Определение и устранение проблем назначения лицензий для группы в Azure Active Directory

При работе с групповым лицензированием в Azure Active Directory (Azure AD) пользователи могут столкнуться с состоянием ошибки лицензирования. В этой статье рассматриваются причины, вызывающие данное состояние.

Если вы назначаете лицензии непосредственно отдельным пользователям без использования группового лицензирования, операция назначения может завершиться сбоем. Например, выполнение командлета PowerShell Set-MsolUserLicense в системе пользователя может завершиться сбоем по ряду причин, связанных с бизнес-логикой. Некоторые из этих причин — недостаточное количество лицензий или конфликт между двумя планами обслуживания, которые не могут быть назначены в одно время. Вы сразу же получите уведомление о проблеме.

Если же вы используете групповое лицензирование, ошибки, описанные выше, также возможны, однако они будут вызваны в фоновом режиме, что не повлияет на назначение лицензий службой Azure AD. По этой причине вы будете уведомлены о проблемах позже. Ошибки записываются в пользовательский объект, а затем отправляются через административный портал. Исходное намерение лицензирования пользователя остается, но записывается в состояние ошибки для последующего исследования и разрешения.

Поиск ошибок назначения лицензий

Поиск пользователей в состоянии ошибки в группе

  1. Откройте группу на странице обзора и выберите Licenses (лицензии). Если есть пользователи с состоянием ошибки, в разделе "Лицензии" появится уведомление.

    Сообщение о группах и уведомлениях об ошибках

  2. Чтобы открыть список всех пользователей с состоянием, описанным выше, щелкните уведомление. Для просмотра дополнительных сведений можно выбрать отдельного пользователя.

    Список пользователей в состоянии ошибки группового лицензирования

  3. Чтобы найти все группы, в которых есть по крайней мере одна ошибка, в колонке Azure Active Directory выберите Лицензии, а затем — Обзор. Если есть группы, требующие внимания, отображается поле сведений.

    Обзор и сведения о группах с состоянием ошибки

  4. Щелкните это поле, чтобы просмотреть список всех групп с ошибками. Для получения подробных сведений можно выбрать каждую группу отдельно.

    Обзор и список групп с ошибками

В следующих разделах описываются все возможные проблемы и способы их устранения.

Недостаточно лицензий

Проблема. Недостаточно доступных лицензий для одного из продуктов, указанных в группе. Необходимо приобрести дополнительные лицензии для продукта или освободить неиспользуемые лицензии других пользователей или групп.

Чтобы определить число доступных лицензий, выберите Azure Active Directory > Лицензии > Все продукты.

Чтобы увидеть, какие пользователи и группы используют лицензии, выберите продукт. В разделе Лицензированные пользователи вы увидите список всех пользователей, которым лицензии назначены напрямую или же с помощью одной или нескольких групп. В разделе Лицензированные группы вы увидите все группы, которым назначены продукты.

PowerShell: командлеты PowerShell сообщают об этой ошибке, как об ошибке CountViolation.

Конфликтующие планы обслуживания

Проблема. Один из продуктов, определенный в группе, содержит план обслуживания, конфликтующий с другим планом, назначенным пользователю в другом продукте. Некоторые планы обслуживания настроены так, что их нельзя назначить одному и тому же пользователю в качестве второго плана обслуживания.

Рассмотрим следующий пример. Пользователю напрямую назначена лицензия Office 365 корпоративный E1, в которой активированы все планы. Пользователь добавлен в группу, которой назначен продукт Office 365 корпоративный E3. Продукт E3 содержит планы обслуживания, которые не должны пересекаться с планами, включенными в лицензию E1, поэтому групповое назначение лицензии завершится ошибкой "Конфликтующие планы обслуживания". В этом примере следующие планы обслуживания являются конфликтующими:

  • Exchange Online (план 2) конфликтует с Exchange Online (план 1).

Чтобы решить возникший конфликт, надо отключить один из этих планов. Можно отключить лицензию E1, которая напрямую назначена пользователю. Можно также изменить назначение лицензии для всей группы и отключить планы в лицензии E3. Кроме того, вы можете отменить назначение пользователю лицензии E1, если она является избыточной в контексте лицензии E3.

Способ разрешения конфликта между лицензиями продуктов всегда выбирает администратор. Azure AD не разрешает конфликты лицензий автоматически.

PowerShell: командлеты PowerShell сообщают об этой ошибке, как об ошибке MutuallyExclusiveViolation.

Другие продукты зависят от этой лицензии

Проблема. Один из продуктов, указанных в группе, содержит план обслуживания, который нужно включить для другого плана обслуживания в другом продукте, чтобы он заработал. Эта ошибка возникает при попытке Azure AD удалить первоначальный план обслуживания. Например, это может случиться в результате удаления пользователя из группы.

Чтобы решить эту проблему, вам необходимо убедиться в том, что требуемый план все еще назначен пользователям с помощью какого-либо другого метода или что зависимые службы для этих пользователей отключены. После этого вы можете надлежащим образом удалить групповую лицензию для этих пользователей.

PowerShell: командлеты PowerShell сообщают об этой ошибке, как об ошибке DependencyViolation.

Место использования запрещено

Проблема. Некоторые службы Майкрософт доступны не во всех расположениях из-за требований местного законодательства. Перед тем как назначать лицензию пользователю, задайте для пользователя свойство Место использования. Это можно сделать в разделе User > Profile > Edit на портале Azure.

При попытке Azure AD назначить групповую лицензию пользователю, место использования которого не поддерживается, данная операция назначения завершится сбоем и пользователь получит состояние ошибки.

Чтобы устранить эту проблему, удалите пользователей из неподдерживаемых расположений из лицензированной группы. Кроме того, если текущие значения места использования не соответствуют фактическому местонахождению пользователя, вы можете изменить эти значения для последующего правильного назначения лицензий (в случае, если новое расположение поддерживается).

PowerShell: командлеты PowerShell сообщают об этой ошибке, как об ошибке ProhibitedInUsageLocationViolation.

Примечание

При назначении групповых лицензий Azure AD любой пользователь без места использования наследует расположение каталога. Перед использованием группового лицензирования для соблюдения требований местного законодательства мы рекомендуем задавать правильные значения места использования для пользователей.

Дублирование адресов прокси-сервера

Если вы используете Exchange Online, для некоторых пользователей в вашем клиенте может быть ошибочно настроено одно и то же значение адреса прокси-сервера. Если при групповом лицензировании производится попытка назначить лицензию такому пользователю, она завершается сбоем, и появляется сообщение "Адрес прокси-сервера уже используется".

Совет

Чтобы посмотреть, нет ли повторов прокси адресов, выполните следующий командлет PowerShell в Exchange Online:

Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.onmicrosoft.com'" | fl Name, RecipientType,Emailaddresses

Дополнительные сведения об этой проблеме см. в статье Сообщение об ошибке "< адрес > адрес прокси-сервера уже используется" в Exchange Online. В статье Подключение к Exchange Online PowerShell содержатся сведения о подключении к Exchange Online с помощью удаленного сеанса PowerShell.

После устранения проблем с прокси-адресами для соответствующих пользователей повторно выполните обработку лицензий для группы, чтобы проверить, что лицензии можно применять.

Изменение атрибута почты и ProxyAddresses в Azure AD

Проблема: при обновлении назначения лицензии для пользователя или группы может появиться сообщение об изменении атрибута Azure AD Mail и proxyAddresses некоторых пользователей.

Обновление назначения лицензий для пользователя вызывает срабатывание вычисления адреса прокси-сервера, что может изменить атрибуты пользователя. Чтобы понять точную причину такого изменения и решить проблему, см. статью о заполнении атрибута proxyAddresses в Azure AD.

LicenseAssignmentAttributeConcurrencyException в журналах аудита

Проблема: у пользователя есть LicenseAssignmentAttributeConcurrencyException для назначения лицензии в журналах аудита. Если групповое лицензирование пытается обработать одновременное назначение лицензии для одного пользователя, это исключение записывается на пользователя. Обычно это происходит, когда пользователь входит в несколько групп с одной и той же назначенной лицензией. Azure AD повторит попытку обработки пользовательской лицензии и устранит проблему. Для решения этой проблемы не требуется никаких действий от клиента.

Группе назначено более одной лицензии на продукт.

Группе можно назначить несколько лицензий продукта. Например, вы можете назначить группе лицензии Office 365 корпоративный E3 и Enterprise Mobility + Security, чтобы активировать для пользователей все включенные службы.

Служба Azure AD попытается назначить все указанные в группе лицензии каждому пользователю. Если Azure AD не удается назначить один из продуктов из-за проблем, связанных с бизнес-логикой, назначить другие лицензии в группе также не получится. Например, если не хватает лицензий, а также в случае конфликтов с другими службами, активированными для пользователя.

Можно увидеть пользователей, которым не удалось назначить лицензии, а также определить, с какими продуктами связана эта проблема.

При удалении лицензированной группы

Необходимо удалить все лицензии, назначенные группе, до того как вы сможете удалить группу. Однако удаление лицензий у всех пользователей в группе может занять время. При удалении назначений лицензий из группы могут возникнуть сбои, если пользователю назначена зависимая лицензия или если существует проблема конфликта адресов прокси-сервера, которая запрещает удаление лицензии. Если у пользователя есть лицензия, которая зависит от лицензии, удаляемой из-за удаления группы, назначение пользователю этой лицензии преобразуется из унаследованного в прямое.

Например, рассмотрим группу, содержащую Office 365 E3 или E5 с включенным планом обслуживания Skype для бизнеса. Представьте себе, что несколько членов группы имеют лицензии "Аудиоконференции", которые назначены напрямую. При удалении группы лицензирование на основе групп попытается удалить Office 365 E3/E5 у всех пользователей. Так как лицензия "Аудиоконференции" зависит от Skype для бизнеса, для всех пользователей, которым она назначена, лицензирование на основе групп преобразует лицензии Office 365 E3/E5 в прямое назначение лицензий.

Управление лицензиями для продуктов с предварительными требованиями

Некоторые продукты Microsoft Online, которые у вас есть, являются надстройками. Прежде чем их назначить, требуется включить для пользователя или группы план обслуживания необходимых компонентов. При использовании группового лицензирования системе требуется, чтобы в одной группе были планы обслуживания необходимых компонентов и надстроек. Это необходимо для того, чтобы все пользователи, которые будут добавляться в группу, получали полностью функциональный продукт. Рассмотрим следующий пример.

Microsoft Workplace Analytics является надстройкой. Она содержит отдельный план обслуживания с тем же именем. Мы можем назначить этот план обслуживания пользователю или группе, только если назначены следующие необходимые компоненты:

  • Exchange Online (план 1);
  • Exchange Online (план 2).

Если мы попытаемся назначить группе этот продукт отдельно, портал отобразит сообщение об ошибке. Если выбрать сведения продукте, отобразится следующее сообщение об ошибке:

License operation failed (Сбой лицензирования). Убедитесь, что группа содержит нужные службы перед тем, как добавить или удалить зависимую службу. Для службы Microsoft Workplace Analytics требуется включить Exchange Online (план 2). "

Чтобы назначить лицензию надстройки для группы, необходимо убедиться, что группа также содержит план обслуживания необходимых компонентов. Например, можно изменить существующую группу, которая уже содержит полную версию Office 365 E3, а затем добавить в нее надстройку.

Можно также создать изолированную группу, содержащую только минимальный требуемый набор продуктов, обеспечивающий работу надстройки. Затем его можно будет использовать для лицензирования только выбранных пользователей для надстройки. На основе предыдущего примера вы назначите следующие продукты одной группе:

  • Office 365 корпоративный E3 только с планом обслуживания Exchange Online (план 2);
  • Microsoft Workplace Analytics.

Теперь все пользователи, добавляемые в эту группу, используют одну лицензию на продукт E3 и одну лицензию на продукт Workplace Analytics. В то же время эти пользователи могут быть участниками другой группы, предоставляющей им полную версию продукта E3. В этом случае они все еще будут использовать только одну лицензию на этот продукт.

Совет

Можно создать несколько групп, по одной для каждого плана обслуживания необходимых компонентов. Например, если пользователям предоставляются версии Office 365 корпоративный E1 и Office 365 корпоративный E3, можно создать две группы для назначения лицензий для Microsoft Workplace Analytics, указав в одной из них продукт E1 в качестве необходимого компонента, а в другой — продукт E3. Это позволит вам распределить надстройку между пользователями продуктов E1 и E3 без использования дополнительных лицензий.

Принудительная обработка лицензий группы для устранения ошибок

В зависимости от того, какие действия были предприняты для устранения ошибок, может потребоваться запустить обработку группы вручную, чтобы обновить состояние пользователя.

Например, если вы получили некоторые лицензии путем удаления прямых назначений лицензий пользователям, вам необходимо активировать обработку групп, в которых ранее не удалось полностью лицензировать всех пользователей. Для повторной обработки группы перейдите в область группы, откройте Лицензии, а потом нажмите кнопку Повторная обработка на панели инструментов.

Принудительная обработка лицензий пользователей для устранения ошибок

В зависимости от того, какие действия были предприняты для устранения ошибок, может потребоваться запустить обработку пользователя вручную, чтобы обновить состояние пользователя.

К примеру, устранив для пользователя проблему продублированного адреса прокси-сервера, необходимо активировать обработку пользователя. Для повторной обработки пользователя перейдите в область пользователя, откройте Лицензии, а потом нажмите кнопку Повторная обработка на панели инструментов.

Дальнейшие действия

Чтобы получить дополнительные сведения о сценариях управления лицензиями с помощью групп, см. ссылки ниже.