějakou dobu trvat, než se převezme licencováním skupiny.
  • Pokud používáte členství v dynamických skupinách Microsoft Entra, přidáte nebo odeberete uživatele změnou jejich atributů, ale proces aktualizace přiřazení licencí zůstane stejný.