Gestire le licenze
Per i servizi cloud a pagamento di Microsoft, come Microsoft 365, Enterprise Mobility + Security, Dynamics 365 e altri prodotti simili, sono necessarie le licenze. Queste licenze vengono assegnate a ogni utente che deve accedere a questi servizi. Per gestire le licenze, gli amministratori usano uno dei portali di gestione (Office o Azure) e i cmdlet di PowerShell. Microsoft Entra ID è l'infrastruttura sottostante che supporta la gestione delle identità per tutti i servizi cloud Microsoft. Microsoft Entra ID archivia le informazioni relative agli stati di assegnazione delle licenze per gli utenti.
Fino ad ora, le licenze potevano essere assegnate solo a livello di singolo utente, il che può rendere difficile la gestione su larga scala. Ad esempio, per aggiungere o rimuovere licenze utente in base alle modifiche apportate all'organizzazione, ad esempio gli utenti che si aggiungono o lasciano l'organizzazione o un reparto, spesso un amministratore deve scrivere uno script di PowerShell complesso. Questo script effettua singole chiamate al servizio cloud.
Per risolvere questi problemi, in Microsoft Entra ID sono ora disponibili le licenze basate sui gruppi. È possibile assegnare una o più licenze di prodotto a un gruppo. Microsoft Entra ID assicura che le licenze vengano assegnate a tutti i membri del gruppo. Ai nuovi membri che si aggiungono al gruppo vengono assegnate le licenze appropriate. Quando lasciano il gruppo, le licenze vengono rimosse. Questa gestione delle licenze elimina la necessità di automatizzare la gestione delle licenze tramite PowerShell per riflettere le modifiche apportate all'organizzazione e alla struttura del reparto per ogni singolo utente.
Requisiti di licenza
Per usare le licenze basate sui gruppi, è necessario disporre di una delle seguenti licenze:
- Sottoscrizione a pagamento o di prova per Microsoft Entra ID P1 e versioni successive
- Edizione a pagamento o di valutazione di Office 365 Enterprise E3, Office 365 A3, Office 365 GCC G3 o Office 365 E3 per GCCH oppure Office 365 E3 per DOD e versioni successive
Numero di licenze richiesto
Per tutti i gruppi a cui è assegnata una licenza, è necessario avere anche una licenza per ogni membro univoco. Anche se non è necessario assegnare una licenza a ogni membro del gruppo, è necessario avere licenze sufficienti per includere tutti i membri. Ad esempio, se sono presenti 1.000 singoli membri che fanno parte di gruppi con licenza nel tenant, è necessario avere almeno 1.000 licenze per soddisfare il contratto di licenza.
Funzionalità
Ecco le funzionalità principali delle licenze basate sui gruppi:
- Le licenze possono essere assegnate a qualsiasi gruppo di sicurezza in Microsoft Entra ID. I gruppi di sicurezza possono essere sincronizzati dall'ambiente locale tramite Microsoft Entra Connect. È anche possibile creare gruppi di sicurezza direttamente in Microsoft Entra ID (detti anche gruppi solo cloud) o automaticamente tramite la funzionalità dei gruppi dinamici di Microsoft Entra ID.
- Quando a un gruppo viene assegnata una licenza di prodotto, l'amministratore può disabilitare uno o più piani di servizio nel prodotto. In genere, questa assegnazione viene eseguita quando l'organizzazione non è ancora pronta per iniziare a usare un servizio incluso in un prodotto. Ad esempio, l'amministratore potrebbe assegnare Microsoft 365 a un reparto, ma disabilitare temporaneamente il servizio Yammer.
- Sono supportati tutti i servizi cloud Microsoft che richiedono licenze a livello utente. Sono inclusi tutti i prodotti Microsoft 365, Enterprise Mobility + Security e Dynamics 365.
- Le licenze basate sui gruppi sono attualmente disponibili solo tramite il portale di Azure. (presto disponibile nell'interfaccia di amministrazione di Microsoft Entra)
- Microsoft Entra ID gestisce automaticamente le modifiche delle licenze risultanti dalle modifiche all'appartenenza ai gruppi. In genere, le modifiche alle licenze sono valide entro pochi minuti da una modifica dell'appartenenza.
- Un utente può essere membro di più gruppi con criteri di licenza specificati. Un utente può anche avere alcune licenze assegnate direttamente, all'esterno di qualsiasi gruppo. Lo stato dell'utente risultante è una combinazione di tutte le licenze di prodotti e servizi assegnate. Se a un utente viene assegnata la stessa licenza da più origini, la licenza verrà usata una sola volta.
- In alcuni casi, le licenze non possono essere assegnate a un utente. Ad esempio, potrebbe non essere disponibile un numero sufficiente di licenze nel tenant o potrebbero essere stati assegnati contemporaneamente servizi in conflitto. Gli amministratori hanno accesso alle informazioni sugli utenti per i quali Microsoft Entra ID non ha potuto elaborare completamente le licenze di gruppo. Possono quindi intraprendere azioni correttive in base a tali informazioni.
Alcuni servizi Microsoft non sono disponibili in tutte le località. Prima di assegnare una licenza a un utente, l'amministratore deve specificare la località di utilizzo nel profilo utente.
Per l'assegnazione di licenze di gruppo, tutti gli utenti senza una località di utilizzo specificata ereditano la posizione della directory. Se gli utenti si trovano in località diverse, è consigliabile impostare sempre la località di utilizzo nell'ambito del flusso di creazione utente in Microsoft Entra ID, ad esempio tramite la configurazione di Microsoft Entra Connect. In questo modo si ha la certezza che il risultato dell'assegnazione delle licenze sia sempre corretto e che gli utenti non ricevano i servizi in località che non sono consentite.