Escenarios, limitaciones y problemas conocidos del uso de grupos para administrar las licencias en Microsoft Entra ID
Usa la información y los ejemplos siguientes para obtener una descripción más avanzada del proceso de concesión de licencias basado en los grupos de Microsoft Entra ID, que forma parte de Microsoft Entra.
Ubicación de uso
Sugerencia
Los pasos de este artículo podrían variar ligeramente en función del portal desde donde comienza.
Algunos servicios de Microsoft no están disponibles en todas las ubicaciones. En el caso de la asignación de licencias de grupo, cualquier usuario sin una ubicación de uso especificada heredará la ubicación del directorio. Si hay usuarios en varias ubicaciones, asegúrate de reflejarlo correctamente en los recursos de usuario antes de agregar usuarios a grupos con licencias. Antes de poder asignar una licencia a un usuario, el administrador tiene que especificar la propiedad Ubicación de uso en el usuario.
Inicia sesión en el Centro de administración de Microsoft Entra por lo menos como administrador de grupos.
Selecciona Microsoft Entra ID.
Ve a Usuarios>Todos los usuarios y selecciona un usuario.
Selecciona Editar propiedades.
Selecciona la pestaña Configuración y escribe una ubicación para el usuario.
Selecciona el botón Guardar.
Nota:
La asignación de licencias de grupo no modificará nunca un valor de ubicación de uso existente para un usuario. Se recomienda establecer siempre la ubicación de uso como parte del flujo de creación de usuarios de Microsoft Entra ID (por ejemplo, a través de la configuración de Microsoft Entra Connect). Seguir ese proceso garantiza que el resultado de la asignación de licencias sea siempre correcto y que los usuarios no reciban servicios en ubicaciones que no estén permitidas.
Uso de licencias basadas en grupos con grupos de pertenencia dinámica
Puedes usar licencias basadas en grupos con cualquier grupo de seguridad, incluidos los grupos de pertenencia dinámica. Los grupos de pertenencia dinámica ejecutan reglas en los atributos de recurso de usuario para agregar y quitar miembros automáticamente. Los atributos pueden ser departamento, puesto, ubicación de trabajo u otro atributo personalizado. A cada grupo se le asignan las licencias que desea que reciban los miembros. Si cambia un atributo, el miembro deja el grupo y se eliminan las licencias.
Puedes asignar el atributo en el entorno local y sincronizarlo con Microsoft Entra ID, o bien puedes administrar el atributo directamente en la nube.
Advertencia
Ten cuidado al modificar la regla de pertenencia de un grupo existente. Cuando se cambia una regla, se vuelve a evaluar la pertenencia del grupo y los usuarios que ya no coinciden con la nueva regla serán eliminados (los usuarios que todavía coincidan con la nueva regla no se verán afectados durante este proceso). Durante el proceso se quitarán las licencias de esos usuarios, lo que puede dar lugar a la pérdida de servicio, o bien, en algunos casos, a la pérdida de datos.
Si tiene un grupo dinámico grande del que depende para la asignación de licencias, considere la posibilidad de validar los cambios importantes en un grupo de prueba más pequeño antes de aplicarlos al grupo principal. Si se producen errores durante la prueba, consulta Resolución de problemas de licencias de grupo.
Varios grupos y varias licencias
Un usuario puede ser miembro de varios grupos con licencias. Estos son algunos aspectos que hay que tener en cuenta:
Se pueden superponer varias licencias para el mismo producto y, como resultado, todos los servicios habilitados se aplican al usuario. Un ejemplo podría ser que M365-P1 contiene los servicios fundamentales para implementar en todos los usuarios y M365-P2 contiene los servicios P2 para implementar solo en algunos usuarios. Puedes agregar un usuario a uno o ambos grupos y usar solo una licencia para el producto.
Selecciona una licencia para ver más detalles, incluida la información sobre qué servicios se habilitaron para el usuario mediante la asignación de licencias de grupo.
Coexistencia de licencias directas con licencias de grupo
Cuando un usuario hereda una licencia de un grupo, no se puede quitar ni modificar esa licencia en las propiedades del usuario. Puedes cambiar la asignación de licencias solo en el grupo y los cambios se propagan a todos los miembros del mismo. Si tienes que asignar otras características a un usuario que tenga su licencia desde una asignación de licencia de grupo, tendrás que crear otro grupo para asignar las características adicionales al usuario.
Cuando uses licencias basadas en grupos, ten en cuenta los siguientes escenarios:
- Los miembros del grupo heredan las licencias asignadas al grupo.
- Las opciones de licencia para licencias basadas en grupos deben cambiarse en el nivel de grupo.
- Si es necesario asignar diferentes opciones de licencia a un usuario, crea un nuevo grupo, asigna una licencia al grupo y, a continuación, agrega el usuario a ese grupo.
- Los usuarios seguirán usando solo una licencia de un producto si se usan diferentes opciones de licencia para ese producto en las distintas licencias basadas en grupos.
Cuando usas la asignación directa se permiten las siguientes operaciones:
- Las licencias no asignadas a través de las licencias basadas en grupos se pueden cambiar para un usuario individual.
- Otros servicios pueden estar habilitados, como parte de una licencia asignada directamente.
- Las licencias asignadas directamente se pueden eliminar y no afectan a las licencias heredadas de un usuario.
Administración de servicios nuevos agregados a productos
Cuando Microsoft agrega un nuevo servicio al plan de licencia de un producto, se habilita de forma predeterminada en todos los grupos a los que se haya asignado la licencia del producto. Los usuarios de la organización que se suscriban a las notificaciones sobre cambios en el producto recibirán con antelación mensajes de correo electrónico que les informan sobre las próximas adiciones en los servicios.
Como administrador, puedes revisar todos los grupos afectados por el cambio y realizar acciones como deshabilitar el nuevo servicio en cada grupo. Por ejemplo, si creaste grupos destinados solo a servicios específicos para la implementación, puedes volver a visitar esos grupos y asegurarte de que cualquier servicio recién agregado está deshabilitado.
Este es un ejemplo de cómo podría ser este proceso:
Originalmente, asignaste el producto Microsoft 365 E5 a varios grupos. Uno de esos grupos, denominado Microsoft 365 E5 (solo Exchange), se diseñó para habilitar solamente el servicio Exchange Online (Plan 2) para sus miembros.
Recibiste una notificación de Microsoft sobre que se extenderá el producto E5 con un nuevo servicio: Microsoft Stream. Cuando el servicio esté disponible en la organización, puedes llevar a cabo los siguientes pasos:
-
- Inicio de sesión en el Centro de administración de Microsoft Entra
Selecciona Microsoft Entra ID.
Selecciona Facturación>Licencias>Todos los productos y luego Microsoft 365 Enterprise E5. Después, selecciona Grupos con licencia para ver una lista de todos los grupos con ese producto.
Selecciona el grupo que desea revisar, en este caso, Microsoft 365 E5 (solo Exchange). Se abre la pestaña Licencias. Selecciona la licencia E5 para ver todos los servicios habilitados.
Nota:
El servicio Microsoft Stream se ha agregado automáticamente y se ha habilitado en este grupo, además del servicio Exchange Online:
Si deseas deshabilitar el nuevo servicio en este grupo, selecciona el botón de alternancia Activado/Desactivado junto al servicio y selecciona el botón Guardar para confirmar el cambio. Microsoft Entra ID ahora procesará todos los usuarios del grupo para aplicar el cambio; los nuevos usuarios agregados al grupo no tendrán habilitado el servicio Microsoft Stream.
Nota:
Los usuarios todavía pueden tener el servicio habilitado a través de otra asignación de licencias (de otro grupo del que sean miembros o con una asignación directa de licencia).
Si es necesario, realiza los mismos pasos para otros grupos con este producto asignado.
Uso de PowerShell para ver quién tiene licencias directas y heredadas
Puedes usar un script de PowerShell para comprobar si los usuarios tienen una licencia asignada directamente o se hereda de un grupo.
Ejecuta el cmdlet
Connect-MgGraph -Scopes "Organization.Read.All"
para autenticarte y conectarte a la organización mediante Microsoft Graph.Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname
se puede usar para detectar todas las licencias de producto aprovisionadas en la organización de Microsoft Entra.Usa el valor ServicePlanId correspondiente a la licencia que le interesa con este script de PowerShell. Una lista se rellena con datos de los usuarios que tienen esta licencia e información sobre cómo se asigna la licencia.
Usar registros de auditoría para supervisar la actividad de licencias basadas en grupos
Puedes usar los registros de auditoría de Microsoft Entra para ver todas las actividades relacionadas con las licencias basadas en grupos, incluido:
- quién cambió las licencias en los grupos
- cuándo empezó el sistema a procesar un cambio de la licencia de grupo y cuándo terminó
- qué cambios de licencia se realizaron en un usuario como resultado de una asignación de licencia de grupo.
Se puede acceder a los registros de auditoría relacionados con las licencias basadas en grupos desde los registros de auditoría de las áreas Grupos o Licencias de Microsoft Entra ID o usar las siguientes combinaciones de filtros de los registros de auditoría principales:
- Servicio: directorio principal
- Categoría: GroupManagement o UserManagement
Averiguar quién ha modificado una licencia
- Para ver los registros de los cambios de licencia de grupo, usa las siguientes opciones de filtro de registros de auditoría:
- Servicio: directorio principal
- Categoría: GroupManagement
- Actividad: establecimiento de licencia de grupo
- Selecciona una fila de la tabla resultante para ver los detalles.
- Selecciona la pestaña Propiedades modificadas para ver los valores antiguos y nuevos del contrato de licencia.
En el ejemplo siguiente se muestra la configuración de filtro indicada anteriormente, además del filtro Destino establecido en todos los grupos que comienzan por "EMS".
Para ver los cambios de licencia de un usuario específico, usa los siguientes filtros:
- Servicio: directorio principal
- Categoría: UserManagement
- Actividad: Cambio de la licencia de usuario
Averiguar cuándo se inició y finalizó el procesamiento de los cambios de grupo
Cuando una licencia cambia en un grupo, Microsoft Entra ID comienza a aplicar los cambios a todos los usuarios, pero los cambios podrían tardar un tiempo en procesarse.
- Para ver cuándo se inició el procesamiento de grupos, use los siguientes filtros:
- Servicio: directorio principal
- Categoría: GroupManagement
- Actividad: empezar a aplicar licencias basadas en grupo a los usuarios.
- Selecciona una fila de la tabla resultante para ver los detalles.
- Selecciona la pestaña Propiedades modificadas para ver los cambios de licencia que se seleccionaron para el procesamiento.
- Usa estos detalles si vas a realizar varios cambios en un grupo y no estás seguro de qué licencia se procesó.
- Ten en cuenta que el actor de la operación es Microsoft Entra Group-Based Licensing (Licencias basadas en grupos de Microsoft Azure AD), una cuenta del sistema que se usa para ejecutar los cambios de licencia de todos los grupos.
Para ver cuándo finalizó el procesamiento de los grupos, cambia el filtro Actividad a Finalización de la aplicación de licencias basadas en grupos a los usuarios. En este caso, el campo Propiedades modificadas contiene un resumen de los resultados, lo cual resulta útil para comprobar rápidamente si se ha producido algún error en el procesamiento. Resultados del ejemplo:
Modified Properties ... Name : Result Old Value : [] New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];
Para ver el registro completo de cómo se procesó un grupo, incluidos todos los cambios de usuario, agrega los siguientes filtros:
- Destino: Nombre del grupo
- Iniciado por (actor): "Microsoft Entra Group-Based Licensing" (Licencias basadas en grupos de Microsoft Azure AD) (distingue mayúsculas de minúsculas)
- Intervalo de fechas (opcional): intervalo personalizado para cuando se conoce el inicio y la finalización del procesamiento de un grupo concreto.
En esta salida de ejemplo se muestra el inicio y el fin del procesamiento del cambio de la licencia.
Eliminación de un grupo con una licencia asignada
No es posible eliminar un grupo con una licencia activa asignada. Un administrador podría eliminar un grupo sin darse cuenta de que hará que las licencias se quiten a los usuarios. Por esta razón, es necesario que las licencias se eliminen primero del grupo, antes de poder borrarlo.
Al intentar eliminar un grupo en el portal, es posible que vea una notificación de error similar a la siguiente:
Ve a la pestaña Licencias en el grupo y comprueba si hay licencias asignadas. Si es así, quita esas licencias e intenta eliminar el grupo de nuevo.
Puedes ver errores similares al intentar eliminar el grupo a través de PowerShell o de Graph API. Si usas un grupo sincronizado desde un entorno local, puede que también Microsoft Entra Connect notifique errores si no puede eliminar el grupo en Microsoft Entra ID. En todos estos casos, asegúrate de comprobar si hay licencias asignadas al grupo y quítalas primero.
Limitaciones y problemas conocidos
Si usas licencias basadas en grupos, se recomienda que te familiarices con la siguiente lista de limitaciones y problemas conocidos.
Actualmente, las licencias basadas en grupos no admiten grupos que contienen otros grupos (grupos anidados). Si aplicas una licencia a un grupo anidado, solo se aplican a los usuarios miembros del primer nivel inmediato del grupo.
La característica solo se puede usar con grupos de seguridad y grupos de Microsoft 365 que tengan securityEnabled=TRUE.
Cuando se asignan o modifican licencias para un grupo grande (por ejemplo, con más de 100 000 usuarios), el rendimiento podría verse afectado. En concreto, el volumen de cambios generado por la automatización de Microsoft Entra podría afectar negativamente al rendimiento de la sincronización de directorios entre Microsoft Entra ID y los sistemas locales.
Si usas grupos de pertenencia dinámica para administrar la pertenencia de los usuarios, comprueba que el usuario forma parte del grupo, lo cual es necesario para la asignación de licencias. De lo contrario, compruebe el estado de procesamiento de la regla de pertenencia del grupo dinámico.
En determinadas situaciones de carga elevada, los cambios en los grupos o en la pertenencia a grupos con las licencias existentes pueden tardar mucho tiempo en procesarse. Si observa que los cambios tardan más de 24 horas en procesar un tamaño de grupo de 60 000 usuarios o menos, abra una incidencia de soporte técnico para que podamos investigar lo que ocurre.
Pasos siguientes
Para más información sobre otros escenarios de administración de licencias basadas en grupos, consulte:
- ¿Qué es la concesión de licencias por grupos en Microsoft Entra ID?
- Asignación de licencias a un grupo en Microsoft Entra ID
- Identificación y resolución de problemas de licencias de un grupo en Microsoft Entra ID
- Migración de usuarios individuales con licencia a licencias basadas en grupos en Microsoft Entra ID
- Cómo migrar usuarios entre diferentes licencias de productos con licencias basadas en grupos de Microsoft Entra ID