Asignación de licencias de O365 a usuarios por membresía de grupo en Azure Active Directory

Buenos dias,

Una de las últimas funcionalidades de Azure que mas estoy recomendando e implantando es la asignación de licencias a usuarios por membresia de grupo de Directorio Activo al que pertenezcan. Algo en principio sencillo pero que hasta hace poco no estaba disponible.

Como todo, tiene sus ventajas e inconvenientes, pero en este caso, yo solo le veo ventajas, reduce las tareas administrativas en mas de un 70%, gestionas las altas y bajas o reasignas licencias de tu Office 365 con solo introducir o sacar a un usuario de un grupo de Directorio Activo que se sincroniza con Azure AD, espectacular.

Por mi experiencia, esto lo podias realizar de antemano recurriendo a PowerShell, ese gran desconocido. Puedes ver diversos scripts, yo te muestro este de Ivan Cañizares (@icanizares), muy interesante:

Hoy os comento esta nueva funcionalidad que Microsoft ha introducido en Azure Active Directory mediante la cual podremos asignar licencias de cualquier producto de Office 365 a través de la pertenencia o membresia a un grupo de Directorio Activo o Azure Active Directory. Hay que puntualizar que se requiere que nuestro Azure AD sea:

  • Azure AD Basic,
  • Azure AD Premium
  • EMS+Security

Step 1: Creación de grupos.

Un detalle que me gustaría incidir en él es que los grupos de seguridad que vamos a utilizar para asignar las licencias de O365 son independientes de su ubicación (Cloud vs On-Premise), asi como el usuario. Mejor imposible, o sea, que podemos tener o no sincronizado nuestro Directorio Activo On-Premise con Azure Active Directory, es independiente de esta característica.

En este caso vamos a crear varios grupos para desplegar unas licencias, por ejemplo de EMS+Security y de Project Online Premium.

Recordar las mejores practicas, asignar permisos, recursos, servicios o licencias a grupos, y luego incluir los usuarios en dichos grupos, no a usuarios directamente. Es un consejo.

Step 2: Configuración de licencias en Azure AD.

En este punto, accedemos al Portal de Azure con las credenciales adecuadas: una cuenta con uno de los siguientes roles:

  • administrador global, o
  • administrador de cuentas de usuario

Despues, accedemos a Azure Active Directory, posteriormente pulsamos en Licencias,  y, para terminar,  Todos los productos, donde vamos a poder ver y administrar todos los productos que hayamos adquirido, como por ejemplo los siguientes y, los que vamos a desplegar en nuestro ejemplo: Enterprise Mobility + Security y Project Online.

¿Cómo procedemos ahora? Seleccionaremos uno de los grupos de licencias, por ejemplo, Enterprise Mobility + Security E5:

para despues, seleccionar la opción + Asignar, que nos aparece arriba, donde nos llevará a la asignación a un Grupo o a Usuarios (Punto 1) y a las opciones de asginación (Punto 2).

Vayamos por partes como dice Jack…. Primero selecciono el grupo de Azure AD para distribuir las licencias de EMS+S (ZZZ_O365_Licen_EMS), para despues,

Asignar las características que quiero distribuir, como por ejemplo, los de la imagen superior. Hay que tener en cuenta que cada tipo de Licencia viene asociado con distintas características. Por ejemplo, un Plan Office 365 Enterprise E5 viene con las siguientes y algunas mas:

Una vez hemos terminado la selección. Pulsamos el botón de “Asignar” que lanzará una tarea en segundo plano para procesar todos los componentes de este grupo y asignarles la licencia.

Step 3: Comprobación de la asignación.

Importante, comprobar que lo que hemos configurado funciona 😉

Por un lado podemos ver la asignación de las licencias a nuestro grupo, volvemos a ir al mismo lugar del punto anterior, Azure Active Directory > Usuarios y grupos > Todos los grupos, donde seleccionaremos nuestro grupo en cuestión, Licencias. Es aqui donde confirmaremos si las licencias se han asignado a los miembros y/o si hay errores que requieran nuestra atención y corrección.

Y por otro, están las opciones de auditoría de logs. Ya sabeis, en Azure Active Directory > Usuarios y grupos > “nuestro grupo” > Registros de auditoría. Tenga en cuenta las siguientes actividades:

Vemos claramente los registros de empezar a aplicar licencias basadas en grupo y Terminar de aplicar las licencias basadas en grupo a los usuarios, que contiene un resumen de cuántos usuarios se han procesado correctamente y el número de usuarios a los que no se pudieron asignar las licencias de grupo.

Step 4: Corolario.

1 Transición desde Direct to Group-Based.

Llegados a este punto, nos podemos preguntar, ¿por qué veo ahora usuarios que tienen licencias asignadas en modo Directo (Direct) o Heredados (inherited)? Ademas vemos que el modo Heredado nos añade la información del grupo del que se hereda esta situación:

Lo que está claro es que si teníamos asignadas las licencias individualmente y ahora se asignan por la pertenencia a un grupo de Azure AD, se están asignado doblemente dichas licencias. No quiere decir que se estén asignado 2 licencias a un mismo usuario.

¿Como se realiza la transición desde una situación a otra?

Para pasar de la licencia directa a la basada en grupos, todo lo que tenemos que hacer es eliminar la asignación de licencia directa. Esto es tan simple como seleccionar uno o aquellos usuarios a los que se les haya asignado un tipo específico de licencia, y luego hacer clic en el botón Eliminar. Cuidado, como siempre hay que tenerlo cuando se desasignan licencias, permisos, servicios, etc.

2 ¿Que ocurre con la acumulación de licencias?.

Esta situación es de 1+1. Si un usuario pertenece a un grupo ZZZ_O365_Licen_E3, que tiene 9/13 caracterísitcas asignadas y también pertenece a otro grupo ZZZO365_Licen_Teams que tiene 1/13 asignadas, pues se realiza la suma, obteniendo 10/13 funcionalidades.

3 Limitaciones a tener en cuenta.

  • Repetir lo comentado. Si a un usuario se le asigna una licencia por membresia de grupo y directamente consume una única licencia.
  • Las licencias asignadas por membresia de grupo se gestionan desde el portal de Azure. Las licencias asignadas desde el portal de Office 365 se gestionan desde éste portal.
  • La eliminación de un usuario de un grupo de licencias dará lugar a que los servicios de Office 365 se queden una etapa “suspendida” en lugar de “desactivada”, sobre todo para evitar la pérdida de datos.
  • Otro detalle a tener en cuenta es que aunque las asignaciones de licencias nuevas y modificaciones surten efecto en minutos (por ejemplo, habilitar Teams en una asignación de licencia existente), hay situaciones en las que una licencia no se asignará automáticamente, por ejemplo, si se tienen más miembros en un grupo que licencias disponibles o por asignaciones de licencias conflicto. Las notificaciones del portal de Azure nos aconsejarán sobre cómo solucionar los problemas, indicándonos que tendremos un botón Reproceso disponible para volver a aplicar las asignaciones una vez los hayamos resuelto.

Links de interes

Para más información sobre el conjunto de características de administración de licencias mediante grupos, consulte los artículos siguiente

Llevo con este post desde antes de verano para publicarlo. Espero que os guste y os ayude. Un abrazo, comienza Noviembre!!!!

Un abrazo,

También te podría gustar...