Microsoft Entra ID のグループのライセンスに関する問題を特定して解決する

Note

9 月 1 日から、Microsoft Entra ID 管理センターと Microsoft Azure portal は、ユーザー インターフェイスを介したライセンスの割り当てをサポートしなくなります。 ユーザーとグループのライセンスの割り当てを管理するには、管理者は Microsoft 365 管理センターを使用する必要があります。 この更新プログラムは、Microsoft エコシステム内のライセンス管理プロセスを効率化するように設計されています。 この変更は、ユーザー インターフェイスに限定されます。 API と PowerShell へのアクセスは影響を受けません。 Microsoft 365 管理 センターを使用してライセンスを割り当てる方法の詳細については、次のリソースを参照してください。

Microsoft Entra の一部である Microsoft Entra ID のグループベースのライセンスでは、ユーザーのライセンス付与に関してエラー状態の概念が導入されています。 この記事では、ユーザーがこの状態になることがある理由を説明します。

グループベースのライセンスを使用せずにライセンスを個別のユーザーに直接割り当てると、割り当て処理が失敗することがあります。 たとえば、ライセンス数の不足や、同時に割り当てることができない 2 つのサービス プランの競合などが発生することがあります。 問題は即座に報告されます。

ライセンスの割り当てエラーを見つける

グループベースのライセンスを使用している場合も同じエラーが発生する可能性がありますが、この場合のエラーは、Microsoft Entra サービスがライセンスを割り当てているときにバック グラウンドで発生します。 このため、エラーを即座に伝達することはできません。 その代わりに、エラーはユーザー オブジェクトに記録され、管理ポータル経由で報告されます。 ユーザーへのライセンス付与という元の操作が無効になることはありませんが、後で調査して解決できるようにエラー状態にあることが記録されます。 監査ログを使用してグループベースのライセンスに関するアクティビティを監視することもできます。

グループ内でエラー状態にあるユーザーを見つけるには

  1. 少なくともライセンス管理者の権限で Microsoft Entra 管理センターにサインインします。

  2. [Microsoft Entra ID] を選びます。

  3. [課金]>[ライセンス] に移動して、組織内のライセンスを付与できるすべての製品を確認して管理できるページを開きます。

  4. グループの概要ページを開き、 [ライセンス] を選択します。 エラー状態にあるユーザーが存在する場合は、通知が表示されます。

    グループおよびエラーの通知メッセージを示すスクリーンショット。

  5. その通知を選択すると、影響を受けているすべてのユーザーの一覧が開きます。 個別に各ユーザーを選択すると、詳細を表示できます。

    グループ ライセンス エラー状態のユーザーの一覧を示すスクリーンショット。

  6. 少なくとも 1 つのエラーを含むすべてのグループを見つけるには、[Microsoft Entra ID] ブレードで、[ライセンス][概要] の順に選択します。 注意が必要なグループの場合は、情報ボックスが表示されます。

    エラー状態にあるグループに関する情報を示すスクリーンショット。

  7. エラーのあるグループの一覧を表示するには、ボックスをオンにします。 各グループを選択すると、詳細を表示できます。

    エラーのあるグループの一覧を示すスクリーンショット。

次のセクションでは、考えられる問題とその解決方法を個別に説明します。

Note

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

ライセンス数の不足

問題: グループに指定されたいずれかの製品について、利用できるライセンスの数が不足しています。 該当する製品のライセンスを追加で購入するか、他のユーザーかグループから未使用のライセンスを解放する必要があります。

利用できるライセンスの数を確認するには、[ID]>[Billing] (課金情報)>[ライセンス]>[すべての製品] の順に移動します。

ライセンスを使用中のユーザーとグループを確認するには、製品を選択します。 [ライセンスされているユーザー] には、ライセンスが直接または 1 つ以上のグループ経由で割り当てられているユーザーの一覧が表示されます。 [ライセンスされているグループ] には、その製品が割り当てられているグループがすべて表示されます。

PowerShell: PowerShell コマンドレットは、このエラーを CountViolation として報告します。

サービス プランの競合

問題: グループで指定されたいずれかの製品に含まれているサービス プランが、他の製品でユーザーに既に割り当てられている別のサービス プランと競合しています。 一部のサービス プランは、関連する他のサービス プランと同じユーザーに割り当てられないように構成されています。

ヒント

以前は、Exchange Online Plan1 と Plan2 は一意であり、複製できませんでした。 現在、両方のサービス プランは複製できるように更新されています。 これらのサービス プランとの競合が発生している場合は、再処理してみてください。

製品ライセンスの競合を解決する方法の決定は、常に管理者に委ねられます。 ライセンスの競合が Microsoft Entra ID によって自動的に解決されることはありません。

PowerShell: PowerShell コマンドレットは、このエラーを MutuallyExclusiveViolation として報告します。

特定のライセンスに依存する他の製品

問題: グループで指定されたいずれかの製品に、(他の製品の) 他のサービス プランが機能するうえで有効である必要があるサービス プランが含まれています。 このエラーは、Microsoft Entra ID がサービス プランを削除しようとしたときに発生します。 たとえば、ユーザーをグループから削除したときに、この問題が発生する可能性があります。

この問題を解決するには、他の方法を使用して目的のプランがユーザーに引き続き割り当てられていること、または依存するサービスがこれらのユーザーに対して無効になっていることを確認する必要があります。 その後、ユーザーからグループ ライセンスを問題なく削除できます。

PowerShell: PowerShell コマンドレットは、このエラーを DependencyViolation として報告します。

利用場所が許可されていない

問題: 一部の Microsoft サービスは、地域の法律と規制が理由ですべての場所で利用することはできません。 ライセンスをユーザーに割り当てる前に、ユーザーの [利用場所] プロパティを指定する必要があります。 場所は、ポータルの [ユーザー]>[プロファイル]>[編集] セクションで指定できます。

利用場所がサポートされていないユーザーへのグループ ライセンスの割り当てが Microsoft Entra ID により試行されると、その操作は失敗し、エラーがユーザーに記録されます。

この問題を解決するには、利用場所がサポートされていないユーザーをライセンス グループから削除します。 または、現在の利用場所の値が実際のユーザーの場所を表していない場合は、ライセンスが次回正しく割り当てられるように値を変更できます (新しい場所がサポートされている場合)。

PowerShell: PowerShell コマンドレットは、このエラーを ProhibitedInUsageLocationViolation として報告します。

Note

  • Microsoft Entra ID によってグループ ライセンスが割り当てられるとき、指定された利用場所がないユーザーは、ディレクトリの場所を継承します。 管理者は、地域の法律と規制を遵守するために、グループベースのライセンスを使用する前に、ユーザーに対して正しい利用場所の値を設定することをお勧めします。
  • ライセンスの割り当ての場合、名、姓、その他のメール アドレス、ユーザーの種類の属性は必須ではありません。

初期の静的グループのライセンスに基づく規則を使用した動的メンバーシップ グループのライセンス削除

このエラーは、ユーザーが動的メンバーシップ グループの別のバッチに追加または別のバッチから削除されたことが原因で発生します。これは、初期の静的グループのライセンスに基づく規則を使用した動的メンバーシップ グループのカスケード設定が原因です。 このエラーは複数の動的メンバーシップ グループに影響を与える可能性があり、アクセスを復元するには広範囲に及ぶ再処理が必要になります。

警告

既存の静的グループを動的グループに変更すると、すべての既存のメンバーがグループから削除され、新しいメンバーを追加するためにメンバーシップ ルールが処理されます。 グループを使用してアプリまたはリソースへのアクセスを制御している場合、メンバーシップ ルールが完全に処理されるまで、元のメンバーはアクセス権を失う場合があることに注意してください。

グループの新しいメンバーシップが予期したとおりのものになるように、事前に新しいメンバーシップ ルールをテストすることをお勧めします。 テスト中にエラーが発生した場合は、「監査ログを使用してグループベースのライセンス アクティビティを監視する」をご覧ください。

プロキシ アドレスの重複

問題: Exchange Online を使用する場合は、組織内の一部のユーザーが、同じプロキシ アドレスの値で間違って構成されている可能性があります。 グループ ベースのライセンスによってこのようなユーザーにライセンス割り当てを試みると、失敗し、"プロキシ アドレスは既に使用されています" と表示されます。

ヒント

重複したプロキシ アドレスの有無を確認するには、次の PowerShell コマンドレットを Exchange Online に対して実行します。

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

この問題の詳細については、「Exchange Online のエラー メッセージ: "プロキシ アドレス <アドレス> は既に使用されています"」を参照してください。 この記事では、リモート PowerShell を使用して Exchange Online に接続する方法に関する情報も確認できます。

関連するユーザーのプロキシ アドレスの問題を解決したら、グループのライセンス処理を強制的に実行して、ライセンスが適用できるようになったことを確認してください。

Microsoft Entra ID Mail と ProxyAddresses の属性の変更

問題:ユーザーまたはグループのライセンス割り当てを更新している間に、一部のユーザーの Microsoft Entra ID Mail および ProxyAddresses の属性が変更されたことがわかる場合があります。

ユーザーのライセンス割り当てを更新すると、プロキシ アドレスの計算が開始され、それによってユーザーの属性が変更されることがあります。 変更の正確な理由を理解し、問題を解決するには、「Microsoft Entra ID で proxyAddresses 属性がどのように設定されるか」についての、この記事を参照してください。

監査ログの LicenseAssignmentAttributeConcurrencyException

問題: ユーザーの監査ログにライセンス割り当ての LicenseAssignmentAttributeConcurrencyException が記録されています。 グループベースのライセンスで、ユーザーに対する同じライセンスの同時ライセンス割り当てを処理しようとすると、この例外がユーザーに記録されます。 これは通常、同じライセンスが割り当てられた複数のグループにユーザーが属している場合に発生します。 Microsoft Entra ID は、問題が解決するまでユーザー ライセンスの処理を再試行します。 この問題を解決するためのお客様の対処は必要ありません。

1 つのグループに割り当てられた複数の製品ライセンス

1 つのグループに複数の製品ライセンスを割り当てることができます。 たとえば、Office 365 Enterprise E3 と Enterprise Mobility + Security をグループに割り当てて、ユーザーによる製品内の全サービスの使用を簡単に有効にできます。

問題: グループに指定されたライセンスはすべて、Microsoft Entra ID によって各ユーザーに割り当てられます。 ただし、Microsoft Entra ID でライセンスの不足や、有効になっている他のサービスとの競合などの問題が発生した場合は、グループの他のライセンスも割り当てされなくなります。 割り当てられなかったユーザーと、この問題の影響を受けた製品を確認できます。

グループにライセンスを割り当てるときに、利用可能なライセンスが不足していたり、同時に割り当てることができないサービス プランなどの問題が発生したりした場合は、グループへの割り当てが完了しない場合があることにご注意ください。 たとえば、ライセンス数が不足している場合や、ユーザーに対して有効になっている他のサービスと競合する場合などです。

この問題の考えられる回避策の 1 つは、動的メンバーシップ グループを作成することです。 Exchange Online などのライセンスを割り当てる動的メンバーシップ グループを複数作成し、同じメンバーシップの規則を持つ 2 つ目の動的グループを使用して、前提条件のライセンスを適用します。 最初のグループで Exchange Online ライセンスをユーザーに適用すると、これらの追加ライセンスを割り当てることができます。

ライセンス エラーが発生した場合は、ユーザー オブジェクトに記録され、解決のために Azure portal 経由で報告されます。 詳細については、「Microsoft Graph PowerShell グループ ベース ライセンスの例」を参照してください。

ライセンス グループが削除された場合

問題: グループを削除する前に、グループに割り当てられているすべてのライセンスを削除する必要があります。 ただし、グループ内のすべてのユーザーからライセンスを削除する処理には時間がかかることがあります。 グループからライセンスの割り当てを削除するときに、ユーザーに依存ライセンスが割り当てられている場合、またはライセンスの削除を禁止するプロキシ アドレスの競合の問題がある場合にエラーが発生する可能性があります。 グループの削除のために削除処理中のライセンスに依存しているライセンスをユーザーが持っている場合、そのユーザーへのライセンスの割り当ては継承から直接に変換されます。

たとえば、Skype for Business サービス プランが有効な Office 365 E3/E5 が割り当てられたグループがあるとします。 また、グループの一部のメンバーに電話会議ライセンスが直接割り当てられているとします。 このグループが削除されると、グループベースのライセンスではすべてのユーザーから Office 365 E3/E5 の削除が試行されます。 電話会議は Skype for Business に依存しているため、電話会議が割り当てられているユーザーの場合、グループベースのライセンスによって Office 365 E3/E5 ライセンスが直接のライセンス割り当てに変換されます。

前提条件のある製品のライセンスを管理する

Microsoft Online 製品の中には "アドオン" であるものがあります。 ユーザーやグループにライセンスを割り当てるには、前提条件のサービス プランをユーザーまたはグループに対して有効にする必要があります。 グループごとにライセンスを付与する場合は、前提条件とアドオンのサービス プランが同じグループに存在する必要があります。 この措置によって、そのグループに追加されたユーザーに、完全に動作する製品が与えられます。 次の例について考察してみましょう。

Microsoft Workplace Analytics はアドオン製品です。 同じ名前の単一サービス プランが含まれています。 このサービス プランは、次の前提条件のいずれかが割り当てられている場合にのみ、ユーザーまたはグループに割り当てることができます。

  • Exchange Online (プラン 1)
  • Exchange Online (プラン 2)

問題: この製品だけをグループに割り当てようとすると、ポータルから通知メッセージが返されます。 項目の詳細を選択すると、次のエラー メッセージが表示されます。

"ライセンス操作に失敗しました。 グループに必要なサービスがあることを確認してから、依存サービスを追加または削除してください。 サービス Microsoft Workplace Analytics では、Exchange Online (プラン 2) も有効にする必要があります。 "

このアドオン ライセンスをグループに割り当てるには、そのグループに前提条件のサービス プランも含まれている必要があります。 たとえば、Microsoft Entra ID で完全版 Office 365 E3 製品が既に含まれている既存のグループを更新してから、アドオン製品を追加する場合があります。

必要最小限の製品だけを含むスタンドアロン グループを作成することで、アドオンが機能する場合もあります。 これは、選択されたユーザーだけに、アドオン製品のライセンスを付与するときにご利用いただけます。 前の例に基づいて、次の製品を同じグループに割り当てます。

  • Office 365 Enterprise E3 (Exchange Online (プラン 2) サービス プランのみが有効)
  • Microsoft Workplace Analytics

今後は、このグループに追加されたユーザーすべてが、E3 製品のライセンスと Workplace Analytics 製品のライセンスを 1 つずつ使用できます。 また、そのユーザーは、完全版 E3 製品を提供する別のグループに属することもできますが、使用できるその製品のライセンスは引き続き 1 つだけです。

ヒント

前提条件のサービス プランごとに複数のグループを作成できます。 たとえば、Office 365 Enterprise E1 と Office 365 Enterprise E3 の両方をユーザーに使用する場合、2 つのグループを作成して Microsoft Workplace Analytics にライセンスを付与できます。1 つは前提条件として E1 を利用するグループ、もう 1 つは E3 を利用するグループです。 これにより、追加のライセンスを使用せずに、E1 ユーザーと E3 ユーザーにアドオンを配布できます。

グループでライセンスの処理を強制してエラーを解決する

問題: エラーを解決した手順によっては、グループの処理を手動でトリガーして、ユーザーの状態を更新しなければならない場合があります。

たとえば、直接的に割り当てられたライセンスをユーザーから削除することで、一部のライセンスを解放した場合は、前に失敗したグループの処理を手動でトリガーして、すべてのユーザー メンバーに対して、完全にライセンスを付与する必要があります。 グループを処理するには、グループ ウィンドウに移動して [ライセンス] を開き、ツール バーの [再処理] ボタンを選択します。

ユーザーにライセンスの処理を強制してエラーを解決する

問題: エラーを解決した手順によっては、ユーザーの処理を手動でトリガーして、ユーザーの状態を更新しなければならない場合があります。

たとえば、影響を受けるユーザーの重複したプロキシ アドレスの問題を解決した後に、ユーザーの処理をトリガーする必要があります。 ユーザーを再処理するには、ユーザー ウィンドウに移動して [ライセンス] を開き、ツール バーの [再処理] ボタンを選択します。

次のステップ

グループによるライセンス管理の他のシナリオについては、以下を参照してください。