Определение и устранение проблем с назначением лицензий для группы в идентификаторе Microsoft Entra

Примечание.

Начиная с 1 сентября Центр администрирования идентификатора Microsoft Entra и Microsoft портал Azure больше не будет поддерживать назначение лицензий с помощью пользовательских интерфейсов. Для управления назначениями лицензий для пользователей и групп администраторы должны использовать Центр администрирования Microsoft 365. Это обновление предназначено для упрощения процесса управления лицензиями в экосистеме Майкрософт. Это изменение ограничено пользовательским интерфейсом. Доступ к API и PowerShell остаются небезопасными. Подробные рекомендации по назначению лицензий с помощью Центра администрирования Microsoft 365 см. в следующих ресурсах:

Групповое лицензирование в идентификаторе Microsoft Entra, часть Microsoft Entra, представляет концепцию пользователей в состоянии ошибки лицензирования. В этой статье объясняется причины, по которым пользователи могут оказаться в этом состоянии.

Если вы назначаете лицензии непосредственно отдельным пользователям без использования группового лицензирования, операция назначения может завершиться сбоем из-за особенностей бизнес-логики. Например, может быть недостаточно лицензий или возникнуть конфликт между двумя планами обслуживания, которые невозможно назначить одновременно. О проблеме немедленно сообщается вам.

Поиск ошибок назначения лицензий

При использовании группового лицензирования могут возникать те же ошибки, но они происходят в фоновом режиме, пока служба Microsoft Entra назначает лицензии. По этой причине ошибки не могут быть сообщены вам немедленно. Вместо этого они записываются в объект пользователя, а затем передаются через портал администрирования. Исходное намерение лицензии пользователя никогда не теряется, но записывается в состояние ошибки для дальнейшего исследования и разрешения. Журналы аудита также можно использовать для мониторинга действий лицензирования на основе групп.

Поиск пользователей в состоянии ошибки в группе

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор лицензии.

  2. Выберите Microsoft Entra ID.

  3. Перейдите к лицензиям для выставления счетов>, чтобы открыть страницу, в которой вы можете просматривать и управлять всеми лицензированными продуктами в организации.

  4. Откройте группу на странице обзора и выберите Licenses (лицензии). Если есть пользователи с состоянием ошибки, в разделе "Лицензии" появится уведомление.

    Снимок экрана: сообщения о группах и сообщениях об ошибках.

  5. Выберите уведомление, чтобы открыть список всех затронутых пользователей. Вы можете выбрать каждого пользователя по отдельности, чтобы просмотреть дополнительные сведения.

    Снимок экрана: список пользователей в состоянии ошибки лицензирования группы.

  6. Чтобы найти все группы, содержащие по крайней мере одну ошибку, в колонке идентификатора Microsoft Entra ID выберите "Лицензии" и выберите " Обзор". Когда группы требуют вашего внимания, отображается информационное поле.

    Снимок экрана: сведения о группах в состоянии ошибки.

  7. Установите флажок, чтобы просмотреть список всех групп с ошибками. Для получения дополнительных сведений можно выбрать каждую группу.

    Снимок экрана: список групп с ошибками.

В следующих разделах приводится описание каждой потенциальной проблемы и способы ее устранения.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Недостаточно лицензий

Проблема. Недостаточно доступных лицензий для одного из продуктов, указанных в группе. Необходимо либо приобрести дополнительные лицензии для продукта, либо забрать неиспользуемые лицензии у других пользователей или групп.

Чтобы узнать, сколько лицензий доступно, перейдите в раздел "Лицензии>выставления счетов удостоверений>>" все продукты.

Чтобы узнать, какие пользователи и группы потребляют лицензии, выберите продукт. В разделе "Лицензированные пользователи" отображается список всех пользователей, которым назначены лицензии напрямую или через одну или несколько групп. В разделе Лицензированные группы отображаются все группы, для которых назначены эти продукты.

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке CountViolation.

Конфликтующие планы обслуживания

Проблема. Один из продуктов, указанных в группе, содержит план обслуживания, который конфликтует с другим планом обслуживания, уже назначенным пользователю через другой продукт. Некоторые планы обслуживания настроены таким образом, что их нельзя назначить тому же пользователю, как другой связанный план обслуживания.

Совет

Ранее Exchange Online Plan1 и Plan2 были уникальными и не могли быть дублироваться. Теперь оба плана обслуживания были обновлены, чтобы разрешить дублирование. Если у вас возникли конфликты с этими планами обслуживания, попробуйте повторно обработать их.

Решение о том, как решить конфликт лицензий на продукты, всегда принимается администратором. Идентификатор Microsoft Entra не разрешает конфликты лицензий автоматически.

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке MutuallyExclusiveViolation.

Другие продукты зависят от этой лицензии

Проблема. Один из продуктов, указанных в группе, содержит план обслуживания, который должен быть включен для другого плана обслуживания в другом продукте для работы. Эта ошибка возникает, когда идентификатор Microsoft Entra пытается удалить базовый план обслуживания. Например, эта проблема может произойти при удалении пользователя из группы.

Чтобы решить эту проблему, нужно убедиться, что необходимый план по-прежнему назначен пользователям с помощью другого метода или что зависимые службы отключены для этих пользователей. После этого можно правильно удалить лицензию группы у этих пользователей.

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке DependencyViolation.

Место использования не разрешено

Проблема: некоторые службы Майкрософт доступны не во всех расположениях из-за требований местного законодательства. Перед назначением лицензии пользователю необходимо указать свойство Место использования для пользователя. Расположение можно указать в разделе "Изменение профиля>пользователя>" на портале.

Когда идентификатор Microsoft Entra пытается назначить лицензию группы пользователю, расположение которого не поддерживается, он завершается ошибкой и записывает ошибку на пользователя.

Чтобы устранить эту проблему, удалите пользователей из неподдерживаемых расположений из лицензированной группы. Или, если текущие значения расположения использования не представляют фактическое расположение пользователя, их можно изменить таким образом, чтобы лицензии были правильно назначены при следующем назначении (если новое расположение поддерживается).

PowerShell: командлеты PowerShell сообщают об этой ошибке как об ошибке ProhibitedInUsageLocationViolation.

Примечание.

  • Когда идентификатор Microsoft Entra назначает лицензии группы, все пользователи без указанного расположения использования наследуют расположение каталога. Корпорация Майкрософт рекомендует администраторам задавать правильные значения расположения использования для пользователей перед использованием группового лицензирования для соблюдения местных законов и правил.
  • Атрибуты имени, фамилии, другого адреса электронной почты и типа пользователя не являются обязательными для назначения лицензий.

Удаление лицензий динамических групп членства с правилами на основе лицензий с начальной статической группой

Эта ошибка возникает из-за добавления и удаления пользователей из другого пакета динамических групп членства из-за каскадной настройки динамических групп членства с правилами на основе лицензий на начальную статическую группу. Эта ошибка может повлиять на несколько динамических групп членства и требовать обширной повторной обработки для восстановления доступа.

Предупреждение

При изменении существующей статической группы на динамическую из нее удаляются все участники, после чего обрабатывается правило членства для добавления новых участников. Если группа используется для управления доступом к приложениям и ресурсам, исходные участники могут временно утратить этот доступ, пока не завершится обработка правила членства.

Рекомендуется заранее проверить новое правило членства, чтобы убедиться в том, что оно соответствующим образом добавляет элементы в группу. Если во время теста возникают ошибки, ознакомьтесь с журналами аудита для мониторинга активности лицензирования на основе групп.

Дублирование адресов прокси-сервера

Проблема. Если вы используете Exchange Online, некоторые пользователи в организации могут быть неправильно настроены с тем же значением прокси-адреса. Если при лицензировании на основе групп производится попытка назначить лицензию такому пользователю, она завершится сбоем, и появится сообщение "Адрес прокси-сервера уже используется".

Совет

Чтобы посмотреть, нет ли повторов прокси адресов, выполните следующий командлет PowerShell в Exchange Online:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

Дополнительные сведения об этой проблеме см. в статье Сообщение об ошибке "< адрес > адрес прокси-сервера уже используется" в Exchange Online. В статье Подключение к Exchange Online PowerShell содержатся сведения о подключении к Exchange Online с помощью удаленного сеанса PowerShell.

После устранения проблем с прокси-адресами для соответствующих пользователей повторно выполните обработку лицензий для группы, чтобы проверить, что лицензии можно применять.

Изменение атрибута Microsoft Entra ID Mail и ProxyAddresses

Проблема. При обновлении назначения лицензий для пользователя или группы может возникнуть изменение атрибута Microsoft Entra ID Mail и ProxyAddresses некоторых пользователей.

Обновление назначения лицензий для пользователя вызывает срабатывание вычисления адреса прокси-сервера, что может изменить атрибуты пользователя. Чтобы понять причину изменения и решить проблему, ознакомьтесь с этой статьей о том, как атрибут proxyAddresses заполняется идентификатором Microsoft Entra.

LicenseAssignmentAttributeConcurrencyException в журналах аудита

Проблема. Пользователь имеет LicenseAssignmentAttributeConcurrencyException назначение лицензии в журналах аудита. Если групповое лицензирование пытается обработать одновременное назначение лицензии для одного пользователя, это исключение записывается на пользователя. Обычно это происходит, когда пользователь входит в несколько групп с одной и той же назначенной лицензией. Идентификатор Microsoft Entra повторяет обработку лицензии пользователя до тех пор, пока проблема не будет устранена. Для устранения этой проблемы не требуется никаких действий от клиента.

Группе назначено более одной лицензии на продукт.

Группе можно назначить несколько лицензий на продукт. Например, вы можете назначить группе Office 365 корпоративный E3 и Enterprise Mobility + Security, чтобы легко включить для пользователей все включенные службы.

Проблема. Идентификатор Microsoft Entra пытается назначить все указанные лицензии в группе каждому пользователю. Однако если идентификатор Microsoft Entra id сталкивается с такими проблемами, как недостаточно лицензий или конфликтует с другими службами, он не назначит другие лицензии в группе. Вы можете проверить, какие пользователи не получили назначения и какие продукты пострадали от этой проблемы.

Важно отметить, что при назначении лицензий группе, если нет достаточно доступных лицензий, или возникает проблема, например, планы обслуживания, которые не могут быть назначены одновременно, назначение группе может быть не завершено. Пример заключается в том, что для всех лицензий недостаточно или если для пользователя включены конфликты с другими службами.

Одна из потенциальных возможностей для этой проблемы заключается в создании динамических групп членства. Вы можете создать динамические группы членства для назначения лицензий, таких как Exchange Online, а затем использовать вторую динамическую группу с теми же правилами членства для применения необходимых лицензий. Затем вы можете назначить эти дополнительные лицензии после применения начальной группы лицензии Exchange Online к пользователям.

При возникновении ошибок лицензирования они записываются в объект пользователя и передаются через портал Azure для разрешения. Дополнительные сведения см . в примерах лицензирования на основе групп Microsoft Graph PowerShell.

При удалении лицензированной группы

Проблема. Перед удалением группы необходимо удалить все лицензии, назначенные группе. Однако удаление лицензий для всех пользователей в группе может занять некоторое время. При удалении назначений лицензий из группы могут возникнуть сбои, если пользователю назначена зависимая лицензия или если существует проблема конфликта адресов прокси-сервера, которая запрещает удаление лицензии. Если у пользователя есть лицензия, которая зависит от лицензии, удаляемой из-за удаления группы, назначение лицензии пользователю преобразуется из наследуемого в прямое.

Например, рассмотрим группу, у которой есть Office 365 E3/E5 с включенным планом обслуживания Skype для бизнеса. Кроме того, предположим, что несколько участников группы имеют назначенные напрямую лицензии для аудиоконференций. Групповое лицензирование при удалении группы попытается удалить Office 365 E3/E5 для всех пользователей. Поскольку аудиоконференции зависят от Skype для бизнеса, для всех пользователей с назначением для аудиоконференций групповое лицензирование преобразует лицензии Office 365 E3/E5 в прямое назначение лицензий.

Управление лицензиями для продуктов с предварительными требованиями

Некоторые продукты Microsoft Online, которые могут принадлежать вам, являются надстройками. Для надстроек требуется включить предварительный план обслуживания для пользователя или группы, прежде чем им может быть назначена лицензия. При использовании группового лицензирования системе требуется, чтобы в одной группе были планы обслуживания необходимых компонентов и надстроек. Это необходимо для того, чтобы все пользователи, которые будут добавляться в группу, получали полностью функциональный продукт. Рассмотрим следующий пример.

Microsoft Workplace Analytics — это надстройка. Он содержит одиночный план обслуживания с тем же именем. Этот план обслуживания можно назначить пользователю или группе, если также назначено одно из следующих предварительных требований:

  • Exchange Online (план 1)
  • Exchange Online (план 2)

Проблема. Если вы пытаетесь назначить этот продукт самостоятельно группе, портал возвращает уведомление. Если выбрать сведения об элементе, отобразится следующее сообщение об ошибке:

License operation failed (Сбой лицензирования). Убедитесь, что группа имеет необходимые службы, прежде чем добавлять или удалять зависимую службу. Для службы Microsoft Workplace Analytics требуется включить Exchange Online (план 2)."

Чтобы назначить эту лицензию надстройки группе, необходимо убедиться, что группа также содержит план обслуживания необходимых компонентов. Например, идентификатор Microsoft Entra может обновить существующую группу, которая уже содержит полный продукт Office 365 E3, а затем добавить в него продукт надстройки.

Кроме того, можно создать автономную группу, содержащую только минимальные необходимые продукты для работы надстроек. Его можно использовать для лицензии только выбранных пользователей для продукта надстройки. На основе предыдущего примера вы назначите следующие продукты одной группе:

  • Office 365 корпоративный E3 с включенным только планом обслуживания Exchange Online (план 2)
  • Microsoft Workplace Analytics

С этого времени все пользователи, добавленные в эту группу, потребляют одну лицензию на продукт E3 и одну лицензию на продукт Workplace Analytics. В то же время эти пользователи могут быть членами другой группы, которая предоставляет им полный продукт E3, и они по-прежнему потребляют только одну лицензию для этого продукта.

Совет

Для каждого необходимого плана обслуживания можно создать несколько групп. Например, если вы используете как Office 365 корпоративный E1, так и Office 365 корпоративный E3 для пользователей, можно создать две группы для лицензирования Microsoft Workplace Analytics: одна будет использовать E1 в качестве необходимого компонента, а другая — E3. Это позволяет распространять надстройку среди пользователей E1 и E3 без потребления дополнительных лицензий.

Принудительная обработка лицензий группы для устранения ошибок

Проблема. В зависимости от того, какие действия вы предприняли для устранения ошибок, может потребоваться вручную активировать обработку группы для обновления состояния пользователя.

Например, если вы освобождаете некоторые лицензии путем удаления прямых назначений лицензий у пользователей, необходимо активировать обработку групп, которые ранее не могли полностью лицензировать всех пользователей. Чтобы повторно обработать группу, перейдите на панель группы, откройте Лицензии, а затем нажмите кнопку Повторная обработка на панели инструментов.

Принудительная обработка лицензий пользователей для устранения ошибок

Проблема. В зависимости от того, какие действия вы предприняли для устранения ошибок, может потребоваться вручную активировать обработку пользователя для обновления состояния пользователей.

Например, после устранения проблемы с дублирующимся адресом прокси-сервера для затронутого пользователя необходимо активировать обработку пользователя. Чтобы повторно обработать пользователя, перейдите на панель пользователя, откройте Лицензии, а затем нажмите кнопку Повторная обработка на панели инструментов.

Следующие шаги

Чтобы получить дополнительные сведения о сценариях управления лицензиями с помощью групп, см. ссылки ниже.