Office 365 Lizenzen mit Azure Groups
Durch einen Artikel auf einem Blog wurde ich drauf aufmerksam, dass ich Lizenzen in Office 365 gar nicht mehr mühsam manuell oder per PowerShell vergeben muss. Das kann ADSync und Azure alleine. So wird es eingerichtet.
Updates
Diese Funktion hat in den letzten Jahren einige Änderungen durchlaufen und man sieht gut, wie Microsoft Dienste anpasst oder auch nur die Verwaltung verlagert:
Zeitraum |
Beschreibung |
---|---|
Vor 2017 |
Die Funktion war nicht vorhanden und Administratoren mussten die Lizenzen manuell oder per MSOLPowerShell zuweisen |
Bis Nov 2016 |
Die Funktion war als "Preview" über das Azure Portal konfigurierbar
|
Nov 2018 bis Sep 2024 |
Die Funktion ist nun offiziell und nicht mehr Preview. Allerdings hatte Microsoft die Funktion an eine AzureAD Premium-Lizenz gebunden.
Zudem ist die Funktion nur in "Enterprise Paketen" verfügbar und nicht Microsoft 365 Business Basic/Standard für Firmen bis zu 300 Mitarbeiter |
Sep 2024 |
Microsoft verlagert die Funktion aus dem Azure Portal ins Microsoft 365 Admin Center. Im Azure Portal sehen Sie dazu:
|
Sie können natürlich auch weiter per PowerShell die Lizenzen zuweisen. Siehe dazu auch Office 365 Lizenzverwaltung.
Die Quelle
Natürlich ist das nicht direkt auf meinem eigenen Mist gewachsen aber das HowTo auf dem Blog war so falsch, dass ich meine etwas abgewandelte Umsetzung hier dokumentiere. Hier erst mal das originale Blog:
- Assigning Office 365 Licenses Automatically
https://blogs.technet.microsoft.com/askpfeplat/2017/08/07/assigning-office-365-licenses-automatically
Zumindest bei der ersten Veröffentlichung waren Bilder falsch und auf diverse Bugs des ADSync wurde nicht eingegangen, so dass schon an den Kommentaren sichtbar wird, dass hier noch Bedarf zur Nachbesserung besteht. Zudem bin ich sicher, dass nicht viele deutsche Administratoren diesen kleinen Blog-Eintrag finden und dann auch umsetzen können.
Voraussetzungen und Schritte
Diese gesamte Beschreibung macht natürlich nur Sinn, wenn Sie einen Office 365 Tenant und ein lokale Active Directory haben, die zudem per ADSync miteinander gekoppelt sind Denn nur so werden die relevanten Informationen von ihrem lokalen Active Directory auch automatisiert in Office 365 angelegt. Die Schritte sind dann:
- Lizenzgruppen anlegen
Unser Ziel ist es ja Office 365 Lizenzen anhand von Gruppenmitgliedschaften zu vergeben. Bitte nehmen Sie dazu nicht die "Domain Benutzer", die in der Regel eh nicht zu Office 365 repliziert werden. Bei den meisten Firmen wird es aber immer eine Gruppe "Office 365 User" oder "Alle Mittarbeiter" o.ä. geben oder sie legen entsprechende Gruppen an, die natürlich auch von ADSync in die Cloud repliziert werden müssen. Eine Gruppe, die sie als Filter für ADSync angelegt haben, ist vielleicht nicht optimal, da dort vielleicht auch andere Objekte (Kontakte etc.) enthalten sind, die keine Lizenz benötigen. - Mitarbeiter in Lizenzgruppen aufnehmen
Addieren Sie dann die Mitarbeiter in die entsprechende Lizenzgruppe. Achten Sie bitte darauf, dass ein Anwender möglichst nur in einer Lizenzgruppe ist, nicht dass es zu unklaren Verhältnissen für Azure AD kommt. -
UsageLocation und ADSync
Um eine Lizenz in Office 365 fehlerfrei zuzuweisen muss der "Ort" beim Benutzer hinterlegt werden. Das entsprechende Feld im AzureAD lautet "Usage Location" und ist per Default erst einmal leer. Wenn Sie eine Lizenz zuweisen, dann erzwingt Office 365 auch, dass Sie hier eine Auswahl vornehmen. Das Feld wird per Default auch nicht von ADSync repliziert. Das wollen wir nun nachholen, indem der Inhalt von "C" (Country) über ADSync in die Cloud repliziert wird. - Azure Gruppen mit Lizenzen versehen
Der letzte Schritt ist dann die Zuweisung von Lizenzen anhand der von ADSync gepflegten Gruppen und "Usage Location"
Die ersten beiden Schritte schaffen Sie sicher auch ohne Anleitung, so dass ich mich hier auf die Anpassung von ADSync und spätere Konfiguration in Azure beschränken kann.
Analyse vorab
Dieser Schritt ist nicht erforderlich aber manchmal aufschlussreicht. Sie können nämlich über den Synchronization Service Manager einfach die aktuellen Objekte im Metaverse anzeigen lassen.
Sie sehen hier schon, dass das Feld "c", welcher per Default aus dem lokalen AD schon in das Metaverse übertragen ist, auch nicht bei allen Benutzern gepflegt ist. In der Liste erscheinen aber auch Gruppen, die natürlich kein "c" haben. Aber auch aus dem AzureAD kommt schon das Feld "usageLocation" herein, und es ist bei einigen Benutzer sicher auch schon gefüllt. Das sind schon mal alle Benutzer die eine Lizenz in Office 365 zugewiesen bekommen haben. Das wollen wir nun aber automatisieren.
UsageLocation festlegen
Bei der Vergabe einer Lizenz ist die Angabe einer Location erforderlich. Sie können dies pro Benutzer in der Cloud eintragen oder über ADSync aus dem lokalen AD replizieren lassen. Wenn eine Firma aber eh in einem Land ist, dann kann eine Default Location im Tenant konfiguriert werden.
Beachten Sie dazu auch die eigene Seite UsageLocation
set-msolcompanyinformation ` -DefaultUsageLocation DE
Damit vereinfachen Sie die Konfiguration der Anwender, wenn eine Mehrheit eh die gleiche Location hat und können sich die weiteren Schritte bezüglich ADSync sparen. Alle anderen Tenants sollten prüfen, wie sie die UsageLocation in der Cloud pflegen. Sie können neben der DefaultUsageLocation die Einstellung pro Benutzer per MSONline-PowerShell oder Microsoft Graph setzen oder die Information aus einem lokalen ADFeld beziehen und mit ADSync in die Cloud replizieren lassen.
Azure Gruppen für Lizenzvergabe einrichten
Diese Bilder und Anleitung ist nicht mehr aktuell. Nutzen Sie die Microsoft
Anleitung von
Assign licenses to users by group membership using the Microsoft 365 admin
center
https://learn.microsoft.com/en-us/entra/identity/users/licensing-admin-center
Nachdem die UsageLocation nun gesetzt ist, erfolgt die Konfiguration der Lizenzgruppen über das Azure-Portal. Viele reine Office 365 Administratoren, die bislang nur mit https://portal.office365.com gearbeitet haben, könnten nun erstmalig manage.windowsazure.com sehen. Keine Sorge, ihre Anmeldedaten funktionieren auch hier. Über den Punkte "Azure Active Directory" und "Lienzierung" können Sie auf "All Products" klicken und das jeweilige Produkt auswählen:
Mit einem Druck auf "Assigned" sehen Sie die aktuell zugewiesenen Lizenzen für dieses Produkt pro Benutzer. Mit einem Klick auf "Licensed Groups" sehen Sie dann in der Regel erst mal nichts. Diese Funktion haben Sie ja noch nicht genutzt.
Hier können Sie dann wieder über "Assign" eine Gruppe auswählen. Wohl dem, der ein gutes Namenskonzept hat, damit Sie in der Gesamtliste aller Gruppen und Benutzer ihre Lizenzgruppe finden.
Sie können hier immer nur genau eine Gruppe auswählen der sie dann im nächsten Reiter die Lizenz zuweisen:
Ich finde die Farbgebung hier aber etwas unglücklich da nicht sofort klar ist, welche Teillizenz nur auf "On" oder auf "Off" steht. Im Bild ist "Exchange P2" und "Microsoft Planner" gerade auf "OFF". Mitglieder der entsprechenden Gruppe bekommen also alle anderen Lizenzen außer diese beiden Einträge.
- Identify and resolve license assignment
problems for a group in Azure Active
Directory
https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/licensing-groups-resolve-problems
Ganz wichtige Seite zu den verschiedenen Fehlern und Sonderfällen der Lizenzzuweisung
Konflikte
Wie sich AzureAD und die Lizenzen verhalten ist am besten zu verstehen, wenn Sie folgendes sich merken.
- Lizenzen sind immer additiv
Wenn also jemand über eine Gruppe oder manuell eine Lizenz hat, dann kann eine andere Zuweisung diese nicht "wegnehmen" - Per Gruppen verwaltete Lizenzen sind
vererbt
Alle Lizenzen aller Gruppen und manuell zugewiesene Lizenzen werden quasi übereinander gelegt - AzureAD prüft Abhängigkeiten
Wenn Sie z.B. über eine Gruppe die "Audiokonferenz"-Lizenz zuweisen wollen, dann wird die Konfiguration solange nicht abgeschlossen, bis sie auch Skype for Business oder Teams mit an die Gruppe zugewiesen haben.
Alle Konflikte, z.B. User in mehreren Gruppen oder Entfernen aus einer Gruppe oder abweichende manuelle Zuweisungen führen nicht zu einem Konflikt da eine Lizenz nie verweigert sondern einfach nicht mehr über diesen Weg zugewiesen wird.
Weitere Links
- Office 365 Lizenzverwaltung
- Office 365 Region
- UsageLocation
- Office 365 Sprachen
-
Assign licenses to users by group membership
using the Microsoft 365 admin center
https://learn.microsoft.com/en-us/entra/identity/users/licensing-admin-center - What is group-based licensing in Azure
Active Directory?
https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-licensing-whatis-azure-portal - Assign licenses to Users by group
membership in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-licensing-group-assignment-azure-portal - How to add licensed Users to a group for
licensing in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-licensing-group-migration-azure-portal - Scenarios, limitations, and known issues using groups to manage licensing in Azure Active Directory
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-licensing-group-advanced
Umfangreiche Beschreibung mit Logging und Auswertung - Identify and resolve license assignment
problems for a group in Azure Active
Directory
https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/licensing-groups-resolve-problems
Ganz wichtige Seite zu den verschiedenen Fehlern und Sonderfällen der Lizenzzuweisung - Automate licensing and group membership
for your Microsoft 365 for enterprise test
environment
https://docs.microsoft.com/en-us/microsoft-365/enterprise/automate-licenses-group-membership-microsoft-365-test-environment?view=o365-worldwide - Administer Office 365 and Intune Create
Users and Groups in Office 365 License and
user management
https://support.office.com/en-us/article/license-and-user-location-management-f1ae424a-5554-4376-8cad-778bbc32063d - Assigning Office 365 Licenses
Automatically
https://blogs.technet.microsoft.com/askpfeplat/2017/08/07/assigning-office-365-licenses-automatically - Introducing Support for Concurrent
Exchange Online License Assignments
https://techcommunity.microsoft.com/t5/exchange-team-blog/introducing-support-for-concurrent-exchange-online-license/ba-p/3721098 - Office 365 License Management Made Easy
with Azure AD Groups
https://www.petri.com/office-365-license-management-azuread-groups - Assign or Remove O365 Licenses
http://ezoltan.blogspot.de/2017/12/assign-or-remove-o365-licenses.html