Sdílet prostřednictvím

Scénáře, omezení a známé problémy s používáním skupin ke správě licencování v Microsoft Entra ID

  • Článek

Následující informace a příklady vám pomůžou získat pokročilejší znalosti licencování na základě skupin v rámci Microsoft Entra ID, která je součástí microsoft Entra.

Důležitý

Přiřazení licencí uživatelů a skupin se spravují prostřednictvím Centra pro správu Microsoftu 365. Další informace o přiřazování nebo zrušení přiřazení licencí uživatelům a skupinám najdete v tomto článku: Přiřazení nebo zrušení přiřazení licencí uživatelům v Centru pro správu Microsoftu 365

Místo použití

Některé služby Microsoft nejsou dostupné ve všech umístěních. Při přiřazení skupinových licencí zdědí všichni uživatelé bez specifikovaného umístění umístění adresáře. Pokud máte uživatele na více místech, ujistěte se, že správně zohledňujete zdroje uživatelů před jejich přidáním do skupin s licencemi. Před přiřazením licence uživateli by měl správce zadat vlastnost Umístění používání u uživatele.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce skupin.

  2. Vyberte Microsoft Entra ID.

  3. Přejděte na Uživatelé>Všichni uživatelé a vyberte uživatele.

    Snímek obrazovky s podoknem Všichni uživatelé

  4. Vyberte Upravit vlastnosti.

  5. Vyberte kartu Nastavení a zadejte umístění uživatele.

  6. Vyberte tlačítko Uložit.

Poznámka:

Přiřazení licencí skupiny nikdy neupravuje stávající hodnotu lokality používání pro uživatele. Doporučujeme vždy nastavit místo používání jako součást procesu vytváření uživatelů v Microsoft Entra ID (například prostřednictvím konfigurace Microsoft Entra Connect). Po provedení takového procesu zajistíte, že výsledek přiřazení licence je vždy správný a uživatelé nedostávají služby v umístěních, která nejsou povolená.

Použití licencování na základě skupin s dynamickými skupinami členství

Licencování na základě skupin můžete použít s libovolnou skupinou zabezpečení, včetně dynamických skupin členství. Pravidla pro dynamické skupiny členství se spouštějí na základě atributů uživatelských prostředků za účelem automatického přidávání a odebírání členů. Atributy můžou být oddělení, pracovní pozice, pracovní umístění nebo jiný vlastní atribut. Každé skupině se přiřadí licence, které mají členové obdržet. Pokud se atribut změní, člen skupinu opustí a licence se odeberou.

Atribut můžete přiřadit místně a synchronizovat ho s ID Microsoft Entra nebo můžete atribut spravovat přímo v cloudu.

Varování

Při úpravě pravidla členství existující skupiny buďte opatrní. Při změně pravidla se členství ve skupině znovu vyhodnotí. Uživatelé, kteří se už neshodují s novým pravidlem, se odeberou (uživatelé, kteří se stále shodují s novým pravidlem, nebudou během tohoto procesu ovlivněni). Tito uživatelé mají během procesu odebrané své licence, což může vést ke ztrátě služeb nebo v některých případech ke ztrátě dat.

Pokud máte velkou dynamickou skupinu, na které závisíte na přiřazení licence, zvažte ověření významných změn v menší testovací skupině, než je použijete u hlavní skupiny. Pokud během testu dojde k chybám, nahlédněte do části Řešení problémů s licencí pro skupinu.

Více skupin a více licencí

Uživatel může být členem více skupin s licencemi. Je potřeba vzít v úvahu některé skutečnosti:

  • Více licencí pro stejný produkt se může překrývat a výsledkem je, že se na uživatele použijí všechny povolené služby. Příkladem může být, že M365-P1 obsahuje základní služby, které se mají nasadit pro všechny uživatele, a M365-P2 obsahuje služby P2 , které se nasazují jenom některým uživatelům. Uživatele můžete přidat do jedné nebo obou skupin a používat jenom jednu licenci pro produkt.

  • Výběrem licence zobrazíte další podrobnosti, například informace o službách aktivovaných pro uživatele přiřazením licence skupiny.

Přímé licence koexistují se skupinovými licencemi

Když uživatel zdědí licenci ze skupiny, nemůžete ji přímo odebrat ani upravit ve vlastnostech uživatele. Přiřazení licence můžete změnit pouze ve skupině a změny se pak rozšíří do všech členů skupiny. Pokud potřebujete přiřadit další funkce uživateli, který má licenci z přiřazení licence skupiny, musíte vytvořit další skupinu, která uživateli přiřadí ostatní funkce.

Pokud používáte licencování založené na skupinách, zvažte následující scénáře:

  • Členové skupiny dědí licence přiřazené skupině.
  • Možnosti licencí pro licence založené na skupinách se musí změnit na úrovni skupiny.
  • Pokud je potřeba uživateli přiřadit různé možnosti licence, vytvořte novou skupinu, přiřaďte skupině licenci a pak přidejte uživatele do této skupiny.
  • Uživatelé stále používají jenom jednu licenci produktu, pokud se v různých licencích založených na skupinách používají různé možnosti licencí pro daný produkt.

Při použití přímého přiřazení jsou povoleny následující operace:

  • Licence, které ještě nejsou přiřazené prostřednictvím licencování na základě skupin, je možné u jednotlivých uživatelů změnit.
  • Jiné služby je možné povolit jako součást přímo přiřazené licence.
  • Přímo přiřazené licence je možné odebrat a neovlivní zděděné licence uživatele.

Správa nových služeb přidaných do produktů

Když Microsoft přidá novou službu do licenčního plánu produktu, povolí se ve výchozím nastavení ve všech skupinách používaných k přiřazení licence na produkt. Uživatelé ve vaší organizaci, kteří se přihlašují k odběru oznámení o změnách produktů, dostanou e-maily předem s oznámením o nadcházejících doplňcích služeb.

Jako správce můžete zkontrolovat všechny skupiny ovlivněné změnou a provést akci, například zakázat novou službu v každé skupině. Pokud jste například vytvořili skupiny zaměřené pouze na konkrétní služby pro nasazení, můžete se k těmto skupinám vrátit a ujistit se, že jsou všechny nově přidané služby zakázané.

Tady je příklad, jak tento proces může vypadat:

  1. Původně jste přiřadili produkt Microsoft 365 E5 několika skupinám. Jedna z těchto skupin s názvem Microsoft 365 E5 – Exchange byla navržena tak , aby umožňovala pouze službu Exchange Online (Plán 2) pro její členy.

  2. Od Microsoftu jste obdrželi oznámení, že produkt E5 se rozšiřuje o novou službu – Microsoft Stream. Jakmile bude služba dostupná ve vaší organizaci, můžete provést následující kroky:

    1. Přihlaste se do Centra pro správu Microsoft Entra

  4. Vyberte Microsoft Entra ID.

  5. Vyberte Fakturační>licence>Všechny produkty a vyberte Microsoft 365 Enterprise E5 a pak vyberte Licencované skupiny, abyste zobrazili seznam všech skupin s tímto produktem.

  6. Vyberte skupinu, kterou chcete zkontrolovat (v tomto případě Microsoft 365 E5 – jenom Exchange). Otevře se karta Licence . Výběrem licence E5 zobrazíte všechny povolené služby.

    Snímek obrazovky s novou službou přidanou do skupinové licence

  7. Pokud chcete zakázat novou službu v této skupině, vyberte přepínač Zapnuto/Vypnuto vedle služby a výběrem tlačítka Uložit potvrďte změnu. Microsoft Entra ID nyní zpracovává všechny uživatele ve skupině, aby změnu použili; Všichni noví uživatelé přidaní do skupiny nebudou mít povolenou službu Microsoft Stream.

    Poznámka:

    Uživatelé mohou mít i nadále službu aktivovanou prostřednictvím jiného přiřazení licence, buď jinou skupinou, v níž jsou členem, nebo přímým přiřazením licence.

  8. V případě potřeby proveďte stejné kroky pro ostatní skupiny s přiřazeným produktem.

Zobrazení zděděných a přímých přiřazení licencí pomocí PowerShellu

Pomocí skriptu PowerShellu můžete zkontrolovat, jestli mají uživatelé přiřazenou licenci přímo nebo zděděnou ze skupiny.

  1. Spuštěním rutiny Connect-MgGraph -Scopes "Organization.Read.All" ověřte a připojte se k vaší organizaci pomocí Microsoft Graphu.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname lze použít ke zjištění všech zřízených licencí na produkty v organizaci Microsoft Entra.

    Snímek obrazovky s rutinou Get-MgSubscribedSku

  3. Použijte hodnotu ServicePlanId pro licenci, která vás zajímá, pomocí tohoto skriptu PowerShell. Seznam obsahuje uživatele, kteří mají tuto licenci, a informace o tom, jak je licence přiřazena.

Monitorování aktivit licencování na základě skupin pomocí protokolů auditu

Protokoly auditu Microsoft Entra můžete použít k zobrazení všech aktivit souvisejících s licencováním na základě skupin, mezi které patří:

  • kdo změnil licence ve skupinách
  • když systém začal zpracovávat změnu skupinové licence a když ji dokončil
  • jaké změny licence byly provedeny u uživatele v důsledku přiřazení licence skupiny.

Protokoly auditu související s licencováním založené na skupinách je možné získat přístup z protokolů auditu ve skupinách nebo licenčních oblastech ID Microsoft Entra nebo použít následující kombinace filtrů z hlavních protokolů auditu:

  • Služba: Základní adresář
  • Kategorie: GroupManagement nebo UserManagement

Snímek obrazovky s protokoly auditu Microsoft Entra se zvýrazněnými možnostmi filtru Core Directory a GroupManagement

Zjistěte, kdo upravil licenci

  1. Pokud chcete zobrazit protokoly změn skupinových licencí, použijte následující možnosti filtru protokolu auditu:
    • Služba: Základní adresář
    • Kategorie: GroupManagement
    • Aktivita: Nastavení skupinové licence
  2. Výběrem řádku ve výsledné tabulce zobrazíte podrobnosti.
  3. Vyberte kartu Změněné vlastnosti a podívejte se na staré a nové hodnoty licenční smlouvy.

Následující příklad ukazuje výše uvedená nastavení filtru a filtr Target nastavený na všechny skupiny, které začínají na EMS.

Snímek obrazovky s protokoly auditu Microsoft Entra včetně filtru Target

Pokud chcete zobrazit změny licencí pro konkrétního uživatele, použijte následující filtry:

  • Služba: Základní adresář
  • Kategorie: UserManagement
  • Aktivita: Změna uživatelské licence

Zjištění, kdy se změny skupiny spustily a dokončily zpracování

Při změně licence ve skupině začne ID Microsoft Entra používat změny u všech uživatelů, ale zpracování změn může chvíli trvat.

  1. Pokud chcete zjistit, kdy skupiny začaly být zpracovávány, použijte následující filtry:
    • Služba: Základní adresář
    • Kategorie: GroupManagement
    • Aktivita: Zahájení použití licence na základě skupiny pro uživatele
  2. Výběrem řádku ve výsledné tabulce zobrazíte podrobnosti.
  3. Vyberte kartu Změněné vlastnosti a zobrazte změny licencí, které byly vybrány ke zpracování.
    • Tyto podrobnosti použijte, pokud provádíte více změn ve skupině a nejste si jistí, která licence byla použita.
    • Actor pro operaci je Skupinové licencování Microsoft Entra, což je systémový účet používaný k provádění všech změn licencí skupiny.

Pokud chcete zjistit, kdy skupiny dokončily zpracování, změňte filtr aktivity na dokončení aplikace licencí na základě skupiny uživatelům. V tomto případě obsahuje pole Změněné vlastnosti souhrn výsledků, což je užitečné k rychlé kontrole, jestli zpracování vedlo k chybám. Ukázkový výstup:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Pokud chcete zobrazit úplný protokol o tom, jak byla skupina zpracována, včetně všech změn uživatelů, přidejte následující filtry:

  • Cíl: Název skupiny
  • Iniciováno kým (Herec): Licencování založené na skupinách Microsoft Entra (rozlišují se malá a velká písmena)
  • Datumový rozsah (volitelný): Vlastní rozsah, když víte, že konkrétní skupina začala a dokončila zpracování

Tento obrázek ukazuje zpracování změn licencování od začátku do konce.

Snímek obrazovky s filtry protokolu auditu Microsoft Entra a počátečními a koncovými časy změn licencí

Odstranění skupiny s přiřazenou licencí

Skupinu s přiřazenou aktivní licencí není možné odstranit. Důvodem je zabránit neúmyslnému odstranění skupiny použité pro přiřazení licence. Z tohoto důvodu vyžadujeme, aby se před odstraněním ze skupiny odebraly všechny licence.

Při pokusu o odstranění skupiny na portálu se může zobrazit chybové oznámení, které se zobrazí takto:

Nezdařilo se odstranit skupinu screenshotů.

Přejděte na kartu Licence ve skupině a zkontrolujte, jestli jsou přiřazené nějaké licence. Pokud ano, odeberte tyto licence a zkuste skupinu odstranit znovu.

Při pokusu o odstranění skupiny prostřednictvím PowerShellu nebo rozhraní Graph API se můžou zobrazit podobné chyby. Pokud používáte skupinu synchronizovanou z místního prostředí, microsoft Entra Connect může také hlásit chyby, pokud se nedaří odstranit skupinu v Microsoft Entra ID. Ve všech takových případech zkontrolujte, jestli jsou ke skupině přiřazené nějaké licence, a nejprve je odeberte.

Omezení a známé problémy

Pokud používáte licencování založené na skupinách, je vhodné se seznámit s následujícím seznamem omezení a známých problémů.

  • Licencování založené na skupinách v současné době nepodporuje skupiny, které obsahují jiné skupiny (vnořené skupiny). Pokud použijete licenci na vnořenou skupinu, licence se použije jenom pro bezprostřední uživatele této skupiny na první úrovni.

  • Tuto funkci lze použít pouze se skupinami zabezpečení a skupinami Microsoft 365, které mají securityEnabled=TRUE.

  • Pokud jsou licence přiřazeny nebo upraveny pro velkou skupinu (například 100 000 uživatelů), může to mít vliv na výkon. Konkrétně může objem změn generovaných automatizací Microsoft Entra negativně ovlivnit výkon synchronizace adresářů mezi ID Microsoft Entra a místními systémy.

  • Pokud ke správě členství uživatelů používáte dynamické skupiny členství, ověřte, že je uživatel součástí skupiny, což je nezbytné pro přiřazení licencí. V opačném případě zkontrolujte stav zpracování pravidla členství dané dynamické skupiny.

  • V některých situacích s vysokým zatížením může zpracování změn licencí pro skupiny nebo změny členství ve skupinách s existujícími licencemi trvat delší dobu. Pokud zjistíte, že zpracování změn skupiny o velikosti 60 000 uživatelů nebo méně trvá déle než 24 hodin, otevřete žádost o podporu, abychom to mohli prozkoumat.

Další kroky

Další informace o jiných scénářích pro správu licencí pomocí licencování na základě skupin najdete v tématech: