Wenn Benutzerkonten mittels Azure AD Connect zu synchronisiert werden, wird in der Standardeinstellung keine Microsoft 365 (vormals Office 365) Lizenz zugewiesen. In der Standardeinstellung muss also manuell eine entsprechende Lizenz zugewiesen werden, damit die Benutzer die Services von Microsoft 365 nutzen können.
Dieser Prozess lässt sich allerdings auch automatisch durchführen. Damit Benutzern automatisch eine Microsoft 365 Lizenz zugewiesen wird, müssen zunächst die Synchronisierungsregeln von Azure AD Connect angepasst werden, damit das erforderliche Attribut “usageLocation” gesetzt wird. Die eigentliche Lizenz lässt sich dann einfach mittels einer Gruppe zuweisen.
Hier gibt es nun ein kleines HowTo wie dies funktioniert.
Eingehende Synchronisationsregel
Zunächst wird eine neue eingehende Synchronisationsregel erstellt:
Die neue Regel bekommt nun einen Namen und am besten auch eine sprechende Beschreibung. Als “Connected System” wird das verbundene lokale Active Directory angegeben.Die restlichen Einstellungen können dem folgenden Screenshot entnommen werden:
Die Einstellungen für “Scoping filter” und “Join rules” müssen nicht angepasst werden. Unter “Transformations” muss die folgende Einstellung definiert werden:
- Flow Type: Expression
- Target Attribute: usageLocation
- Merge Type: Update
Als Source kann die folgende Regel verwendet werden:
|
1
|
IIF(IsNullOrEmpty(),"DE",) |
Diese Regel weißt nun jedem Benutzer die Usage Location Deutschland (DE) zu, wenn das AD Attribut “c” leer ist:
Die neue Regel bewirk nun das Benutzerkonnten bei denen das AD-Attribut “c” nicht explizit angegeben wurde, den Standort “Deutschland” verwenden:
Die Usage Location ist für das Zuweisen der Lizenzen erforderlich. Die Einstellungen des lokalen ADs werden nicht verändert, diese Einstellung wirkt sich nur auf den Datensatz in der Azure AD Connect Datenbank aus.
Ausgehende Synchronisationsregel
Damit nun die Usage Location nun auch in der Azure AD übertragen wird, ist noch eine ausgehende Synchronisierungsregel erforderlich:
Hier wird als “Connected System” nun das Azure AD ausgewählt. Die restlichen Einstellungen können dem folgenden Screenshot entnommen werden:
Die Einstellungen für “Scoping filter” und “Join rules” müssen nicht angepasst werden. Es ist nur eine neue Transformationsregel mit den folgenden Einstellungen nötig:
- FlowType: DIrect
- TargetAttribute: usageLocation
- Source: usageLocation
- MergeType: Update
Nachdem die Regeln angelegt wurde, kann ein Full Sync mittels Azure AD Connect durchgeführt werden.
Lizenz via Gruppe zuweisen
Nachdem die Usage Location mit den Synchronisierungsregeln gesetzt wurde, kann nun mittels einer Gruppe automatisch eine Lizenz an Benutzer zugewiesen werden. Im Azure Active Directory Admin Center muss dazu der Punkt “Lizenzen” ausgewählt werden:
Jetzt wird die Lizenz ausgewählt, welche mittells einer Gruppe an die Benutzer zugewiesen werden soll, In diesem Fall ist es ein E3 Plan:
Im letzten Schritt kann eine Gruppe und die entsprechenden Features ausgewählt werden.
Alle Mitglieder der Gruppe erhalten nun eine entsprechende Lizenz.