备注
从 2024 年 9 月 1 日起,Microsoft Entra ID 管理中心和 Azure 门户不再支持通过其用户界面分配许可证。 若要管理用户和组的许可证分配,管理员必须使用 Microsoft 365 管理中心。 此更新旨在简化 Microsoft 生态系统中的许可证管理流程。 此更改仅限于用户界面。 API 和 PowerShell 访问不受影响。 有关使用 Microsoft 365 管理中心分配许可证的详细指南,请参阅以下资源:
- 在 Microsoft 365 管理中心为用户分配或取消分配许可证
-
在 Microsoft 365 添加用户和分配许可证
我们鼓励所有管理员熟悉新过程,以确保顺利过渡。 如需进一步的帮助或询问,请联系 我们的支持团队。
Microsoft 365 管理门户中基于组的许可(GBL)引入了用户处于许可错误状态的概念。 本文说明了用户可能会以此状态结束的原因。
将许可证直接分配给单个用户或使用基于组的许可(或两者)时,分配作可能会因与业务逻辑相关的原因而失败。
一些示例问题包括但不限于:
许可证数量不足
无法同时分配的两个服务计划之间的冲突
一个许可证中的服务计划取决于另一个许可证中的服务计划
当您使用基于组的许可时,服务在分配许可证的过程中,这些错误会在后台发生。 由于此原因,这些错误无法立即传达给你。 而是在组内的用户对象上记录它们。 为用户提供许可证的原始意图永远不会丢失,但以错误状态记录,供以后调查和解决。 还可以 使用审核日志监视基于组的许可活动。
以至少许可证管理员身份登录到 Microsoft 365 管理门户。
浏览到 计费>许可证 以打开一个页面,可在其中查看和管理组织中的所有许可证产品。
选择受影响的许可证并查看分配给所选许可证的每个组的状态,导航到组选择选项。
如果组的任何用户处于错误状态,将显示通知。 每个组的许可证分配状态为以下值之一:
- 分配的所有许可证 - 无问题
- 正在进行 - 等待向用户分配许可证
- 错误和问题 - 需要调查
选择 组名称 可查看组中受影响的用户的错误。
如果你有大量受影响的用户,还可以使用右上角的 “筛选器 ”选项筛选错误。
以下各部分提供了每个潜在问题的说明以及尝试解决它的方法。
备注
我们计划在 2024 年 3 月 30 日弃用 Azure AD PowerShell。 若要了解详细信息,请阅读 弃用通知。
我们建议迁移到 Microsoft Graph PowerShell,以便与 Microsoft Entra ID(以前称为 Azure AD)进行交互。 Microsoft Graph PowerShell 在 PowerShell 7 上提供,支持访问所有 Microsoft Graph API。 有关常见迁移查询的解答,请参阅迁移常见问题解答。
问题:组中指定的产品之一没有足够的可用许可证。 需要为该产品购买更多的许可证,或者释放其他用户或组中未使用的许可证。
若要查看可用的许可证数,请转到 Entra Admin Portal>计费>许可证>所有产品。
若要查看哪些用户和组正在使用许可证,请导航到计费许可证下的>M365 管理门户并选择产品。 在 “用户”下,可以看到直接或通过一个或多个组分配许可证的所有用户的列表。 在 “组”下,可以看到已分配该产品的所有组。
问题:组中指定的某个产品包含的服务计划,与已通过不同的产品分配给用户的另一个服务计划相冲突。 某些服务计划配置为无法将其分配给与另一个相关服务计划相同的用户。 如何解决冲突的产品许可证始终由管理员决定。 Microsoft Entra ID 不会自动解决许可证冲突。 PowerShell:PowerShell cmdlet 将此错误报告为 MutuallyExclusiveViolation。 审核日志详细信息:
Licensing Error Message
License assignment failed because service plans [xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx], [xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx] are mutually exclusive.
问题:组中指定的某个产品包含的服务计划必须为另一个产品中的另一个服务计划启用才能正常工作。 当 Microsoft Entra ID 尝试删除基础服务计划时,将出现此错误。 例如,从组中删除用户时,可能会发生此问题。 若要解决此问题,需确保所需的计划仍通过其他某种方法分配给用户,或者为这些用户禁用了依赖服务。 执行这些操作后,可以正确地删除这些用户的组许可证。
PowerShell: PowerShell cmdlet 将此错误报告为 DependencyViolation。
审核日志详细信息:
Licensing Error Message
License assignment failed because service plan [xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx] depends on
the service plan(s) [xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx], [xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx].
问题: 由于当地法律和法规,某些Microsoft服务在所有位置都不可用。 必须先为用户指定 Usage location 属性,然后才能向用户分配许可证。 可以在门户中的“用户配置文件>>编辑”部分下指定位置。 当Microsoft Entra ID 尝试将组许可证分配给不受支持的使用位置的用户时,它将失败。 系统记录了用户的一个错误。 若要解决此问题,请从许可组中删除其位置不受支持的用户。 如果当前使用位置值不表示实际用户位置,则可以对其进行修改,以便下次正确分配许可证(如果支持新位置)。
PowerShell: PowerShell cmdlet 将此错误报告为 ProhibitedInUsageLocationViolation。
备注
当 Microsoft Entra ID 分配组许可证时,任何未指定使用位置的用户将继承目录的位置。 Microsoft 建议管理员在使用基于组的许可之前,先为用户设置正确的使用位置值,以符合当地法律和法规。 - 名字、姓氏、其他电子邮件地址和用户类型的属性对于许可证分配不是必需的。
问题:如果使用 Exchange Online,则组织中的某些用户可能被错误地配置为相同的代理地址值。 当基于组的许可尝试为此类用户分配许可证时,此操作会失败并显示“代理地址已被使用”。
提示
若要查看是否存在重复的代理地址,请针对 Exchange Online 执行以下 PowerShell cmdlet:
Get-Recipient -Filter "EmailAddresses -eq 'user@contoso.partner.onmschina.cn'" | fl DisplayName, RecipientType,Emailaddresses
有关此问题的详细信息,请参阅 Exchange Online 中的 代理地址已在使用 错误消息。
其他 错误通常是由同一组分配的另一个许可证出错的结果。
若要识别分配给受影响用户的来自同一组的其他许可,可以在 Microsoft Entra 管理门户中查看用户许可。
在 Entra 管理门户中,导航到 “用户 - 所有用户 ”,找到受影响的用户,然后查看其 许可证。
大多数情况下,只要在过去 30 天内发生错误(根据租户中可用的审核日志天数,一些人可能只有 7 天)即可查看用户的审核日志,了解有关错误的详细信息。
可以使用以下详细信息识别审核日志许可证分配错误记录:
活动类型:更改用户许可证
状态:失败
由 (执行者)
- 类型:应用程序
- 显示名称:Microsoft Entra ID Group-Based 许可
问题: 根据解决错误所采取的步骤,可能需要手动触发用户处理以更新用户状态。
例如,解决受影响用户的依赖项冲突错误后,需要触发用户的重新处理。 若要重新处理用户,请导航回 M365 管理门户 > 计费 > 许可证。 选择许可证并导航到一个或多个受影响的用户显示错误的组,选择用户,然后选择工具栏上的 “重新处理 ”按钮。
或者,可以使用 Graph for PowerShell Invoke-MgLicenseUser 重新处理用户。
可将多个产品许可证分配到一个组。 例如,可将 Office 365 企业版 E3 和企业移动性 + 安全性分配到某个组,轻松为用户启用所有包含的服务。
问题:基于组的许可处理尝试将组中的所有指定许可证分配给组中的每个用户。 但是,如果许可证的处理遇到许可证不足或与其他服务冲突等问题,则它也不会在组中分配其他许可证。 你需要检查哪些用户有许可证分配失败以及哪些产品受到影响。 如果在许可证分配期间出现问题,则该过程可能无法完成。 例如,无法同时分配的许可证或服务计划不足等问题将阻止该过程完成。
问题:必须先删除分配给组的所有许可证,然后才能删除组。 但是,删除组中所有用户的许可证可能比较耗时。 当管理员从组中删除许可证分配时,如果用户分配了从属许可证,或者存在阻止删除许可证的代理地址冲突问题,则可能会失败。 如果用户分配的许可证依赖于由于组删除而删除的许可证,则已删除的组分配的所有许可证都会在受影响的用户上输入错误状态,在解决依赖项之前无法删除该许可证。 解决依赖项后,需要使用 Graph for PowerShell 重新处理用户许可。
某些Microsoft可能拥有的联机产品具有先决条件。 其中包括加载项和其他服务计划,这些计划可能需要在用户或组上启用必备服务计划,然后才能将依赖服务计划添加到用户或组。 使用基于组的许可,系统要求先决条件和附加服务计划或其他依赖服务计划都存在于同一组中。 存在此要求,以确保添加到组的任何用户都可以接收完全正常工作的产品。 让我们考虑以下示例:Microsoft工作区分析是一种附加产品。 它包含同名单一服务计划。 仅当也分配了以下先决条件之一时,才能将此服务计划分配给用户或组:
- Exchange Online(计划 1)
- Exchange Online(计划 2)
问题:如果尝试自行将此产品分配给组,门户将返回一条通知消息。 若要将此附加许可证分配给组,必须确保该组包含先决条件服务计划。 还可以创建一个独立的组,并在其中只包含正常运行附加产品所需的最少量产品。 使用该组可以仅向选定的用户授予附加产品的许可证。 根据前面的示例,可以将以下产品分配给同一组:
- Office 365 企业版 E3,仅启用了 Exchange Online(计划 2)服务计划
- Microsoft工作区分析
从现在起,添加到此组的任何用户都将使用一个 E3 产品许可正和一个工作区分析产品许可证。 同时,这些用户可以是另一组的成员,为其提供完整的 E3 产品,他们仍只使用该产品的一个许可证。
提示
可为每个先决服务计划创建多个组。 例如,如果有用户使用 Office 365 企业版 E1,也有用户 使用 Office 365 企业版 E3,则可创建两个组来授权 Microsoft 工作区分析:一个使用 E1 作为先决条件,另一个使用 E3。 此方法允许你将加载项分发到 E1 和 E3 用户,而无需使用其他许可证。
发生此错误的原因是用户已从另一批动态成员身份组中添加和删除。 动态成员资格组的级联设置(使用基于初始静态组中许可证的规则)会导致产生此问题。 此错误可能会影响多个动态成员身份组,并要求进行广泛的重新处理以还原访问。
警告
将现有静态组更改为动态组时,将从组中删除所有现有成员,然后处理成员身份规则以添加新成员。 如果组用于控制对应用或资源的访问,则在完全处理成员身份规则之前,原始成员可能会失去访问权限。
建议事先测试新的成员身份规则,确保组中的新成员身份符合预期。 如果在测试过程中遇到错误,请参阅“使用审核日志监视基于组的许可活动”。
问题:在更新用户或组的许可证分配时,你可能会看到某些用户的 Mail 和 ProxyAddresses 属性已更改。 更新用户的许可证分配会导致触发代理地址计算,这可能会更改用户属性。 若要了解更改的确切原因并解决问题,请参阅 本文 ,了解如何在 Microsoft Entra ID 中填充 proxyAddresses 属性。
若要了解有关通过组进行许可证管理的其他方案的详细信息,请参阅: