Azure Active Directory のグループのライセンスに関する問題を特定して解決する

Azure Active Directory (Azure AD) のグループベースのライセンスでは、ユーザーのライセンス付与に関してエラー状態の概念が導入されています。 この記事では、ユーザーがこの状態になることがある理由を説明します。

グループベースのライセンスを使用せずにライセンスを個別のユーザーに直接割り当てると、割り当て処理が失敗することがあります。 たとえば、ユーザー システムに対して PowerShell コマンドレット Set-MsolUserLicense を実行した場合、このコマンドレットは、ビジネス ロジックに関連するたくさんの理由によってエラーになる可能性があります。 たとえば、ライセンス数の不足や、同時に割り当てることができない 2 つのサービス プランの競合などが発生することがあります。 問題は即座に報告されます。

グループベースのライセンスを使用している場合も同じエラーが発生する可能性がありますが、この場合のエラーは、Azure AD サービスがライセンスを割り当てているときにバック グラウンドで発生します。 このため、エラーを即座に伝達することはできません。 その代わりに、エラーはユーザー オブジェクトに記録され、管理ポータル経由で報告されます。 ユーザーへのライセンス付与という元の操作が無効になることはありませんが、後で調査して解決できるようにエラー状態にあることが記録されます。

ライセンスの割り当てエラーを見つける

グループ内でエラー状態にあるユーザーを見つけるには

  1. グループの概要ページを開き、 [ライセンス] を選択します。 エラー状態にあるユーザーが存在する場合は、通知が表示されます。

    グループおよびエラーの通知メッセージ

  2. その通知を選択すると、影響を受けているすべてのユーザーの一覧が開きます。 個別に各ユーザーを選択すると、詳細を表示できます。

    グループ ライセンス エラー状態のユーザーの一覧

  3. 少なくとも 1 つのエラーを含むすべてのグループを見つけるには、 [Azure Active Directory] ブレードで、 [ライセンス][概要] の順に選択します。 注意が必要なグループの場合は、情報ボックスが表示されます。

    概要、およびエラー状態にあるグループに関する情報

  4. エラーのあるグループの一覧を表示するには、ボックスをオンにします。 各グループを選択すると、詳細を表示できます。

    概要、およびエラーのあるグループの一覧

次のセクションでは、考えられる問題とその解決方法を個別に説明します。

ライセンス数の不足

問題:グループに指定されたいずれかの製品について、利用できるライセンスの数が不足しています。 該当する製品のライセンスを追加で購入するか、他のユーザーかグループから未使用のライセンスを解放する必要があります。

利用できるライセンスの数を確認するには、 [Azure Active Directory] > [ライセンス] > [すべての製品] を選択します。

ライセンスを使用中のユーザーとグループを確認するには、製品を選択します。 [ライセンスされているユーザー] には、ライセンスが直接または 1 つ以上のグループ経由で割り当てられているユーザーの一覧が表示されます。 [ライセンスされているグループ] には、その製品が割り当てられているグループがすべて表示されます。

PowerShell: PowerShell コマンドレットは、このエラーを CountViolation として報告します。

サービス プランの競合

問題:グループに指定されたいずれかの製品に含まれているサービス プランが、他の製品でユーザーに既に割り当てられている別のサービス プランと競合しています。 一部のサービス プランは、関連する他のサービス プランと同じユーザーに割り当てられないように構成されています。

各データ メンバー フィールドが JSON オブジェクトにマップされ、フィールド名がオブジェクトの "key" 部分にマップされ、"value" 部分がオブジェクトの値の部分に再帰的にマップされます。 すべてのプランを有効にした Office 365 Enterprise E1 のライセンスがユーザーに直接割り当てられているとします。 このユーザーが、Office 365 Enterprise E3 製品を割り当てられたグループに追加された場合、 この E3 製品には E1 に含まれているプランと重複できないサービス プランが含まれているため、グループのライセンス割り当ては、"競合するサービス プラン" エラーで失敗します。 この例では、競合しているサービス プランは次のとおりです。

  • Exchange Online (プラン 2) と Exchange Online (プラン 1) の競合

この競合を解決するには、プランの内 1 つを無効にする必要があります。 ユーザーに直接割り当てられている E1 ライセンスを無効にできます。 または、グループのライセンス割り当てを変更して、E3 ライセンスのプランを無効にする必要があります。 E3 ライセンスのコンテキストで冗長である場合は、E1 ライセンスをユーザーから削除することもできます。

製品ライセンスの競合を解決する方法の決定は、常に管理者に委ねられます。 ライセンスの競合が Azure AD によって自動的に解決されることはありません。

PowerShell: PowerShell コマンドレットは、このエラーを MutuallyExclusiveViolation として報告します。

特定のライセンスに依存する他の製品

問題:グループに指定されたいずれかの製品に、他の製品の他のサービス プランが機能するうえで有効である必要があるサービス プランが含まれています。 このエラーは、Azure AD がサービス プランを削除しようとしたときに発生します。 たとえば、ユーザーをグループから削除したときに、発生する可能性があります。

この問題を解決するには、他の方法を使用して目的のプランがユーザーに引き続き割り当てられていること、または依存するサービスがこれらのユーザーに対して無効になっていることを確認する必要があります。 その後、ユーザーからグループ ライセンスを問題なく削除できます。

PowerShell: PowerShell コマンドレットは、このエラーを DependencyViolation として報告します。

利用場所が許可されていない

問題:一部の Microsoft サービスは、地域の法律と規制が理由ですべての場所で利用することはできません。 ライセンスをユーザーに割り当てる前に、ユーザーの [利用場所] プロパティを指定する必要があります。 場所は、Azure portal の [ユーザー] > [プロファイル] > [編集] セクションで指定できます。

利用場所がサポートされていないユーザーへのグループ ライセンスの割り当てが Azure AD により試行されると、その操作は失敗し、エラーがユーザーに記録されます。

この問題を解決するには、利用場所がサポートされていないユーザーをライセンス グループから削除します。 または、現在の利用場所の値が実際のユーザーの場所を表していない場合は、ライセンスが次回正しく割り当てられるように値を変更できます (新しい場所がサポートされている場合)。

PowerShell: PowerShell コマンドレットは、このエラーを ProhibitedInUsageLocationViolation として報告します。

注意

Azure AD によってグループ ライセンスが割り当てられるとき、指定された利用場所がないユーザーは、ディレクトリの場所を継承します。 管理者は、地域の法律と規制を遵守するために、グループベースのライセンスを使用する前に、ユーザーに対して正しい利用場所の値を設定することをお勧めします。

プロキシ アドレスの重複

Exchange Online を使用する場合は、組織内の一部のユーザーが、同じプロキシ アドレスの値で間違って構成されている可能性があります。 グループ ベースのライセンスによってこのようなユーザーにライセンス割り当てを試みると、失敗し、"プロキシ アドレスは既に使用されています" と表示されます。

ヒント

重複したプロキシ アドレスの有無を確認するには、次の PowerShell コマンドレットを Exchange Online に対して実行します。

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl Name, RecipientType,Emailaddresses

この問題の詳細については、「Exchange Online のエラー メッセージ: "プロキシ アドレス <アドレス> は既に使用されています"」を参照してください。 この記事では、リモート PowerShell を使用して Exchange Online に接続する方法に関する情報も確認できます。

関連するユーザーのプロキシ アドレスの問題を解決したら、グループのライセンス処理を強制的に実行して、ライセンスが適用できるようになったことを確認してください。

Azure AD Mail と ProxyAddresses の属性の変更

問題:ユーザーまたはグループのライセンス割り当てを更新している間に、一部のユーザーの Azure AD Mail および ProxyAddresses の属性が変更されたことがわかる場合があります。

ユーザーのライセンス割り当てを更新すると、プロキシ アドレスの計算が開始され、それによってユーザーの属性が変更されることがあります。 変更の正確な理由を理解し、問題を解決するには、Azure AD で proxyAddresses 属性がどのように設定されるかについての、この記事を参照してください。

監査ログの LicenseAssignmentAttributeConcurrencyException

問題:ライセンス割り当ての LicenseAssignmentAttributeConcurrencyException がユーザーの監査ログに記録されています。 グループベースのライセンスで、ユーザーに対する同じライセンスの同時ライセンス割り当てを処理しようとすると、この例外がユーザーに記録されます。 これは通常、同じライセンスが割り当てられた複数のグループにユーザーが属している場合に発生します。 Azure AD ではユーザー ライセンスの処理が再試行され、問題が解決されます。 この問題を解決するためにお客様の対処は必要ありません。

1 つのグループに割り当てられた複数の製品ライセンス

1 つのグループに複数の製品ライセンスを割り当てることができます。 たとえば、Office 365 Enterprise E3 と Enterprise Mobility + Security をグループに割り当てて、ユーザーによる製品内の全サービスの使用を簡単に有効にできます。

グループに指定したすべてのライセンスは、Azure AD によって各ユーザーに割り当てられます。 Azure AD が、ビジネス ロジックの問題が原因でいずれかの製品を割り当てることができない場合は、グループの他のライセンスも割り当てられません。 たとえば、ライセンス数が不足している場合や、ユーザーで有効になっている他のサービスと競合する場合などです。

割り当てられなかったユーザーと、どの製品がその問題の影響を受けているかを確認できます。

ライセンス グループが削除された場合

グループを削除する前に、グループに割り当てられているすべてのライセンスを削除する必要があります。 ただし、グループ内のすべてのユーザーからライセンスを削除する処理には時間がかかることがあります。 グループからライセンスの割り当てを削除するときに、ユーザーに依存ライセンスが割り当てられている場合、またはライセンスの削除を禁止するプロキシ アドレスの競合の問題がある場合にエラーが発生する可能性があります。 グループの削除のために削除処理中のライセンスに依存しているライセンスをユーザーが持っている場合、そのユーザーへのライセンスの割り当ては継承から直接に変換されます。

たとえば、Skype for Business サービス プランが有効な Office 365 E3/E5 が割り当てられたグループがあるとします。 また、グループの一部のメンバーに電話会議ライセンスが直接割り当てられているとします。 このグループが削除されると、グループベースのライセンスではすべてのユーザーから Office 365 E3/E5 の削除が試行されます。 電話会議は Skype for Business に依存しているため、電話会議が割り当てられているユーザーの場合、グループベースのライセンスによって Office 365 E3/E5 ライセンスが直接のライセンス割り当てに変換されます。

前提条件のある製品のライセンスを管理する

Microsoft Online 製品の中には "アドオン" であるものがあります。 ユーザーやグループにライセンスを割り当てるには、前提条件のサービス プランをユーザーまたはグループに対して有効にする必要があります。 グループごとにライセンスを付与する場合は、前提条件とアドオンのサービス プランが同じグループに存在する必要があります。 この措置によって、そのグループに追加されたユーザーに、完全に動作する製品が与えられます。 次の例について考察してみましょう。

Microsoft Workplace Analytics はアドオン製品です。 同じ名前の単一サービス プランが含まれています。 このサービス プランは、次の前提条件のいずれかが割り当てられている場合にのみ、ユーザーまたはグループに割り当てることができます。

  • Exchange Online (プラン 1)
  • Exchange Online (プラン 2)

この製品だけをグループに割り当てようとすると、ポータルから通知メッセージが返されます。 項目の詳細を選択すると、次のエラー メッセージが表示されます。

"ライセンス操作に失敗しました。 グループに必要なサービスがあることを確認してから、依存サービスを追加または削除してください。 サービス Microsoft Workplace Analytics では、Exchange Online (プラン 2) も有効にする必要があります。 "

このアドオン ライセンスをグループに割り当てるには、そのグループに前提条件のサービス プランも含まれている必要があります。 そこで、たとえば、完全版 Office 365 E3 製品が既に含まれている既存のグループを更新してから、アドオン製品を追加します。

必要最小限の製品だけを含むスタンドアロン グループを作成することで、アドオンが機能する場合もあります。 これは、選択されたユーザーだけに、アドオン製品のライセンスを付与するときにご利用いただけます。 前の例に基づいて、次の製品を同じグループに割り当てます。

  • Office 365 Enterprise E3 (Exchange Online (プラン 2) サービス プランのみが有効)
  • Microsoft Workplace Analytics

今後は、このグループに追加されたユーザーすべてが、E3 製品のライセンスと Workplace Analytics 製品のライセンスを 1 つずつ使用できます。 また、そのユーザーは、完全版 E3 製品を提供する別のグループに属することもできますが、使用できるその製品のライセンスは引き続き 1 つだけです。

ヒント

前提条件のサービス プランごとに複数のグループを作成できます。 たとえば、Office 365 Enterprise E1 と Office 365 Enterprise E3 の両方をユーザーに使用する場合、2 つのグループを作成して Microsoft Workplace Analytics にライセンスを付与できます。1 つは前提条件として E1 を利用するグループ、もう 1 つは E3 を利用するグループです。 これにより、追加のライセンスを使用せずに、E1 ユーザーと E3 ユーザーにアドオンを配布できます。

グループでライセンスの処理を強制してエラーを解決する

エラーを解決した手順によっては、グループの処理を手動でトリガーして、ユーザーの状態を更新しなければならない場合があります。

たとえば、直接的に割り当てられたライセンスをユーザーから削除することで、一部のライセンスを解放した場合は、前に失敗したグループの処理を手動でトリガーして、すべてのユーザー メンバーに対して、完全にライセンスを付与する必要があります。 グループを処理するには、グループ ウィンドウに移動して [ライセンス] を開き、ツール バーの [再処理] ボタンを選択します。

ユーザーにライセンスの処理を強制してエラーを解決する

エラーを解決した手順によっては、ユーザーの処理を手動でトリガーして、ユーザーの状態を更新しなければならない場合があります。

たとえば、影響を受けるユーザーの重複したプロキシ アドレスの問題を解決した後に、ユーザーの処理をトリガーする必要があります。 ユーザーを再処理するには、ユーザー ウィンドウに移動して [ライセンス] を開き、ツール バーの [再処理] ボタンを選択します。

次のステップ

グループによるライセンス管理の他のシナリオについては、以下を参照してください。