Identifizieren und Beheben von Lizenzzuweisungsproblemen für eine Gruppe in Microsoft Entra ID

Hinweis

Ab dem 1. September unterstützen das Microsoft Entra ID Admin Center und das Microsoft Azure-Portal die Zuweisung von Lizenzen über ihre Benutzeroberflächen nicht mehr. Um Lizenzzuweisungen für Benutzende und Gruppen zu verwalten, müssen Administrierende das Microsoft 365 Admin Center verwenden. Dieses Update wurde entwickelt, um den Lizenzverwaltungsprozess innerhalb des Microsoft-Ökosystems zu optimieren. Diese Änderung ist auf die Benutzeroberfläche beschränkt. Der API- und PowerShell-Zugriff bleiben unberührt. Ausführliche Anleitungen zum Zuweisen von Lizenzen mithilfe des Microsoft 365 Admin Centers finden Sie in den folgenden Ressourcen:

Mit der gruppenbasierten Lizenzierung in Microsoft Entra ID (Teil von Microsoft Entra) wird für Benutzer das Konzept eines Fehlerzustands für die Lizenzierung eingeführt. Dieser Artikel erläutert die Gründe dafür, warum Benutzer in diesen Zustand geraten können.

Wenn Sie Lizenzen direkt einzelnen Benutzern zuweisen, ohne die gruppenbasierte Lizenzierung zu verwenden, kann der Zuweisungsvorgang aus Gründen, die mit der Geschäftslogik zusammenhängen, fehlschlagen. Beispielsweise kann die Anzahl von Lizenzen nicht ausreichen, oder es kann ein Konflikt zwischen zwei Dienstplänen bestehen, die nicht gleichzeitig zugewiesen werden können. Das Problem wird Ihnen sofort gemeldet.

Suchen von Fehlern bei der Lizenzzuweisung

Bei Verwendung der gruppenbasierten Lizenzierung können die gleichen Fehler auftreten. Diese treten allerdings im Hintergrund auf, während der Microsoft Entra-Dienst Lizenzen zuweist. Daher können Ihnen die Fehler nicht sofort gemeldet werden. Stattdessen werden sie im Benutzerobjekt aufgezeichnet und anschließend über das Verwaltungsportal gemeldet. Die ursprüngliche Absicht der Lizenzierung des Benutzers geht nie verloren, wird aber zur künftigen Untersuchung und Behebung in einem Fehlerzustand aufgezeichnet. Sie können auch Überwachungsprotokolle zum Überwachen von gruppenbasierten Lizenzierungsaktivitäten verwenden.

So suchen Sie Benutzer mit einem Fehlerzustand in einer Gruppe

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Lizenzadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Navigieren Sie zu Abrechnung>Lizenzen, um eine Seite zu öffnen, auf der Sie alle lizenzierbaren Produkte in der Organisation anzeigen und verwalten können.

  4. Öffnen Sie die Übersichtsseite der Gruppe, und wählen Sie Lizenzen aus. Falls Benutzer mit einem Fehlerzustand vorhanden sind, wird eine Benachrichtigung angezeigt.

    Screenshot von Gruppen- und Fehlerbenachrichtigungsmeldungen.

  5. Wählen Sie die Benachrichtigung aus, um eine Liste mit allen betroffenen Benutzern zu öffnen. Sie können jeden Benutzer einzeln auswählen, um weitere Details anzuzeigen.

    Screenshot der Liste der Benutzer im Zustand Gruppenlizenzierungsfehler.

  6. Um nach allen Gruppen zu suchen, die mindestens einen Fehler enthalten, klicken Sie auf dem Blatt Microsoft Entra ID erst auf Lizenzen und dann auf Übersicht. Sollte für Gruppen eine Aktion erforderlich sein, wird ein Informationsfeld angezeigt.

    Screenshot von Informationen zu Gruppen im Fehlerzustand.

  7. Klicken Sie auf das Feld, um eine Liste aller Gruppen mit Fehlern anzuzeigen. Klicken Sie bei Bedarf auf die einzelnen Gruppen, um weitere Details anzuzeigen.

    Screenshot der Liste der Gruppen mit Fehlern.

Die folgenden Abschnitte stellen eine Beschreibung der einzelnen potenziellen Probleme sowie die dazugehörigen Lösungsmöglichkeiten bereit.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Nicht genügend Lizenzen

Problem: Es sind nicht genügend Lizenzen für eines der in der Gruppe angegebenen Produkte verfügbar. Sie müssen entweder weitere Lizenzen für das Produkt erwerben oder nicht verwendete Lizenzen anderer Benutzer oder Gruppen freigeben.

Um anzuzeigen, wie viele Lizenzen verfügbar sind, wechseln Sie zu Identität>Abrechnung>Lizenzen>Alle Produkte.

Klicken Sie auf ein Produkt, um zu ermitteln, welche Benutzer und Gruppen Lizenzen verwenden. Unter Lizenzierte Benutzer sehen Sie eine Liste aller Benutzern, denen Lizenzen direkt oder über Gruppen zugewiesen wurden. Unter Lizenzierte Gruppen sind alle Gruppen aufgeführt, denen Produkte zugewiesen sind.

PowerShell: PowerShell-Cmdlets melden diesen Fehler als CountViolation.

In Konflikt stehende Diensteeinstellungen

Problem: Eines der in der Gruppe angegebenen Produkte enthält einen Dienstplan, der in Konflikt mit einem anderen Dienstplan steht, der dem Benutzer bereits über ein anderes Produkt zugewiesen ist. Einige Dienstpläne sind so konfiguriert, dass sie dem gleichen Benutzer nicht als anderer verwandter Dienstplan zugewiesen werden können.

Tipp

Zuvor waren Exchange Online Plan1 und Plan2 eindeutig und konnten nicht dupliziert werden. Nun wurden beide Dienstpläne aktualisiert, um Duplizierungen zu ermöglichen. Wenn Sie Konflikte mit diesen Dienstplänen haben, versuchen Sie, sie erneut zu verarbeiten.

Die Entscheidung, wie der Produktlizenzkonflikt zu lösen ist, liegt stets beim Administrator. Microsoft Entra ID löst Lizenzkonflikte nicht automatisch.

PowerShell: PowerShell-Cmdlets melden diesen Fehler als MutuallyExclusiveViolation.

Andere Produkte sind von dieser Lizenz abhängig

Problem: Eines der in der Gruppe angegebenen Produkte enthält einen Dienstplan, der für einen anderen Dienstplan in einem anderen Produkt aktiviert werden muss, um zu funktionieren. Dieser Fehler tritt auf, wenn Microsoft Entra ID versucht, den zugrunde liegenden Dienstplan zu entfernen. Dieses Problem kann beispielsweise eintreten, wenn Sie den Benutzer aus der Gruppe entfernen.

Stellen Sie zur Behebung dieses Problems sicher, dass der erforderliche Plan Benutzern weiterhin über eine andere Methode zugewiesen ist oder dass die abhängigen Dienste für diese Benutzer deaktiviert sind. Anschließend können Sie die Gruppenlizenz für diese Benutzer richtig entfernen.

PowerShell: PowerShell-Cmdlets melden diesen Fehler als DependencyViolation.

Verwendungsstandort ist nicht zulässig

Problem: Einige Microsoft-Dienste sind aufgrund der vor Ort geltenden Gesetze und Bestimmungen nicht an allen Standorten verfügbar. Um eine Lizenz einem Benutzer zuweisen können, müssen Sie zunächst die Eigenschaft Usage location (Verwendungsstandort) für den Benutzer angeben. Den Standort können Sie im Portal unter Benutzer>Profil>Bearbeiten angeben.

Wenn Microsoft Entra ID versucht, Benutzer*innen, deren Verwendungsstandort nicht unterstützt wird, eine Gruppenlizenz zuzuweisen, tritt ein Fehler auf, der für diese Benutzer*innen aufgezeichnet wird.

Sie können dieses Problem beheben, indem Sie Benutzer von nicht unterstützten Standorten aus der lizenzierten Gruppe entfernen. Alternativ können Sie wie folgt vorgehen: Wenn die aktuellen Werte des Verwendungsstandorts nicht den tatsächlichen Benutzerstandort darstellen, können Sie sie ändern, damit die Lizenzen beim nächsten Mal richtig zugewiesen werden (wenn der neue Standort unterstützt wird).

PowerShell: PowerShell-Cmdlets melden diesen Fehler als ProhibitedInUsageLocationViolation.

Hinweis

  • Wenn von Microsoft Entra ID Gruppenlizenzen zugewiesen werden, erben alle Benutzer*innen ohne Verwendungsstandort den Standort des Verzeichnisses. Microsoft empfiehlt, dass Administratoren die richtigen Werte für den Verbrauchsstandort von Benutzern festlegen, bevor sie die gruppenbasierte Lizenzierung verwenden, um die lokalen Gesetze und Bestimmungen einzuhalten.
  • Die Attribute „Vorname“, „Nachname“, „Andere E-Mail-Adresse“ und „Benutzertyp“ sind für die Lizenzzuweisung nicht obligatorisch.

Lizenzentfernung von dynamischen Mitgliedergruppen mit Regeln, die auf Lizenzen mit einer anfänglichen statischen Gruppe basieren

Dieser Fehler tritt auf, wenn Benutzer aufgrund der kaskadierenden Einrichtung von dynamischen Mitgliedschaftsgruppen mit Regeln, die auf Lizenzen für eine anfängliche statische Gruppe basieren, zu einer anderen Gruppe von dynamischen Mitgliedschaftsgruppen hinzugefügt und daraus entfernt werden. Dieser Fehler kann sich auf mehrere dynamische Mitgliedschaftsgruppen auswirken und erfordert umfangreiche Neuverarbeitungen, um den Zugriff wiederherzustellen.

Warnung

Wenn Sie eine vorhandene statische Gruppe in eine dynamische Gruppe ändern, werden alle vorhandenen Mitglieder aus der Gruppe entfernt, und anschließend wird die Mitgliedschaftsregel verarbeitet, um neue Mitglieder hinzuzufügen. Wenn die Gruppe verwendet wird, um den Zugriff auf Apps oder Ressourcen zu steuern, sollten Sie Folgendes beachten: Die ursprünglichen Mitglieder haben unter Umständen erst wieder Zugriff, wenn die Mitgliedschaftsregel vollständig verarbeitet wurde.

Sie sollten die neue Mitgliedsschaftsregel vorher testen, um sicherzustellen, dass sich die neue Mitgliedschaft in der Gruppe wie erwartet verhält. Wenn während des Tests Fehler auftreten, lesen Sie Verwenden von Überwachungsprotokollen zum Überwachen von gruppenbasierten Lizenzierungsaktivitäten.

Doppelte Proxyadressen

Problem: Wenn Sie Exchange Online verwenden, sind unter Umständen einige Benutzer in Ihrer Organisation fälschlicherweise mit dem gleichen Wert für die Proxyadresse konfiguriert. Wenn bei der gruppenbasierten Lizenzierung versucht wird, einem dieser Benutzer eine Lizenz zuzuweisen, tritt ein Fehler auf, und der Hinweis „Proxyadresse wird bereits verwendet“ wird angezeigt.

Tipp

Um zu ermitteln, ob eine doppelte Proxyadresse vorhanden ist, führen Sie das folgende PowerShell-Cmdlet für Exchange Online aus:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

Weitere Informationen zu diesem Problem finden Sie unter "Proxy address is already being used" error message in Exchange Online (Fehlermeldung „Proxyadresse wird bereits verwendet“ in Exchange Online). Der Artikel enthält auch Informationen zum Herstellen einer Verbindung mit Exchange Online mithilfe einer PowerShell-Remotesitzung.

Nachdem Sie die Probleme mit den Proxyadressen für die betroffenen Benutzer behoben haben, erzwingen Sie die Lizenzverarbeitung für diese Gruppe, um sicherzustellen, dass die Lizenzen nun zugewiesen werden können.

Ändern des Microsoft Entra ID-Mail- und ProxyAddresses-Attributs

Problem: Beim Aktualisieren der Lizenzzuweisung für Benutzer*innen oder Gruppen wird möglicherweise angezeigt, dass das Microsoft Entra ID-Mail- und ProxyAddresses-Attribut geändert wird.

Beim Aktualisieren der Lizenzzuweisung für einen Benutzer wird die Berechnung der Proxyadresse ausgelöst, die Attribute der Benutzer ändern kann. Wie Sie die genaue Ursache der Änderung ermitteln und das Problem lösen, erfahren Sie in dem Artikel Auffüllen des proxyAddresses-Attributs in Microsoft Entra ID.

LicenseAssignmentAttributeConcurrencyException in Überwachungsprotokollen

Problem: Benutzende haben LicenseAssignmentAttributeConcurrencyException als Lizenzzuweisung in Überwachungsprotokollen. Wenn die gruppenbasierte Lizenzierung versucht, gleichzeitige Lizenzzuweisungen derselben Lizenz zu einem Benutzer zu verarbeiten, wird diese Ausnahme für den Benutzer aufgezeichnet. Dies ist normalerweise der Fall, wenn ein Benutzer Mitglied mehrerer Gruppen ist, denen dieselbe Lizenz zugewiesen ist. Microsoft Entra ID wiederholt die Verarbeitung der Benutzerlizenz, bis das Problem behoben ist. Es ist keine Aktion durch die Kund*innen erforderlich, um dieses Problem zu beheben.

Mehrere Produktlizenzen für eine Gruppe

Sie können einer Gruppe mehr als eine Produktlizenz zuweisen. Beispielsweise können Sie Office 365 Enterprise E3 und Enterprise Mobility + Security einer Gruppe zuweisen, um alle enthaltenen Dienste den Benutzern mühelos zur Verfügung zu stellen.

Problem: Microsoft Entra ID versucht, alle angegebenen Lizenzen in der Gruppe jedem Benutzer zuzuweisen. Wenn jedoch Microsoft Entra ID auf Probleme wie unzureichende Lizenzen oder Konflikte mit anderen aktivierten Diensten tritt, weist sie auch keine anderen Lizenzen in der Gruppe zu. Sie können überprüfen, welche Benutzer nicht zugewiesen wurden und welche Produkte von diesem Problem betroffen waren.

Es ist wichtig zu beachten, dass beim Zuweisen von Lizenzen zu einer Gruppe, wenn nicht genügend verfügbare Lizenzen vorhanden sind oder ein Problem auftritt, z. B. Dienstpläne, die nicht gleichzeitig zugewiesen werden können, die Zuweisung zur Gruppe möglicherweise nicht abgeschlossen wird. Ein Beispiel ist, wenn nicht genügend Lizenzen für alle vorhanden sind oder wenn es Konflikte mit anderen Diensten gibt, die für den Benutzer aktiviert sind.

Eine mögliche Umgehung für dieses Problem besteht darin, dynamische Mitgliedschaftsgruppen zu erstellen. Sie können dynamische Mitgliedschaftsgruppen erstellen, um Lizenzen wie Exchange Online zuzuweisen, und dann eine zweite dynamische Gruppe mit den gleichen Mitgliedschaftsregeln verwenden, um erforderliche Lizenzen anzuwenden. Sie können diese zusätzlichen Lizenzen dann zuweisen, nachdem die erste Gruppe die Exchange Online-Lizenz auf die Benutzer angewendet hat.

Wenn Lizenzfehler auftreten, werden sie im Benutzerobjekt aufgezeichnet und über das Azure-Portal zur Lösung gemeldet. Weitere Informationen finden Sie unter Gruppenbasierte Lizenzierungsbeispiele für Microsoft Graph PowerShell.

Wenn eine lizenzierte Gruppe gelöscht wird

Problem: Sie müssen alle einer Gruppe zugewiesenen Lizenzen entfernen, bevor Sie die Gruppe löschen können. Das Entfernen der Lizenzen aller Benutzer in der Gruppe kann jedoch einige Zeit in Anspruch nehmen. Beim Entfernen von Lizenzzuweisungen einer Gruppe können Fehler auftreten, wenn einem Benutzer eine abhängige Lizenz zugewiesen ist oder ein Konflikt mit einer Proxyadresse besteht, der das Entfernen der Lizenz verhindert. Wenn ein Benutzer über eine Lizenz verfügt, die von einer Lizenz abhängig ist, die aufgrund einer Gruppenlöschung entfernt wird, erfolgt für den Benutzer eine Umwandlung der Lizenzzuweisung von geerbt in direkt.

Beispiel: Einer Gruppe sind Office 365 E3-/E5-Lizenzen zugewiesen, und es ist ein Skype for Business-Dienstplan aktiviert. Darüber hinaus wurden einigen Mitgliedern der Gruppe Lizenzen für Audiokonferenz direkt zugewiesen. Wenn die Gruppe gelöscht wird, versucht die gruppenbasierte Lizenzierung, Office 365 E3/E5 für alle Benutzer zu entfernen. Weil Audiokonferenz von Skype for Business abhängig ist, wandelt die gruppenbasierte Lizenzierung die Office 365 E3-/E5-Lizenzen für alle Benutzer, denen Audiokonferenz zugewiesen ist, in direkte Lizenzzuweisungen um.

Verwalten von Lizenzen für Produkte mit bestimmten Voraussetzungen

Bei einigen Ihrer Microsoft Online-Produkte handelt es sich unter Umständen um Add-Ons. Bei Add-Ons muss für einen Benutzer oder eine Gruppe ein Dienstplan mit Voraussetzungen aktiviert werden, bevor eine Lizenz zugewiesen werden kann. Bei der gruppenbasierten Lizenzierung müssen der Dienstplan mit den Voraussetzungen und der Add-On-Dienstplan in der gleichen Gruppe enthalten sein. Hierdurch wird sichergestellt, dass alle Benutzer, die der Gruppe hinzugefügt werden, das voll funktionsfähige Produkt erhalten können. Betrachten Sie das folgende Beispiel:

Microsoft Workplace Analytics ist ein Add-On-Produkt. Es enthält einen einzelnen Dienstplan mit demselben Namen. Sie können diesen Dienstplan einem Benutzer oder einer Gruppe nur zuweisen, wenn auch eine der folgenden Voraussetzungen zugewiesen ist:

  • Exchange Online (Plan 1)
  • Exchange Online (Plan 2)

Problem: Wenn Sie versuchen, dieses Produkt separat einer Gruppe zuzuweisen, gibt das Portal eine Benachrichtigungsmeldung zurück. Wenn Sie die Elementdetails auswählen, wird die folgende Fehlermeldung angezeigt:

„Fehler bei Lizenzvorgang. Stellen Sie sicher, dass die Gruppe die notwendigen Dienste besitzt, bevor Sie einen abhängigen Dienst hinzufügen oder entfernen. Für den Dienst ‚Microsoft Workplace Analytics‘ muss auch ‚Exchange Online (Plan 2)‘ aktiviert werden.

Um diese Add-On-Lizenz einer Gruppe zuzuweisen, müssen Sie sicherstellen, dass die Gruppe auch den erforderlichen Dienstplan enthält. Microsoft Entra ID könnte beispielsweise eine vorhandene Gruppe aktualisieren, die bereits das vollständige Produkt „Office 365 E3“ enthält, und das Add-On-Produkt anschließend hinzufügen.

Es ist auch möglich, eine eigenständige Gruppe zu erstellen, die nur die mindestens erforderlichen Produkte für die Funktionsfähigkeit des Add-Ons enthält. Sie kann verwendet werden, um nur die ausgewählten Benutzer*innen für das Add-On-Produkt zu lizenzieren. Basierend auf dem vorherigen Beispiel würden Sie derselben Gruppe die folgenden Produkte zuweisen:

  • Office 365 Enterprise E3, wobei nur der Dienstplan „Exchange Online (Plan 2)“ aktiviert ist
  • Microsoft Workplace Analytics

Ab jetzt verwenden alle Benutzer, die dieser Gruppe hinzugefügt werden, eine Lizenz des E3-Produkts und eine Lizenz des Workplace Analytics-Produkts. Diese Benutzer können gleichzeitig Mitglieder einer anderen Gruppe sein, über die sie das vollständige E3-Produkt erhalten, und sie nutzen hierbei weiterhin nur eine Lizenz für das Produkt.

Tipp

Für jeden Dienstplan mit Voraussetzungen können mehrere Gruppen erstellt werden. Wenn Sie für Ihre Benutzer sowohl „Office 365 Enterprise E1“ als auch „Office 365 Enterprise E3“ verwenden, können Sie zwei Gruppen erstellen, um Microsoft Workplace Analytics zu lizenzieren: eine mit E1 als Voraussetzung und die andere mit E3. So können Sie das Add-On auf E1- und E3-Benutzer verteilen, ohne zusätzliche Lizenzen zu verbrauchen.

Erzwingen der Verarbeitung von Gruppenlizenzen zum Beheben von Fehlern

Problem: Je nachdem, welche Schritte Sie zur Behebung der Fehler ergriffen haben, kann es erforderlich sein, die Verarbeitung einer Gruppe manuell auszulösen, um den Benutzerstatus zu aktualisieren.

Wenn Sie beispielsweise einige Lizenzen freigegeben haben, indem Sie direkte Zuweisungen von Lizenzen für Benutzer entfernt haben, müssen Sie die Verarbeitung von Gruppen auslösen, für die zuvor ein Fehler aufgetreten ist. Nur so erreichen Sie die vollständige Versorgung von Benutzern mit Lizenzen. Navigieren Sie zum erneuten Verarbeiten einer Gruppe zum Namen der Gruppe, öffnen Sie Lizenzen, und klicken Sie auf der Symbolleiste auf Erneut verarbeiten.

Erzwingen der Verarbeitung von Benutzerlizenzen zum Beheben von Fehlern

Problem: Je nachdem, welche Schritte Sie zur Behebung der Fehler ergriffen haben, kann es erforderlich sein, die Verarbeitung eines Benutzers manuell auszulösen, um den Benutzerstatus zu aktualisieren.

Sie müssen beispielsweise die Verarbeitung des Benutzers auslösen, nachdem Sie das Problem mit der doppelten Proxyadresse für einen betroffenen Benutzer behoben haben. Navigieren Sie zum erneuten Verarbeiten eines Benutzers zum entsprechenden Benutzerbereich, öffnen Sie Lizenzen, und klicken Sie auf der Symbolleiste auf Erneut verarbeiten.

Nächste Schritte

Weitere Informationen zu anderen Szenarien für die Lizenzverwaltung über Gruppen finden Sie unter: