Microsoft 365: Benutzern automatisch eine Lizenz zuweisen

Wenn Benutzerkonten mittels Azure AD Connect zu synchronisiert werden, wird in der Standardeinstellung keine Microsoft 365 (vormals Office 365) Lizenz zugewiesen. In der Standardeinstellung muss also manuell eine entsprechende Lizenz zugewiesen werden, damit die Benutzer die Services von Microsoft 365 nutzen können.

Dieser Prozess lässt sich allerdings auch automatisch durchführen. Damit Benutzern automatisch eine Microsoft 365 Lizenz zugewiesen wird, müssen zunächst die Synchronisierungsregeln von Azure AD Connect angepasst werden, damit das erforderliche Attribut “usageLocation” gesetzt wird. Die eigentliche Lizenz lässt sich dann einfach mittels einer Gruppe zuweisen.

Hier gibt es nun ein kleines HowTo wie dies funktioniert.

Eingehende Synchronisationsregel

Zunächst wird eine neue eingehende Synchronisationsregel erstellt:

Microsoft 365: Inbound synchronization rule

Die neue Regel bekommt nun einen Namen und am besten auch eine sprechende Beschreibung. Als “Connected System” wird das verbundene lokale Active Directory angegeben.Die restlichen Einstellungen können dem folgenden Screenshot entnommen werden:

Microsoft 365: Inbound synchronization rule

Die Einstellungen für “Scoping filter” und “Join rules” müssen nicht angepasst werden. Unter “Transformations” muss die folgende Einstellung definiert werden:

  • Flow Type: Expression
  • Target Attribute: usageLocation
  • Merge Type: Update

Als Source kann die folgende Regel verwendet werden:

1
IIF(IsNullOrEmpty(),"DE",)

Diese Regel weißt nun jedem Benutzer die Usage Location Deutschland (DE) zu, wenn das AD Attribut “c” leer ist:

Microsoft 365: Inbound synchronization rule

Die neue Regel bewirk nun das Benutzerkonnten bei denen das AD-Attribut “c” nicht explizit angegeben wurde, den Standort “Deutschland” verwenden:

Microsoft 365: Inbound synchronization rule

Die Usage Location ist für das Zuweisen der Lizenzen erforderlich. Die Einstellungen des lokalen ADs werden nicht verändert, diese Einstellung wirkt sich nur auf den Datensatz in der Azure AD Connect Datenbank aus.

Ausgehende Synchronisationsregel

Damit nun die Usage Location nun auch in der Azure AD übertragen wird, ist noch eine ausgehende Synchronisierungsregel erforderlich:

Microsoft 365: Outbound synchronization rule

Hier wird als “Connected System” nun das Azure AD ausgewählt. Die restlichen Einstellungen können dem folgenden Screenshot entnommen werden:

Microsoft 365: Outbound synchronization rule

Die Einstellungen für “Scoping filter” und “Join rules” müssen nicht angepasst werden. Es ist nur eine neue Transformationsregel mit den folgenden Einstellungen nötig:

  • FlowType: DIrect
  • TargetAttribute: usageLocation
  • Source: usageLocation
  • MergeType: Update

Microsoft 365: Outbound synchronization rule

Nachdem die Regeln angelegt wurde, kann ein Full Sync mittels Azure AD Connect durchgeführt werden.

Lizenz via Gruppe zuweisen

Nachdem die Usage Location mit den Synchronisierungsregeln gesetzt wurde, kann nun mittels einer Gruppe automatisch eine Lizenz an Benutzer zugewiesen werden. Im Azure Active Directory Admin Center muss dazu der Punkt “Lizenzen” ausgewählt werden:

Azure AD: Linzenz per Gruppe zuweisen

Jetzt wird die Lizenz ausgewählt, welche mittells einer Gruppe an die Benutzer zugewiesen werden soll, In diesem Fall ist es ein E3 Plan:

Azure AD: Linzenz per Gruppe zuweisen

Im letzten Schritt kann eine Gruppe und die entsprechenden Features ausgewählt werden.

Azure AD: Linzenz per Gruppe zuweisen

Alle Mitglieder der Gruppe erhalten nun eine entsprechende Lizenz.

9 thoughts on “Microsoft 365: Benutzern automatisch eine Lizenz zuweisen”

  1. Die Syntax in Textform ist falsch (Eckige Klammern fehlen):

    IIF(IsNullOrEmpty(

    ),
    „DE“
    ,

    )

    #############Aus dem Screenshot: #############

    IIF(IsNullOrEmpty([c]),“DE“,[c])

    Reply
  2. Ausprobiert, und direkt über einen kleinen Fehler gestolpert:
    Im Script-Block für die Source fehlt das Attribut [c]

    Reply
  3. Hallo
    wird automatisch eine Lizenz im Portal käuflich erworben wenn ein neuer Benutzer in der AD hinzukommt und alle Lizenzen bereits vergeben sind?

    Reply
  4. Kann ich auch nur bestätigen.
    Hab das Attribut bis jetzt nie gesetzt und funktioniert trotzdem. Was ich mir evtl. vorstellen könnte wäre, dass mit dem Attribut der Standort angegeben wird, den man bei der Lizenzvergabe ändern kann.
    Wegen der AAD P1 Lizenzen: meine zwar auch sowas in der Richtung gelesen zu haben… hab aber auch Kunden, bei dene das Funktioniert und die keine AAD P1 haben… Außer die Funktion wird nicht mehr Deaktiviert, wenn man mal E3- E5-Plane getestet hat…

    Reply
  5. Damit Benutzern automatisch eine Microsoft 365 Lizenz zugewiesen wird, müssen zunächst die Synchronisierungsregeln von Azure AD Connect angepasst werden, damit das erforderliche Attribut “usageLocation” gesetzt wird.

    Das setzen wir definitiv nicht :-)
    Lizenzzuweisung über Gruppen funktioniert trotzdem ohne Probleme.

    Reply
  6. Hi Frank,

    coole Anleitung, wie immer einfach gedacht.. :)
    Das Zuweisen der Lizenzen benötigt doch AAD Premium1 oder hat sich das geändert?

    Lg
    Sebastian

    Reply
  7. Hallo franky,

    zum einen kann ich mich auch nicht mehr daran erinnern, dass wir das Attribut so umständlich setzen mussten.

    das andere: Office365 ist weiterhin richtig, Microsoft365 heißen vor allem die kleineren Versionen für Private (und ggf kleien Firmen). Wir können also wie gewohnt O365 schreiben, ich hatte den gleichen Denkfehler gemacht :)

    LG
    Maximilian

    Reply
  8. Guten Morgen,
    vielen Dank für den Artikel.
    Was ich aber nicht verstehe was hat denn das Attribut “usageLocation” damit zu tun? Welche Aufgabe übernimmt das, damit der User seine Lizenz erhält? Im Azure erstellst du doch jetzt nur eine Regel wie ein User, welcher Mitglied der Gruppe X ist die Lizenz erhält.
    Zudem die Frage, wie kommt der User denn automatisch in diese Gruppe rein bzw. welche Gruppe verwendest du denn da?
    Könntest du vielleicht darauf nochmal näher eingehen damit man den Hintergrund deiner Konfig besser verstehen kann?
    Vielen dank
    Grüße
    Marcus

    Reply

Leave a Comment