En Azure o Office 365 tenemos un par de modalidades de asignar licencias, por un lado tenemos la clásica asignación manual y por otro podemos escalar esto añadiendo licencias directamente a grupos, por lo que cuando un usuario entre o salga de uno se le asignará o quitará la licencia de manera automática. Este proceso puede sufrir múltiples fallos que hay que tener en cuenta, vamos a revisarlos junto a sus correspondientes explicaciones o soluciones.

azurevm2

Primero de todo, clarificar la posible relación entre las diferentes entidades. Cualquier grupo de seguridad puede tener 0:N tipos de licencias asignadas al mismo y a su vez cualquier usuario puede pertenecer a 0:N grupos de seguridad. Al mismo tiempo, de cada tipo de licencia un grupo determinado puede tener asignados uno o varios de sus componentes. Por ejemplo.si asignamos al grupo "personal" 10 licencias A3 podemos indicar que estas solo tengan Teams, mientras que al grupo “HR” pueden tener a su vez 10 licencias A3 pero en este caso tener Teams y Yammer por decir algo.

En el caso que nos encontremos con errores, podemos ver el aviso relacionado entrando en el grupo correspondiente y dentro del mismo en licencias. Para ver todos los errores podemos dirigirnos dentro de Azure AD a Licencias.

Al solventar cualquiera de los siguientes escenarios podemos forzar el reproceso de licencias acudiendo al panel de grupos -> licencias ->reprocesado

Posibles problemas asignando licencias a grupos en Azure

Los problemas pueden ser los siguientes:

  • No hay suficientes licencias - Empezamos por el facil, podemos comprobar cuantas tenemos en Azure AD>licenses>all products.
    Clickando en cada uno de los productos veremos un listado de todos los usuarios que estén consumiendo una licencia. Este error aparece en Powershell como “CountViolation”.
    En este caso simplemente se trata de añadir más licencias
  • Planes de servicio en conflicto - En ocasiones una licencia no puede ser asignada a un usuario porque ya cuenta con otra que entra en conflicto. Por ejemplo un usuario con una licencia A1 no puede recibir una A3. En powershell aparecerá como “MutuallyExclusiveViolation.”
    Aquí deberemos eliminar la que no deseemos manualmente desde el usuario.
  • Otros productos dependen de la licencia - En este caso, al querer quitar un usuario de un grupo y de sus correspondientes licencias, tenemos que uno de los productos especificados contiene un plan de servicio necesario para otro. En este caso tendríamos que asegurar que este servicio siguiera estando disponible para el usuario de otra manera, por ejemplo añadiendo esa misma licencia por otro lado seleccionando únicamente este servicio que debe seguir estando o tendríamos que eliminar también el servicio dependiente. En powershell este error se nos mostraría como DependencyViolation.
  • La localización del usuario no es válida - hay ciertos productos que no están disponibles en determinadas partes del mundo. Si nos encontramos con esto podemos quitar a esos usuarios del grupo de licencias o editar la localización del usuario en su correspondiente perfil de usuario. En caso que el usuario no tenga ninguna localizacion definida heredara la propia de Azure AD. En powershell este error se muestra como ProhibitedInUsageLocationViolation.
  • Dirección proxy duplicada - Al usar Exchange Online podemos encontrar que dos o más usuarios estén usando la misma dirección proxy, esto impedirá que puedan recibir correctamente las licencias. Aquí debemos corregir este dato y forzar de nuevo la asignación de licencias. En powershell lo veremos cómo Proxy address is already being used.
  • Cambios en Azure AD Mail y el atributo ProxyAddresses - en este caso más que un error es algo a tener en cuenta. Al actualizar el licenciamiento a un usuario o grupo podemos observar que el atributo Azure AD Mail and ProxyAddresses de algunos usuario cambie, esto es normal ya que se recalcula la dirección proxy al reasignar licencias y esto a su vez puede afectar a algunos atributos.
  • Aviso LicenseAssignmentAttributeConcurrencyException en los logs - De nuevo otro warning más que un error. En este caso sucede cuando queremos aplicar la misma licencia desde diferentes grupos al usuario. La primera se aplicará la(s) siguiente(s) dejarán esa entrada en los registros para nuestra información, por lo que no hay que hacer nada.
  • Más de una licencia de producto en un mismo grupo - Si estamos tratando de asignar en un mismo grupo el mismo producto a través de varias licencias, ocurrirá un conflicto y ninguna de ellas se aplicará. Aquí debemos actuar sobre alguna de las licencias y eliminar de alguna de ellas el producto en conflicto. Este error nos aparecerá como More than one product license assigned to a group
  • Error al querer borrar un grupo de licencia - Antes de eliminar un grupo de licencia tenemos que eliminar del mismo cualquier licencia. Una vez hecho esto lo podremos eliminar. Hay que decir que si uno de los usuarios tiene una licencia dependiente en las que eliminamos, está se le añadirá directamente al usuario automáticamente.
  • Productos con prerrequisitos - Existen productos que necesitan de licencias anteriormente asignadas. En este caso deberemos asignar en el mismo grupo está licencia pero podemos hacerlo solo con el producto solicitado concreto. Estos mismos usuarios pueden recibir a través de otro grupo está licencia completa si hiciera falta.

Migrando métodos de asignación

Por último recordar que si partimos de un escenario clásico donde tenemos las licencias directamente asignadas, podemos crear grupos con licencias asignadas y añadir a los usuarios a los mismos. Una vez procesado cada usuario tendrá 1 licencia asignada por el grupo y 1 asignada directamente, pero solo estarán consumiendo 1 en total. En este punto podemos quitarles las que tienen directamente asignadas sin más problema.