Identificare e risolvere i problemi di assegnazione delle licenze per un gruppo in Microsoft Entra ID

  • Articolo

Le licenze basate su gruppo in Microsoft Entra ID, parte di Microsoft Entra, introduce il concetto di utenti in uno stato di errore di licenza. Questo articolo illustra i motivi per cui gli utenti potrebbero finire in questo stato.

Quando si assegnano licenze direttamente a singoli utenti, senza usare licenze basate su gruppi, l'operazione di assegnazione potrebbe non riuscire per motivi correlati alla logica di business. Potrebbe essere disponibile, ad esempio, un numero insufficiente di licenze o potrebbe verificarsi un conflitto tra due piani di servizio che non possono essere assegnati contemporaneamente. Il problema viene immediatamente segnalato all'utente.

Trovare errori di assegnazione delle licenze

Quando si usano licenze basate sui gruppi, possono verificarsi gli stessi errori, ma si verificano in background mentre il servizio Microsoft Entra assegna le licenze. Per questo motivo, gli errori non possono essere comunicati immediatamente all'utente. Vengono invece registrati sull'oggetto utente e segnalati tramite il portale amministrativo. La finalità originale di concedere in licenza all'utente non viene mai persa, ma viene registrata in uno stato di errore per l'analisi e la risoluzione future.

Per trovare utenti con stato di errore in un gruppo

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno una licenza Amministrazione istrator.

  2. Selezionare Microsoft Entra ID.

  3. Passare a Licenze di fatturazione>per aprire una pagina in cui è possibile visualizzare e gestire tutti i prodotti licenze disponibili nell'organizzazione.

  4. Aprire il gruppo alla relativa pagina di panoramica e selezionare Licenze. Se sono presenti utenti in stato di errore viene visualizzata una notifica.

    Screenshot dei messaggi di notifiche di gruppo e di errore.

  5. Selezionare la notifica per aprire un elenco di tutti gli utenti interessati. È possibile selezionare ogni utente singolarmente per visualizzare altri dettagli.

    Screenshot dell'elenco di utenti nello stato di errore delle licenze del gruppo.

  6. Per trovare tutti i gruppi che contengono almeno un errore, nel pannello Microsoft Entra ID selezionare Licenze e quindi selezionare Panoramica. Quando i gruppi richiedono attenzione, viene visualizzata una casella di informazioni.

    Screenshot delle informazioni sui gruppi in stato di errore.

  7. Selezionare la casella per visualizzare un elenco di tutti i gruppi con errori. È possibile selezionare ogni gruppo per altri dettagli.

    Screenshot dell'elenco di gruppi con errori.

Le sezioni seguenti forniscono una descrizione di ogni potenziale problema e dei modi per provare a risolverlo.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Le licenze non sono sufficienti

Problema: non sono disponibili licenze sufficienti per uno dei prodotti specificati nel gruppo. È necessario acquistare altre licenze per il prodotto o liberare licenze inutilizzate da altri utenti o gruppi.

Per visualizzare il numero di licenze disponibili, passare a Licenze di fatturazione>delle identità>Tutti i>prodotti.

Per vedere quali utenti e gruppi utilizzano licenze, selezionare un prodotto. In Utenti con licenza viene visualizzato un elenco di tutti gli utenti a cui sono state assegnate licenze direttamente o tramite uno o più gruppi. In Gruppi con licenza vengono visualizzati tutti i gruppi cui sono assegnati tali prodotti.

PowerShell: i cmdlet di PowerShell segnalano questo errore come CountViolation.

Piani di servizio in conflitto

Problema: uno dei prodotti specificati nel gruppo contiene un piano di servizio in conflitto con un altro piano di servizio già assegnato all'utente tramite un prodotto diverso. Alcuni piani di servizio sono configurati in modo che non possano essere assegnati allo stesso utente di un altro piano di servizio correlato.

Suggerimento

In precedenza, Exchange Online Plan1 e Plan2 erano univoci e non potevano essere duplicati. Ora, entrambi i piani di servizio sono stati aggiornati per consentire la duplicazione. Se si verificano conflitti con questi piani di servizio, provare a rielaborarli.

La decisione sul modo in cui risolvere i conflitti per le licenze di prodotto è sempre compito dell'amministratore. Microsoft Entra ID non risolve automaticamente i conflitti di licenza.

PowerShell: i cmdlet di PowerShell segnalano questo errore come MutuallyExclusiveViolation.

Altri prodotti dipendono dalla licenza specifica

Problema: uno dei prodotti specificati nel gruppo contiene un piano di servizio che deve essere abilitato per un altro piano di servizio, in un altro prodotto, per funzionare. Questo errore si verifica quando Microsoft Entra ID prova a rimuovere il piano di servizio sottostante. Ad esempio, questo problema può verificarsi quando si rimuove l'utente dal gruppo.

Per risolvere il problema, è necessario assicurarsi che il piano richiesto sia ancora assegnato agli utenti tramite un altro metodo o che i servizi dipendenti siano disabilitati per tali utenti. Dopo questa operazione, è possibile rimuovere correttamente la licenza del gruppo degli utenti.

PowerShell: i cmdlet di PowerShell segnalano questo errore come DependencyViolation.

La località di utilizzo non è consentita

Problema: alcuni servizi Microsoft non sono disponibili in tutte le località a causa di leggi e regolamenti locali. Prima di assegnare una licenza a un utente, è necessario specificare la proprietà Usage location per l'utente. È possibile specificare il percorso nella sezione Modifica profilo>utente>nel portale.

Quando Microsoft Entra ID prova ad assegnare una licenza di gruppo a un utente la cui località di utilizzo non è supportata, l'assegnazione ha esito negativo e viene registrato un errore in relazione all'utente.

Per risolvere questo problema, rimuovere gli utenti di località non supportate dal gruppo con licenza. In alternativa, se i valori della posizione di utilizzo corrente non rappresentano la posizione utente effettiva, è possibile modificarli in modo che le licenze vengano assegnate correttamente alla successiva assegnazione (se il nuovo percorso è supportato).

PowerShell: i cmdlet di PowerShell segnalano questo errore come ProhibitedInUsageLocationViolation.

Nota

Quando Microsoft Entra ID assegna licenze di gruppo, tutti gli utenti senza una località di utilizzo specificata ereditano la posizione della directory. Microsoft consiglia agli amministratori di impostare i valori corretti della posizione di utilizzo per gli utenti prima di usare le licenze basate sui gruppi per rispettare le leggi e le normative locali.

Indirizzi proxy duplicati

Problema: se si usa Exchange Online, alcuni utenti dell'organizzazione potrebbero non essere configurati correttamente con lo stesso valore di indirizzo proxy. Quando le licenze basate su gruppo tentano di assegnare una licenza a tale utente, l'operazione ha esito negativo e indica che l'indirizzo proxy è già in uso.

Suggerimento

Per verificare se esiste un indirizzo proxy duplicato, eseguire il seguente cmdlet di PowerShell con Exchange Online:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl DisplayName, RecipientType,Emailaddresses

Per altre informazioni su questo problema, vedere Messaggio di errore "indirizzo proxy < indirizzo > è già in uso" in Exchange Online. L'articolo include anche informazioni su come connettersi a Exchange Online usando PowerShell remoto.

Dopo aver risolto i problemi di indirizzo proxy per gli utenti interessati, forzare l'elaborazione delle licenze nel gruppo per assicurarsi che ora sia possibile applicarle.

Modifica degli attributi Microsoft Entra ID Mail e ProxyAddresses

Problema: durante l'aggiornamento dell'assegnazione delle licenze per un utente o un gruppo, è possibile notare che gli attributi Microsoft Entra ID Mail e ProxyAddresses di alcuni utenti sono stati modificati.

L'aggiornamento dell'assegnazione delle licenze per un utente comporta l'attivazione del calcolo dell'indirizzo del proxy, che può determinare la modifica degli attributi utente. Per comprendere il motivo esatto della modifica e risolvere il problema, vedere questo articolo su come l'attributo proxyAddresses viene popolato in Microsoft Entra ID.

LicenseAssignmentAttributeConcurrencyException nei log di controllo

Problema: nei log di controllo viene registrata l'eccezione LicenseAssignmentAttributeConcurrencyException relativa all'assegnazione di licenze a un utente. Quando la funzionalità di gestione delle licenze basate sui gruppi tenta di elaborare l'assegnazione simultanea di più istanze di una stessa licenza a un utente, viene registrata questa eccezione. Ciò si verifica in genere quando un utente è membro di più di un gruppo con la stessa licenza assegnata. Microsoft Entra ID ritenta l'elaborazione della licenza utente fino a quando il problema non viene risolto. Non è necessaria alcuna azione da parte del cliente per risolvere il problema.

Assegnazione di più licenze del prodotto a un gruppo

È possibile assegnare più licenze di prodotto a un gruppo. È possibile, ad esempio, assegnare Office 365 Enterprise E3 ed Enterprise Mobility + Security a un gruppo per abilitare facilmente tutti i servizi inclusi per gli utenti.

Problema: Microsoft Entra ID tenta di assegnare tutte le licenze specificate nel gruppo a ogni utente. Tuttavia, se Microsoft Entra ID rileva problemi come licenze insufficienti o conflitti con altri servizi abilitati, non assegnerà altre licenze nel gruppo. È possibile verificare quali utenti non sono stati assegnati e quali prodotti sono stati interessati da questo problema.

È importante notare che quando si assegnano licenze a un gruppo, se non sono disponibili licenze sufficienti o si verifica un problema come i piani di servizio che non possono essere assegnati contemporaneamente, l'assegnazione al gruppo potrebbe non essere completata. Un esempio è se non sono presenti licenze sufficienti per tutti o se sono presenti conflitti con altri servizi abilitati per l'utente.

Un potenziale problema consiste nel creare gruppi dinamici. È possibile creare gruppi dinamici per assegnare licenze, ad esempio Exchange Online, e quindi usare un secondo gruppo dinamico con le stesse regole di appartenenza per applicare le licenze dei prerequisiti. È quindi possibile assegnare tali licenze aggiuntive dopo che il gruppo iniziale ha applicato la licenza di Exchange Online agli utenti.

Se si verificano errori di licenza, vengono registrati nell'oggetto utente e segnalati tramite il portale di Azure per la risoluzione. Per altre informazioni, vedere Esempi di licenze basate sui gruppi di PowerShell per Microsoft Graph.

Effetti dell'eliminazione di un gruppo con licenza

Problema: è necessario rimuovere tutte le licenze assegnate a un gruppo prima di poter eliminare il gruppo. La rimozione delle licenze da tutti gli utenti del gruppo, tuttavia, può richiedere tempo. Quando si rimuovono le assegnazioni di licenza da un gruppo, possono verificarsi errori se a un utente è assegnata una licenza dipendente o se è presente un conflitto di indirizzi proxy che impedisce la rimozione delle licenze. Se un utente ha una licenza che dipende da un'altra licenza rimossa a causa dell'eliminazione del gruppo, l'assegnazione della licenza all'utente viene convertita da ereditata a diretta.

Si consideri ad esempio un gruppo cui è assegnato Office 365 E3/E5 con un piano di servizio Skype for Business abilitato. Si supponga anche che alcuni membri del gruppo abbiano licenze di audioconferenza assegnate direttamente. Quando il gruppo viene eliminato, le licenze basate sui gruppi provano a rimuovere Office 365 E3/E5 da tutti gli utenti. Poiché le licenze di audioconferenza dipendono da Skype for Business, per gli utenti cui è assegnata una licenza di audioconferenza, le funzioni di licenza basata sui gruppi convertono le licenze Office 365 E3/E5 in un'assegnazione diretta di licenze.

Gestire le licenze per i prodotti con prerequisiti

Alcuni prodotti Microsoft Online di cui l'utente può essere proprietario sono i componenti aggiuntivi. Per assegnare una licenza ai componenti aggiuntivi, è necessario abilitare un piano di servizio dei prerequisiti per un utente o un gruppo. Con le licenze basate su gruppo, il sistema prevede che i piani di servizio dei prerequisiti e dei componenti aggiuntivi si trovino nello stesso gruppo. Questa operazione viene eseguita per garantire che tutti gli utenti aggiunti al gruppo possano ricevere il prodotto completamente funzionante. Si consideri l'esempio seguente:

Microsoft Workplace Analytics è un componente aggiuntivo. Contiene un singolo piano di servizio con lo stesso nome. È possibile assegnare questo piano di servizio a un utente o a un gruppo solo quando viene assegnato uno dei prerequisiti seguenti:

  • Exchange Online (piano 1)
  • Exchange Online (piano 2)

Problema: se si tenta di assegnare questo prodotto autonomamente a un gruppo, il portale restituisce un messaggio di notifica. Se si selezionano i dettagli dell'elemento, viene visualizzato il messaggio di errore seguente:

"L'operazione relativa alla licenza non è riuscita. Assicurarsi che il gruppo abbia i servizi necessari prima di aggiungere o rimuovere un servizio dipendente. Il servizio Microsoft Workplace Analytics richiede che sia anche abilitato il servizio Exchange Online (piano 2)."

Per assegnare questa licenza del componente aggiuntivo a un gruppo, è necessario assicurarsi che il gruppo contenga anche il piano di servizio prerequisito. Ad esempio, Microsoft Entra ID potrebbe aggiornare un gruppo esistente che contiene già il prodotto Office 365 E3 completo e quindi aggiungere il prodotto aggiuntivo.

È anche possibile creare un gruppo autonomo contenente solo i prodotti minimi necessari per il funzionamento del componente aggiuntivo. Può essere usato per concedere licenze solo agli utenti selezionati per il prodotto aggiuntivo. In base all'esempio precedente, si assegnerebbero i prodotti seguenti allo stesso gruppo:

  • Office 365 Enterprise E3 con il solo piano di servizio Exchange Online (piano 2) abilitato
  • Microsoft Workplace Analytics

D'ora in poi, tutti gli utenti aggiunti a questo gruppo utilizzano una licenza del prodotto E3 e una licenza del prodotto Workplace Analytics. Contemporaneamente, tali utenti possono essere membri di un altro gruppo che fornisce loro il prodotto E3 completo e utilizzano ancora una sola licenza per tale prodotto.

Suggerimento

È possibile creare più gruppi per ogni piano di servizio dei prerequisiti. Se ad esempio si utilizzano sia Office 365 Enterprise E1 che Office 365 Enterprise E3 per gli utenti, è possibile creare due gruppi per la licenza di Microsoft Workplace Analytics, ovvero uno che utilizza E1 come prerequisito e l'altro che utilizza E3. In questo modo è possibile distribuire il componente aggiuntivo agli utenti E1 ed E3 senza utilizzare altre licenze.

Forzare l'elaborazione delle licenze di gruppo per risolvere gli errori

Problema: a seconda dei passaggi eseguiti per risolvere gli errori, potrebbe essere necessario attivare manualmente l'elaborazione di un gruppo per aggiornare lo stato utente.

Se ad esempio si liberano alcune licenze rimuovendo le assegnazioni di licenze dirette dagli utenti, è necessario attivare l'elaborazione dei gruppi che in precedenza non erano in grado di assegnare completamente la licenza a tutti i membri utente. Per rielaborare un gruppo, passare al riquadro del gruppo, aprire Licenze, quindi selezionare il pulsante Rielabora sulla barra degli strumenti.

Forzare l'elaborazione delle licenze utente per risolvere gli errori

Problema: a seconda dei passaggi eseguiti per risolvere gli errori, potrebbe essere necessario attivare manualmente l'elaborazione di un utente per aggiornare lo stato degli utenti.

Dopo aver risolto il problema dell'indirizzo proxy duplicato per un utente interessato, è necessario ad esempio attivare l'elaborazione dell'utente. Per rielaborare un utente, passare al riquadro dell'utente, aprire Licenze, quindi selezionare il pulsante Rielabora sulla barra degli strumenti.

Passaggi successivi

Per informazioni su altri scenari per la gestione delle licenze tramite i gruppi, vedere: