グループのメンバーに入れたら、自動でMicrosoft 365 のライセンスを割り当てる(グループベースのライセンス割り当て)

11/29/2020

Azure AD Microsoft 365

 Office365のライセンス割り当てを手作業で実施している組織もあると思います。数十ぐらいまでなら手作業でも管理できなくもないのですが、3桁超えてくるとちょっとキツくなってくる印象です。

何かのグループに入れたら、自動でライセンスをライセンスを割り当てる、という機能があるのですがこれを使えると結構便利です。

また、手元の作業でトラブルに引っかかった箇所があったので、自分の備忘を兼ねてまとめてみました。

1.概要
2.手順
3.制限

1.機能の概要

「特定のグループのメンバーには、ライセンスを割り当てる」という機能です。Office365系ライセンスや、PowerPlatformsのユーザーライセンスでも利用できるようです。

特定のライセンスを割り当てることだけでも便利です。さらに、スマートフォンをIntune管理しているときなどに、「条件付きアクセスで利用するグループ」に「グループベースのライセンスの自動付与」も設定しておけば、管理がラクになりそうです。

ライセンスの自動割り当てには、「セキュリティグループ」「メールが可能なセキュリティグループ」の2つが利用可能です。

(配布リスト、Microsoft365グループでは利用できません)



2.手順

Azure AD 管理センターの、Azure Active Driectory - ライセンス - すべての製品、から適用したライセンスを選択し、

ライセンスされているグループ - 割り当て、を選んでグループを選択すればOKです。

ライセンスの一部だけを割り当てることも可能です。たとえば、EMS E3ライセンスのうち、IntuneとAzure AD P1だけ割り当てて残りは割り当てない、なんてことも可能です。


3.制限

これまでに私が引っかかったことを含めてまとめてみました。

- グループベースのライセンス割り当てで、特定のアプリを除外した場合、あとから直接そのライセンスを割り当てられない

例えば、あるグループにM365 F3 ライセンスを割り当てつつ、Exchange Online Kioskを除外していた場合、Exchange Online Kioskは割り当てられません。直接付与はもとより、Office 365 F3ライセンスを付与した場合でも、割り当てできませんでした。

- ネストされたグループには適用できない

入れ子になっているグループでは、ライセンスの自動付与は適用できない仕様のようです。グループベースのライセンス付与は、グループをそれぞれ指定する必要があります。

- AADP1あるいは、Office 365 E3 以上のライセンスが必要です。

Business だけ、Office 365 E1までのテナントでは、グループベースのライセンス割り当ては利用できません。



4.そのほか

Visual Studioもグループベースのライセンス割り当てが可能なようです。こちらは、Azure AD ポータルではなく、 Visual Studio 管理センターで設定すれば実現できるそうです。


5.参考資料

他にも細々ありますが、うまく使えば便利そう。運用効率あげるにはちょうどいいんじゃないでしょうか。

グループベースのライセンスとは - Azure Active Directory | Microsoft Docs

入れ子 (ネスト) グループへの権限付与について | Japan Azure Identity Support Blog (jpazureid.github.io)

Visual Studio サブスクリプションのライセンスをユーザーのグループに割り当てる | Microsoft Docs