Поделиться через

Управление лицензированием в Microsoft Entra ID: сценарии, ограничения и известные проблемы при использовании групп

  • Статья

Используйте следующую информацию и приведённые примеры, чтобы углубить понимание лицензирования на основе групп в Microsoft Entra ID, части Microsoft Entra.

Это важно

Назначения лицензий пользователей и групп управляются с помощью Центра администрирования Microsoft 365. Дополнительные сведения о назначении или отмене назначения лицензий пользователям и группам см. в этой статье: Назначение или отмена назначений лицензий для пользователей в Центре администрирования Microsoft 365

Место использования

Некоторые службы Майкрософт недоступны во всех расположениях. При назначении групповой лицензии все пользователи без указанного расположения использования наследуют расположение каталога. Если пользователи находятся в нескольких местах, это должно быть правильно обозначено в ресурсах пользователей до добавления пользователей в группы с лицензиями. Прежде чем назначать лицензию, администратор должен указать для пользователя свойство Место использования.

  1. Войдите в систему в Центр администрирования Microsoft Entra в роли как минимум Администратора групп.

  2. Выберите Microsoft Entra ID.

  3. Перейдите ко >всем пользователям и выберите пользователя.

    Снимок экрана: панель

  4. Выберите Изменить свойства.

  5. Перейдите на вкладку "Параметры " и введите расположение для пользователя.

  6. Выберите кнопку Сохранить.

Примечание.

Назначение групповых лицензий никогда не изменяет существующее местоположение использования у пользователя. Рекомендуем всегда задавать местоположение использования как часть процесса создания пользователя в Microsoft Entra ID (например, через настройку Microsoft Entra Connect). После такого процесса гарантируется, что результат назначения лицензии всегда правильный, и пользователи не получают службы в расположениях, которые не разрешены.

Использование группового лицензирования с динамическими группами членства

Вы можете использовать лицензирование, основанное на группах, с любой группой безопасности, включая группы с динамическим членством. Правила динамических групп выполняются в отношении атрибутов ресурсов пользователей для автоматического добавления и исключения участников. Атрибуты могут быть отделом, должностью, рабочим местоположением или другим настраиваемым атрибутом. Каждая группа назначает лицензии, которые должны получать участники. Если атрибут изменяется, член покидает группу, а лицензии удаляются.

Атрибут можно назначить локально и синхронизировать с идентификатором Microsoft Entra или управлять атрибутом непосредственно в облаке.

Предупреждение

При изменении правила членства в имеющейся группе следует соблюдать осторожность. При изменении правила членства в группе оценивается повторно. Пользователи, которые больше не соответствуют новому правилу, удаляются (пользователи, которые по-прежнему соответствуют новому правилу, не затрагиваются во время этого процесса). Эти пользователи удаляют свои лицензии во время процесса, что может привести к потере службы или в некоторых случаях потере данных.

Если имеется крупная динамическая группа, от которой зависит назначение лицензии, рекомендуется проверить возможные значительные изменения на тестовой группе меньшего размера, прежде чем применять их к основной группе. Если во время теста возникают ошибки, см. статью "Устранение проблем с лицензией группы".

Несколько групп и несколько лицензий

Пользователь может быть участником нескольких групп с лицензиями. При этом нужно помнить о следующем:

  • При наличии нескольких лицензий на один продукт они могут совпадать, и это приводит к тому, что все активированные службы применяются к пользователю. Примером может быть то, что M365-P1 содержит базовые службы для развертывания для всех пользователей, а M365-P2 содержит службы P2 для развертывания только для некоторых пользователей. Вы можете добавить пользователя в одну или обе группы и использовать только одну лицензию для продукта.

  • Выберите лицензию, чтобы просмотреть дополнительные сведения, например сведения о службах, активированных для пользователя назначением лицензии группы.

Прямые лицензии сосуществуют с лицензиями группы

Когда пользователь наследует лицензию от группы, вы не можете напрямую удалить или изменить эту лицензию в свойствах пользователя. Вы можете изменить назначение лицензии только в группе, а изменения будут распространяться на всех участников группы. Если необходимо назначить пользователю другие функции, а его лицензия получена через назначение групповой лицензии, вы должны создать другую группу, чтобы назначить эти функции пользователю.

При использовании группового лицензирования рассмотрите следующие сценарии:

  • Члены группы наследуют лицензии, назначенные группе.
  • Варианты лицензии для групповых лицензий должны быть изменены на уровне группы.
  • Если пользователю необходимо назначить разные параметры лицензии, создайте новую группу, назначьте лицензию группе, а затем добавьте пользователя в эту группу.
  • Пользователи по-прежнему используют только одну лицензию продукта, если разные варианты лицензии для этого продукта используются в разных групповых лицензиях.

При использовании прямого назначения разрешены следующие операции:

  • Лицензии, которые еще не назначены через групповое лицензирование, можно изменить для отдельного пользователя.
  • Другие службы можно включить в рамках непосредственно назначенной лицензии.
  • Лицензии, назначенные напрямую, можно удалить, это не повлияет на унаследованные лицензии пользователя.

Управление новыми службами, добавляемыми в продукты

При добавлении новой службы в план лицензирования продукта она включена по умолчанию во всех группах, используемых для назначения лицензии на продукт. Пользователи в вашей организации, которые подписаны на уведомления об изменениях продукта, получают сообщения электронной почты заранее, уведомляя их о предстоящих дополнениях служб.

Администратор может просмотреть все группы, затронутые изменением, и принять соответствующие меры, например отключить новую службу в каждой группе. Например, при создании групп, предназначенных для развертывания только определенных служб, можно проверить эти группы и убедиться в том, что новые добавленные службы отключены.

Ниже приведен пример того, как выглядит этот процесс:

  1. Изначально вы назначили этот продукт Microsoft 365 E5 нескольким группам. Одна из этих групп, называемая Microsoft 365 E5 - только Exchange, была разработана для включения только службы Exchange Online (Plan 2) для своих членов.

  2. Вы получили уведомление от Корпорации Майкрософт о том, что продукт E5 расширяется с помощью новой службы - Microsoft Stream. Когда служба станет доступной в вашей организации, можно выполнить следующие действия.

    1. Вход в Центр администрирования Microsoft Entra

  4. Выберите Microsoft Entra ID.

  5. Выберите Billing>Лицензии>Все продукты и выберите Microsoft 365 Enterprise E5, а затем выберите Licensed Groups, чтобы просмотреть список всех групп с этим продуктом.

  6. Выберите группу, которую вы хотите просмотреть (в этом случае Только Microsoft 365 E5 — Exchange). Откроется вкладка "Лицензии ". Выберите лицензию E5, чтобы просмотреть все включенные службы.

    Снимок экрана: новая служба, добавленная в лицензию группы.

  7. Если вы хотите отключить новую службу в этой группе, нажмите переключатель "Вкл./Выкл." рядом со службой и нажмите кнопку "Сохранить ", чтобы подтвердить изменение. Microsoft Entra ID теперь обрабатывает всех пользователей в группе, чтобы применить это изменение; все новые пользователи, добавленные в группу, не будут подключены к службе Microsoft Stream.

    Примечание.

    Пользователи по-прежнему могут активировать службу с помощью других назначений лицензий (посредством других групп, в которые они входят, или путем прямого назначения лицензий).

  8. При необходимости повторите эти действия для других групп, которым назначен этот продукт.

Использование PowerShell для просмотра унаследованных и прямых назначений лицензий

Чтобы проверить, назначена ли лицензия напрямую или унаследована от группы, можно использовать команду PowerShell.

  1. Запустите командлет Connect-MgGraph -Scopes "Organization.Read.All" для аутентификации и подключения к вашей организации через Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname можно использовать для обнаружения всех лицензий на предоставленные продукты в организации Microsoft Entra.

    Снимок экрана: командлет Get-MgSubscribedSku.

  3. Используйте значение ServicePlanId для лицензии, которую вы хотите получить с помощью этого скрипта PowerShell. Список содержит пользователей, имеющих эту лицензию, и информацию о том, как назначена лицензия.

Используйте журналы аудита для мониторинга активности лицензирования на основе групп.

Вы можете использовать журналы аудита Microsoft Entra для просмотра всех действий, связанных с лицензированием на основе групп, включая:

  • кто изменил лицензии для групп;
  • когда система приступила к обработке изменения в лицензии для группы и когда она завершила обработку;
  • какие изменения были внесены в лицензию пользователя в результате назначения лицензии группе.

Журналы аудита, связанные с лицензированием на основе групп, можно получить из журналов аудита в областях групп или лицензирования идентификатора Microsoft Entra ID или использовать следующие сочетания фильтров из основных журналов аудита:

  • Служба: Основной каталог
  • Категория: GroupManagement или UserManagement

Снимок экрана: журналы аудита Microsoft Entra с выделенными параметрами фильтра Core Directory и GroupManagement.

Узнайте, кто изменил лицензию

  1. Чтобы просмотреть журналы изменений лицензий группы, используйте следующие параметры фильтра журнала аудита:
    • Служба: Основной каталог
    • Категория: GroupManagement
    • Действие: Установить лицензию группы
  2. Выберите строку в результирующей таблице, чтобы просмотреть сведения.
  3. Перейдите на вкладку "Измененные свойства", чтобы просмотреть старые и новые значения лицензионного соглашения.

В следующем примере показаны параметры фильтра, перечисленные выше, а также целевой фильтр, заданный для всех групп, начинающихся с "EMS".

Снимок экрана: журналы аудита Microsoft Entra, включая целевой фильтр.

Чтобы просмотреть изменения лицензий для конкретного пользователя, используйте следующие фильтры:

  • Служба: Основной каталог
  • Категория: UserManagement
  • Действие. Изменение лицензии пользователя

Узнайте, когда началась и завершилась обработка групповых изменений

При изменении лицензии в группе идентификатор Microsoft Entra начинает применять изменения ко всем пользователям, но изменения могут занять некоторое время.

  1. Чтобы узнать, когда группы начали обработку, используйте следующие фильтры:
    • Служба: Основной каталог
    • Категория: GroupManagement
    • Действие: Применить групповые лицензии к пользователям
  2. Выберите строку в результирующей таблице, чтобы просмотреть сведения.
  3. Перейдите на вкладку "Измененные свойства", чтобы просмотреть изменения лицензии, которые были выбраны для обработки.
    • Используйте эти сведения, если вы вносите несколько изменений в группу и не уверены, какая лицензия обработана.
    • Ответственным за операцию является групповое лицензирование Microsoft Entra, это системная учетная запись, используемая для выполнения всех изменений лицензий группы.

Чтобы узнать, когда группы завершили обработку, измените фильтр действий на завершение применения групповой лицензии к пользователям. В этом случае поле "Измененные свойства" содержит сводку результатов, что полезно для быстрого проверки того, приводит ли обработка к ошибкам. Образец вывода:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Чтобы просмотреть полный журнал обработки группы, включая все изменения пользователей, добавьте следующие фильтры:

  • Целевой объект: имя группы
  • Инициировано (актер): групповое лицензирование в Microsoft Entra (с учетом регистра)
  • Диапазон дат (необязательно): настраиваемый диапазон для случаев, когда вы знаете, когда конкретная группа начала и закончила обработку

На этом изображении показана процедура изменения лицензирования от начала до завершения.

Снимок экрана: фильтры журналов аудита Microsoft Entra и время начала и окончания изменений лицензий.

Удаление группы с назначенной лицензией

Невозможно удалить группу с назначенной активной лицензией. Причина заключается в том, чтобы предотвратить непреднамеренное удаление группы, используемой для назначения лицензий. Поэтому мы требуем, чтобы все лицензии были удалены из группы, прежде чем её можно удалить.

При попытке удалить группу на портале может появиться уведомление об ошибке следующим образом:

Не удалось удалить группу скриншотов.

Перейдите на вкладку Лицензии в группе и проверьте, нет ли назначенных лицензий. Если да, удалите соответствующие лицензии и попробуйте снова удалить группу.

Такая же ошибка может появиться при попытке удалить группу с помощью PowerShell или API Graph. Если вы используете группу, синхронизированную из локальной среды, Microsoft Entra Connect также может сообщать об ошибках, если не удается удалить группу в идентификаторе Microsoft Entra. В таких случаях проверьте наличие лицензий, назначенных группе, и удалите их.

Известные проблемы и ограничения

При использовании лицензирования на основе группы мы рекомендуем ознакомиться со следующим списком ограничений и известных проблем.

  • Групповое лицензирование в настоящее время не поддерживает группы, включающие другие группы (вложенные группы). Если применить лицензию к вложенной группе, она применяется только к пользователям, которые являются непосредственными участниками группы первого уровня.

  • Эту функцию можно использовать только с группами безопасности и группами Microsoft 365, в которых параметру securityEnabled присвоено значение TRUE.

  • Если лицензии назначаются или изменяются для большой группы (например, 100 000 пользователей), это может повлиять на производительность. В частности, объем изменений, создаваемых автоматизацией Microsoft Entra, может негативно повлиять на производительность синхронизации каталогов между идентификатором Microsoft Entra и локальными системами.

  • Если вы используете динамические группы членства для управления членством пользователей, убедитесь, что пользователь является частью группы, которая необходима для назначения лицензий. Если нет, проверьте статус обработки правила членства динамической группы.

  • В некоторых ситуациях с большой нагрузкой изменение лицензий для групп или изменение состава групп с имеющимися лицензиями может выполняться длительное время. Если вы видите, что обработка изменений занимает более 24 часов для группы в 60 тысяч пользователей или меньше, откройте запрос в службу поддержки, чтобы дать нам возможность исследовать.

Следующие шаги

Чтобы узнать больше о других сценариях группового управления лицензиями, см. следующие статьи: