Exercício - alterar atribuições de licença de grupo

  • 10 minutos

Alterar atribuição de licença de grupo

  1. Navegue até a página Identidade - Grupos do centro de administração do Microsoft Entra.

  2. Na navegação à esquerda, em Grupos.

  3. Selecione um dos grupos disponíveis. Por exemplo, Marketing.

  4. Na navegação à esquerda, em Gerenciar, selecione Licenças.

  5. Reveja as atribuições atuais e, em seguida, no menu, selecione + Atribuições.

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. Na página Atualizar atribuições de licença, selecione outra licença, limpe a seleção de uma licença existente, adicione ou remova opções de licença ou qualquer combinação.

  7. Quando terminar, selecione Guardar.

  8. Na página Licenças do grupo, revise a alteração.

Identificar e resolver problemas de atribuição de licença para um grupo no Microsoft Entra ID

O licenciamento baseado em grupo no Microsoft Entra ID introduz o conceito de usuários em um estado de erro de licenciamento. Nesta seção, explicamos as razões pelas quais os usuários podem acabar nesse estado.

Quando você atribui licenças diretamente a usuários individuais, sem usar o licenciamento baseado em grupo, a operação de atribuição pode falhar. Por exemplo, quando você executa o cmdlet do PowerShell em um objeto de usuário, o cmdlet Set-MgUserLicense pode falhar por muitos motivos relacionados à lógica de negócios. Por exemplo, pode haver um número insuficiente de licenças ou um conflito entre dois planos de serviço que não podem ser atribuídos ao mesmo tempo. O problema é-lhe imediatamente comunicado.

Quando você está usando o licenciamento baseado em grupo, os mesmos erros podem ocorrer, mas eles acontecem em segundo plano enquanto o serviço Microsoft Entra está atribuindo licenças. Por esta razão, os erros não podem ser comunicados imediatamente. Em vez disso, eles são registrados no objeto de usuário e, em seguida, relatados por meio do portal administrativo. A intenção original de licenciar o usuário nunca é perdida, mas é registrada em um estado de erro para investigação e resolução futuras.

Encontrar erros de atribuição de licença

Para localizar usuários em um estado de erro em um grupo

  1. Abra o grupo na página de visão geral e selecione Licenças. Uma notificação será exibida se houver usuários em um estado de erro.

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. Selecione a notificação para abrir uma lista de todos os usuários afetados. Você pode selecionar cada usuário individualmente para ver mais detalhes.

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. Para localizar todos os grupos que contêm pelo menos um erro, no menu Microsoft Entra - Identidade - Faturação, selecione Licenças e, em seguida, selecione Descrição Geral. Uma caixa de informações é exibida quando os grupos exigem sua atenção.

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. Selecione a caixa para ver uma lista de todos os grupos com erros. Você pode selecionar cada grupo para obter mais detalhes.

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

As seções a seguir fornecem descrições de cada problema potencial e a maneira de resolvê-lo.

Licenças insuficientes

Problema: não há licenças disponíveis suficientes para um dos produtos especificados no grupo. Você precisa comprar mais licenças para o produto ou liberar licenças não utilizadas de outros usuários ou grupos.

Para ver quantas licenças estão disponíveis, vá para Microsoft Entra - Identidade - Faturação , depois Licenças e, em seguida , Todos os produtos.

Para ver quais usuários e grupos estão consumindo licenças, selecione um produto. Em Usuários licenciados, você verá uma lista de todos os usuários que tiveram licenças atribuídas diretamente ou por meio de um ou mais grupos. Em Grupos licenciados, você vê todos os grupos com licenças de produto atribuídas.

PowerShell: cmdlets do PowerShell relatam esse erro como CountViolation.

Planos de serviço que entram em conflito

Problema: um dos produtos especificados no grupo contém um plano de serviço que entra em conflito com outro plano de serviço já atribuído ao usuário por meio de um produto diferente. Alguns planos de serviço são configurados de forma que não possam ser atribuídos ao mesmo usuário que outro plano de serviço relacionado.

Considere o seguinte exemplo. Um usuário tem uma licença para o Office 365 Enterprise E1 atribuída diretamente, com todos os planos habilitados. O usuário foi adicionado a um grupo que tem o produto Office 365 Enterprise E3 atribuído a ele. O produto E3 contém planos de serviço que não podem se sobrepor aos planos incluídos no E1, portanto, a atribuição de licença de grupo falha com o erro Planos de serviço conflitantes. Neste exemplo, os planos de serviço conflitantes são:

  • O SharePoint Online (Plano 2) entra em conflito com o SharePoint Online (Plano 1).
  • O Exchange Online (Plano 2) entra em conflito com o Exchange Online (Plano 1).

Para resolver esse conflito, você precisa desativar dois dos planos. Você pode desativar a licença E1 atribuída diretamente ao usuário. Ou, você precisa modificar toda a atribuição de licença de grupo e desativar os planos na licença E3. Como alternativa, você pode decidir remover a licença E1 do usuário se ela for redundante no contexto da licença E3.

A decisão sobre como resolver licenças de produto conflitantes sempre pertence ao administrador. O Microsoft Entra ID não resolve automaticamente conflitos de licença.

PowerShell: cmdlets do PowerShell relatam esse erro como MutuallyExclusiveViolation.

Outros produtos dependem desta licença

Problema: um dos produtos especificados no grupo contém um plano de serviço que deve ser habilitado para que outro plano de serviço, em outro produto, funcione. Este erro ocorre quando o Microsoft Entra ID tenta remover o plano de serviço subjacente. Por exemplo, isso pode acontecer quando você remove o usuário do grupo.

Para resolver esse problema, você precisa certificar-se de que o plano necessário ainda é atribuído aos usuários por meio de algum outro método ou que os serviços dependentes estão desabilitados para esses usuários. Depois de fazer isso, você pode remover corretamente a licença de grupo desses usuários.

PowerShell: cmdlets do PowerShell relatam esse erro como DependencyViolation.

O local de uso não é permitido

Problema: alguns serviços da Microsoft não estão disponíveis em todos os locais devido às leis e regulamentos locais. Antes de atribuir uma licença a um usuário, você deve especificar a propriedade Local de uso para o usuário. Você pode especificar o local em Usuário, Perfil e Editar a seção no portal do Azure.

Quando o Microsoft Entra ID tenta atribuir uma licença de grupo a um usuário cujo local de uso não é suportado, ele falha e registra um erro no usuário.

Para resolver esse problema, remova os usuários de locais sem suporte do grupo licenciado. Como alternativa, se os valores de local de uso atuais não representarem o local real do usuário, você poderá modificá-los para que as licenças sejam atribuídas corretamente na próxima vez (se o novo local for suportado).

PowerShell: Os cmdlets do PowerShell relatam esse erro como ProhibitedInUsageLocationViolation.

Nota

Quando o Microsoft Entra ID atribui licenças de grupo, todos os usuários sem um local de uso especificado herdam o local do diretório. Recomendamos que os administradores definam os valores de local de uso corretos nos usuários antes de usar o licenciamento baseado em grupo para cumprir as leis e regulamentos locais.

Endereços proxy duplicados

Se você usar o Exchange Online, alguns usuários em sua organização podem estar configurados incorretamente com o mesmo valor de endereço proxy. Quando o licenciamento baseado em grupo tenta atribuir uma licença a esse usuário, ele falha e mostra "O endereço proxy já está sendo usado".

Depois de resolver quaisquer problemas de endereço de proxy para os usuários afetados, certifique-se de forçar o processamento de licenças no grupo para garantir que as licenças agora possam ser aplicadas.

Alteração do atributo Microsoft Entra Mail e ProxyAddresses

Problema: Ao atualizar a atribuição de licença em um usuário ou grupo, você pode ver que o atributo Microsoft Entra Mail e ProxyAddresses de alguns usuários são alterados.

A atualização da atribuição de licença em um usuário faz com que o cálculo de endereço proxy seja acionado, o que pode alterar os atributos do usuário.

LicenseAssignmentAttributeConcurrencyException nos logs de auditoria

Problema: O usuário tem LicenseAssignmentAttributeConcurrencyException para atribuição de licença em logs de auditoria. Quando o licenciamento baseado em grupo tenta processar a atribuição de licença simultânea da mesma licença a um usuário, essa exceção é registrada no usuário. Isso normalmente acontece quando um usuário é membro de mais de um grupo com a mesma licença atribuída. O Microsoft Entra ID tentará processar novamente a licença de usuário e resolverá o problema. Não é necessária nenhuma ação do cliente para corrigir esse problema.

Mais de uma licença de produto atribuída a um grupo

Você pode atribuir mais de uma licença de produto a um grupo. Por exemplo, você pode atribuir o Office 365 Enterprise E3 e o Enterprise Mobility + Security a um grupo para habilitar facilmente todos os serviços incluídos para os usuários.

O Microsoft Entra ID tenta atribuir todas as licenças especificadas no grupo a cada usuário. Se o Microsoft Entra ID não puder atribuir um dos produtos devido a problemas de lógica de negócios, ele também não atribuirá as outras licenças no grupo. Um exemplo é se não houver licenças suficientes para todos ou se houver conflitos com outros serviços habilitados no usuário.

Você pode ver os usuários que não conseguiram ser atribuídos e verificar quais produtos são afetados por esse problema.

Quando um grupo licenciado é excluído

Tem de remover todas as licenças atribuídas a um grupo antes de poder eliminar o grupo. No entanto, remover licenças de todos os usuários do grupo pode levar tempo. Pode haver falhas se o usuário tiver uma licença dependente atribuída. Se um usuário tiver uma licença que depende de uma licença que está sendo removida devido à exclusão do grupo, a atribuição de licença ao usuário será convertida de herdada para direta.

Por exemplo, considere um grupo que tenha o Office 365 E3/E5 atribuído com um plano de serviço do Skype for Business habilitado. Imagine também que alguns membros do grupo têm licenças de audioconferência atribuídas diretamente. Quando o grupo é excluído, o licenciamento baseado em grupo tentará remover o Office 365 E3/E5 de todos os usuários. Como a Conferência de Áudio depende do Skype for Business, para todos os usuários com Conferência de Áudio atribuída, o licenciamento baseado em grupo converte as licenças do Office 365 E3/E5 em atribuição direta de licença.

Gerenciar licenças para produtos com pré-requisitos

Alguns produtos Microsoft Online que você pode possuir são complementos. Os complementos exigem que um plano de serviço de pré-requisito seja habilitado para um usuário ou um grupo antes que lhes seja atribuída uma licença. Com o licenciamento baseado em grupo, o sistema exige que os planos de pré-requisito e de serviço complementar estejam presentes no mesmo grupo para garantir que todos os usuários adicionados ao grupo possam receber o produto totalmente funcional. Vamos considerar o seguinte exemplo:

O Microsoft Workplace Analytics é um produto complementar. Ele contém um único plano de serviço com o mesmo nome. Só podemos atribuir este plano de serviço a um utilizador, ou grupo, quando um dos seguintes pré-requisitos também é atribuído:

  • Exchange Online (Plano 1)
  • Exchange Online (Plano 2)

Se tentarmos atribuir este produto por conta própria a um grupo, o portal devolve uma mensagem de notificação. Se selecionarmos os detalhes do item, ele mostra a seguinte mensagem de erro:

Falha na operação da licença. Certifique-se de que o grupo tem os serviços necessários antes de adicionar ou remover um serviço dependente. O serviço Microsoft Workplace Analytics também requer que o Exchange Online (Plano 2) esteja habilitado.

Para atribuir essa licença de complemento a um grupo, devemos garantir que o grupo também contenha o plano de serviço de pré-requisito. Por exemplo, podemos atualizar um grupo existente que já contém o produto Office 365 E3 completo e, em seguida, adicionar o produto complementar a ele.

Também é possível criar um grupo autônomo que contém apenas os produtos mínimos necessários para fazer o complemento funcionar. Ele pode então ser usado para licenciar apenas usuários selecionados para o produto complementar. Com base no exemplo anterior, você atribuiria os seguintes produtos ao mesmo grupo:

  • Office 365 Enterprise E3 com apenas o plano de serviço do Exchange Online (Plano 2) ativado
  • Análise de Área de Trabalho da Microsoft

A partir de agora, todos os usuários adicionados a esse grupo consomem uma licença do produto E3 e uma licença do produto Workplace Analytics. Ao mesmo tempo, esses usuários podem ser membros de outro grupo que lhes dá o produto E3 completo, e eles ainda consomem apenas uma licença para esse produto.

Gorjeta

Você pode criar vários grupos para cada plano de serviço de pré-requisito. Por exemplo, se você usar o Office 365 Enterprise E1 e o Office 365 Enterprise E3 para seus usuários, poderá criar dois grupos para licenciar o Microsoft Workplace Analytics: um que usa E1 como pré-requisito e outro que usa E3. Isso permite que você distribua o complemento para usuários E1 e E3 sem consumir licenças adicionais.

Forçar o processo de licença de grupo para resolver erros

Dependendo das etapas executadas para resolver os erros, pode ser necessário acionar manualmente o processamento de um grupo para atualizar o estado do usuário.

Por exemplo, se você liberar algumas licenças removendo atribuições diretas de licença dos usuários, precisará acionar o processamento de grupos que anteriormente não conseguiram licenciar totalmente todos os membros do usuário. Para reprocessar um grupo, vá para o painel de grupo, abra Licenças e selecione o botão Reprocessar na barra de ferramentas.

Forçar o processo de licença de usuário para resolver erros

Dependendo das etapas que você tomou para resolver os erros, pode ser necessário acionar manualmente o processamento de um usuário para atualizar o estado do usuário.

Por exemplo, depois de resolver o problema de endereço de proxy duplicado para um usuário afetado, você precisa acionar o processamento do usuário. Para reprocessar um usuário, vá para o painel do usuário, abra Licenças e selecione o botão Reprocessar na barra de ferramentas.

Como migrar usuários com licenças individuais para licenças de grupo

Você pode ter licenças existentes implantadas para usuários nas organizações por meio de atribuição direta; ou seja, usando scripts do PowerShell ou outras ferramentas para atribuir licenças de usuário individuais. Antes de começar a usar o licenciamento baseado em grupo para gerenciar licenças em sua organização, você pode usar este plano de migração para substituir perfeitamente as soluções existentes pelo licenciamento baseado em grupo.

Lembre-se de que você deve evitar uma situação em que a migração para o licenciamento baseado em grupo resulte na perda temporária de licenças atribuídas atualmente pelos usuários. Qualquer processo que possa resultar na remoção de licenças deve ser evitado para eliminar o risco de os utilizadores perderem o acesso aos serviços e aos seus dados.

  1. Você tem automação existente (por exemplo, PowerShell) gerenciando a atribuição e remoção de licenças para usuários. Deixe-o funcionando como está.

  2. Crie um novo grupo de licenciamento (ou decida quais grupos existentes usar) e certifique-se de que todos os usuários necessários sejam adicionados como membros.

  3. Atribuir as licenças necessárias a esses grupos; seu objetivo deve ser refletir o mesmo estado de licenciamento que sua automação existente (por exemplo, PowerShell) está aplicando a esses usuários.

  4. Verifique se as licenças foram aplicadas a todos os usuários desses grupos. Esta aplicação pode ser feita verificando o estado de processamento em cada grupo e verificando os Logs de Auditoria.

    • Você pode realizar uma verificação aleatória de alguns usuários individuais observando os detalhes de sua licença. Você verá que eles têm as mesmas licenças atribuídas "diretamente" e "herdadas" de grupos.
    • Você pode executar um script do PowerShell para verificar como as licenças são atribuídas aos usuários.
    • Quando a mesma licença de produto é atribuída ao usuário diretamente e por meio de um grupo, apenas uma licença é consumida pelo usuário. Portanto, não são necessárias licenças adicionais para executar a migração.

  5. Verifique se nenhuma atribuição de licença falhou verificando cada grupo em busca de usuários em estado de erro.

Considere remover as atribuições diretas originais. Recomendamos que você faça isso gradualmente e monitore o resultado em um subconjunto de usuários primeiro. Se você deixar as atribuições diretas originais nos usuários, quando os usuários deixarem seus grupos licenciados, eles manterão as licenças atribuídas diretamente, que podem não ser o que você deseja.

Um exemplo

Uma organização tem 1.000 usuários. Todos os utilizadores necessitam de licenças do Office 365 Enterprise E3. Atualmente, a organização tem um script do PowerShell em execução no local, adicionando e removendo licenças dos usuários à medida que eles vão e vêm. No entanto, a organização deseja substituir o script por licenciamento baseado em grupo para que as licenças possam ser gerenciadas automaticamente pelo Microsoft Entra ID.

Veja como seria o processo de migração:

  1. Usando o portal do Azure, atribua a licença do Office 365 E3 ao grupo Todos os usuários na ID do Microsoft Entra.

  2. Confirme se a atribuição de licença foi concluída para todos os usuários. Vá para a página de visão geral do grupo, selecione Licenças e verifique o status do processamento na parte superior da página Licenças.

    • Procure "As últimas alterações de licença foram aplicadas a todos os usuários" para confirmar que o processamento foi concluído.
    • Procure uma notificação no topo sobre quaisquer usuários para os quais as licenças podem não ter sido atribuídas com êxito. Ficamos sem licenças para alguns usuários? Alguns usuários têm planos de licença conflitantes que os impedem de herdar licenças de grupo?

  3. Você precisa verificar alguns usuários para verificar se eles têm as licenças diretas e de grupo aplicadas. Vá para a página de perfil de um usuário, selecione Licenças e examine o estado das licenças.

    • Este é o estado esperado do usuário durante a migração:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. Depois de confirmar que as licenças diretas e de grupo são equivalentes, você pode começar a remover as licenças diretas dos usuários. Você pode testar isso removendo-os para usuários individuais no portal e, em seguida, executar scripts de automação para removê-los em massa. Aqui está um exemplo do mesmo usuário com as licenças diretas removidas através do portal. Observe que o estado da licença permanece inalterado, mas não vemos mais atribuições diretas.

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Alterar atribuições de licença para um usuário ou grupo no Microsoft Entra ID

Esta seção descreve como mover usuários e grupos entre planos de licença de serviço no Microsoft Entra ID. O objetivo é garantir que não haja perda de serviço ou dados durante a alteração da licença. Os utilizadores devem alternar entre serviços sem problemas. As etapas de atribuição do plano de licença nesta seção descrevem a alteração de um usuário ou grupo no Office 365 E1 para o Office 365 E3, mas as etapas se aplicam a todos os planos de licença. Quando você atualiza as atribuições de licença para um usuário ou grupo, as remoções de atribuição de licença e as novas atribuições são feitas simultaneamente para que os usuários não percam o acesso aos seus serviços durante as alterações de licença ou vejam conflitos de licença entre planos.

Antes de atualizar as atribuições de licença, verifique se determinadas suposições são verdadeiras para todos os usuários ou grupos a serem atualizados. Se as suposições não forem verdadeiras para todos os usuários de um grupo, a migração poderá falhar para alguns. Como resultado, alguns dos usuários podem perder o acesso a serviços ou dados. Certifique-se de que:

  • Os usuários têm o plano de licença atual atribuído a um grupo e herdado pelo usuário e não atribuído diretamente.
  • Você tem licenças disponíveis suficientes para o plano de licença que está atribuindo. Se você não tiver licenças suficientes, alguns usuários podem não receber o novo plano de licença. Você pode verificar o número de licenças disponíveis.
  • Sempre confirme se os usuários não têm licenças de serviço atribuídas que possam entrar em conflito com a licença desejada ou impedir a remoção da licença atual. Por exemplo, uma licença de um serviço como o Workplace Analytics ou o Project Online que dependa de outros serviços.
  • Se você gerenciar grupos no local e sincronizá-los com o ID do Microsoft Entra por meio do Microsoft Entra Connect, adicionará ou removerá usuários usando seu sistema local. Pode levar algum tempo para que as alterações sejam sincronizadas com o Microsoft Entra ID para serem captadas pelo licenciamento de grupo.
  • Se você estiver usando associações de grupo dinâmico do Microsoft Entra, adicionará ou removerá usuários alterando seus atributos, mas o processo de atualização para atribuições de licença permanecerá o mesmo.