Microsoft Entra ID'de lisansları yönetmek için grupları kullanan senaryolar, sınırlamalar ve bilinen sorunlar

Microsoft Entra'nın bir parçası olan Microsoft Entra Id'de grup tabanlı lisanslama hakkında daha gelişmiş bilgi edinmek için aşağıdaki bilgileri ve örnekleri kullanın.

Kullanım konumu

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Bazı Microsoft hizmetleri tüm konumlarda kullanılamaz. Grup lisansı ataması için, kullanım konumu belirtilmemiş tüm kullanıcılar dizinin konumunu devralır. Birden çok konumda kullanıcılarınız varsa, lisansları olan gruplara kullanıcı eklemeden önce bunu kullanıcı kaynaklarınıza doğru şekilde yansıttığınızdan emin olun. Kullanıcıya lisans atanabilmesi için yöneticinin kullanıcı üzerinde Kullanım konumu özelliğini belirtmesi gerekir.

  1. Microsoft Entra yönetim merkezinde en az Bir Grup Yöneticisi olarak oturum açın.

  2. Microsoft Entra Kimlik'i seçin.

  3. Kullanıcılar>Tüm kullanıcılar'a gidin ve bir kullanıcı seçin.

    Tüm kullanıcılar bölmesinin ekran görüntüsü.

  4. Özellikleri düzenle'yi seçin.

  5. Ayarlar sekmesini seçin ve kullanıcı için bir konum girin.

  6. Kaydet düğmesini seçin.

Not

Grup lisansı ataması hiçbir zaman bir kullanıcıdaki mevcut kullanım konumu değerini değiştirmez. Kullanım konumunu her zaman Microsoft Entra Id'de (örneğin, Microsoft Entra Connect yapılandırması aracılığıyla) kullanıcı oluşturma akışınızın bir parçası olarak ayarlamanızı öneririz. Böyle bir işlemin takip edilmesi, lisans atamasının sonucunun her zaman doğru olmasını ve kullanıcıların izin verilmeyen konumlarda hizmet almamasını sağlar.

Dinamik üyelik gruplarıyla grup tabanlı lisanslama kullanma

Dinamik üyelik grupları da dahil olmak üzere herhangi bir güvenlik grubuyla grup tabanlı lisanslama kullanabilirsiniz. Dinamik üyelik gruplarına yönelik kurallar, otomatik olarak üye eklemek ve kaldırmak için kullanıcı kaynağı özniteliklerine göre çalıştırılır. Öznitelikler departman, iş unvanı, iş konumu veya başka bir özel öznitelik olabilir. Her gruba üyelerin almasını istediğiniz lisanslar atanır. Bir öznitelik değişirse, üye gruptan ayrılır ve lisanslar kaldırılır.

Özniteliği şirket içinde atayabilir ve Microsoft Entra Id ile eşitleyebilir veya özniteliği doğrudan bulutta yönetebilirsiniz.

Uyarı

Mevcut bir grubun üyelik kuralını değiştirirken dikkatli olun. Bir kural değiştirildiğinde, grubun üyeliği yeniden değerlendirilir ve artık yeni kuralla eşleşmeyen kullanıcılar kaldırılır (yeni kuralla hala eşleşen kullanıcılar bu işlem sırasında etkilenmez). Bu kullanıcılar, işlem sırasında hizmet kaybına veya bazı durumlarda veri kaybına neden olabilecek lisanslarını kaldıracaktır.

Lisans ataması için bağımlı olduğunuz büyük bir dinamik grubunuz varsa, ana gruba uygulamadan önce daha küçük bir test grubundaki önemli değişiklikleri doğrulamayı göz önünde bulundurun. Testiniz sırasında hatalarla karşılaşırsanız bkz . Grup lisans sorunlarını çözme.

Birden çok grup ve birden çok lisans

Kullanıcı, lisansları olan birden çok grubun üyesi olabilir. Dikkate alınması gereken bazı şeyler şunlardır:

  • Aynı ürün için birden çok lisans çakışabilir ve etkinleştirilen tüm hizmetlerin kullanıcıya uygulanmasına neden olur. Örnek olarak M365-P1 tüm kullanıcılara dağıtılacak temel hizmetleri, M365-P2 ise yalnızca bazı kullanıcılara dağıtılacak P2 hizmetlerini içerir. Bir kullanıcıyı bir veya her iki gruba ekleyebilir ve ürün için yalnızca bir lisans kullanabilirsiniz.

  • Grup lisansı ataması tarafından kullanıcı için hangi hizmetlerin etkinleştirildiğiyle ilgili bilgiler de dahil olmak üzere daha fazla ayrıntı görüntülemek için bir lisans seçin.

Doğrudan lisanslar grup lisanslarıyla birlikte var

Kullanıcı bir gruptan lisans devraldığında, kullanıcının özelliklerinde bu lisansı doğrudan kaldıramaz veya değiştiremezsiniz. Lisans atamasını yalnızca grupta değiştirebilirsiniz ve değişiklikler daha sonra tüm grup üyelerine yayılır. Bir grup lisansı atamasından lisansı olan bir kullanıcıya başka özellikler atamanız gerekiyorsa, diğer özellikleri kullanıcıya atamak için başka bir grup oluşturmanız gerekir.

Grup tabanlı lisanslama kullanırken aşağıdaki senaryoları göz önünde bulundurun:

  • Grup üyeleri gruba atanan lisansları devralır.
  • Grup tabanlı lisanslar için lisans seçenekleri grup düzeyinde değiştirilmelidir.
  • Kullanıcıya farklı lisans seçenekleri atanacaksa yeni bir grup oluşturun, gruba bir lisans atayın ve kullanıcıyı bu gruba ekleyin.
  • Kullanıcılar, grup tabanlı farklı lisanslarda bu ürün için farklı lisans seçenekleri kullanılıyorsa yine de bir ürünün yalnızca bir lisansını kullanır.

Doğrudan atama kullandığınızda aşağıdaki işlemlere izin verilir:

  • Grup tabanlı lisanslama aracılığıyla henüz atanmamış lisanslar tek bir kullanıcı için değiştirilebilir.
  • Diğer hizmetler, doğrudan atanmış bir lisansın parçası olarak etkinleştirilebilir.
  • Doğrudan atanan lisanslar kaldırılabilir ve kullanıcının devralınan lisanslarını etkilemez.

Ürünlere eklenen yeni hizmetleri yönetme

Microsoft bir ürün lisans planına yeni bir hizmet eklediğinde, ürün lisansını atadığınız tüm gruplarda varsayılan olarak etkinleştirilir. Kuruluşunuzdaki ürün değişiklikleriyle ilgili bildirimlere abone olan kullanıcılar, yaklaşan hizmet eklemeleri hakkında bildirimde bulunan e-postaları önceden alır.

Yönetici olarak, değişiklikten etkilenen tüm grupları gözden geçirebilir ve her gruptaki yeni hizmeti devre dışı bırakma gibi eylemler gerçekleştirebilirsiniz. Örneğin, dağıtım için yalnızca belirli hizmetleri hedefleyen gruplar oluşturduysanız, bu grupları yeniden ziyaret edebilir ve yeni eklenen hizmetlerin devre dışı bırakıldığından emin olabilirsiniz.

Bu işlemin nasıl görünebileceğine bir örnek aşağıda verilmişti:

  1. Başlangıçta, Microsoft 365 E5 ürününü çeşitli gruplara atamıştınız. Bu gruplardan biri olan Microsoft 365 E5 - Exchange yalnızca üyeleri için yalnızca Exchange Online (Plan 2) hizmetini etkinleştirecek şekilde tasarlanmıştır.

  2. Microsoft'tan E5 ürününün yeni bir hizmetle genişletileceğine ilişkin bir bildirim aldınız: Microsoft Stream. Hizmet kuruluşunuzda kullanılabilir duruma geldiğinde aşağıdaki adımları tamamlayabilirsiniz:

    1. Microsoft Entra yönetim merkezinde oturum açın
  3. Microsoft Entra Kimlik'i seçin.

  4. Faturalama>Lisansları>Tüm ürünler'i seçin ve Microsoft 365 Kurumsal E5'i seçin, ardından lisanslı gruplar'ı seçerek bu ürüne sahip tüm grupların listesini görüntüleyin.

  5. Gözden geçirmek istediğiniz grubu seçin (bu örnekte, Yalnızca Microsoft 365 E5 - Exchange). Lisanslar sekmesi açılır. Etkinleştirilen tüm hizmetleri görüntülemek için E5 lisansını seçin.

    Not

    Microsoft Stream hizmeti, Exchange Online hizmetine ek olarak bu gruba otomatik olarak eklendi ve etkinleştirildi:

    Grup lisansına eklenen yeni hizmetin ekran görüntüsü.

  6. Bu gruptaki yeni hizmeti devre dışı bırakmak istiyorsanız, hizmetin yanındaki Açık/Kapalı düğmesini seçin ve değişikliği onaylamak için Kaydet düğmesini seçin. Microsoft Entra Id artık değişikliği uygulamak için gruptaki tüm kullanıcıları işleyecek; gruba eklenen tüm yeni kullanıcıların Microsoft Stream hizmeti etkinleştirilmez.

    Not

    Kullanıcılar başka bir lisans ataması (üyesi oldukları başka bir grup veya doğrudan lisans ataması) aracılığıyla hizmeti etkinleştirmeye devam edebilir.

  7. Gerekirse, bu ürünün atandığı diğer gruplar için de aynı adımları uygulayın.

Devralınan kişileri ve doğrudan lisansları görmek için PowerShell'i kullanma

Kullanıcıların doğrudan atanmış veya bir gruptan devralınan bir lisansı olup olmadığını denetlemek için PowerShell betiği kullanabilirsiniz.

  1. Connect-MgGraph -Scopes "Organization.Read.All" Microsoft Graph kullanarak kimlik doğrulaması yapmak ve kuruluşunuza bağlanmak için cmdlet'ini çalıştırın.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname Microsoft Entra kuruluşunda sağlanan tüm ürün lisanslarını bulmak için kullanılabilir.

    Get-MgSubscribedSku cmdlet'inin ekran görüntüsü.

  3. Bu PowerShell betiğiyle ilgilendiğiniz lisans için ServicePlanId değerini kullanın. Liste, bu lisansa sahip olan kullanıcıları ve lisansın nasıl atandığı hakkında bilgileri doldurur.

Grup tabanlı lisans etkinliğini izlemek için Denetim günlüklerini kullanma

Aşağıdakiler dahil olmak üzere grup tabanlı lisanslamayla ilgili tüm etkinlikleri görmek için Microsoft Entra denetim günlüklerini kullanabilirsiniz:

  • gruplardaki lisansları kim değiştirdi?
  • sistem bir grup lisans değişikliğini işlemeye başladığında ve tamamlandığında
  • grup lisans ataması sonucunda kullanıcıya hangi lisans değişikliklerinin yapıldığı.

Grup tabanlı lisanslamayla ilgili denetim günlüklerine Microsoft Entra Id'nin Gruplar veya Lisanslama alanlarındaki Denetim günlüklerinden erişilebilir veya ana Denetim günlüklerindeki aşağıdaki filtre bileşimlerini kullanabilirsiniz:

  • Hizmet: Çekirdek Dizin
  • Kategori: GroupManagement veya UserManagement

Çekirdek Dizin ve GroupManagement filtre seçeneklerinin vurgulandığı Microsoft Entra denetim günlüklerinin ekran görüntüsü.

Lisansı kimin değiştirmiş olduğunu bulma

  1. Grup lisansı değişikliklerinin günlüklerini görmek için aşağıdaki Denetim günlüğü filtresi seçeneklerini kullanın:
    • Hizmet: Çekirdek Dizin
    • Kategori: GroupManagement
    • Etkinlik: Grup lisansını ayarlama
  2. Ayrıntıları görüntülemek için sonuçta elde edilen tabloda bir satır seçin.
  3. Değiştirilen Özellikler sekmesini seçin, lisans sözleşmesi için eski ve yeni değerlere bakın.

Aşağıdaki örnek, yukarıda listelenen filtre ayarlarının yanı sıra Hedef filtrenin "EMS" ile başlayan tüm gruplara ayarlandığını gösterir.

Hedef filtresi de dahil olmak üzere Microsoft Entra denetim günlüklerinin ekran görüntüsü.

Belirli bir kullanıcının lisans değişikliklerini görmek için aşağıdaki filtreleri kullanın:

  • Hizmet: Çekirdek Dizin
  • Kategori: UserManagement
  • Etkinlik: Kullanıcı lisansını değiştirme

Grup değişikliklerinin ne zaman başladığını ve işlemenin ne zaman bittiğini öğrenin

Bir grupta lisans değiştiğinde, Microsoft Entra Kimliği değişiklikleri tüm kullanıcılara uygulamaya başlar, ancak değişikliklerin işlenmesi zaman alabilir.

  1. Grupların ne zaman işlemeye başladığını görmek için aşağıdaki filtreleri kullanın:
    • Hizmet: Çekirdek Dizin
    • Kategori: GroupManagement
    • Etkinlik: Kullanıcılara grup tabanlı lisans uygulamayı başlatma
  2. Ayrıntıları görüntülemek için sonuçta elde edilen tabloda bir satır seçin.
  3. Değiştirilen Özellikler sekmesini seçin, işlenmek üzere alınan lisans değişikliklerine bakın.
    • Bir grupta birden çok değişiklik yapıyorsanız ve hangi lisansın işlendiğini bilmiyorsanız bu ayrıntıları kullanın.
    • İşlemin aktörü, tüm grup lisansı değişikliklerini yürütmek için kullanılan bir sistem hesabı olan Microsoft Entra grup Tabanlı Lisanslama'dır.

Grupların işlenmesinin ne zaman bittiğini görmek için Etkinlik filtresini Kullanıcılara grup tabanlı lisans uygulamayı bitir olarak değiştirin. Bu durumda, Değiştirilen Özellikler alanı sonuçların bir özetini içerir ve bu, işlemenin hatalara neden olup olmadığını hızlıca denetlemek için yararlıdır. Örnek çıkış:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Tüm kullanıcı değişiklikleri dahil olmak üzere bir grubun nasıl işlendiğine ilişkin günlüğün tamamını görmek için aşağıdaki filtreleri ekleyin:

  • Hedef: Grup adı
  • Başlatan (Aktör): Microsoft Entra grup tabanlı lisanslama (büyük/küçük harfe duyarlı)
  • Tarih Aralığı (isteğe bağlı): Belirli bir grubun başlatılıp işlenmesini tamamladığınız zamanlara yönelik özel aralık

Bu örnek çıktı, lisans değişikliğini işlemenin başlangıç ve bitişini gösterir.

Microsoft Entra denetim günlüğü filtrelerinin ve lisans değişikliklerinin başlangıç ve bitiş saatlerinin ekran görüntüsü.

Lisans atanmış olan bir grubu silme

Etkin lisansı atanmış bir grubu silmek mümkün değildir. Yönetici, lisansların kullanıcılardan kaldırılmasına neden olacağını fark etmeyen bir grubu silebilir. Bu nedenle, silinmeden önce tüm lisansların gruptan kaldırılmasını zorunlu kılarız.

Portalda bir grubu silmeye çalışırken aşağıdaki gibi bir hata bildirimi görebilirsiniz:

Grup silme işlemi başarısız oldu ekran görüntüsü.

Grubun Lisanslar sekmesine gidin ve atanmış lisans olup olmadığına bakın. Evet ise, bu lisansları kaldırın ve grubu silmeyi yeniden deneyin.

Grubu PowerShell veya Graph API aracılığıyla silmeye çalışırken de benzer hatalar görebilirsiniz. Şirket içinden eşitlenmiş bir grup kullanıyorsanız, Microsoft Entra Connect grubu Microsoft Entra ID'de silemiyorsa da hatalar bildirebilir. Bu gibi durumlarda, gruba atanmış lisans olup olmadığını denetlediğinden emin olun ve önce bunları kaldırın.

Sınırlamalar ve bilinen sorunlar

Grup tabanlı lisanslama kullanıyorsanız aşağıdaki sınırlamalar ve bilinen sorunlar listesini öğrenmek iyi bir fikirdir.

  • Grup tabanlı lisanslama şu anda diğer grupları (iç içe gruplar) içeren grupları desteklememektedir. İçine yerleştirilmiş başka bir grup olan bir gruba lisans uyguladığınızda yalnızca grubun birinci düzeyindeki üyelerine lisans atanır.

  • Bu özellik yalnızca güvenlik grupları ve securityEnabled=TRUE olan Microsoft 365 gruplarıyla kullanılabilir.

  • Büyük bir grup için lisanslar atandığında veya değiştirildiğinde (örneğin, 100.000 kullanıcı), performansı etkileyebilir. Özellikle, Microsoft Entra otomasyonu tarafından oluşturulan değişikliklerin hacmi, Microsoft Entra ID ile şirket içi sistemler arasındaki dizin eşitlemenizin performansını olumsuz etkileyebilir.

  • Kullanıcılarınızın üyeliklerini yönetmek için dinamik üyelik grupları kullanıyorsanız, kullanıcının lisans ataması için gerekli olan grubun bir parçası olduğunu doğrulayın. Aksi takdirde dinamik grubun üyelik kuralı işleme durumunu denetleyin.

  • Bazı yüksek yük durumlarında, gruplar için lisans değişikliklerini veya mevcut lisanslara sahip gruplarda yapılan üyelik değişikliklerini işlemek uzun zaman alabilir. Değişikliklerinizin 60 K veya daha az kullanıcıdan oluşan grup boyutunu işlemenin 24 saatten uzun sürdiğini görürseniz, araştırmamıza izin vermek için lütfen bir destek bileti açın.

Sonraki adımlar

Grup tabanlı lisanslama aracılığıyla lisans yönetimine yönelik diğer senaryolar hakkında daha fazla bilgi edinmek için bkz: