Condividi tramite

Identificare e risolvere i problemi di assegnazione delle licenze per un gruppo in Microsoft Entra ID

  • Articolo

Nota

A partire dal 1° settembre, l'interfaccia di amministrazione di Microsoft Entra ID e il portale di Microsoft Azure non supporteranno più l'assegnazione delle licenze tramite le interfacce utente. Per gestire le assegnazioni delle licenze per utenti e gruppi, gli amministratori devono usare l'interfaccia di amministrazione di Microsoft 365. Questo aggiornamento è progettato per semplificare il processo di gestione delle licenze all'interno dell'ecosistema Microsoft. Questa modifica è limitata all'interfaccia utente. L'accesso all'API e a PowerShell rimane invariato. Per indicazioni dettagliate sull'assegnazione di licenze tramite l'interfaccia di amministrazione di Microsoft 365, vedere le risorse seguenti:

La gestione delle licenze basata sui gruppi in Microsoft Entra ID, parte di Microsoft Entra, introduce il concetto di utenti in uno stato di errore di licenza. Questo articolo illustra i motivi per cui gli utenti possono trovarsi in questo stato.

Quando si assegnano licenze direttamente a singoli utenti senza utilizzare licenze basate sui gruppi, l'operazione di assegnazione potrebbe non riuscire per motivi correlati alla logica di business. Potrebbe essere disponibile, ad esempio, un numero insufficiente di licenze o potrebbe verificarsi un conflitto tra due piani di servizio che non possono essere assegnati contemporaneamente. Il problema viene immediatamente segnalato all'utente.

Trovare errori di assegnazione delle licenze

Quando si usano le licenze basate sui gruppi, è possibile che si verifichino gli stessi errori, che però rimangono in background mentre il servizio Microsoft Entra assegna le licenze. Per questo motivo, gli errori non possono essere comunicati immediatamente all'utente. Vengono invece registrati sull'oggetto utente e segnalati tramite il portale amministrativo. L'intento originale di assegnare una licenza all'utente non viene mai perso, ma viene registrato in uno stato di errore per indagini e risoluzioni future. È anche possibile usare i log di controllo per monitorare l'attività delle licenze basate sui gruppi.

Per trovare utenti con stato di errore in un gruppo

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle licenze.

  2. Selezionare Microsoft Entra ID.

  3. Passare a Fatturazione>Licenze per aprire una pagina in cui è possibile visualizzare e gestire tutti i prodotti licenze nell'organizzazione.

  4. Aprire il gruppo alla relativa pagina di panoramica e selezionare Licenze. Se sono presenti utenti in stato di errore viene visualizzata una notifica.

    Screenshot dei messaggi delle notifiche di errore del gruppo.

  5. Selezionare la notifica per aprire un elenco di tutti gli utenti interessati. È possibile selezionare ogni utente singolarmente per visualizzare altri dettagli.

    Screenshot dell'elenco degli utenti con errori delle licenze nel gruppo.

  6. Per trovare tutti i gruppi che contengono almeno un errore, nel pannello Microsoft Entra ID selezionare Licenze e quindi selezionare Panoramica. Quando i gruppi richiedono attenzione, viene visualizzata una casella di informazioni.

    Screenshot delle informazioni sui gruppi in stato di errore

  7. Selezionare la casella per visualizzare un elenco di tutti i gruppi con errori. È possibile selezionare ogni gruppo per altri dettagli.

    Screenshot dell'elenco di gruppi con errori.

Le sezioni seguenti riportano una descrizione di ogni potenziale problema con la relativa soluzione.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Le licenze non sono sufficienti

Problema: le licenze disponibili per uno dei prodotti specificati nel gruppo non sono sufficienti. È necessario acquistare altre licenze per il prodotto o liberare licenze inutilizzate da altri utenti o gruppi.

Per vedere il numero di licenze disponibili, passare a Identità>Fatturazione>Licenze>Tutti i prodotti.

Per vedere quali utenti e gruppi utilizzano licenze, selezionare un prodotto. In Utenti con licenza viene visualizzato un elenco di tutti gli utenti cui sono state assegnate licenze direttamente o tramite uno o più gruppi. In Gruppi con licenza vengono visualizzati tutti i gruppi cui sono assegnati tali prodotti.

PowerShell: i cmdlet di PowerShell segnalano questo errore come CountViolation.

Piani di servizio in conflitto

Problema: uno dei prodotti specificati nel gruppo contiene un piano di servizio in conflitto con un altro piano di servizio già assegnato all'utente tramite un prodotto diverso. Alcuni piani di servizio sono configurati in modo che non possano essere assegnati allo stesso utente di un altro piano di servizio correlato.

Suggerimento

In precedenza, Exchange Online Plan1 e Plan2 erano univoci e non potevano essere duplicati. Ora, entrambi i piani di servizio sono stati aggiornati per consentire la duplicazione. Se si verificano conflitti con questi piani di servizio, provare a rielaborarli.

La decisione sul modo in cui risolvere i conflitti per le licenze di prodotto è sempre compito dell'amministratore. Microsoft Entra ID non risolve automaticamente i conflitti di licenza.

PowerShell: i cmdlet di PowerShell segnalano questo errore come MutuallyExclusiveViolation.

Altri prodotti dipendono dalla licenza specifica

Problema: uno dei prodotti specificati nel gruppo contiene un piano di servizio che per funzionare deve essere abilitato per un altro piano di servizio, in un altro prodotto. Questo errore si verifica quando Microsoft Entra ID prova a rimuovere il piano di servizio sottostante. Questo problema può verificarsi, ad esempio, quando si rimuove l'utente dal gruppo.

Per risolvere il problema, è necessario assicurarsi che il piano richiesto sia ancora assegnato agli utenti tramite un altro metodo o che i servizi dipendenti siano disabilitati per tali utenti. Dopo questa operazione, è possibile rimuovere correttamente la licenza del gruppo degli utenti.

PowerShell: i cmdlet di PowerShell segnalano questo errore come DependencyViolation.

La località di utilizzo non è consentita

Problema: alcuni servizi Microsoft non sono disponibili in tutte le località a causa di leggi e regolamenti locali. Prima di assegnare una licenza a un utente, è necessario specificare la proprietà Usage location per l'utente. È possibile specificare la località nella sezione Utente>Profilo>Modifica nel portale.

Quando Microsoft Entra ID prova ad assegnare una licenza di gruppo a un utente la cui località di utilizzo non è supportata, l'assegnazione ha esito negativo e viene registrato un errore in relazione all'utente.

Per risolvere questo problema, rimuovere gli utenti di località non supportate dal gruppo con licenza. In alternativa, se i valori della località di utilizzo corrente non rappresentano la località effettiva dell'utente, è possibile modificarli in modo che le licenze vengano assegnate correttamente la volta successiva (se la nuova località è supportata).

PowerShell: i cmdlet di PowerShell segnalano questo errore come ProhibitedInUsageLocationViolation.

Nota

  • Quando Microsoft Entra ID assegna licenze di gruppo, tutti gli utenti senza una località di utilizzo specificata ereditano la posizione della directory. Per garantire la conformità alle leggi e alle normative locali, Microsoft consiglia agli amministratori di impostare i valori della località di utilizzo corretta per gli utenti prima di utilizzare le licenze basate sui gruppi.
  • Gli attributi di Nome, Cognome, Altro indirizzo di posta elettronica e Tipo di utente non sono obbligatori per l'assegnazione delle licenze.

Rimozione delle licenze dei gruppi di appartenenza dinamica con regole basate sulle licenze con un gruppo statico iniziale

Questo errore si verifica in conseguenza all'aggiunta e alla rimozione di utenti da un altro batch di gruppi di appartenenza dinamica, a causa della configurazione a cascata di gruppi di appartenenza dinamica con regole basate sulle licenze in un gruppo statico iniziale. Questo errore può influire su più gruppi di appartenenza dinamica e richiedere un'ampia rielaborazione per ripristinare l'accesso.

Avviso

Quando si modifica un gruppo statico esistente in gruppo dinamico, tutti i membri esistenti vengono rimossi dal gruppo e quindi la regola di appartenenza viene elaborata per aggiungere nuovi membri. Se il gruppo viene usato per controllare l'accesso alle app o alle risorse, i membri originali potrebbero perdere l'accesso finché non viene completata l'elaborazione della regola di appartenenza.

È consigliabile testare prima la nuova regola di appartenenza per verificare che la nuova appartenenza nel gruppo sia quella prevista. Se si verificano errori durante il test, vedere Usare i log di controllo per monitorare l'attività delle licenze basate sui gruppi.

Indirizzi proxy duplicati

Problema: se si usa Exchange Online, alcuni utenti dell'organizzazione potrebbero non essere configurati correttamente con lo stesso valore di indirizzo proxy. Quando il sistema di gestione delle licenze basate sui gruppi tenta di assegnare una licenza a un utente di questo tipo, l'operazione non riesce e viene visualizzato il messaggio "Indirizzo proxy è già in uso".

Suggerimento

Per verificare se esiste un indirizzo proxy duplicato, eseguire il seguente cmdlet di PowerShell con Exchange Online:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

Per altre informazioni su questo problema, vedere Messaggio di errore "indirizzo proxy < indirizzo > è già in uso" in Exchange Online. L'articolo include anche informazioni su come connettersi a Exchange Online usando PowerShell remoto.

Dopo aver risolto i problemi di indirizzo proxy per gli utenti interessati, forzare l'elaborazione delle licenze nel gruppo per assicurarsi che ora sia possibile applicarle.

Modifica degli attributi Microsoft Entra ID Mail e ProxyAddresses

Problema: durante l'aggiornamento dell'assegnazione delle licenze per un utente o un gruppo, è possibile notare che gli attributi Microsoft Entra ID Mail e ProxyAddresses di alcuni utenti sono stati modificati.

L'aggiornamento dell'assegnazione delle licenze per un utente comporta l'attivazione del calcolo dell'indirizzo del proxy, che può determinare la modifica degli attributi utente. Per comprendere il motivo esatto della modifica e risolvere il problema, vedere questo articolo su Come viene popolato l'attributo proxyAddresses in Microsoft Entra ID.

LicenseAssignmentAttributeConcurrencyException nei log di controllo

Problema: nei log di controllo, l'utente ha LicenseAssignmentAttributeConcurrencyException per l'assegnazione di licenze. Quando la funzionalità di gestione delle licenze basate sui gruppi tenta di elaborare l'assegnazione simultanea di più istanze di una stessa licenza a un utente, viene registrata questa eccezione. Questa situazione si verifica in genere quando un utente è membro di più gruppi a cui è assegnata la stessa licenza. Microsoft Entra ID riprova a elaborare la licenza utente finché il problema non è risolto. Non è richiesta alcuna azione da parte del cliente per risolvere questo problema.

Assegnazione di più licenze del prodotto a un gruppo

È possibile assegnare più licenze di prodotto a un gruppo. È possibile, ad esempio, assegnare Office 365 Enterprise E3 ed Enterprise Mobility + Security a un gruppo per abilitare facilmente tutti i servizi inclusi per gli utenti.

Problema: Microsoft Entra ID prova ad assegnare a ogni utente tutte le licenze specificate nel gruppo. Tuttavia, se Microsoft Entra ID rileva problemi come licenze insufficienti o conflitti con altri servizi abilitati, non assegnerà altre licenze nel gruppo. È possibile controllare quali utenti non hanno ricevuto un'assegnazione e quali prodotti sono stati interessati dal problema.

È importante notare che quando si assegnano licenze a un gruppo, se non sono disponibili licenze sufficienti o si verifica un problema come l'impossibilità di assegnare i piani di servizio contemporaneamente, l'assegnazione al gruppo potrebbe non essere completata. Ciò si verifica, ad esempio, se non sono disponibili licenze sufficienti per tutti o se sono presenti conflitti con altri servizi abilitati per l'utente.

Un soluzione potenziale per questo problema consiste nel creare gruppi di appartenenza dinamica. È possibile creare gruppi di appartenenza dinamica per assegnare licenze, ad esempio Exchange Online, e quindi usare un secondo gruppo dinamico con le stesse regole di appartenenza per applicare le licenze dei prerequisiti. È quindi possibile assegnare tali licenze aggiuntive dopo che il gruppo iniziale ha applicato la licenza di Exchange Online agli utenti.

Se si verificano errori di licenza, vengono registrati nell'oggetto utente e segnalati tramite il portale di Azure per la risoluzione. Per altre informazioni, vedere Esempi di licenze basate sui gruppi di PowerShell per Microsoft Graph.

Effetti dell'eliminazione di un gruppo con licenza

Problema: per eliminare il gruppo, è necessario rimuovere tutte le licenze assegnate al gruppo stesso. La rimozione delle licenze da tutti gli utenti del gruppo, tuttavia, può richiedere tempo. Quando si rimuovono le assegnazioni di licenza da un gruppo, possono verificarsi errori se a un utente è assegnata una licenza dipendente o se è presente un conflitto di indirizzi proxy che impedisce la rimozione delle licenze. Se un utente ha una licenza che dipende da un'altra licenza rimossa a causa dell'eliminazione del gruppo, l'assegnazione della licenza all'utente viene convertita da ereditata a diretta.

Si consideri ad esempio un gruppo cui è assegnato Office 365 E3/E5 con un piano di servizio Skype for Business abilitato. Si supponga anche che alcuni membri del gruppo abbiano licenze di audioconferenza assegnate direttamente. Quando il gruppo viene eliminato, le licenze basate sui gruppi provano a rimuovere Office 365 E3/E5 da tutti gli utenti. Poiché le licenze di audioconferenza dipendono da Skype for Business, per gli utenti cui è assegnata una licenza di audioconferenza, le funzioni di licenza basata sui gruppi convertono le licenze Office 365 E3/E5 in un'assegnazione diretta di licenze.

Gestire le licenze per i prodotti con prerequisiti

Alcuni prodotti Microsoft Online di cui l'utente può essere proprietario sono i componenti aggiuntivi. Per assegnare una licenza ai componenti aggiuntivi, è necessario abilitare un piano di servizio dei prerequisiti per un utente o un gruppo. Con le licenze basate su gruppo, il sistema prevede che i piani di servizio dei prerequisiti e dei componenti aggiuntivi si trovino nello stesso gruppo. Questa operazione viene eseguita per garantire che tutti gli utenti aggiunti al gruppo possano ricevere il prodotto completamente funzionante. Si consideri l'esempio seguente:

Microsoft Workplace Analytics è un componente aggiuntivo. Contiene un singolo piano di servizio con lo stesso nome. Tale piano di servizio può essere assegnato a un utente oppure a un gruppo solo quando viene assegnato uno dei prerequisiti seguenti:

  • Exchange Online (piano 1)
  • Exchange Online (piano 2)

Problema: se si tenta di assegnare questo singolo prodotto a un gruppo, il portale restituisce un messaggio di notifica. Se si selezionano i dettagli relativi all'elemento in questione, viene visualizzato il messaggio di errore seguente:

"L'operazione relativa alla licenza non è riuscita. Assicurarsi che il gruppo abbia i servizi necessari prima di aggiungere o rimuovere un servizio dipendente. Il servizio Microsoft Workplace Analytics richiede che sia anche abilitato il servizio Exchange Online (piano 2)."

Per assegnare questa licenza per un componente aggiuntivo a un gruppo, è necessario verificare che il gruppo contenga anche il piano di servizio dei prerequisiti. Ad esempio, Microsoft Entra ID potrebbe aggiornare un gruppo esistente che contiene già l'intero prodotto Office 365 E3 e quindi integrarvi il componente aggiuntivo.

È anche possibile creare un gruppo autonomo contenente solo i prodotti minimi necessari per il funzionamento del componente aggiuntivo. Tale gruppo può quindi essere utilizzato per concedere in licenza il componente aggiuntivo solo agli utenti selezionati. In base all'esempio precedente, si assegnerebbero i prodotti seguenti allo stesso gruppo:

  • Office 365 Enterprise E3 con il solo piano di servizio Exchange Online (piano 2) abilitato
  • Microsoft Workplace Analytics

D'ora in poi, tutti gli utenti aggiunti a questo gruppo utilizzano una licenza del prodotto E3 e una licenza del prodotto Workplace Analytics. Contemporaneamente, tali utenti possono essere membri di un altro gruppo che fornisce loro il prodotto E3 completo e utilizzano ancora una sola licenza per tale prodotto.

Suggerimento

È possibile creare più gruppi per ogni piano di servizio dei prerequisiti. Se ad esempio si utilizzano sia Office 365 Enterprise E1 che Office 365 Enterprise E3 per gli utenti, è possibile creare due gruppi per la licenza di Microsoft Workplace Analytics, ovvero uno che utilizza E1 come prerequisito e l'altro che utilizza E3. In questo modo è possibile distribuire il componente aggiuntivo agli utenti E1 ed E3 senza utilizzare altre licenze.

Forzare l'elaborazione delle licenze di gruppo per la risoluzione di errori

Problema: in base alle azioni intraprese per risolvere gli errori, potrebbe essere necessario attivare manualmente l'elaborazione di un gruppo per aggiornare lo stato dell'utente.

Se ad esempio si liberano alcune licenze rimuovendo le assegnazioni di licenze dirette dagli utenti, è necessario attivare l'elaborazione dei gruppi che in precedenza non erano in grado di assegnare completamente la licenza a tutti i membri utente. Per rielaborare un gruppo, passare al riquadro del gruppo, aprire Licenze, quindi selezionare il pulsante Rielabora sulla barra degli strumenti.

Forzare l'elaborazione delle licenze utente per la risoluzione di errori

Problema: a seconda delle azioni intraprese per risolvere gli errori, potrebbe essere necessario attivare manualmente l'elaborazione di un utente per aggiornare lo stato degli utenti.

Dopo aver risolto il problema dell'indirizzo proxy duplicato per un utente interessato, è necessario ad esempio attivare l'elaborazione dell'utente. Per rielaborare un utente, passare al riquadro dell'utente, aprire Licenze, quindi selezionare il pulsante Rielabora sulla barra degli strumenti.

Passaggi successivi

Per informazioni su altri scenari per la gestione delle licenze tramite i gruppi, vedere: