Ejercicio: Cambiar las asignaciones de licencias de grupo

Completado

Cambio de la asignación de licencia de grupo

  1. Vaya a la página Identidad - Grupos del Centro de administración de Microsoft Entra.

  2. En el panel de navegación izquierdo, en Grupos.

  3. Seleccione uno de los grupos disponibles. Por ejemplo, Marketing.

  4. En el panel de navegación izquierdo, en Administrar, seleccione Licencias.

  5. Revise las asignaciones actuales y, luego, seleccione + Asignaciones en el menú.

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. En la página Actualizar asignaciones de licencia, seleccione otra licencia, desactive la selección de una licencia existente, agregue o quite opciones de licencia o la combinación que prefiera.

  7. Cuando haya terminado, seleccione Guardar.

  8. Revise el cambio en la página Licencias del grupo.

Identificación y resolución de problemas de asignación de licencias de un grupo en Microsoft Entra ID

Las concesión de licencias basada en grupos de Microsoft Entra ID incorpora el concepto de usuarios en estado de error de licencias. En esta sección, se explican los motivos por los que los usuarios pueden terminar en este estado.

Cuando se asignan licencias directamente a usuarios individuales, sin usar las licencias basadas en grupos, la operación de asignación puede generar errores. Por ejemplo, al ejecutar el cmdlet de PowerShell Set-MgUserLicense en un objeto del usuario, el cmdlet puede generar un error por diversos motivos relacionados con la lógica de negocios. Por ejemplo, podría haber un número insuficiente de licencias o un conflicto entre dos planes de servicio que no se puedan asignar al mismo tiempo. El problema se le notifica inmediatamente.

Cuando se usan licencias basadas en grupo se pueden producir los mismos errores, pero ocurren en segundo plano mientras el servicio Microsoft Entra está asignando las licencias. Por este motivo, los errores no se comunican inmediatamente. En su lugar, los errores se registran en el objeto de usuario y se notifican a través del portal de administración. Nunca se pierde la intención original de asignar la licencia al usuario, pero se registra en estado de error a efectos de futuras investigaciones y resoluciones.

Búsqueda de errores de asignación de licencias

Para buscar usuarios con estado de error en un grupo

  1. Abra el grupo en su página de información general y seleccione Licencias. Si hay usuarios con estado de error, aparece una notificación.

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. Seleccione la notificación para abrir una lista de todos los usuarios afectados. Puede seleccionar individualmente cada usuario para ver más detalles.

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. Para descubrir todos los grupos que contienen al menos un error, en el menú Microsoft Entra - Identidad - Facturación seleccione Licencias y, después, Información general. Si algunos grupos requieren atención, aparece un cuadro de información.

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. Seleccione el cuadro para ver una lista de todos los grupos con errores. Puede seleccionar cada grupo para más detalles.

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

En las secciones siguientes se muestran descripciones de cada problema potencial y la manera de resolverlo.

No hay suficientes licencias

Problema: No hay suficientes licencias disponibles para uno de los productos especificados en el grupo. Necesita adquirir más licencias para el producto o liberar las licencias sin usar de otros usuarios o grupos.

Para ver cuántas licencias están disponibles, vaya a Microsoft Entra - Identidad - Facturación, luego a Licencias y, por último, a Todos los productos.

Para ver qué usuarios y grupos consumen las licencias, seleccione un producto. En Usuarios con licencias, puede ver una lista de todos los usuarios a los que se han asignado licencias directamente o a través de uno o varios grupos. En Grupos con licencias, se muestran todos los grupos que tienen asignadas licencias de producto.

PowerShell: los cmdlets de PowerShell informan este error como CountViolation.

Planes de servicio en conflicto

Problema: uno de los productos especificados en el grupo contiene un plan de servicio que entra en conflicto con otro plan de servicio que ya está asignado al usuario a través de un producto diferente. Algunos planes de servicio se configuran de tal forma que no puedan asignarse al mismo usuario como otro plan de servicio relacionado.

Considere el ejemplo siguiente. Un usuario tiene una licencia de Office 365 Enterprise E1 asignada directamente, con todos los planes habilitados. Se ha agregado el usuario a un grupo que tiene asignado el producto Office 365 Enterprise E3. El producto E3 contiene planes de servicio que no pueden superponerse con los planes incluidos en E1, por lo que la asignación de licencia de grupo genera el error Planes de servicio en conflicto. En este ejemplo, los planes de servicio en conflicto son:

  • SharePoint Online (Plan 2) entra en conflicto con SharePoint Online (Plan 1).
  • Exchange Online (Plan 2) entra en conflicto con Exchange Online (Plan 1).

Para resolver este conflicto, debe deshabilitar dos de los planes. Puede deshabilitar la licencia de E1 que se ha asignado directamente al usuario. O bien, debe modificar toda la asignación de licencias de grupo y deshabilitar los planes de la licencia de E3. Como alternativa, puede quitar la licencia de E1 al usuario si es redundante en el contexto de la licencia de E3.

El administrador es la única persona competente para decidir cómo resolver el conflicto entre las licencias de productos. Microsoft Entra ID no resuelve automáticamente los conflictos de licencias.

PowerShell: los cmdlets de PowerShell informan este error como MutuallyExclusiveViolation.

Otros productos dependen de esta licencia

Problema: uno de los productos que se especifica en el grupo contiene un plan de servicio que, para funcionar, debe estar habilitado para otro plan de servicio, en otro producto. Este error se produce cuando Microsoft Entra ID intenta quitar el plan del servicio subyacente. Por ejemplo, esto puede ocurrir cuando se elimina el usuario del grupo.

Para solucionar este problema, debe asegurarse de que el plan necesario todavía está asignado a los usuarios a través de algún otro método o que los servicios dependientes están deshabilitados para esos usuarios. Después, puede quitar correctamente la licencia de grupo a esos usuarios.

PowerShell: los cmdlets de PowerShell informan este error como DependencyViolation.

No se permite la ubicación de uso

Problema: algunos servicios de Microsoft no están disponibles en todas las ubicaciones debido a las leyes y los reglamentos locales. Antes de poder asignar una licencia a un usuario, debe especificar la propiedad Ubicación de uso para el usuario. Puede especificar la ubicación en la sección Usuario, Perfil y luego Editar en Azure Portal.

Cuando Microsoft Entra ID intenta asignar una licencia de grupo a un usuario cuya ubicación de uso no se admite, se produce un error y se registra en el usuario.

Para solucionar este problema, quite del grupo con licencia a los usuarios de las ubicaciones no admitidas. O bien, si los valores de ubicación de uso actual no representan la ubicación de los usuarios reales, puede modificarlos para que la próxima vez las licencias se asignen correctamente (si se admite la nueva ubicación).

PowerShell: los cmdlets de PowerShell informan este error como ProhibitedInUsageLocationViolation.

Nota:

Cuando Microsoft Entra ID asigna licencias de grupo, los usuarios sin ubicación de uso especificada heredan la ubicación del directorio. Se recomienda que los administradores establezcan valores de ubicación de uso correctos en los usuarios antes de utilizar licencias basadas en grupo para cumplir con la normativa y la legislación local.

Direcciones proxy duplicadas

Si usa Exchange Online, es posible que algunos de los usuarios de la organización no estén configurados correctamente con el mismo valor de dirección de proxy. Cuando el sistema de licencias basadas en grupos intenta asignar una licencia a un usuario de este tipo, se produce un error y se muestra un mensaje que indica que la dirección proxy ya está en uso".

Después de resolver cualquier problema de direcciones proxy para los usuarios afectados, asegúrese de forzar el procesamiento de licencias en el grupo para asegurarse de que las licencias ahora se pueden aplicar.

Cambio de atributo de Correo de Microsoft Entra y ProxyAddresses

Problema: Al actualizar la asignación de licencias en un grupo o un usuario, es posible que vea que se han cambiado los atributos Mail y ProxyAddresses de Microsoft Entra de algunos usuarios.

Si actualiza la asignación de licencias en un usuario, se desencadenará el cálculo de dirección proxy, lo que puede provocar un cambio en los atributos de usuario.

LicenseAssignmentAttributeConcurrencyException en registros de auditoría

Problema: el usuario tiene LicenseAssignmentAttributeConcurrencyException como asignación de licencia en los registros de auditoría. Cuando la licencia basada en grupos intenta procesar la asignación simultánea de la misma licencia para un usuario, se registra esta excepción en el usuario. Esto suele suceder cuando un usuario es miembro de más de un grupo con la misma licencia asignada. Microsoft Entra ID volverá a intentar procesar la licencia del usuario y resolverá el problema. No es necesario que el cliente tome ninguna medida para corregir este problema.

Más de una licencia de producto asignada a un grupo

Puede asignar más de una licencia de producto a un grupo. Por ejemplo, puede asignar Office 365 Enterprise E3 y Enterprise Mobility + Security a un grupo para habilitar fácilmente todos los servicios incluidos para los usuarios.

Microsoft Entra ID intenta asignar todas las licencias especificadas en el grupo a cada usuario. Si Microsoft Entra ID no puede asignar uno de los productos debido a problemas de lógica de negocio, tampoco asignará las otras licencias del grupo. Un ejemplo se da si no hay suficientes licencias para todos o si hay conflictos con otros servicios que están habilitados en el usuario.

Puede ver los usuarios con los que se han producido errores de asignación y comprobar a qué productos ha afectado esta situación.

Cuando se elimina un grupo con licencia

Debe quitar todas las licencias asignadas a un grupo antes de poder eliminar el grupo. Sin embargo, quitar las licencias de todos los usuarios en el grupo puede llevar tiempo. Pueden producirse errores si el usuario tiene asignada una licencia dependiente. Si un usuario tiene una licencia que depende de una licencia que se va a quitar debido a la eliminación del grupo, la asignación de la licencia para el usuario se convierte de heredada a directa.

Por ejemplo, piense en un grupo que tiene asignado Office 365 E3/E5 con un plan de servicio de Skype Empresarial habilitado. Imagine también que algunos miembros del grupo tienen licencias de Audioconferencia asignadas directamente. Cuando se elimina el grupo, las licencias basadas en el grupo intentarán quitar Office 365 E3/E5 de todos los usuarios. Dado que Audioconferencia depende de Skype Empresarial, para los usuarios con Audioconferencia asignada, las licencias basadas en grupos convierten las licencias de Office 365 E3/E5 a una asignación de licencias directa.

Administración de licencias para productos con requisitos previos

Algunos productos de Microsoft Online que puede tener son complementos. Los complementos precisan de un plan de servicio de requisitos previos habilitado para un usuario o un grupo antes de poder asignarles una licencia. Con las licencias basadas en grupos, el sistema requiere que los planes de servicio de requisitos previos y de complementos estén presentes en el mismo grupo a fin de garantizar que los usuarios que se agreguen al grupo puedan recibir el producto totalmente operativo. Vea el siguiente ejemplo:

Microsoft Workplace Analytics es un producto complementario. Contiene un plan de servicio único con el mismo nombre. Este plan de servicio solo se puede asignar a un usuario o grupo cuando uno de los siguientes requisitos previos se asignan también:

  • Exchange Online (plan 1)
  • Exchange Online (plan 2)

Si se intenta asignar este producto por sí solo a un grupo, el portal devuelve un mensaje de notificación. Al seleccionar los detalles del elemento, se muestra el siguiente mensaje de error:

Se produjo un error en la operación de licencia. Asegúrese de que el grupo tiene los servicios necesarios antes de agregar o quitar un servicio dependiente. El servicio Microsoft Workplace Analytics necesita que Exchange Online (plan 2) también esté habilitado.

Para asignar esta licencia de complemento a un grupo, es necesario asegurarse de que el grupo también contiene el plan de servicio de requisitos previos. Por ejemplo, es posible actualizar un grupo existente que ya contenga el producto Office 365 E3 completo y, a continuación, agregar al mismo el complemento.

También es posible crear un grupo independiente que contenga solo los productos mínimos necesarios para que el complemento funcione. Después se puede usar para proporcionar la licencia del producto complementario solo a los usuarios seleccionados. Según el ejemplo anterior, asignaría los siguientes productos al mismo grupo:

  • Office 365 Enterprise E3, solo con el plan de servicio Exchange Online (plan 2) habilitado
  • Microsoft Workplace Analytics

De ahora en adelante, cualquier usuario que se agregue a este grupo utiliza una licencia del producto E3 y una licencia del producto Workplace Analytics. Al mismo tiempo, esos usuarios pueden formar parte de otro grupo que les proporcione acceso a todo el producto E3 y solo utilizan una licencia de ese producto.

Sugerencia

Puede crear varios grupos para cada plan de servicio de requisitos previos. Por ejemplo, si los usuarios usan las versiones Office 365 Enterprise E1 y Office 365 Enterprise E3, puede crear dos grupos para proporcionar licencias de Microsoft Workplace Analytics: una con E1 como requisito previo y la otra con E3. Esto le permite distribuir el complemento a los usuarios de E1 y E3 sin tener que usar licencias adicionales.

Forzado del proceso de licencias de grupo para resolver errores

Dependiendo de qué pasos haya dado para resolver los errores, puede ser necesario desencadenar manualmente el procesamiento de un grupo para actualizar el estado del usuario.

Por ejemplo, si libera algunas licencias quitando asignaciones de licencia directas de usuarios, debe desencadenar el procesamiento de grupos con los que anteriormente se produjeron errores por asignar licencias íntegramente a todos los miembros. Para volver a procesar un grupo, vaya al panel del grupo, abra Licencias y, a continuación, seleccione el botón Volver a procesar en la barra de herramientas.

Forzado del proceso de licencias de usuario para resolver errores

Dependiendo de qué pasos haya dado para resolver los errores, puede ser necesario desencadenar manualmente el procesamiento de un usuario para actualizar el estado del usuario.

Por ejemplo, después de resolver el problema con la dirección proxy duplicada en un usuario afectado, debe desencadenar el procesamiento del usuario. Para volver a procesar un usuario, vaya al panel del usuario, abra Licencias y, a continuación, seleccione el botón Volver a procesar en la barra de herramientas.

Migración de usuarios con licencias individuales a licencias de grupo

Puede que actualmente tenga licencias implementadas para usuarios de organizaciones mediante una asignación directa; es decir, mediante el uso de scripts de PowerShell u otras herramientas para asignar licencias de usuarios individuales. Antes de empezar a usar licencias basadas en grupos para administrar las licencias de su organización, puede usar este plan de migración para reemplazar con facilidad las soluciones existentes por licencias basadas en grupos.

Tenga en cuenta que debe evitar una situación en la que la migración a licencias basadas en grupos haga que los usuarios pierdan de manera temporal sus licencias actualmente asignadas. Se debe evitar cualquier proceso que pueda dar lugar a la eliminación de licencias a fin de evitar el riesgo de que los usuarios pierdan el acceso a los servicios y a sus datos.

  1. Cuenta actualmente con un sistema de automatización (por ejemplo, PowerShell) que administra la asignación y la retirada de licencias de los usuarios. Deje que se ejecute de la forma habitual.

  2. Cree un grupo de licencias nuevo (o decida qué grupos utilizar de entre los existentes) y asegúrese de que todos los usuarios necesarios se agregan como miembros.

  3. Asigne las licencias necesarias a esos grupos; el objetivo debe consistir en reflejar el mismo estado de licencia que el sistema de automatización (por ejemplo, PowerShell) aplica a dichos usuarios.

  4. Verifique que dichas licencias se hayan aplicado a todos los usuarios de esos grupos. Para ello, compruebe el estado de procesamiento de cada grupo y los registros de auditoría.

    • Puede realizar una comprobación aleatoria de algunos usuarios individuales examinando los detalles de sus licencias. Observará que tienen las mismas licencias asignadas "directamente" o "heredadas" de los grupos.
    • Puede ejecutar un script de PowerShell para verificar cómo se asignan las licencias a los usuarios.
    • Cuando se asigna la misma licencia de producto al usuario directamente y a través de un grupo, el usuario solo puede consumir una licencia. Por lo tanto, no se necesitan licencias adicionales para realizar la migración.
  5. Compruebe si en algún grupo de usuarios aparece el estado de error, a fin de verificar que no se produzcan errores en las asignaciones de licencias.

Considere la posibilidad de quitar las asignaciones directas originales. Se recomienda hacerlo gradualmente y supervisar primero el resultado en un subconjunto de usuarios. Si deja las asignaciones directas originales a los usuarios, cuando los usuarios abandonen sus grupos con licencia, conservarán las licencias asignadas directamente, y puede que no sea lo que quiere.

Un ejemplo

Una organización tiene 1.000 usuarios. Todos los usuarios necesitan licencias de Office 365 Enterprise E3. En la actualidad, la organización tiene un script de PowerShell que se ejecuta a nivel local mediante la adición y eliminación de licencias de usuarios a medida que se incorporan y se van. Pero la organización quiere reemplazar el script con licencias basadas en grupos, de forma que Microsoft Entra ID administre las licencias automáticamente.

El proceso de migración podría ser similar al siguiente:

  1. En Azure Portal, asigne la licencia de Office 365 E3 al grupo Todos los usuarios de Microsoft Entra ID.

  2. Confirme que se ha completado la asignación de licencia para todos los usuarios. Vaya a la página de información general del grupo, seleccione Licencias y compruebe el estado de procesamiento en la parte superior de la página Licencias.

    • Busque "Latest license changes have been applied to all users" (Los últimos cambios de licencia se han aplicado a todos los usuarios) para confirmar que el procesamiento se ha completado.
    • Busque si hay alguna notificación en la parte superior sobre algún usuario cuya licencia no se haya podido asignar correctamente. ¿Se han agotado las licencias para algunos usuarios? ¿Algunos usuarios tienen conflictos de planes de licencia que les impidan heredar las licencias de grupo?
  3. Deberá revisar algunos usuarios para verificar que tengan aplicadas tanto licencias directas como de grupo. Vaya a la página de perfil de un usuario, seleccione Licencias y examine el estado de las licencias.

    • Este es el estado de usuario esperado durante la migración:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. Después de confirmar que las licencias directas y de grupo son equivalentes, puede empezar a quitar a los usuarios las licencias directas. Para probarlo, quítelos para usuarios individuales en el portal y luego ejecute los scripts de automatización para quitarlos en masa. Este es un ejemplo del mismo usuario con las licencias directas quitadas a través del portal. Tenga en cuenta que el estado de licencia no varía, pero aún no se ven las asignaciones directas.

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Cambio de las asignaciones de licencia de un usuario o grupo en Microsoft Entra ID

En esta sección, se describe cómo trasladar usuarios y grupos entre planes de licencia de servicio en Microsoft Entra ID. El objetivo es asegurarse de que no haya pérdida de servicio o datos durante el cambio de licencia. Los usuarios deben cambiar entre los servicios sin problemas. Los pasos de la asignación del plan de licencia que aparecen en esta sección describen el cambio de un usuario o grupo en Office 365 E1 a Office 365 E3, pero se aplican a todos los planes de licencia. Al actualizar las asignaciones de licencia de un usuario o grupo, las supresiones de las asignaciones de licencia y las nuevas asignaciones se realizan simultáneamente; de este modo los usuarios no pierden el acceso a sus servicios durante los cambios de licencia ni se producen conflictos de licencia entre planes.

Antes de actualizar las asignaciones de licencia, debe comprobar que se cumplen ciertas suposiciones para todos los usuarios o grupos que se van a actualizar. Si las suposiciones no se cumplen para todos los usuarios de un grupo, se puede producir un error en la migración de alguno de ellos. Como resultado, algunos de los usuarios podrían perder el acceso a servicios o datos. Asegúrese de que:

  • Los usuarios tienen el plan de licencia actual que se asigna a un grupo y hereda el usuario, y no uno asignado directamente.
  • Dispone de suficientes licencias para el plan de licencia que va a asignar. Si no tiene suficientes licencias, es posible que no se asigne el nuevo plan a algunos usuarios. Puede comprobar el número de licencias disponibles.
  • Confirme siempre que los usuarios no tengan otras licencias de servicio asignadas que puedan entrar en conflicto con la licencia deseada o impedir la eliminación de la licencia actual. Por ejemplo, una licencia de un servicio como Workplace Analytics o Project Online, que tienen una dependencia sobre otros servicios.
  • Si administra grupos locales y los sincroniza en Microsoft Entra ID a través de Microsoft Entra Connect, agrega o quita los usuarios mediante su sistema local. Puede que los cambios tarden algún tiempo en sincronizarse con Microsoft Entra ID para seleccionarlos en las licencias de grupo.
  • Si utiliza la pertenencia dinámica a grupos de Microsoft Entra, puede agregar o quitar usuarios cambiando sus atributos, pero el proceso de actualización de las asignaciones de licencia sigue siendo el mismo.