Szenarien, Einschränkungen und bekannte Probleme mit der Verwendung von Gruppen zum Verwalten der Lizenzierung in Azure Active Directory

Nutzen Sie die folgenden Informationen und Beispiele, um ein besseres Verständnis der gruppenbasierten Lizenzierung in Azure Active Directory (Azure AD), einem Teil von Microsoft Entra, zu erlangen.

Verwendungsstandort

Einige Microsoft-Dienste sind nicht an allen Standorten verfügbar. Bevor einem Benutzer eine Lizenz zugewiesen werden kann, sollte der Administrator die Eigenschaft Nutzungsstandort für den Benutzer angeben. Im Azure-Portal können Sie den Verwendungsstandort unter Benutzer>Profil>Einstellungen angeben.

Bei der Gruppenlizenzzuweisung erben alle Benutzer ohne Verwendungsstandort den Standort des Verzeichnisses. Wenn sich Ihre Benutzer an mehreren Standorten befinden, sollten Sie darauf achten, diese in Ihren Benutzerressourcen richtig anzugeben, bevor Sie Gruppen mit Lizenzen Benutzer hinzufügen.

Hinweis

Bei der Zuweisung von Gruppenlizenzen wird ein vorhandener Verwendungsstandortwert für einen Benutzer nie geändert. Es wird empfohlen, die Angabe des Nutzungsstandorts als Teil des Benutzererstellungsablaufs in Azure AD (z. B. über die AAD Connect-Konfiguration) festzulegen. Hierdurch wird sichergestellt, dass das Ergebnis der Lizenzzuweisung immer korrekt ist und die Benutzer keine Dienste für Standorte empfangen, die nicht zugelassen sind.

Verwenden der gruppenbasierten Lizenzierung mithilfe von dynamischen Gruppen

Sie können die gruppenbasierte Lizenzierung mit jeder beliebigen Sicherheitsgruppe verwenden. Dies bedeutet, dass eine Kombination mit dynamischen Azure AD-Gruppen möglich ist. Dynamische Gruppen führen Regeln für Benutzerattribute aus, um Benutzer automatisch Gruppen hinzufügen und daraus zu entfernen.

Beispielsweise können Sie eine dynamische Gruppe für einen Satz mit Produkten erstellen, die Sie Benutzern zuweisen möchten. Jede Gruppe wird anhand einer Regel aufgefüllt, indem Benutzer nach ihren Attributen hinzugefügt werden, und jeder Gruppe werden die Lizenzen zugewiesen, die Sie jeweils vergeben möchten. Sie können das Attribut lokal zuweisen und mit Azure AD synchronisieren, oder Sie können das Attribut direkt in der Cloud verwalten.

Lizenzen werden dem Benutzer kurz nach dem Hinzufügen zur Gruppe zugewiesen. Wenn das Attribut geändert wird, verlässt der Benutzer die Gruppen, und die Lizenzen werden entfernt.

Beispiel

Stellen Sie sich beispielsweise eine lokale Identitätsverwaltungslösung vor, die entscheidet, welche Benutzer Zugriff auf Microsoft-Webdienste haben sollen. Die Lösung nutzt extensionAttribute1 zum Speichern eines Zeichenfolgenwerts, der für die Lizenzen steht, über die Benutzer verfügen sollten. Azure AD Connect synchronisiert diesen Wert mit Azure AD.

Es kann sein, dass Benutzer eine Lizenz benötigen, eine andere Lizenz jedoch nicht, oder dass sie beide Lizenzen benötigen. Hier ist ein Beispiel angegeben, bei dem Sie Lizenzen vom Typ Office 365 Enterprise E5 und Enterprise Mobility + Security (EMS) an Benutzer in Gruppen verteilen:

Office 365 Enterprise E5: Basisdienste

Enterprise Mobility + Security: Lizenzierte Benutzer

Ändern Sie für dieses Beispiel einen Benutzer, und legen Sie sein extensionAttribute1 auf den Wert von EMS;E5_baseservices; fest, wenn der Benutzer beide Lizenzen erhalten soll. Sie können diese Änderung lokal vornehmen. Im Anschluss an die Synchronisierung der Änderung mit der Cloud wird der Benutzer automatisch beiden Gruppen hinzugefügt, und die Lizenzen werden zugewiesen.

Warnung

Beim Ändern der Mitgliedschaftsregel einer vorhandenen Gruppe ist Vorsicht geboten. Wenn eine Regel geändert wird, wird die Mitgliedschaft der Gruppe erneut ausgewertet, und Benutzer, für die sich keine Übereinstimmung mit der neuen Regel mehr ergibt, werden entfernt (Benutzer, die die Vorgaben der neuen Regel erfüllen, sind von diesem Prozess nicht betroffen). Für diese Benutzer werden während des Prozesses die Lizenzen entfernt, was unter Umständen zu einer Nichtverfügbarkeit des Diensts oder in einigen Fällen auch zu Datenverlust führen kann.

Wenn Sie über eine große dynamische Gruppe verfügen, von der die Lizenzzuweisung abhängig ist, sollten Sie die Überprüfung von größeren Änderungen für eine kleinere Testgruppe erwägen, bevor Sie die Änderungen auf die Hauptgruppe anwenden.

Mehrere Gruppen und mehrere Lizenzen

Ein Benutzer kann Mitglied mehrerer Gruppen mit Lizenzen sein. Folgende Punkte sollten berücksichtigt werden:

• Mehrere Lizenzen für das gleiche Produkt können sich überlappen und führen dazu, dass alle aktivierten Dienste auf den Benutzer angewendet werden. E3 – Basisdienste enthalten z. B. die grundlegenden Dienste, die zuerst für alle Benutzer bereitgestellt werden sollen, und E3 – erweiterte Dienste umfassen zusätzliche Dienste (Sway und Planner), die nur für einige Benutzer bereitgestellt werden. Sie können Benutzer auch beiden Gruppen hinzufügen. Ergebnis: Für den Benutzer sind sieben der zwölf Dienste im Produkt aktiviert, und es wird nur eine Lizenz dafür genutzt.

• Bei Auswahl der E3-Lizenz werden weitere Details angezeigt, einschließlich der Informationen dazu, welche Dienste für den Benutzer durch die Gruppenlizenzzuweisung aktiviert wurden.

Gleichzeitig bestehende direkte Lizenzen und Gruppenlizenzen

Wenn ein Benutzer eine Lizenz von einer Gruppe erbt, können Sie diese Lizenzzuweisung in den Eigenschaften des Benutzers nicht direkt entfernen oder ändern. Sie können die Lizenzzuweisung nur in der Gruppe ändern, die Änderungen werden dann an alle Benutzer propagiert. Wenn Sie einem Benutzer, der über eine Lizenz aus einer Gruppenlizenzzuweisung verfügt, zusätzliche Features zuweisen müssen, müssen Sie eine weitere Gruppe erstellen, um dem Benutzer die zusätzlichen Features zuzuweisen.

Direkt zugewiesene Lizenzen können entfernt werden und wirken sich nicht auf geerbte Lizenzen des Benutzers aus. Angenommen, ein Benutzer erbt eine Office 365 Enterprise E3-Lizenz von einer Gruppe.

Zuerst erbt der Benutzer die Lizenz nur von der Basic E3-Dienste-Gruppe, sodass sich vier Dienstpläne ergeben.

1. Wählen Sie Zuweisen aus, um dem Benutzer eine E3-Lizenz direkt zuzuweisen. Dies gilt z. B., wenn Sie alle Dienstpläne mit Ausnahme von Yammer Enterprise deaktivieren möchten.

   Das Ergebnis ist, dass der Benutzer weiterhin nur eine Lizenz des E3-Produkts verwendet. Mit der direkten Zuweisung wird der Yammer Enterprise-Dienst aber nur für diesen Benutzer aktiviert. Sie sehen, welche Dienste jeweils durch die Gruppenmitgliedschaft und die direkte Zuweisung aktiviert sind.

2. Wenn Sie die direkte Zuweisung verwenden, sind die folgenden Vorgänge zulässig:

   • Yammer Enterprise kann für einzelne Benutzer deaktiviert werden. Da der Dienst Benutzern direkt zugewiesen wird, kann er geändert werden.
   • Außerdem können zusätzliche Dienste als Teil der direkt zugewiesenen Lizenz aktiviert werden.
   • Mit der Schaltfläche Entfernen kann die direkte Lizenz vom Benutzer entfernt werden. Sie können sehen, dass der Benutzer dann nur die geerbte Gruppenlizenz hat und nur die ursprünglichen Dienste aktiviert bleiben.

Verwalten von neuen Diensten, die Produkten hinzugefügt werden

Wenn Microsoft einem Produktlizenzplan einen neuen Dienst hinzufügt, wird er standardmäßig in allen Gruppen aktiviert, denen Sie die Produktlizenz zugewiesen haben. Benutzer in Ihrer Organisation, die Benachrichtigungen zu Produktänderungen abonniert haben, erhalten vorab E-Mails mit der Benachrichtigung über die anstehenden neuen Dienste.

Als Administrator können Sie alle Gruppen überprüfen, die von der Änderung betroffen sind, und Maßnahmen ergreifen, z.B. das Deaktivieren des neuen Diensts in jeder Gruppe. Wenn Sie beispielsweise Gruppen erstellt haben, die nur auf bestimmte Dienste für die Bereitstellung abzielen, können Sie erneut auf diese Gruppen zugreifen und sicherstellen, dass alle neu hinzugefügten Dienste deaktiviert sind.

Hier ist ein Beispiel dafür angegeben, wie dieser Prozess aussehen kann:

1. Ursprünglich haben Sie das Produkt Office 365 Enterprise E5 mehreren Gruppen zugewiesen. Eine dieser Gruppen mit dem Namen O365 E5 – Exchange only wurde dafür ausgelegt, für die jeweiligen Mitglieder nur Exchange Online (Plan 2) zu aktivieren.

2. Sie haben eine Benachrichtigung von Microsoft erhalten, dass das E5-Produkt um den neuen Dienst Microsoft Stream erweitert wird. Wenn der Dienst in Ihrer Organisation verfügbar ist, können Sie Folgendes ausführen:

3. Gehen Sie zu Azure Active Directory > Lizenzen > Alle Produkte und wählen Sie Office 365 Enterprise E5, dann wählen Sie Lizenzierte Gruppen, um eine Liste aller Gruppen mit diesem Produkt anzuzeigen.

4. Klicken Sie auf die Gruppe, die Sie überprüfen möchten (hier O365 E5 – Exchange only). Die Registerkarte Lizenzen wird geöffnet. Wenn Sie auf die E5-Lizenz klicken, wird ein Blatt geöffnet, auf dem alle aktivierten Dienste aufgeführt sind.

   Hinweis

   Der Dienst Microsoft Stream wurde dieser Gruppe zusätzlich zum Dienst Exchange Online automatisch hinzugefügt und aktiviert:

   

5. Wenn Sie den neuen Dienst in dieser Gruppe deaktivieren möchten, können Sie neben dem Dienst auf den Umschalter Ein/Aus und dann auf die Schaltfläche Speichern klicken, um die Änderung zu bestätigen. Azure AD verarbeitet jetzt alle Benutzer in der Gruppe, um die Änderung anzuwenden. Für alle neuen Benutzer, die der Gruppe hinzugefügt werden, ist der Dienst Microsoft Stream nicht aktiviert.

   Hinweis

   Es kann sein, dass der Dienst für Benutzer aufgrund einer anderen Lizenzzuweisung aktiviert ist (eine andere Gruppe, in der Benutzer Mitglied sind, oder eine direkte Lizenzzuweisung).

6. Führen Sie diese Schritte bei Bedarf für andere Gruppen aus, denen dieses Produkt zugewiesen ist.

Verwenden von PowerShell, um anzuzeigen, wer über geerbte direkte Lizenzen verfügt

Sie können ein PowerShell-Skript verwenden, um zu prüfen, ob Benutzern eine Lizenz direkt zugewiesen oder ob sie von einer Gruppe geerbt wurde.

1. Führen Sie das Cmdlet connect-msolservice aus, um die Authentifizierung durchzuführen und eine Verbindung mit Ihrer Organisation herzustellen.

2. Get-MsolAccountSku kann verwendet werden, um alle bereitgestellten Produktlizenzen in der Azure AD-Organisation zu ermitteln.

   

3. Verwenden Sie den Wert AccountSkuId für die gewünschte Lizenz mit diesem PowerShell-Skript. Es wird eine Liste mit Benutzern, die über diese Lizenz verfügen, und mit den Informationen zur Art der Lizenzzuweisung angegeben.

Verwenden von Überwachungsprotokollen zum Überwachen von gruppenbasierten Lizenzierungsaktivitäten

Sie können Azure AD-Überwachungsprotokolle verwenden, um alle Aktivitäten für die gruppenbasierte Lizenzierung anzuzeigen, z. B.:

• Welche Benutzer Lizenzen für Gruppen geändert haben
• Wann das System mit dem Verarbeiten einer Gruppenlizenzänderung begonnen hat und wann der Prozess abgeschlossen wurde
• Welche Lizenzänderungen für einen Benutzer aufgrund der Gruppenlizenzzuweisung vorgenommen wurden

Hinweis

Überwachungsprotokolle sind auf den meisten Blättern im Azure Active Directory-Abschnitt des Portals verfügbar. Je nachdem, wo Sie darauf zugreifen, werden Filter ggf. vorab angewendet, um nur Aktivitäten anzuzeigen, die für den Kontext des Blatts relevant sind. Wenn Sie nicht die erwarteten Ergebnisse sehen, prüfen Sie die Filteroptionen oder greifen Sie auf die ungefilterten Prüfprotokolle unter Azure Active Directory > Aktivität > Audit-Protokolle zu.

Ermitteln, wer eine Gruppenlizenz geändert hat

1. Legen Sie den Filter Aktivität auf Set group license (Gruppenlizenz festlegen) fest, und klicken Sie auf Übernehmen.

2. Die Ergebnisse enthalten alle Fälle von Lizenzen, die für Gruppen festgelegt oder geändert werden.

   Tipp

   Sie können auch den Namen der Gruppe im Filter Ziel eingeben, um die Ergebnisse einzugrenzen.

3. Wählen Sie in der Liste ein Element aus, um die Details zu den Änderungen anzuzeigen. Unter Geänderte Eigenschaften werden sowohl alte als auch neue Werte für die Lizenzzuweisung aufgeführt.

Hier ist ein Beispiel für kürzlich vorgenommene Änderungen der Gruppenlizenzen mit den dazugehörigen Details angegeben:

Ermitteln, wann die Verarbeitung der Gruppenänderungen begonnen und geendet hat

Wenn sich für eine Gruppe eine Lizenz ändert, beginnt Azure AD damit, die Änderungen auf alle Benutzer anzuwenden.

1. Um anzuzeigen, wann die Verarbeitung für die Gruppen gestartet wurde, legen Sie den Filter Aktivität auf Start applying group based license to users (Zuweisung der gruppenbasierten Lizenz an Benutzer starten) fest. Beachten Sie, dass der Akteur für den Vorgang Microsoft Azure AD Group-Based Licensing (Gruppenbasierte Microsoft Azure AD-Lizenzierung) lautet. Dies ist ein Systemkonto, das verwendet wird, um alle Gruppenlizenzänderungen durchzuführen.

   Tipp

   Klicken Sie auf einen Eintrag der Liste, um das Feld Geänderte Eigenschaften anzuzeigen. Darin werden die Lizenzänderungen angezeigt, die für die Verarbeitung ausgewählt wurden. Dies ist nützlich, wenn Sie an einer Gruppe mehrere Änderungen vorgenommen haben und nicht sicher sind, welche verarbeitet wurden.

2. Verwenden Sie entsprechend den Filterwert Finish applying group based license to users (Gruppenbasierte Lizenzzuweisung zu Benutzern fertig stellen), um anzuzeigen, wann die Verarbeitung für die Gruppen beendet wurde.

   Tipp

   In diesem Fall enthält das Feld Geänderte Eigenschaften eine Zusammenfassung der Ergebnisse. Dies ist nützlich, um schnell zu prüfen, ob die Verarbeitung zu Fehlern geführt hat. Beispielausgabe:

   Modified Properties
   ...
   Name : Result
   Old Value : []
   New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];
   

3. Legen Sie die folgenden Filter fest, um das vollständige Protokoll zur Verarbeitung einer Gruppe mit allen Benutzeränderungen anzuzeigen:

   • Initiiert von (Akteur) : „Gruppenbasierte Microsoft Azure AD-Lizenzierung“
   • Datumsbereich (optional): Benutzerdefinierter Bereich für Verarbeitungsstart und -ende einer bestimmten Gruppe

Diese Beispielausgabe zeigt den Start der Verarbeitung, alle sich ergebenden Benutzeränderungen und das Ende der Verarbeitung.

Tipp

Wenn Sie auf die Elemente von Change user license (Benutzerlizenz ändern) klicken, werden Details für Lizenzänderungen angezeigt, die auf die einzelnen Benutzer angewendet wurden.

Löschen einer Gruppe mit einer zugewiesenen Lizenz

Es ist nicht möglich, eine Gruppe mit einer aktiven zugewiesenen Lizenz zu löschen. Ein Administrator könnte andernfalls eine Gruppe löschen und nicht bemerken, dass hierdurch Lizenzen von Benutzern entfernt werden. Aus diesem Grund ist es erforderlich, dass Lizenzen zuerst aus der Gruppe entfernt werden, bevor sie gelöscht werden kann.

Beim Versuch, eine Gruppe im Azure-Portal zu löschen, kann eine Fehlerbenachrichtigung wie die folgende angezeigt werden: .

Wechseln Sie auf die Registerkarte Lizenzen für die Gruppe, und stellen Sie fest, ob Lizenzen zugewiesen sind. Wenn dies der Fall ist, entfernen Sie diese Lizenzen, und versuchen Sie dann erneut, die Gruppe zu löschen.

Ähnliche Fehler können beim Löschen der Gruppe über PowerShell oder die Graph-API angezeigt werden. Wenn Sie eine Gruppe verwenden, die lokal synchronisiert wird, kann Azure AD Connect ebenfalls Fehler melden, wenn die Gruppe in Azure AD nicht gelöscht werden kann. In allen diesen Fällen müssen Sie überprüfen, ob der Gruppe Lizenzen zugewiesen sind und diese zuerst entfernen.

Einschränkungen und bekannte Probleme

Wenn Sie die gruppenbasierte Lizenzierung verwenden, ist es ratsam, sich mit der folgenden Liste der Einschränkungen und bekannten Probleme vertraut zu machen.

• Die gruppenbasierte Lizenzierung unterstützt derzeit keine Gruppen, die andere Gruppen enthalten (geschachtelte Gruppen). Wenn Sie eine Lizenz auf eine geschachtelte Gruppe anwenden, werden die Lizenzen nur auf unmittelbare Mitglieder der obersten Gruppenebene angewendet.

• Das Feature kann nur bei Sicherheitsgruppen und Microsoft 365-Gruppen verwendet werden, für die „securityEnabled=TRUE“ gilt.

• Das Microsoft 365 Admin Center unterstützt derzeit keine gruppenbasierte Lizenzierung. Wenn ein Benutzer eine Lizenz aus einer Gruppe erbt, wird diese Lizenz im Office-Verwaltungsportal als normale Benutzerlizenz angezeigt. Wenn Sie versuchen, diese Lizenz zu ändern oder zu entfernen, wird im Portal eine Fehlermeldung zurückgegeben. Geerbte Gruppenlizenzen können nicht direkt für einen Benutzer geändert werden.

• Wenn Lizenzen für eine große Gruppe zugewiesen oder geändert werden (z.B. 100.000 Benutzer), kann dies die Leistung beeinträchtigen. Vor allem das Volumen der Änderungen, das von der Azure AD-Automation generiert wird, kann sich negativ auf die Leistung Ihrer Verzeichnissynchronisierung zwischen Azure AD und lokalen Systemen auswirken.

• Wenn Sie dynamische Gruppen für die Verwaltung der Benutzermitgliedschaft verwenden, vergewissern Sie sich, dass der Benutzer Mitglied der Gruppe ist. Dies ist für die Lizenzzuweisung erforderlich. Ist er kein Mitglied, überprüfen Sie den Verarbeitungsstatus für die Mitgliedschaftsregel der dynamischen Gruppe.

• In bestimmten Situationen mit hoher Auslastung kann es lange dauern, Lizenzänderungen für Gruppen oder Änderungen der Mitgliedschaft für Gruppen mit vorhandenen Lizenzen zu verarbeiten. Wenn die Verarbeitung Ihrer Änderungen für Gruppen mit einer Größe von mehr als 60.000 Benutzern länger als 24 Stunden dauert, sollten Sie ein Supportticket erstellen, damit wir den Fall untersuchen können.

• Die Automatisierung der Lizenzverwaltung reagiert nicht automatisch auf alle Typen von Änderungen in der Umgebung. Beispielsweise kann es sein, dass Sie keine verfügbaren Lizenzen mehr haben und für einige Benutzer daher ein Fehlerzustand gilt. Sie können einige direkt zugewiesene Lizenzen von anderen Benutzern entfernen, um mehr verfügbare Arbeitsplätze freizugeben. Das System reagiert aber nicht automatisch auf diese Änderung und entfernt nicht den Fehlerstatus von den Benutzern.

  Als Problemumgehung für diese Art von Einschränkungen können Sie in Azure AD zum Blatt Gruppe wechseln und auf Erneut verarbeiten klicken. Mit diesem Befehl werden alle Benutzer in dieser Gruppe verarbeitet und die Fehlerzustände nach Möglichkeit behoben.

Nächste Schritte

Weitere Informationen zu anderen Szenarien für die gruppenbasierte Lizenzverwaltung finden Sie unter:

• Was ist die gruppenbasierte Lizenzierung in Azure Active Directory?
• Zuweisen von Lizenzen zu einer Gruppe in Azure Active Directory
• Bestimmen und Beheben von Lizenzproblemen für eine Gruppe in Azure Active Directory
• Migrieren einzelner lizenzierter Benutzer zur gruppenbasierten Lizenzierung in Azure Active Directory
• Sicheres Migrieren von Benutzern zwischen Produktlizenzen mithilfe von gruppenbasierter Lizenzierung in Azure Active Directory