Szenarien, Einschränkungen und bekannte Probleme bei der Verwendung von Gruppen zum Verwalten der Lizenzierung in Microsoft Entra ID

  • Artikel

Nutzen Sie die folgenden Informationen und Beispiele, um ein besseres Verständnis der gruppenbasierten Lizenzierung in Microsoft Entra ID, einem Teil von Microsoft Entra, zu erlangen.

Verwendungsstandort

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Einige Microsoft-Dienste sind nicht an allen Standorten verfügbar. Bei der Gruppenlizenzzuweisung erben alle Benutzer ohne Verwendungsstandort den Standort des Verzeichnisses. Wenn sich Ihre Benutzer an mehreren Standorten befinden, sollten Sie darauf achten, diese in Ihren Benutzerressourcen richtig anzugeben, bevor Sie Gruppen mit Lizenzen Benutzer hinzufügen. Bevor einem Benutzer eine Lizenz zugewiesen werden kann, sollte der Administrator die Eigenschaft Nutzungsstandort für den Benutzer angeben.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Gruppenadministrator an.

  2. Wählen Sie Microsoft Entra ID aus.

  3. Wechseln Sie zu Benutzer>Alle Benutzer, und wählen Sie eine/n Benutzer*in aus.

    Screenshot of the All users pane.

  4. Wählen Sie Eigenschaften bearbeiten aus.

  5. Wählen Sie die Registerkarte Einstellungen aus, und geben Sie einen Standort für den Benutzer ein.

  6. Klicken Sie auf die Schaltfläche Speichern.

Hinweis

Bei der Zuweisung von Gruppenlizenzen wird ein vorhandener Verwendungsstandortwert für einen Benutzer nie geändert. Es wird empfohlen, im Rahmen der Benutzererstellung in Microsoft Entra ID (z. B. über die Microsoft Entra Connect-Konfiguration) grundsätzlich den Verwendungsort festzulegen. Auf diese Weise wird sichergestellt, dass die Lizenzzuweisungen immer ordnungsgemäß erfolgen und den Benutzern keine Dienste an unzulässigen Standorten zugewiesen werden.

Verwenden der gruppenbasierten Lizenzierung mithilfe von dynamischen Gruppen

Sie können die gruppenbasierte Lizenzierung mit einer beliebigen Sicherheitsgruppe verwenden, einschließlich dynamischer Gruppen. Dynamische Gruppen wenden anhand von Benutzerressourcenattributen Regeln an, um automatisch Mitglieder hinzuzufügen und zu entfernen. Zu den Attributen können Abteilung, Position, Arbeitsort oder andere benutzerdefinierte Attribute gehören. Jeder Gruppe werden die Lizenzen zugewiesen, die Sie für die Mitglieder bereitstellen möchten. Wenn sich ein Attribut ändert, wird das Mitglied aus der Gruppe ausgetragen, und die Lizenzen werden entfernt.

Sie können das Attribut lokal zuweisen und mit Microsoft Entra ID synchronisieren, oder Sie können das Attribut direkt in der Cloud verwalten.

Warnung

Beim Ändern der Mitgliedschaftsregel einer vorhandenen Gruppe ist Vorsicht geboten. Wenn eine Regel geändert wird, wird die Mitgliedschaft der Gruppe erneut ausgewertet, und Benutzer, für die sich keine Übereinstimmung mit der neuen Regel mehr ergibt, werden entfernt (Benutzer, die die Vorgaben der neuen Regel erfüllen, sind von diesem Prozess nicht betroffen). Für diese Benutzer werden während des Prozesses die Lizenzen entfernt, was unter Umständen zu einer Nichtverfügbarkeit des Diensts oder in einigen Fällen auch zu Datenverlust führen kann.

Wenn Sie über eine große dynamische Gruppe verfügen, von der die Lizenzzuweisung abhängig ist, sollten Sie die Überprüfung von größeren Änderungen für eine kleinere Testgruppe erwägen, bevor Sie die Änderungen auf die Hauptgruppe anwenden.

Mehrere Gruppen und mehrere Lizenzen

Ein Benutzer kann Mitglied mehrerer Gruppen mit Lizenzen sein. Folgende Punkte sollten berücksichtigt werden:

  • Mehrere Lizenzen für das gleiche Produkt können sich überlappen und führen dazu, dass alle aktivierten Dienste auf den Benutzer angewendet werden. Ein Beispiel: M365-P1 enthält grundlegende Dienste, die für alle Benutzer bereitgestellt werden, und M365-P2 enthält P2-Dienste, die nur für einige Benutzer bereitgestellt werden. Sie können einen Benutzer zu einer oder beiden Gruppen hinzufügen und nur eine Lizenz für das Produkt verwenden.

  • Wählen Sie eine Lizenz aus, um weitere Details anzuzeigen, beispielsweise Informationen darüber, welche Dienste für den Benutzer durch die Zuweisung einer Gruppenlizenz aktiviert werden.

Gleichzeitig bestehende direkte Lizenzen und Gruppenlizenzen

Wenn ein Benutzer eine Lizenz von einer Gruppe erbt, können Sie diese Lizenz in den Benutzereigenschaften nicht direkt entfernen oder ändern. Sie können die Lizenzzuweisung nur in der Gruppe ändern, und die Änderungen werden dann an alle Gruppenmitglieder verteilt. Wenn Sie einem Benutzer, der über eine Lizenz aus einer Gruppenlizenzzuweisung verfügt, weitere Features zuweisen möchten, müssen Sie eine weitere Gruppe erstellen, um dem Benutzer die zusätzlichen Features zuzuweisen.

Berücksichtigen Sie bei Verwendung der gruppenbasierten Lizenzierung die folgenden Szenarien:

  • Gruppenmitglieder erben Lizenzen, die der Gruppe zugewiesen sind.
  • Lizenzoptionen für gruppenbasierte Lizenzen müssen auf Gruppenebene geändert werden.
  • Wenn einem Benutzer verschiedene Lizenzoptionen zugewiesen werden müssen, erstellen Sie eine neue Gruppe, und weisen Sie der Gruppe eine Lizenz zu. Fügen Sie dann den Benutzer zu dieser Gruppe hinzu.
  • Benutzer verwenden weiterhin nur eine Lizenz für ein Produkt, wenn in den verschiedenen gruppenbasierten Lizenzen unterschiedliche Lizenzoptionen für dieses Produkt verwendet werden.

Wenn Sie die direkte Zuweisung verwenden, sind die folgenden Vorgänge zulässig:

  • Lizenzen, die nicht bereits über die gruppenbasierte Lizenzierung zugewiesen wurden, können für einen einzelnen Benutzer geändert werden.
  • Im Rahmen einer direkt zugewiesenen Lizenz können weitere Dienste aktiviert werden.
  • Direkt zugewiesene Lizenzen können entfernt werden und haben keinen Einfluss auf die geerbten Lizenzen eines Benutzers.

Verwalten von neuen Diensten, die Produkten hinzugefügt werden

Wenn Microsoft einem Produktlizenzplan einen neuen Dienst hinzufügt, wird dieser standardmäßig in allen Gruppen aktiviert, denen Sie die Produktlizenz zugewiesen haben. Benutzer in Ihrer Organisation, die Benachrichtigungen zu Produktänderungen abonniert haben, erhalten vorab E-Mails mit der Benachrichtigung über die anstehenden neuen Dienste.

Als Administrator können Sie alle Gruppen überprüfen, die von der Änderung betroffen sind, und Maßnahmen ergreifen, z.B. das Deaktivieren des neuen Diensts in jeder Gruppe. Wenn Sie beispielsweise Gruppen erstellt haben, die nur auf bestimmte Dienste für die Bereitstellung abzielen, können Sie erneut auf diese Gruppen zugreifen und sicherstellen, dass alle neu hinzugefügten Dienste deaktiviert sind.

Im Folgenden sehen Sie ein Beispiel dafür, wie dieser Prozess aussehen kann:

  1. Ursprünglich haben Sie das Produkt Microsoft 365 E5 mehreren Gruppen zugewiesen. Eine dieser Gruppen mit der Bezeichnung Microsoft 365 E5 – Exchange only wurde so konzipiert, dass ihre Mitglieder nur den Dienst Exchange Online (Plan 2) nutzen können.

  2. Sie haben eine Benachrichtigung von Microsoft erhalten, dass das E5-Produkt um den neuen Dienst Microsoft Stream erweitert wird. Wenn der Dienst in Ihrem Unternehmen verfügbar ist, können Sie die folgenden Schritte ausführen:

    1. Melden Sie sich beim Microsoft Entra Admin Center an.

  4. Wählen Sie Microsoft Entra ID aus.

  5. Navigieren Sie zu Abrechnung>Lizenzen>Alle Produkte, und wählen Sie Microsoft 365 Enterprise E5 und dann Lizenzierte Gruppen aus, um eine Liste aller Gruppen mit diesem Produkt anzuzeigen.

  6. Klicken Sie auf die Gruppe, die Sie überprüfen möchten (in diesem Fall Microsoft 365 E5 – Exchange only). Die Registerkarte Lizenzen wird geöffnet. Wählen Sie die E5-Lizenz aus, um alle aktivierten Dienste anzuzeigen.

    Hinweis

    Der Dienst Microsoft Stream wurde dieser Gruppe zusätzlich zum Dienst Exchange Online automatisch hinzugefügt und aktiviert:

    Screenshot of new service added to a group license.

  7. Wenn Sie den neuen Dienst in dieser Gruppe deaktivieren möchten, können Sie neben dem Dienst auf die Umschaltfläche „Ein/Aus“ und dann auf die Schaltfläche Speichern klicken, um die Änderung zu bestätigen. Microsoft Entra ID verarbeitet jetzt alle Benutzer in der Gruppe, um die Änderung anzuwenden. Für alle neuen Benutzer, die der Gruppe hinzugefügt werden, wird der Dienst Microsoft Stream nicht aktiviert.

    Hinweis

    Es kann sein, dass der Dienst für Benutzer aufgrund einer anderen Lizenzzuweisung aktiviert ist (eine andere Gruppe, in der Benutzer Mitglied sind, oder eine direkte Lizenzzuweisung).

  8. Führen Sie diese Schritte bei Bedarf für andere Gruppen aus, denen dieses Produkt zugewiesen ist.

Verwenden von PowerShell, um anzuzeigen, wer über geerbte direkte Lizenzen verfügt

Sie können ein PowerShell-Skript verwenden, um zu prüfen, ob Benutzern eine Lizenz direkt zugewiesen oder ob sie von einer Gruppe geerbt wurde.

  1. Führen Sie das Cmdlet Connect-MgGraph -Scopes "Organization.Read.All" aus, um die Authentifizierung durchzuführen und mithilfe von Microsoft Graph eine Verbindung zu Ihrer Organisation herzustellen.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname kann verwendet werden, um alle bereitgestellten Produktlizenzen in der Microsoft Entra-Organisation zu ermitteln.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Verwenden Sie den Wert ServicePlanId für die gewünschte Lizenz mit diesem PowerShell-Skript. Es wird eine Liste der Benutzer angezeigt, die über diese Lizenz verfügen, sowie Informationen darüber, wie die Lizenz zugewiesen wurde.

Verwenden von Überwachungsprotokollen zum Überwachen von gruppenbasierten Lizenzierungsaktivitäten

Sie können Microsoft Entra-Überwachungsprotokolle verwenden, um alle Aktivitäten für die gruppenbasierte Lizenzierung anzuzeigen, z. B.:

  • Welche Benutzer Lizenzen für Gruppen geändert haben
  • Wann das System mit dem Verarbeiten einer Gruppenlizenzänderung begonnen hat und wann der Prozess abgeschlossen wurde
  • Welche Lizenzänderungen für einen Benutzer aufgrund der Gruppenlizenzzuweisung vorgenommen wurden

Sie können über die Überwachungsprotokolle in den Bereichen „Gruppen“ oder „Lizenzierung“ von Microsoft Entra ID auf die Überwachungsprotokolle für die gruppenbasierte Lizenzierung zugreifen, oder Sie verwenden die folgenden Filterkombinationen in den Hauptüberwachungsprotokollen:

  • Dienst: Core Directory
  • Kategorie: „GroupManagement“ oder „UserManagement“

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Ermitteln des Urhebers für eine Lizenzänderung

  1. Verwenden Sie die folgenden Filteroptionen für Überwachungsprotokolle, um die Protokolle für Gruppenlizenzänderungen anzuzeigen:
    • Dienst: Core Directory
    • Kategorie: GroupManagement
    • Aktivität: Gruppenlizenz festlegen
  2. Wählen Sie eine Zeile in der resultierenden Tabelle aus, um die Details anzuzeigen.
  3. Wählen Sie die Registerkarte Geänderte Eigenschaften, um die alten und neuen Werte für die Lizenzvereinbarung anzuzeigen.

Das folgende Beispiel zeigt die oben genannten Filtereinstellungen sowie den Filter Ziel, der auf alle Gruppen festgelegt ist, die mit „EMS“ beginnen.

Screenshot of the Microsoft Entra audit logs including a Target filter.

Verwenden Sie die folgenden Filter, um Lizenzänderungen für einen bestimmten Benutzer anzuzeigen:

  • Dienst: Core Directory
  • Kategorie: UserManagement
  • Aktivität: Benutzerlizenz ändern

Ermitteln, wann die Verarbeitung der Gruppenänderungen begonnen und geendet hat

Wenn sich eine Lizenz für eine Gruppe ändert, beginnt Microsoft Entra ID damit, die Änderungen auf alle Benutzer anzuwenden, aber die Verarbeitung der Änderungen kann einige Zeit in Anspruch nehmen.

  1. Verwenden Sie die folgenden Filter, um zu sehen, wann die Verarbeitung von Gruppen begonnen hat:
    • Dienst: Core Directory
    • Kategorie: GroupManagement
    • Aktivität: Start der gruppenbasierten Lizenzanwendung auf Benutzer
  2. Wählen Sie eine Zeile in der resultierenden Tabelle aus, um die Details anzuzeigen.
  3. Wählen Sie die Registerkarte Geänderte Eigenschaften aus, um die zur Verarbeitung ausgewählten Lizenzänderungen anzuzeigen.
    • Verwenden Sie diese Details, wenn Sie mehrere Änderungen an einer Gruppe vornehmen und sich nicht sicher sind, welche Lizenz verarbeitet wurde.
    • Der Akteur für den Vorgang lautet Gruppenbasierte Microsoft Entra-Lizenzierung – ein Systemkonto, mit dem alle Änderungen an Gruppenlizenzen durchgeführt werden.

Um anzuzeigen, wann die Verarbeitung der Gruppen abgeschlossen wurde, ändern Sie den Filter Aktivität in Beendigung der gruppenbasierten Lizenzanwendung auf Benutzer. In diesem Fall enthält das Feld Geänderte Eigenschaften eine Zusammenfassung der Ergebnisse, mit der Sie schnell überprüfen können, ob bei der Verarbeitung Fehler aufgetreten sind. Beispielausgabe:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Fügen Sie die folgenden Filter hinzu, um das vollständige Protokoll zur Verarbeitung einer Gruppe einschließlich aller Benutzeränderungen anzuzeigen:

  • Ziel: Gruppenname
  • Initiiert von (Akteur): Gruppenbasierte Microsoft Entra-Lizenzierung
  • Datumsbereich (optional): Benutzerdefinierter Bereich für Start und Ende der Verarbeitung einer bestimmten Gruppe

Diese Beispielausgabe zeigt den Start und das Ende der Verarbeitung einer Lizenzänderung.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Löschen einer Gruppe mit einer zugewiesenen Lizenz

Es ist nicht möglich, eine Gruppe zu löschen, der eine aktive Lizenz zugewiesen ist. Ein Administrator könnte eine Gruppe löschen, ohne sich bewusst zu sein, dass dadurch Benutzerlizenzen entfernt werden. Aus diesem Grund müssen zunächst alle Lizenzen aus einer Gruppe entfernt werden, bevor diese gelöscht werden kann.

Beim Versuch, eine Gruppe im Portal zu löschen, kann eine Fehlerbenachrichtigung wie die folgende angezeigt werden:

Screenshot group deletion failed.

Wechseln Sie auf die Registerkarte Lizenzen für die Gruppe, und stellen Sie fest, ob Lizenzen zugewiesen sind. Wenn dies der Fall ist, entfernen Sie diese Lizenzen, und versuchen Sie dann erneut, die Gruppe zu löschen.

Ähnliche Fehler können beim Löschen der Gruppe über PowerShell oder die Graph-API angezeigt werden. Wenn Sie eine Gruppe verwenden, die lokal synchronisiert wird, kann Microsoft Entra Connect ebenfalls Fehler melden, wenn die Gruppe in Microsoft Entra ID nicht gelöscht werden kann. In allen diesen Fällen müssen Sie überprüfen, ob der Gruppe Lizenzen zugewiesen sind und diese zuerst entfernen.

Einschränkungen und bekannte Probleme

Wenn Sie die gruppenbasierte Lizenzierung verwenden, ist es ratsam, sich mit der folgenden Liste der Einschränkungen und bekannten Probleme vertraut zu machen.

  • Die gruppenbasierte Lizenzierung unterstützt derzeit keine Gruppen, die andere Gruppen enthalten (geschachtelte Gruppen). Wenn Sie eine Lizenz auf eine geschachtelte Gruppe anwenden, werden die Lizenzen nur auf unmittelbare Mitglieder der obersten Gruppenebene angewendet.

  • Das Feature kann nur bei Sicherheitsgruppen und Microsoft 365-Gruppen verwendet werden, für die „securityEnabled=TRUE“ gilt.

  • Das Microsoft 365 Admin Center unterstützt derzeit keine gruppenbasierte Lizenzierung. Wenn ein Benutzer eine Lizenz aus einer Gruppe erbt, wird diese Lizenz im Office-Verwaltungsportal als normale Benutzerlizenz angezeigt. Wenn Sie versuchen, diese Lizenz zu ändern oder zu entfernen, wird im Portal eine Fehlermeldung zurückgegeben. Geerbte Gruppenlizenzen können nicht direkt für einen Benutzer geändert werden.

  • Wenn Lizenzen für eine große Gruppe zugewiesen oder geändert werden (z. B. 100.000 Benutzer), kann sich dies auf die Leistung auswirken. Insbesondere die Menge an Änderungen, die durch die Microsoft Entra-Automatisierung erzeugt werden, kann die Leistung der Verzeichnissynchronisierung zwischen Microsoft Entra ID und lokalen Systemen beeinträchtigen.

  • Wenn Sie dynamische Gruppen für die Verwaltung von Benutzermitgliedschaften verwenden, vergewissern Sie sich, dass der Benutzer Mitglied der Gruppe ist. Dies ist für die Lizenzzuweisung erforderlich. Ist er kein Mitglied, überprüfen Sie den Verarbeitungsstatus für die Mitgliedschaftsregel der dynamischen Gruppe.

  • In bestimmten Situationen mit hoher Auslastung kann es lange dauern, Lizenzänderungen für Gruppen oder Änderungen der Mitgliedschaft für Gruppen mit vorhandenen Lizenzen zu verarbeiten. Wenn die Verarbeitung Ihrer Änderungen für eine Gruppe von bis zu 60.0000 Benutzern mehr als 24 Stunden dauert, öffnen Sie ein Support-Ticket, damit wir den Fall untersuchen können.

  • Die Automatisierung der Lizenzverwaltung reagiert nicht automatisch auf alle Arten von Änderungen in der Umgebung. Beispielsweise kann es sein, dass Sie keine verfügbaren Lizenzen mehr haben und für einige Benutzer daher ein Fehlerzustand gilt. Sie können einige direkt zugewiesene Lizenzen von anderen Benutzern entfernen, um mehr verfügbare Arbeitsplätze freizugeben. Das System reagiert jedoch nicht automatisch auf diese Änderung und behebt Benutzer mit diesem Fehlerstatus.

    Um diese Art von Einschränkungen zu umgehen, können Sie zu Microsoft Entra ID>Gruppen> navigieren und eine Gruppe > auswählen. Anschließend klicken Sie auf Lizenzen>Erneut verarbeiten. Mit diesem Befehl werden alle Benutzer in dieser Gruppe verarbeitet und die Fehlerzustände nach Möglichkeit behoben.

Nächste Schritte

Weitere Informationen zu anderen Szenarien für die gruppenbasierte Lizenzverwaltung finden Sie unter: