Office 365 Lizenzen mit Azure Groups

Durch einen Artikel auf einem Blog wurde ich drauf aufmerksam, dass ich Lizenzen in Office 365 gar nicht mehr mühsam manuell oder per PowerShell vergeben muss. Das kann ADSync und Azure alleine. So wird es eingerichtet.

Achtung:
Die Funktion ist seit Nov 2018 nicht mehr "Preview". Allerdings gibt es aktualisierte Lizenzvoraussetzungen. Es reicht nicht mehr eine AzureAD Basic-Lizenz. Insbesondere Microsoft 365 Business Basic/Standard haben die Funktion z.B. nicht.


What is group-based licensing in Azure Active Directory?
https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-licensing-whatis-azure-portal

Sie können natürlich auch weiter per PowerShell die Lizenzen zuweisen. Siehe dazu auch Office 365 Lizenzverwaltung.

Nicht für Microsoft 365 Basic/Premium
Die "kleinen" Microsoft 365 Pakete für bis zu 300 Mitarbeiter können nicht über Gruppen zugewiesen werden.

Die Quelle

Natürlich ist das nicht direkt auf meinem eigenen Mist gewachsen aber das HowTo auf dem Blog war so falsch, dass ich meine etwas abgewandelte Umsetzung hier dokumentiere. Hier erst mal das originale Blog:

Zumindest bei der ersten Veröffentlichung waren Bilder falsch und auf diverse Bugs des ADSync wurde nicht eingegangen, so dass schon an den Kommentaren sichtbar wird, dass hier noch Bedarf zur Nachbesserung besteht. Zudem bin ich sicher, dass nicht viele deutsche Administratoren diesen kleinen Blog-Eintrag finden und dann auch umsetzen können.

Voraussetzungen und Schritte

Diese gesamte Beschreibung macht natürlich nur Sinn, wenn Sie einen Office 365 Tenant und ein lokale Active Directory haben, die zudem per ADSync miteinander gekoppelt sind Denn nur so werden die relevanten Informationen von ihrem lokalen Active Directory auch automatisiert in Office 365 angelegt. Die Schritte sind dann:

  • Lizenzgruppen anlegen
    Unser Ziel ist es ja Office 365 Lizenzen anhand von Gruppenmitgliedschaften zu vergeben. Bitte nehmen Sie dazu nicht die "Domain Benutzer", die in der Regel eh nicht zu Office 365 repliziert werden. Bei den meisten Firmen wird es aber immer eine Gruppe "Office 365 User" oder "Alle Mittarbeiter" o.ä. geben oder sie legen entsprechende Gruppen an, die natürlich auch von ADSync in die Cloud repliziert werden müssen. Eine Gruppe, die sie als Filter für ADSync angelegt haben, ist vielleicht nicht optimal, da dort vielleicht auch andere Objekte (Kontakte etc.) enthalten sind, die keine Lizenz benötigen.
  • Mitarbeiter in Lizenzgruppen aufnehmen
    Addieren Sie dann die Mitarbeiter in die entsprechende Lizenzgruppe. Achten Sie bitte darauf, dass ein Anwender möglichst nur in einer Lizenzgruppe ist, nicht dass es zu unklaren Verhältnissen für Azure AD kommt.
  • UsageLocation und ADSync
    Um eine Lizenz in Office 365 fehlerfrei zuzuweisen muss der "Ort" beim Benutzer hinterlegt werden. Das entsprechende Feld im AzureAD lautet "Usage Location" und ist per Default erst einmal leer. Wenn Sie eine Lizenz zuweisen, dann erzwingt Office 365 auch, dass Sie hier eine Auswahl vornehmen. Das Feld wird per Default auch nicht von ADSync repliziert. Das wollen wir nun nachholen, indem der Inhalt von "C" (Country) über ADSync in die Cloud repliziert wird.
  • Azure Gruppen mit Lizenzen versehen
    Der letzte Schritt ist dann die Zuweisung von Lizenzen anhand der von ADSync gepflegten Gruppen und "Usage Location"

Die ersten beiden Schritte schaffen Sie sicher auch ohne Anleitung, so dass ich mich hier auf die Anpassung von ADSync und spätere Konfiguration in Azure beschränken kann.

Analyse vorab

Dieser Schritt ist nicht erforderlich aber manchmal aufschlussreicht. Sie können nämlich über den Synchronization Service Manager einfach die aktuellen Objekte im Metaverse anzeigen lassen.

Sie sehen hier schon, dass das Feld "c", welcher per Default aus dem lokalen AD schon in das Metaverse übertragen ist, auch nicht bei allen Benutzern gepflegt ist. In der Liste erscheinen aber auch Gruppen, die natürlich kein "c" haben. Aber auch aus dem AzureAD kommt schon das Feld "usageLocation" herein, und es ist bei einigen Benutzer sicher auch schon gefüllt. Das sind schon mal alle Benutzer die eine Lizenz in Office 365 zugewiesen bekommen haben. Das wollen wir nun aber automatisieren.

UsageLocation festlegen

Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie können dies pro Benutzer in der Cloud eintragen oder über ADSync aus dem lokalen AD replizieren lassen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location im Tenant konfiguriert werden.

set-msolcompanyinformation `
   -DefaultUsageLocation DE

Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat und können sich die weiteren Schritte bezüglich ADSync sparen. Alle anderen Tenants sollten prüfen, wie sie die UsageLocation in der Cloud pflegen. Sie können neben der DefaultUsageLocation die Einstellung pro Benutzer per MSONline-PowerShell oder Microsoft Graph setzen oder die Information aus einem lokalen ADFeld beziehen und mit ADSync in die Cloud replizieren lassen.

Azure Gruppen für Lizenzvergabe einrichten

Nachdem die UsageLocation nun gesetzt ist, erfolgt die Konfiguration der Lizenzgruppen über das Azure-Portal. Viele reine Office 365 Administratoren, die bislang nur mit https://portal.office365.com gearbeitet haben, könnten nun erstmalig manage.windowsazure.com sehen. Keine Sorge, ihre Anmeldedaten funktionieren auch hier. Über den Punkte "Azure Active Directory" und "Lienzierung" können Sie auf "All Products" klicken und das jeweilige Produkt auswählen:

Mit einem Druck auf "Assigned" sehen Sie die aktuell zugewiesenen Lizenzen für dieses Produkt pro Benutzer. Mit einem Klick auf "Licensed Groups" sehen Sie dann in der Regel erst mal nichts. Diese Funktion haben Sie ja noch nicht genutzt.

Hier können Sie dann wieder über "Assign" eine Gruppe auswählen. Wohl dem, der ein gutes Namenskonzept hat, damit Sie in der Gesamtliste aller Gruppen und Benutzer ihre Lizenzgruppe finden

Sie können hier immer nur genau eine Gruppe auswählen der sie dann im nächsten Reiter die Lizenz zuweisen:

Ich finde die Farbgebung hier aber etwas unglücklich da nicht sofort klar ist, welche Teillizenz nur auf "On" oder auf "Off" steht. Im Bild ist "Exchange P2" und "Microsoft Planner" gerade auf "OFF". Mitglieder der entsprechenden Gruppe bekommen also alle anderen Lizenzen außer diese beiden Einträge.

Konflikte

Wie sich AzureAD und die Lizenzen verhalten ist am besten zu verstehen, wenn Sie folgendes sich merken.

  • Lizenzen sind immer additiv
    Wenn also jemand über eine Gruppe oder manuell eine Lizenz hat, dann kann eine andere Zuweisung diese nicht "wegnehmen"
  • Per Gruppen verwaltete Lizenzen sind vererbt
    Alle Lizenzen aller Gruppen und manuell zugewiesene Lizenzen werden quasi übereinander gelegt
  • AzureAD prüft Abhängigkeiten
    Wenn Sie z.B. über eine Gruppe die "Audiokonferenz"-Lizenz zuweisen wollen, dann wird die Konfiguration solange nicht abgeschlossen, bis sie auch Skype for Business oder Teams mit an die Gruppe zugewiesen haben.

Alle Konflikte, z.B. User in mehreren Gruppen oder Entfernen aus einer Gruppe oder abweichende manuelle Zuweisungen führen nicht zu einem Konflikt da eine Lizenz nie verweigert sondern einfach nicht mehr über diesen Weg zugewiesen wird.

Weitere Links