Microsoft Entra ID'de lisansları yönetmek için grupları kullanan senaryolar, sınırlamalar ve bilinen sorunlar

  • Makale

Microsoft Entra'nın bir parçası olan Microsoft Entra Id'de grup tabanlı lisanslama hakkında daha gelişmiş bilgi edinmek için aşağıdaki bilgileri ve örnekleri kullanın.

Kullanım konumu

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Bazı Microsoft hizmetleri tüm konumlarda kullanılamaz. Grup lisansı ataması için, kullanım konumu belirtilmemiş tüm kullanıcılar dizinin konumunu devralır. Birden çok konumda kullanıcılarınız varsa, lisansları olan gruplara kullanıcı eklemeden önce bunu kullanıcı kaynaklarınıza doğru şekilde yansıttığınızdan emin olun. Kullanıcıya lisans atanabilmesi için yöneticinin kullanıcı üzerinde Kullanım konumu özelliğini belirtmesi gerekir.

  1. Microsoft Entra yönetim merkezinde en azından Gruplar Yönetici istrator olarak oturum açın.

  2. Microsoft Entra Kimlik'i seçin.

  3. Kullanıcılar>Tüm kullanıcılar'agidin ve bir kullanıcı seçin.

    Screenshot of the All users pane.

  4. Özellikleri düzenle'yi seçin.

  5. Ayarlar sekmesini seçin ve kullanıcı için bir konum girin.

  6. Kaydet düğmesini seçin.

Dekont

Grup lisansı ataması hiçbir zaman bir kullanıcıdaki mevcut kullanım konumu değerini değiştirmez. Kullanım konumunu her zaman Microsoft Entra Kimliği'nde (örneğin, Microsoft Entra Bağlan yapılandırması aracılığıyla) kullanıcı oluşturma akışınızın bir parçası olarak ayarlamanızı öneririz. Böyle bir işlemin takip edilmesi, lisans atamasının sonucunun her zaman doğru olmasını ve kullanıcıların izin verilmeyen konumlarda hizmet almamasını sağlar.

Dinamik gruplarla grup tabanlı lisanslama kullanma

Dinamik gruplar da dahil olmak üzere herhangi bir güvenlik grubuyla grup tabanlı lisanslama kullanabilirsiniz. Dinamik gruplar, üyeleri otomatik olarak eklemek ve kaldırmak için kullanıcı kaynağı özniteliklerine karşı kurallar çalıştırır. Öznitelikler departman, iş unvanı, iş konumu veya başka bir özel öznitelik olabilir. Her gruba üyelerin almasını istediğiniz lisanslar atanır. Bir öznitelik değişirse, üye gruptan ayrılır ve lisanslar kaldırılır.

Özniteliği şirket içinde atayabilir ve Microsoft Entra Id ile eşitleyebilir veya özniteliği doğrudan bulutta yönetebilirsiniz.

Uyarı

Mevcut bir grubun üyelik kuralını değiştirirken dikkatli olun. Bir kural değiştirildiğinde, grubun üyeliği yeniden değerlendirilir ve artık yeni kuralla eşleşmeyen kullanıcılar kaldırılır (yeni kuralla hala eşleşen kullanıcılar bu işlem sırasında etkilenmez). Bu kullanıcılar, işlem sırasında hizmet kaybına veya bazı durumlarda veri kaybına neden olabilecek lisanslarını kaldıracaktır.

Lisans ataması için bağımlı olduğunuz büyük bir dinamik grubunuz varsa, ana gruba uygulamadan önce daha küçük bir test grubundaki önemli değişiklikleri doğrulamayı göz önünde bulundurun.

Birden çok grup ve birden çok lisans

Kullanıcı, lisansları olan birden çok grubun üyesi olabilir. Dikkate alınması gereken bazı şeyler şunlardır:

  • Aynı ürün için birden çok lisans çakışabilir ve etkinleştirilen tüm hizmetlerin kullanıcıya uygulanmasına neden olur. Örnek olarak M365-P1 tüm kullanıcılara dağıtılacak temel hizmetleri, M365-P2 ise yalnızca bazı kullanıcılara dağıtılacak P2 hizmetlerini içerir. Bir kullanıcıyı bir veya her iki gruba ekleyebilir ve ürün için yalnızca bir lisans kullanabilirsiniz.

  • Grup lisansı ataması tarafından kullanıcı için hangi hizmetlerin etkinleştirildiğiyle ilgili bilgiler de dahil olmak üzere daha fazla ayrıntı görüntülemek için bir lisans seçin.

Doğrudan lisanslar grup lisanslarıyla birlikte var

Kullanıcı bir gruptan lisans devraldığında, kullanıcının özelliklerinde bu lisansı doğrudan kaldıramaz veya değiştiremezsiniz. Lisans atamasını yalnızca grupta değiştirebilirsiniz ve değişiklikler daha sonra tüm grup üyelerine yayılır. Bir grup lisansı atamasından lisansı olan bir kullanıcıya başka özellikler atamanız gerekiyorsa, diğer özellikleri kullanıcıya atamak için başka bir grup oluşturmanız gerekir.

Grup tabanlı lisanslama kullanırken aşağıdaki senaryoları göz önünde bulundurun:

  • Grup üyeleri gruba atanan lisansları devralır.
  • Grup tabanlı lisanslar için lisans seçenekleri grup düzeyinde değiştirilmelidir.
  • Kullanıcıya farklı lisans seçenekleri atanacaksa yeni bir grup oluşturun, gruba bir lisans atayın ve kullanıcıyı bu gruba ekleyin.
  • Kullanıcılar, grup tabanlı farklı lisanslarda bu ürün için farklı lisans seçenekleri kullanılıyorsa yine de bir ürünün yalnızca bir lisansını kullanır.

Doğrudan atama kullandığınızda aşağıdaki işlemlere izin verilir:

  • Grup tabanlı lisanslama aracılığıyla henüz atanmamış lisanslar tek bir kullanıcı için değiştirilebilir.
  • Diğer hizmetler, doğrudan atanmış bir lisansın parçası olarak etkinleştirilebilir.
  • Doğrudan atanan lisanslar kaldırılabilir ve kullanıcının devralınan lisanslarını etkilemez.

Ürünlere eklenen yeni hizmetleri yönetme

Microsoft bir ürün lisans planına yeni bir hizmet eklediğinde, ürün lisansını atadığınız tüm gruplarda varsayılan olarak etkinleştirilir. Kuruluşunuzdaki ürün değişiklikleriyle ilgili bildirimlere abone olan kullanıcılar, yaklaşan hizmet eklemeleri hakkında bildirimde bulunan e-postaları önceden alır.

Yönetici olarak, değişiklikten etkilenen tüm grupları gözden geçirebilir ve her gruptaki yeni hizmeti devre dışı bırakma gibi eylemler gerçekleştirebilirsiniz. Örneğin, dağıtım için yalnızca belirli hizmetleri hedefleyen gruplar oluşturduysanız, bu grupları yeniden ziyaret edebilir ve yeni eklenen hizmetlerin devre dışı bırakıldığından emin olabilirsiniz.

Bu işlemin nasıl görünebileceğine bir örnek aşağıda verilmişti:

  1. Başlangıçta, Microsoft 365 E5 ürününü çeşitli gruplara atamıştınız. Bu gruplardan biri olan Microsoft 365 E5 - Exchange yalnızca üyeleri için yalnızca Exchange Online (Plan 2) hizmetini etkinleştirecek şekilde tasarlanmıştır.

  2. Microsoft'tan E5 ürününün yeni bir hizmetle genişletileceğine ilişkin bir bildirim aldınız: Microsoft Stream. Hizmet kuruluşunuzda kullanılabilir duruma geldiğinde aşağıdaki adımları tamamlayabilirsiniz:

    1. Microsoft Entra yönetim merkezinde oturum açın

  4. Microsoft Entra Kimlik'i seçin.

  5. Faturalama>Lisansları>Tüm ürünler'i seçin ve Microsoft 365 Kurumsal E5'i seçin, ardından lisanslı gruplar'ı seçerek bu ürüne sahip tüm grupların listesini görüntüleyin.

  6. Gözden geçirmek istediğiniz grubu seçin (bu örnekte, Yalnızca Microsoft 365 E5 - Exchange). Lisanslar sekmesi açılır. Etkinleştirilen tüm hizmetleri görüntülemek için E5 lisansını seçin.

    Dekont

    Microsoft Stream hizmeti, Exchange Online hizmetine ek olarak bu gruba otomatik olarak eklendi ve etkinleştirildi:

    Screenshot of new service added to a group license.

  7. Bu gruptaki yeni hizmeti devre dışı bırakmak istiyorsanız, hizmetin yanındaki Açık/Kapalı düğmesini seçin ve değişikliği onaylamak için Kaydet düğmesini seçin. Microsoft Entra Id artık değişikliği uygulamak için gruptaki tüm kullanıcıları işleyecek; gruba eklenen tüm yeni kullanıcıların Microsoft Stream hizmeti etkinleştirilmez.

    Dekont

    Kullanıcılar başka bir lisans ataması (üyesi oldukları başka bir grup veya doğrudan lisans ataması) aracılığıyla hizmeti etkinleştirmeye devam edebilir.

  8. Gerekirse, bu ürünün atandığı diğer gruplar için de aynı adımları uygulayın.

Devralınan kişileri ve doğrudan lisansları görmek için PowerShell'i kullanma

Kullanıcıların doğrudan atanmış veya bir gruptan devralınan bir lisansı olup olmadığını denetlemek için PowerShell betiği kullanabilirsiniz.

  1. Connect-MgGraph -Scopes "Organization.Read.All" Microsoft Graph kullanarak kimlik doğrulaması yapmak ve kuruluşunuza bağlanmak için cmdlet'ini çalıştırın.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname Microsoft Entra kuruluşunda sağlanan tüm ürün lisanslarını bulmak için kullanılabilir.

    Screenshot of the Get-MgSubscribedSku cmdlet.

  3. Bu PowerShell betiğiyle ilgilendiğiniz lisans için ServicePlanId değerini kullanın. Liste, bu lisansa sahip olan kullanıcıları ve lisansın nasıl atandığı hakkında bilgileri doldurur.

Grup tabanlı lisans etkinliğini izlemek için Denetim günlüklerini kullanma

Aşağıdakiler dahil olmak üzere grup tabanlı lisanslamayla ilgili tüm etkinlikleri görmek için Microsoft Entra denetim günlüklerini kullanabilirsiniz:

  • gruplardaki lisansları kim değiştirdi?
  • sistem bir grup lisans değişikliğini işlemeye başladığında ve tamamlandığında
  • grup lisans ataması sonucunda kullanıcıya hangi lisans değişikliklerinin yapıldığı.

Grup tabanlı lisanslamayla ilgili denetim günlüklerine Microsoft Entra Id'nin Gruplar veya Lisanslama alanlarındaki Denetim günlüklerinden erişilebilir veya ana Denetim günlüklerindeki aşağıdaki filtre bileşimlerini kullanabilirsiniz:

  • Hizmet: Çekirdek Dizin
  • Kategori: GroupManagement veya UserManagement

Screenshot of the Microsoft Entra audit logs with Core Directory and GroupManagement filter options highlighted.

Lisansı kimin değiştirmiş olduğunu bulma

  1. Grup lisansı değişikliklerinin günlüklerini görmek için aşağıdaki Denetim günlüğü filtresi seçeneklerini kullanın:
    • Hizmet: Çekirdek Dizin
    • Kategori: GroupManagement
    • Etkinlik: Grup lisansını ayarlama
  2. Ayrıntıları görüntülemek için sonuçta elde edilen tabloda bir satır seçin.
  3. Değiştirilen Özellikler sekmesini seçin, lisans sözleşmesi için eski ve yeni değerlere bakın.

Aşağıdaki örnek, yukarıda listelenen filtre ayarlarının yanı sıra Hedef filtrenin "EMS" ile başlayan tüm gruplara ayarlandığını gösterir.

Screenshot of the Microsoft Entra audit logs including a Target filter.

Belirli bir kullanıcının lisans değişikliklerini görmek için aşağıdaki filtreleri kullanın:

  • Hizmet: Çekirdek Dizin
  • Kategori: UserManagement
  • Etkinlik: Kullanıcı lisansını değiştirme

Grup değişikliklerinin ne zaman başladığını ve işlemenin ne zaman bittiğini öğrenin

Bir grupta lisans değiştiğinde, Microsoft Entra Kimliği değişiklikleri tüm kullanıcılara uygulamaya başlar, ancak değişikliklerin işlenmesi zaman alabilir.

  1. Grupların ne zaman işlemeye başladığını görmek için aşağıdaki filtreleri kullanın:
    • Hizmet: Çekirdek Dizin
    • Kategori: GroupManagement
    • Etkinlik: Kullanıcılara grup tabanlı lisans uygulamayı başlatma
  2. Ayrıntıları görüntülemek için sonuçta elde edilen tabloda bir satır seçin.
  3. Değiştirilen Özellikler sekmesini seçin, işlenmek üzere alınan lisans değişikliklerine bakın.
    • Bir grupta birden çok değişiklik yapıyorsanız ve hangi lisansın işlendiğini bilmiyorsanız bu ayrıntıları kullanın.
    • İşlemin aktörü, tüm grup lisansı değişikliklerini yürütmek için kullanılan bir sistem hesabı olan Microsoft Entra grup Tabanlı Lisanslama'dır.

Grupların işlenmesinin ne zaman bittiğini görmek için Etkinlik filtresini Kullanıcılara grup tabanlı lisans uygulamayı bitir olarak değiştirin. Bu durumda, Değiştirilen Özellikler alanı sonuçların bir özetini içerir ve bu, işlemenin hatalara neden olup olmadığını hızlıca denetlemek için yararlıdır. Örnek çıkış:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Tüm kullanıcı değişiklikleri dahil olmak üzere bir grubun nasıl işlendiğine ilişkin günlüğün tamamını görmek için aşağıdaki filtreleri ekleyin:

  • Hedef: Grup adı
  • Başlatan (Aktör): Microsoft Entra grup tabanlı lisanslama (büyük/küçük harfe duyarlı)
  • Tarih Aralığı (isteğe bağlı): Belirli bir grubun başlatılıp işlenmesini tamamladığınız zamanlara yönelik özel aralık

Bu örnek çıktı, lisans değişikliğini işlemenin başlangıç ve bitişini gösterir.

Screenshot of the Microsoft Entra audit log filters and start and end times of license changes.

Lisans atanmış olan bir grubu silme

Etkin lisansı atanmış bir grubu silmek mümkün değildir. Yönetici, lisansların kullanıcılardan kaldırılmasına neden olacağını fark etmeyen bir grubu silebilir. Bu nedenle, silinmeden önce tüm lisansların gruptan kaldırılmasını zorunlu kılarız.

Portalda bir grubu silmeye çalışırken aşağıdaki gibi bir hata bildirimi görebilirsiniz:

Screenshot group deletion failed.

Grubun Lisanslar sekmesine gidin ve atanmış lisans olup olmadığına bakın. Evet ise, bu lisansları kaldırın ve grubu silmeyi yeniden deneyin.

Grubu PowerShell veya Graph API aracılığıyla silmeye çalışırken de benzer hatalar görebilirsiniz. Şirket içinden eşitlenmiş bir grup kullanıyorsanız Microsoft Entra Bağlan, Microsoft Entra Id'de grubu silemiyorsa hataları da bildirebilir. Bu gibi durumlarda, gruba atanmış lisans olup olmadığını denetlediğinden emin olun ve önce bunları kaldırın.

Sınırlamalar ve bilinen sorunlar

Grup tabanlı lisanslama kullanıyorsanız aşağıdaki sınırlamalar ve bilinen sorunlar listesini öğrenmek iyi bir fikirdir.

  • Grup tabanlı lisanslama şu anda diğer grupları (iç içe gruplar) içeren grupları desteklememektedir. İçine yerleştirilmiş başka bir grup olan bir gruba lisans uyguladığınızda yalnızca grubun birinci düzeyindeki üyelerine lisans atanır.

  • Bu özellik yalnızca güvenlik grupları ve securityEnabled=TRUE olan Microsoft 365 gruplarıyla kullanılabilir.

  • Microsoft 365 yönetim merkezi şu anda grup tabanlı lisanslama desteği yoktur. Kullanıcı bir gruptan lisans devralıyorsa, bu lisans Office yönetici portalında normal bir kullanıcı lisansı olarak görünür. Bu lisansı değiştirmeye veya lisansı kaldırmaya çalışırsanız portal bir hata iletisi döndürür. Devralınan grup lisansları doğrudan bir kullanıcı üzerinde değiştirilemez.

  • Büyük bir grup için lisanslar atandığında veya değiştirildiğinde (örneğin, 100.000 kullanıcı), performansı etkileyebilir. Özellikle, Microsoft Entra otomasyonu tarafından oluşturulan değişikliklerin hacmi, Microsoft Entra ID ile şirket içi sistemler arasındaki dizin eşitlemenizin performansını olumsuz etkileyebilir.

  • Kullanıcınızın üyeliğini yönetmek için dinamik gruplar kullanıyorsanız, kullanıcının lisans ataması için gerekli olan grubun bir parçası olduğunu doğrulayın. Aksi takdirde dinamik grubun üyelik kuralı işleme durumunu denetleyin.

  • Bazı yüksek yük durumlarında, gruplar için lisans değişikliklerini veya mevcut lisanslara sahip gruplarda yapılan üyelik değişikliklerini işlemek uzun zaman alabilir. Değişikliklerinizin 60 K veya daha az kullanıcıdan oluşan grup boyutunu işlemenin 24 saatten uzun sürdiğini görürseniz, araştırmamıza izin vermek için lütfen bir destek bileti açın.

  • Lisans yönetimi otomasyonu ortamdaki tüm değişiklik türlerine otomatik olarak tepki vermez. Örneğin, lisanslarınız tükenmiş olabilir ve bu da bazı kullanıcıların hata durumunda olmasını sağlar. Kullanılabilir koltuk sayısını boşaltmak için doğrudan atanan bazı lisansları diğer kullanıcılardan kaldırabilirsiniz. Ancak sistem bu değişikliğe otomatik olarak tepki vermez ve bu hata durumundaki kullanıcıları düzeltmez.

    Bu tür sınırlamalar için geçici bir çözüm olarak Microsoft Entra ID>Groups'a > gidip Lisanslar'ı >> seçerek Yeniden İşle'yi seçebilirsiniz. Bu komut, söz konusu gruptaki tüm kullanıcıları işler ve mümkünse hata durumlarını çözer.

Sonraki adımlar

Grup tabanlı lisanslama aracılığıyla lisans yönetimine yönelik diğer senaryolar hakkında daha fazla bilgi edinmek için bkz: