In kleinen Umgebungen bis 25 Usern ist die Zuweisung von Lizenzen in einer Microsoft 365 Umgebung vielleicht noch machbar, aber dann sollte man sich andere Möglichkeiten suchen, die Lizenzierung bestenfalls zu automatisieren. Dies sollte ebenfalls in einem hybriden Kontext funktionieren, so dass wir IT Admins weniger Arbeit haben. Aber schauen wir uns dies einmal genauer an:
Azure AD group-based license nun GA
Viele von uns nutzen dieses Angebot schon, es war aber immer in der Preview und ist erst gestern GA, also GA geworden. Somit ist es nun nach dem Wörding stabil und nutzbar. Aber was weißt das nun eigentlich?
Das Prinzip ist erstmal leicht erklärt:
Wir synchronisieren Sicherheitsgruppen mit Azure AAD Connect zu Azure AD. Im Anschluss geben wir diesen Gruppen eine Lizenzierung. Dies bewirkt, dass jeder Nutzer in der Gruppe eine Lizenz erhält. Der Lizenzpool wird über die Gruppe gesteuert und ihr könnt genau angeben, auch aus Paketen, welche Lizenzen den Nutzern in der Gruppe zugewiesen werden sollen.
Dieser doch zeitliche Vorteil, wenn ihr keine automatisierten PowerShell Skripte nutzt, ist erheblich. Dies könnt ihr in Zukunft auch mit den „dynamic Groups“ verbinden, so dass auch die User aus der Gruppe automatisch rein und wieder rausgebucht werden. Entsprechende Demos gab es auf der diesjährigen Ignite.
Neuerungen mit GA
- Die Developer-APIs in Microsoft Graph, mit der ihr gruppenbasierte Lizenzzuweisungen für Gruppen programmgesteuert lesen können, sowie programmgesteuert den Status und Fehler von Zuweisungen ermitteln können.
- Möglichkeit, gruppenbasierte Lizenzzuweisungen für einen einzelnen Benutzer erneut zu bearbeiten und wieder zu verändern.
- Vereinfachte Lizenzanforderungen für gruppenbasierte Lizenzen. Benutzer, die auf gruppenbasierte Lizenzierung ausgerichtet sind, benötigen Azure Active Directory (Azure AD) Basic (und höher) oder Office 365 E3/A3 (und höher).
Lizenzierung Neuigkeiten
Die Neuigkeit, die mich nun doch etwas überraschte und auch freute, ist die dass ihr das Feature nun auch mit Azure AD Basic (Office365) einsetzen könnt. Früher benötigt ihr hierfür leider eine Azure AD Premium P1 Lizenz …
Quelle: https://azure.microsoft.com/en-us/pricing/details/active-directory/
Dokumentation
https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/licensing-groups-assign
https://docs.microsoft.com/de-de/azure/active-directory/fundamentals/active-directory-licensing-whatis-azure-portal
Wunsch für die Zukunft – Azure AD Group Verschachtelung
Ein definitiver Wunsch für die Zukunft ist die Einführung von Verschachtelungen von Azure AD Gruppen, so dass man ähnlich der lokalen AD Abhängigkeiten aufbauen kann. Dies würde sehr viel vereinfachen, so dass man User dann in eine Gruppe schiebt, die dann eine spezielle Berechtigung und auch eine spezielle Lizenzzuweisung enthält.