练习 - 更改组许可证分配

  • 10 分钟

更改组许可证分配

  1. 浏览到 Microsoft Entra 管理中心的“标识 - 组”页。

  2. 在左侧导航栏中的“”下。

  3. 选择一个可用组。 例如“市场营销”。

  4. 在左侧导航栏的“管理”下,选择“许可证”。

  5. 查看当前分配,然后在菜单上选择“+ 分配”。

    Screenshot of the group license page in Microsoft Entra ID. The plus Assignments option is selected with the current licenses for Office 365 and Windows 10 being added to the group.

  6. 在“更新许可证分配”页,选择其他许可证、取消选择现有许可证、添加或移除许可证选项,或任意组合这些操作。

  7. 完成后选择“保存”。

  8. 在组的“许可证”页上,查看所做的更改。

识别和解决 Microsoft Entra ID 中组的许可证分配问题

Microsoft Entra ID 中基于组的许可引入了处于许可错误状态的用户的概念。 本部分说明用户可能最终处于此状态的原因。

如果直接将许可证分配给单个用户而不使用基于组的许可,分配操作可能会失败。 例如,对用户对象执行 PowerShell cmdlet Set-MgUserLicense 时,由于与业务逻辑相关的多个原因,该 cmdlet 可能会失败。 例如,可能许可证数量不足,或者两个服务计划之间存在冲突,不能同时分配。 将立即向你返回该问题的报告。

使用基于组的许可时,可能会发生相同的错误,但是在 Microsoft Entra 服务分配许可证时在后台发生这些错误。 由于此原因,这些错误无法立即传达给你。 但是,这些错误会记录在用户对象中,并通过管理门户进行报告。 为用户提供许可证的原始意图永远不会丢失,但以错误状态记录,供以后调查和解决。

查找许可证分配错误

在组中查找处于错误状态的用户

  1. 打开该组的概述页,然后选择“许可证”。 如果有任何用户处于错误状态,则会显示通知。

    Screenshot of the Group and error notifications message. There is a yellow message bar at the top of screen announcing that two users in the group have license assignment errors. There is an arrow to select to get more information.

  2. 选择通知以打开所有受影响的用户列表。 可以分别选择每个用户以查看更多详细信息。

    Screenshot of the list of users in group licensing error state. This dialog was opened by selecting the more information arrow from the previous dialog. Conflicting service plan is listed as the most likely cause of the error.

  3. 若要查找至少包含一个错误的所有组,请在“Microsoft Entra - 标识 - 计费”菜单中选择“许可证”,然后选择“概述”。 如果有一些组需要关注,则会显示信息框。

    Screenshot of the Microsoft Entra ID licenses Overview page. This dialog shows information about license and if any group licenses are in error state. The dialog shows one group license in error, and that can be selected.

  4. 选中该框可查看具有错误的所有组的列表。 可以选择每个组以了解更多详细信息。

    Screenshot of the group license assignment error page that is displayed after selecting the error in the previous dialog. There is one error listed for Office 365 E1.

以下部分提供每个潜在问题的说明及其解决方法。

许可证不足

问题:组中指定的某个产品没有足够的可用许可证。 需要为该产品购买更多的许可证,或者释放其他用户或组中未使用的许可证。

若要查看可用的许可证数,请转到“Microsoft Entra - 标识 - 计费”,然后依次选择“许可证”、“所有产品”。

若要查看哪些用户和组正在使用许可证,请选择某个产品。 在“许可的用户”下面,可以看到直接或者通过一个或多个组向其分配许可证的所有用户的列表。 在“许可组”下,可以看到分配有产品许可证的所有组。

PowerShell:PowerShell cmdlet 将此错误报告为 CountViolation。

冲突的服务计划

问题:组中指定的某个产品包含的服务计划,与已通过不同的产品分配给用户的另一个服务计划相冲突。 某些服务计划已配置为不能作为另一个相关服务计划分配给相同的用户。

请考虑以下示例。 为某个用户直接分配了 Office 365 企业版 E1 许可证并启用了所有计划。 该用户已添加到分配有 Office 365 企业版 E3 产品的组。 E3 产品包含的服务计划不能与 E1 中包含的计划重叠,因此,组许可证分配会失败并显示“冲突的服务计划”错误。 在此示例中,冲突的服务计划为:

  • SharePoint Online(计划 2)与 SharePoint Online(计划 1)冲突。
  • Exchange Online(计划 2)与 Exchange Online(计划 1)冲突。

若要解决此冲突,需要禁用两个计划。 可以禁用直接分配给用户的 E1 许可证。 或者,需要修改整个组许可证分配并在 E3 许可证中禁用计划。 或者,如果 E1 许可证在 E3 许可证的上下文中是多余的,您可能会决定从用户中删除它。

如何解决冲突的产品许可证始终由管理员决定。 Microsoft Entra ID 不会自动解决许可证冲突。

PowerShell:PowerShell cmdlet 将此错误报告为 MutuallyExclusiveViolation。

其他产品依赖于此许可证

问题:组中指定的某个产品包含的服务计划必须为另一个产品中的另一个服务计划启用才能正常工作。 当 Microsoft Entra ID 尝试删除基础服务计划时,将出现此错误。 例如,从组中删除用户时,可能会发生此错误。

若要解决此问题,需确保所需的计划仍通过其他某种方法分配给用户,或者为这些用户禁用了依赖服务。 执行这些操作后,可以正确地删除这些用户的组许可证。

PowerShell:PowerShell cmdlet 将此错误报告为 DependencyViolation。

不允许的使用位置

问题:由于当地法律和法规方面的原因,某些 Microsoft 服务不能在所有位置使用。 必须先为用户指定“使用位置”属性,才能将许可证分配给用户。 可以通过在 Azure 门户中转到“用户”、“配置文件”和“编辑”下来指定位置。

当 Microsoft Entra ID 尝试向使用位置不受支持的用户分配组许可证时,该操作会失败,并且会记录用户发生的此项错误。

若要解决此问题,请从许可组中删除其位置不受支持的用户。 或者,如果当前使用位置值不代表实际用户位置,可以修改这些值,以便下次可以正常分配许可证(如果新位置受支持)。

PowerShell:PowerShell cmdlet 将此错误报告为 ProhibitedInUsageLocationViolation。

注意

当 Microsoft Entra ID 分配组许可证时,任何未指定使用位置的用户将继承目录的位置。 建议管理员在使用基于组的许可之前,先为用户设置正确的使用位置值,以符合当地法律和法规。

重复的代理地址

如果使用的是 Exchange Online,可能会使用相同的代理地址值错误地配置组织中的某些用户。 当基于组的许可尝试为此类用户分配许可证时,此操作会失败并显示“代理地址已被使用”。

为受影响的用户解决了任何代理地址问题后,请确保对组强制执行许可证处理,以确保现在可以应用许可证。

Microsoft Entra Mail 和 ProxyAddresses 属性更改

问题:更新用户或组的许可证分配时,可能会看到某些用户的 Microsoft Entra Mail 和 ProxyAddresses 属性已更改。

更新用户的许可证分配会导致触发代理地址计算,这可能会更改用户属性。

审核日志中的 LicenseAssignmentAttributeConcurrencyException

问题:用户在审核日志中有针对许可证分配的 LicenseAssignmentAttributeConcurrencyException。 当基于组的许可尝试将相同许可证的并发许可证分配给某个用户时,将对该用户记录此异常。 当这通常发生在用户是多个具有相同分配许可证的组的成员时。 Microsoft Entra ID 将重试处理用户许可证并解决此问题。 客户无需执行任何操作即可解决此问题。

分配给一个组的多个产品许可证

可将多个产品许可证分配到一个组。 例如,可将 Office 365 企业版 E3 和企业移动性 + 安全性分配到某个组,轻松为用户启用所有包含的服务。

Microsoft Entra ID 会尝试将该组中指定的所有许可证分配给每个用户。 如果由于业务逻辑问题,Microsoft Entra ID 无法分配某个产品,则也不会在该组中分配其他许可证。 例如,所有产品的许可证数量不足,或者与针对用户启用的其他服务冲突。

可以查看无法被分配许可证的用户,并且可以检查哪些产品受此问题的影响。

删除授权组时

在删除组之前,必须先删除分配到该组的所有许可证。 但是,删除组中所有用户的许可证可能比较耗时。 如果对用户分配了依赖许可证,可能会出现失败。 如果用户的许可证依赖于由于组删除而被删除的许可证,则分配给用户的许可证将从继承转换为直接分配。

例如,假设分配了 Office 365 E3/E5 的某个组启用了 Skype for Business 服务计划。 此外,假设直接为组中的几个成员分配了 Audio Conferencing 许可证。 删除该组时,基于组的许可会尝试删除所有用户的 Office 365 E3/E5。 由于 Audio Conferencing 依赖于 Skype for Business,对于分配了 Audio Conferencing 的所有用户,基于组的许可会将 Office 365 E3/E5 许可证转换为直接许可证分配。

有先决条件的产品管理许可证

你拥有的某些 Microsoft Online 产品可能是“附加产品”。 附加产品要求先为用户或组启用先决服务计划,才能向其分配许可证。 使用基于组的许可,系统要求先决条件和附加服务计划同时存在于同一组中,目的是确保添加到组的任何用户都能接收到完全可用的产品。 请考虑以下示例:

Microsoft Workplace Analytics 是一个附加产品。 它包含同名单一服务计划。 仅当同时分配了以下必备产品之一时,才能将此服务计划分配到用户或组:

  • Exchange Online(计划 1)
  • Exchange Online(计划 2)

如果尝试将此产品本身分配到组,门户将返回通知消息。 如果选择项详细信息,会显示以下错误消息:

许可证操作失败。 添加或删除从属服务前,请确保组具有必要的服务。 Microsoft Workplace Analytics 服务还要求启用 Exchange Online(计划 2)

若要将此附加产品许可证分配到组,必须确保该组也包含先决服务计划。 例如,可更新已经包含完整 Office 365 E3 产品的现有组,并向其添加附加产品。

还可以创建一个独立的组,其中只包含正常运行附加产品所需的最少量产品。 然后使用该组可以仅向选定的用户授予附加产品的许可证。 根据前面的示例,可以将以下产品分配给同一组:

  • Office 365 企业版 E3,仅启用了 Exchange Online(计划 2)服务计划
  • Microsoft Workplace Analytics

从现在起,添加到此组的任何用户都将使用一个 E3 产品许可正和一个工作区分析产品许可证。 同时,这些用户可以是另一组的成员,为其提供完整的 E3 产品,他们仍只使用该产品的一个许可证。

提示

可为每个先决服务计划创建多个组。 例如,如果有用户使用 Office 365 企业版 E1,也有用户 使用 Office 365 企业版 E3,则可创建两个组来授权 Microsoft 工作区分析:一个使用 E1 作为先决条件,另一个使用 E3。 这样,不需要额外的许可证,即可将附加产品分发到 E1 和 E3 用户。

强制执行组许可证处理以解决错误

根据解决错误时采取的措施,可能需要手动触发组的处理来更新用户状态。

例如,如果通过删除用户的直接许可证分配来释放某些许可证,则需要触发以前无法完全为所有用户成员提供许可证的组的处理。 若要重新处理某个组,请转到组窗格,打开“许可证”,并在工具栏中选择“重新处理”按钮。

强制执行用户许可证处理以解决错误

根据解决错误时采取的措施,可能需要手动触发用户的处理来更新用户状态。

例如,解决受影响用户的重复代理地址问题后,需要触发用户的处理。 若要重新处理某个用户,请转到用户窗格,打开“许可证”,并在工具栏中选择“重新处理”按钮。

如何将具有个人许可证的用户迁移为具有组许可证的用户

可能已通过直接分配将现有许可证部署到了组织中的用户;也就是说,使用 PowerShell 脚本或其他工具为单个用户分配了许可证。 在开始使用基于组的许可来管理组织中的许可证之前,可以使用此迁移计划将现有解决方案无缝地替换为基于组的许可。

请记住,应避免以下情况:迁移到基于组的许可将导致用户暂时失去当前分配的许可证。 应该避免可能导致删除许可证的任何过程,以消除用户失去服务及其数据访问权限的风险。

  1. 如果正在使用现有的自动化工具(例如 PowerShell)管理和删除用户的许可证分配, 请让它继续按现状运行。

  2. 创建新的许可组(或确定要使用哪些现有组),并确保将全部所需的用户添加为成员。

  3. 将所需的许可证分配到这些组;目标应该是反映现有自动化工具(例如 PowerShell)向这些用户应用的相同许可状态。

  4. 验证是否已向这些组中的所有用户应用许可证。 要完成应用程序操作,可以检查每个组的处理状态并查看审核日志。

    • 可以通过查看单个用户的许可证详细信息来随机检查这些用户。 可以看到,他们具有“直接”分配的以及从组“继承”的相同许可证。
    • 可以运行 PowerShell 脚本来确认许可证是如何分配给用户的
    • 如果将一个产品许可证直接分配给用户,同时又通过组将同一个许可证分配给用户,该用户只会使用一个许可证。 因此,不需要使用其他许可证来执行迁移。

  5. 在每个组中检查处于错误状态的用户,验证是否没有许可证分配失败。

请考虑删除原始的直接分配。 我们建议你逐步执行此操作,并首先监视一部分用户的结果。 如果保留用户的原始直接分配,当用户离开其许可组时,他们会保留直接分配的许可证,这可能不是你希望看到的情况。

示例

一个组织拥有 1,000 位用户。 所有用户都需要 Office 365 企业版 E3 许可证。 目前,该组织在本地运行一个 PowerShell 脚本,用于添加和删除新进用户与离职用户的许可证。 但是,该组织希望将该脚本替换为基于组的许可,以便让 Microsoft Entra ID 自动管理许可证。

可能的迁移过程如下:

  1. 使用 Azure 门户将 Office 365 E3 许可证分配到 Microsoft Entra ID 中的“所有用户”组。

  2. 确认为所有用户完成了许可证分配。 转到该组的概述页,选择“许可证”,并检查“许可证”页面顶部的处理状态。

    • 查看“已向所有用户应用最新的许可证更改”,确认处理已完成。
    • 查看顶部的通知,了解可能未成功为其分配许可证的用户。 某些用户的许可证是否已用完? 某些用户的许可证计划是否有冲突,从而导致他们无法继承组许可证?

  3. 需要检查一些用户,确认他们是否同时申请了直接许可证和组许可证。 转到用户的“配置文件”页,选择“许可证”,并检查许可证的状态。

    • 下面是迁移期间预期的用户状态:

      Screenshot of the Licenses page in Microsoft Entra ID. The Office 365 E3 license is highlighted. In the assignment paths column the license has direct assignments to some users, and that it has inherited users from a group named AniGroup). This is the expected user state during migration.

  4. 确认直接许可证和组许可证相同后,可以开始删除用户的直接许可证。 一开始可以试着在门户中删除单个用户的许可证,并运行自动化脚本批量删除许可证。 下面是通过门户删除同一用户的直接许可证的示例。 请注意,许可证状态将保持不变,但我们不再会看到直接分配。

    Screenshot of the Licenses page in Microsoft Entra ID after the migration is completed. Office 365 E3 license is highlighted. We have confirmation that direct licenses are removed.

Microsoft Entra ID 中更改用户或组的许可证分配

本部分介绍如何在 Microsoft Entra ID 中的服务许可证计划之间移动用户和组。 目标是确保在许可证更改期间不会丢失服务或数据。 用户应该可以在服务之间无缝切换。 本部分中的许可计划分配步骤描述了如何将 Office 365 E1 上的用户或组更改为 Office 365 E3 用户或组,但这些步骤适用于所有许可计划。 更新某个用户或组的许可证分配时,删除许可证分配和添加新分配的操作会同时进行,因此,在许可证更改期间用户不会失去服务的访问权限,也不会看到计划之间发生许可证冲突。

在更新许可证分配之前,验证某些假设条件是否符合要更新的所有用户或组。 如果假设条件并不符合组中的所有用户,则某些用户的迁移可能失败。 因此,某些用户无法访问服务或数据。 请确保:

  • 用户的当前许可计划已分配到某个组并由用户继承,而不是直接分配的。
  • 有足够的可用许可证用于所要分配的许可计划。 如果没有足够的许可证,可能不会为某些用户分配新的许可计划。 可以检查可用的许可证数目。
  • 始终确认没有为用户分配可能与所需许可证冲突,或者可能阻止删除当前许可证的服务许可证。 例如,依赖于其他服务的工作区分析或 Project Online 等服务中的许可证。
  • 如果通过 Microsoft Entra Connect 在本地管理组并将其同步到 Microsoft Entra ID 中,则需要使用本地系统添加或删除用户。 将更改同步到 Microsoft Entra ID 并在组许可中拾取更改可能会花费一段时间。
  • 如果使用 Microsoft Entra 动态组成员资格,可更改用户属性来添加或删除用户,但许可证分配的更新过程保持不变。