Wenn Benutzerkonten mittels Azure AD Connect zu synchronisiert werden, wird in der Standardeinstellung keine Microsoft 365 (vormals Office 365) Lizenz zugewiesen. In der Standardeinstellung muss also manuell eine entsprechende Lizenz zugewiesen werden, damit die Benutzer die Services von Microsoft 365 nutzen können.
Dieser Prozess lässt sich allerdings auch automatisch durchführen. Damit Benutzern automatisch eine Microsoft 365 Lizenz zugewiesen wird, müssen zunächst die Synchronisierungsregeln von Azure AD Connect angepasst werden, damit das erforderliche Attribut “usageLocation” gesetzt wird. Die eigentliche Lizenz lässt sich dann einfach mittels einer Gruppe zuweisen.
Hier gibt es nun ein kleines HowTo wie dies funktioniert.
Eingehende Synchronisationsregel
Zunächst wird eine neue eingehende Synchronisationsregel erstellt:
Die neue Regel bekommt nun einen Namen und am besten auch eine sprechende Beschreibung. Als “Connected System” wird das verbundene lokale Active Directory angegeben.Die restlichen Einstellungen können dem folgenden Screenshot entnommen werden:
Die Einstellungen für “Scoping filter” und “Join rules” müssen nicht angepasst werden. Unter “Transformations” muss die folgende Einstellung definiert werden:
- Flow Type: Expression
- Target Attribute: usageLocation
- Merge Type: Update
Als Source kann die folgende Regel verwendet werden:
1
|
IIF(IsNullOrEmpty(
), "DE" ,
) |
Diese Regel weißt nun jedem Benutzer die Usage Location Deutschland (DE) zu, wenn das AD Attribut “c” leer ist:
Die neue Regel bewirk nun das Benutzerkonnten bei denen das AD-Attribut “c” nicht explizit angegeben wurde, den Standort “Deutschland” verwenden:
Die Usage Location ist für das Zuweisen der Lizenzen erforderlich. Die Einstellungen des lokalen ADs werden nicht verändert, diese Einstellung wirkt sich nur auf den Datensatz in der Azure AD Connect Datenbank aus.
Ausgehende Synchronisationsregel
Damit nun die Usage Location nun auch in der Azure AD übertragen wird, ist noch eine ausgehende Synchronisierungsregel erforderlich:
Hier wird als “Connected System” nun das Azure AD ausgewählt. Die restlichen Einstellungen können dem folgenden Screenshot entnommen werden:
Die Einstellungen für “Scoping filter” und “Join rules” müssen nicht angepasst werden. Es ist nur eine neue Transformationsregel mit den folgenden Einstellungen nötig:
- FlowType: DIrect
- TargetAttribute: usageLocation
- Source: usageLocation
- MergeType: Update
Nachdem die Regeln angelegt wurde, kann ein Full Sync mittels Azure AD Connect durchgeführt werden.
Lizenz via Gruppe zuweisen
Nachdem die Usage Location mit den Synchronisierungsregeln gesetzt wurde, kann nun mittels einer Gruppe automatisch eine Lizenz an Benutzer zugewiesen werden. Im Azure Active Directory Admin Center muss dazu der Punkt “Lizenzen” ausgewählt werden:
Jetzt wird die Lizenz ausgewählt, welche mittells einer Gruppe an die Benutzer zugewiesen werden soll, In diesem Fall ist es ein E3 Plan:
Im letzten Schritt kann eine Gruppe und die entsprechenden Features ausgewählt werden.
Alle Mitglieder der Gruppe erhalten nun eine entsprechende Lizenz.
Die Syntax in Textform ist falsch (Eckige Klammern fehlen):
IIF(IsNullOrEmpty(
),
„DE“
,
)
#############Aus dem Screenshot: #############
IIF(IsNullOrEmpty([c]),“DE“,[c])
Ausprobiert, und direkt über einen kleinen Fehler gestolpert:
Im Script-Block für die Source fehlt das Attribut [c]
Hallo
wird automatisch eine Lizenz im Portal käuflich erworben wenn ein neuer Benutzer in der AD hinzukommt und alle Lizenzen bereits vergeben sind?
Hallo Hans Peter,
nein, du musst die Lizenz manuell bestellen.
LG
Kann ich auch nur bestätigen.
Hab das Attribut bis jetzt nie gesetzt und funktioniert trotzdem. Was ich mir evtl. vorstellen könnte wäre, dass mit dem Attribut der Standort angegeben wird, den man bei der Lizenzvergabe ändern kann.
Wegen der AAD P1 Lizenzen: meine zwar auch sowas in der Richtung gelesen zu haben… hab aber auch Kunden, bei dene das Funktioniert und die keine AAD P1 haben… Außer die Funktion wird nicht mehr Deaktiviert, wenn man mal E3- E5-Plane getestet hat…
Damit Benutzern automatisch eine Microsoft 365 Lizenz zugewiesen wird, müssen zunächst die Synchronisierungsregeln von Azure AD Connect angepasst werden, damit das erforderliche Attribut “usageLocation” gesetzt wird.
Das setzen wir definitiv nicht :-)
Lizenzzuweisung über Gruppen funktioniert trotzdem ohne Probleme.
Hi Frank,
coole Anleitung, wie immer einfach gedacht.. :)
Das Zuweisen der Lizenzen benötigt doch AAD Premium1 oder hat sich das geändert?
Lg
Sebastian
Hallo franky,
zum einen kann ich mich auch nicht mehr daran erinnern, dass wir das Attribut so umständlich setzen mussten.
das andere: Office365 ist weiterhin richtig, Microsoft365 heißen vor allem die kleineren Versionen für Private (und ggf kleien Firmen). Wir können also wie gewohnt O365 schreiben, ich hatte den gleichen Denkfehler gemacht :)
LG
Maximilian
Guten Morgen,
vielen Dank für den Artikel.
Was ich aber nicht verstehe was hat denn das Attribut “usageLocation” damit zu tun? Welche Aufgabe übernimmt das, damit der User seine Lizenz erhält? Im Azure erstellst du doch jetzt nur eine Regel wie ein User, welcher Mitglied der Gruppe X ist die Lizenz erhält.
Zudem die Frage, wie kommt der User denn automatisch in diese Gruppe rein bzw. welche Gruppe verwendest du denn da?
Könntest du vielleicht darauf nochmal näher eingehen damit man den Hintergrund deiner Konfig besser verstehen kann?
Vielen dank
Grüße
Marcus