Condividi tramite

Scenari, limitazioni e problemi noti relativi all'uso dei gruppi per gestire le licenze in Microsoft Entra ID

  • Articolo

Usare le informazioni e gli esempi seguenti per acquisire una conoscenza più avanzata delle licenze basate su gruppi in Microsoft Entra ID, parte di Microsoft Entra.

Località di utilizzo

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Alcuni servizi Microsoft non sono disponibili in tutte le località. Per l'assegnazione di licenze di gruppo, tutti gli utenti senza una località di utilizzo specificata ereditano la posizione della directory. Se gli utenti si trovano in località diverse, assicurarsi che ciò sia rispecchiato correttamente nelle risorse utente prima di aggiungere utenti ai gruppi con licenze. Per assegnare una licenza a un utente, l'amministratore deve prima specificare la proprietà Località di utilizzo per l'utente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore Gruppi.

  2. Selezionare Microsoft Entra ID.

  3. Passare a Utenti>Tutti gli utenti e selezionare un utente.

    Screenshot del riquadro Tutti gli utenti.

  4. Selezionare Modifica proprietà.

  5. Selezionare la scheda Impostazioni e immettere una località per l'utente.

  6. Selezionare il pulsante Salva.

Nota

L'assegnazione di licenze ai gruppi non modificherà mai un valore di località di utilizzo esistente per un utente. È consigliabile impostare sempre la località di utilizzo come parte del flusso di creazione dell'utente in Microsoft Entra ID (ad esempio, tramite la configurazione di Microsoft Entra Connect). Seguendo questo processo si garantisce che il risultato dell'assegnazione di licenze sia sempre corretto e che gli utenti non ricevano servizi in località non consentite.

Usare licenze basate sui gruppi di appartenenza dinamica

È possibile usare le licenze basate sui gruppi con qualsiasi gruppo di sicurezza, inclusi i gruppi di appartenenza dinamica. Le regole per i gruppi di appartenenza dinamica vengono eseguite sugli attributi delle risorse utente per aggiungere e rimuovere automaticamente i membri. Gli attributi possono essere reparto, posizione, località di lavoro o altro attributo personalizzato. A ogni gruppo vengono assegnate le licenze che si desidera che i membri ricevano. Se un attributo viene modificato, l'utente abbandona il gruppo e le licenze vengono rimosse.

È possibile assegnare l'attributo in locale e sincronizzarlo con Microsoft Entra ID o gestire l'attributo direttamente nel cloud.

Avviso

Prestare attenzione quando si modifica la regola di appartenenza di un gruppo esistente. Quando si modifica una regola, l'appartenenza al gruppo verrà valutata nuovamente e gli utenti che non corrispondono più alla nuova regola saranno rimossi (gli utenti che corrispondono alla nuova regola non saranno interessati da questo processo). Per questi utenti verranno rimosse le licenze durante il processo; ciò potrebbe comportare la perdita del servizio o, in alcuni casi, la perdita di dati.

Se si dispone di un gruppo dinamico di grandi dimensioni da cui si dipende per l'assegnazione delle licenze, è consigliabile convalidare le modifiche principali in un gruppo di test più piccolo prima di applicarle al gruppo principale. Se si verificano errori durante il test, vedere Risolvere i problemi relativi alle licenze di gruppo.

Più gruppi e più licenze

Un utente può essere membro di più gruppi con licenze. Di seguito sono indicati alcuni aspetti da considerare:

  • Più licenze per lo stesso prodotto possono sovrapporsi e di conseguenza tutti i servizi abilitati vengono applicati all'utente. Un esempio potrebbe essere che M365-P1 contiene i servizi fondamentali da distribuire a tutti gli utenti e M365-P2 contiene i servizi P2 da distribuire solo ad alcuni utenti. È possibile aggiungere un utente a uno o entrambi i gruppi e usare una sola licenza per il prodotto.

  • Selezionare una licenza per visualizzare altri dettagli, incluse le informazioni sui servizi abilitati per l'utente dall'assegnazione di licenze di gruppo.

Le licenze dirette coesistono con le licenze di gruppo

Quando un utente eredita una licenza da un gruppo, non è possibile rimuovere o modificare la licenza direttamente nelle proprietà dell'utente. È possibile modificare l'assegnazione di licenza solo nel gruppo e le modifiche vengono propagate a tutti i membri del gruppo. Se è necessario assegnare altre funzionalità a un utente che dispone della licenza da un'assegnazione di licenza di gruppo, è necessario creare un altro gruppo per assegnare le altre funzionalità all'utente.

Quando si usano licenze basate su gruppi, considerare gli scenari seguenti:

  • I membri del gruppo ereditano le licenze assegnate al gruppo.
  • Le opzioni di licenza per le licenze basate su gruppi devono essere modificate a livello di gruppo.
  • Se è necessario assegnare diverse opzioni di licenza a un utente, creare un nuovo gruppo, assegnare una licenza al gruppo, quindi aggiungere l'utente a tale gruppo.
  • Gli utenti usano ancora una sola licenza di un prodotto se diverse opzioni di licenza per tale prodotto vengono usate nelle diverse licenze basate su gruppo.

L'assegnazione diretta consente le operazioni seguenti:

  • Le licenze non già assegnate tramite licenze basate su gruppo possono essere modificate per un singolo utente.
  • È anche possibile abilitare servizi aggiuntivi nell'ambito della licenza assegnata direttamente.
  • Le licenze assegnate direttamente possono essere rimosse senza alterare le licenze ereditate.

Gestione di nuovi servizi aggiunti ai prodotti

Quando Microsoft aggiunge un nuovo servizio al piano della licenza di un prodotto, il servizio viene abilitato per impostazione predefinita in tutti i gruppi a cui è stata assegnata la licenza del prodotto. Gli utenti nell'organizzazione che hanno abilitato le notifiche sulle modifiche apportate al prodotto riceveranno in anticipo messaggi di posta elettronica con informazioni sulle nuove aggiunte di servizi.

Come amministratore, è possibile esaminare tutti i gruppi interessati dalla modifica e scegliere come agire, ad esempio disabilitando il nuovo servizio in ogni gruppo. Se ad esempio sono stati creati gruppi interessati solo ai servizi specifici per la distribuzione, è possibile rivedere tali gruppi e assicurarsi di disabilitare i servizi appena aggiunti.

Ecco un esempio di come potrebbe presentarsi questo processo:

  1. È stato inizialmente assegnato il prodotto Microsoft 365 E5 a diversi gruppi. Uno di questi gruppi, denominato Microsoft 365 E5 - Solo Exchange, è progettato in modo da consentire ai membri solo l'uso del servizio Exchange Online (Piano 2).

  2. Si riceve una notifica da Microsoft in cui si informa che il prodotto E5 sarà esteso con un nuovo servizio denominato Microsoft Stream. Quando il servizio diventa disponibile nella propria organizzazione, è possibile eseguire le operazioni seguenti:

    1. Accedere all'interfaccia di amministrazione di Microsoft Entra

  4. Selezionare Microsoft Entra ID.

  5. Selezionare Fatturazione>Licenze>Tutti i prodotti e selezionare Microsoft 365 Enterprise E5, quindi selezionare Gruppi con licenza per visualizzare un elenco di tutti i gruppi con tale prodotto.

  6. Fare clic sul gruppo che si desidera esaminare (in questo caso Microsoft 365 E5 - Solo Exchange). Verrà visualizzata la scheda Licenze. Selezionare la licenza E5 per visualizzare tutti i servizi abilitati.

    Nota

    Il servizio Microsoft Stream è stato aggiunto e abilitato automaticamente al gruppo, che già dispone del servizio Exchange Online:

    Screenshot del nuovo servizio aggiunto alla licenza di un gruppo

  7. Se si desidera disabilitare il nuovo servizio nel gruppo, fare clic sull'interruttore On/Off accanto al servizio e fare clic sul pulsante Salva per confermare la modifica. Microsoft Entra ID elaborerà a questo punto tutti gli utenti del gruppo per applicare la modifica. Per tutti i nuovi utenti aggiunti al gruppo, il servizio Microsoft Stream non sarà abilitato.

    Nota

    Gli utenti possono ancora ottenere l'attivazione del servizio tramite l'assegnazione di altre licenze (tramite un altro gruppo di cui sono membri o l'assegnazione diretta di una licenza).

  8. Se necessario, seguire la stessa procedura per altri gruppi a cui è assegnato il prodotto.

Usare PowerShell per determinare gli utenti con licenze ereditate e dirette

È possibile usare uno script di PowerShell per verificare se gli utenti hanno una licenza assegnata direttamente o ereditata da un gruppo.

  1. Eseguire il Connect-MgGraph -Scopes "Organization.Read.All" cmdlet per autenticare e connettersi all'organizzazione usando Microsoft Graph.

  2. Get-MgSubscribedSku -All | Select-Object skuid -ExpandProperty serviceplans | select serviceplanid, serviceplanname può essere usato per individuare tutte le licenze del prodotto con provisioning nell'organizzazione Microsoft Entra.

    Screenshot del cmdlet Get-MgSubscribedSku.

  3. Usare il valore ServicePlanId per la licenza rilevante con questo script di PowerShell. Verrà restituito un elenco di utenti che dispongono di questa licenza con le informazioni sulle modalità di assegnazione della licenza.

Usare i log di controllo per monitorare l'attività delle licenze basate su gruppo

È possibile usare i log di controllo di Microsoft Entra per visualizzare tutte le attività correlate alle licenze basate su gruppo, inclusi:

  • l'utente che ha modificato le licenze nei gruppi
  • quando il sistema ha avviato l'elaborazione di una modifica di licenza di gruppo e quando ha terminato
  • quali modifiche di licenza sono state apportate a un utente in seguito a un'assegnazione di licenze di gruppo.

È possibile accedere ai log di controllo correlati alle licenze basate su gruppo dai log di controllo nelle aree Gruppi o Licenze di Microsoft Entra ID oppure usare le combinazioni di filtro seguenti dai log di controllo principali:

  • Servizio: Directory principale
  • Categoria: GroupManagement o UserManagement

Screenshot dei log di controllo di Microsoft Entra con le opzioni di filtro Directory principale e GroupManagement evidenziate.

Individuare chi ha modificato una licenza

  1. Per visualizzare i log per le modifiche alle licenze di gruppo, usare le opzioni di filtro del log di controllo seguenti:
    • Servizio: Directory principale
    • Categoria: GroupManagement
    • Attività: Impostare la licenza di gruppo
  2. Selezionare una riga nella tabella risultante per visualizzare i dettagli.
  3. Selezionare la scheda Proprietà modificate per visualizzare i valori precedenti e nuovi per il contratto di licenza.

L'esempio seguente mostra le impostazioni di filtro elencate in precedenza, più il filtro Destinazione impostato su tutti i gruppi che iniziano con "EMS".

Screenshot dei log di controllo di Microsoft Entra, incluso un filtro Destinazione.

Per visualizzare le modifiche delle licenze per un utente specifico, usare i filtri seguenti:

  • Servizio: Directory principale
  • Categoria: UserManagement
  • Attività: Modificare la licenza utente

Sapere quando è iniziata e terminata l'elaborazione delle modifiche al gruppo

Quando una licenza cambia in un gruppo, Microsoft Entra ID inizierà ad applicare le modifiche a tutti gli utenti, ma le modifiche potrebbero richiedere tempo per l'elaborazione.

  1. Per verificare quando i gruppi hanno iniziato l'elaborazione, usare i filtri seguenti:
    • Servizio: Directory principale
    • Categoria: GroupManagement
    • Attività: Iniziare ad applicare agli utenti le licenze basate sui gruppi
  2. Selezionare una riga nella tabella risultante per visualizzare i dettagli.
  3. Selezionare la scheda Proprietà modificate per visualizzare le modifiche alle licenze selezionate per l'elaborazione.
    • Usare questi dettagli se si apportano più modifiche a un gruppo e non si ha la certezza di quale sia la licenza elaborata.
    • Il soggetto per l'operazione è Licenze basate sui gruppi Microsoft Entra, un account di sistema che viene usato per eseguire tutte le modifiche delle licenze di gruppo.

Per visualizzare quando i gruppi hanno terminato l'elaborazione, impostare il filtro Attività su Termina di applicare le licenze basate sui gruppi agli utenti. In questo caso, il campo Proprietà modificate contiene un riepilogo dei risultati, utile per verificare rapidamente se l'elaborazione ha restituito errori. Output di esempio:

Modified Properties
...
Name : Result
Old Value : []
New Value : [Users successfully assigned licenses: 6, Users for whom license assignment failed: 0.];

Per visualizzare il log completo dell'elaborazione di un gruppo incluse tutte le modifiche agli utenti, impostare i filtri seguenti:

  • Destinazione: Nome gruppo
  • Avviato da (Soggetto): licenze basate sui gruppi Microsoft Entra (con distinzione tra maiuscole e minuscole)
  • Intervallo di date (facoltativo): intervallo personalizzato per quando si conosce l'inizio e la fine dell'elaborazione di un gruppo specifico

Questo output di esempio mostra l'inizio e la fine dell'elaborazione delle modifiche alla licenza.

Screenshot dei filtri del log di controllo di Microsoft Entra e dell'ora di inizio e fine delle modifiche delle licenze.

Eliminazione di un gruppo con una licenza assegnata

Non è possibile eliminare un gruppo con una licenza attiva assegnata. Un amministratore potrebbe eliminare un gruppo senza rendersi conto che causerà la rimozione delle licenze dagli utenti. Per questo motivo è necessario rimuovere tutte le licenze dal gruppo prima di poterle eliminare.

Quando si prova a eliminare un gruppo nel portale, è possibile che venga visualizzata una notifica di errore simile alla seguente:

Screenshot del messaggio visualizzato per segnalare che non è stato possibile eliminare il gruppo.

Passare alla scheda Licenze per il gruppo e verificare se sono presenti licenze assegnate. In caso affermativo, rimuovere le licenze e provare di nuovo a eliminare il gruppo.

È possibile che vengano visualizzati errori simili quando si tenta di eliminare il gruppo tramite PowerShell o l'API Graph. Se si usa un gruppo sincronizzato da locale, Microsoft Entra Connect può segnalare errori se non riesce a eliminare il gruppo in Microsoft Entra ID. In tutti questi casi verificare se sono presenti licenze assegnate al gruppo e procedere prima alla rimozione.

Limitazioni e problemi noti

Se si usano le licenze basate sui gruppi, è consigliabile acquisire familiarità con l'elenco di limitazioni e problemi noti che segue.

  • La gestione delle licenze basate sui gruppi attualmente non supporta i gruppi che contengono altri gruppi (gruppi nidificati). Se si applica una licenza a un gruppo annidato, la licenza è applicabile solo ai membri di primo livello del gruppo.

  • La funzionalità è utilizzabile solo con gruppi di sicurezza e gruppi di Microsoft 365 con securityEnabled=TRUE.

  • L'assegnazione o la modifica delle licenze di un gruppo di grandi dimensioni (ad esempio 100.000 utenti) potrebbe influire sulle prestazioni. In particolare, il volume delle modifiche generato tramite l'automazione di Microsoft Entra potrebbe compromettere le prestazioni della sincronizzazione della directory tra Microsoft Entra ID e i sistemi locali.

  • Se si usano gruppi di appartenenza dinamica per gestire le appartenenze dell'utente, verificare che l'utente faccia parte del gruppo. Questo è necessario per l'assegnazione delle licenze. Altrimenti controllare lo stato di elaborazione per la regola di appartenenza del gruppo dinamico.

  • In determinate situazioni di carico elevato, può essere necessario molto tempo per elaborare le modifiche alle licenze per i gruppi o le modifiche all'appartenenza ai gruppi con licenze esistenti. Se l'elaborazione delle modifiche per gruppi con un massimo di 60.000 utenti impiega più di 24 ore, aprire un ticket di supporto per consentirci di analizzare il problema.

Passaggi successivi

Per informazioni su altri scenari per la gestione delle licenze tramite i gruppi, vedere: