Dinamik grup üyeliği ile lisans yönetimi
Büyük ölçekli firmalarda veya çok sayıda lisans türüne sahip kuruluşlarda Microsoft 365 lisans yönetimi IT yöneticileri için takip etmesi zor bir konu haline gelebiliyor. Özellikle çalışan sirkülasyonu fazlaysa; işten ayrılandan lisansların kaldırılması, yeni gelene atanması, departmanlar veya ofisler arası geçişler gibi etkenler de bu basit gibi görünen işi yorucu hale getirebilir. Malum kurum içerisinde rapor ve sunumlarda, yaptığımız işin teknik tarafı diğer otoriteler için çok anlam ifade etmeyebiliyor fakat finansal tarafı çok şey ifade ediyor. Bugün birçok büyük kurum işin içinden çıkamadığı noktada lisans optimizasyonu için dışarıdan profesyonel destek almakta. Tabi ki bu noktaya gelmiş kurumlarda sadece lisans atama problemleri değil ihtiyaç karmaşaları da mevcut.
İşlerin bu noktaya gelmemesi için eğer Azure Active Directory Premium 1 veya üstü bir lisansınız varsa lisans yönetimini daha düzenli ve otomatize hale getirmek için Azure AD’nin size sunduğu Grup bazlı lisanslama modelini kullanabilirsiniz.
Bunun için ihtiyacımız olan bir Güvenlik grubu oluşturmak ve grup üyelik türünü Dinamik kullanıcı olarak belirlemek. Dinamik kullanıcı üyeliği için belirleyeceğimiz özellik ve değer ile eşleşen kullanıcılar bu gruba otomatik olarak üye olacak. Grup üyelerine atanacak lisansı da grup özelliklerinden belirlediğimiz için her gelen yeni üye otomatik olarak bu lisansa sahip olacak.
Bilmemiz gerekenler;
Bu özellikten faydalanacak her kullanıcı için Azure AD Premium 1 veya üstü bir lisansınız olması gerekir. Microsoft 365 E3 ve E5 gibi Azure AD Premium barındıran lisanslar da kullanılabilir.
Lokal Active Directory’den senkronize edilmiş güvenlik grupları da kullanılabilir.
Bir kullanıcı birçok lisans politikası içeren gruba üye olabilir veya grup lisanslaması yanı sıra bireysel olarak da lisanslanabilir. Kullanıcıya grup veya bireysel olarak aynı lisansların atanması durumunda bu yalnızca bir lisans olarak sayılır. Eğer atanan lisanslar farklı ise kullanıcı her birinin sağladığı yetenekleri kullanabilir.
Grup ile atanan lisanslar sadece grup lisans atama menüsünden düzenlenebilir veya kaldırılabilir.
Şimdi bu senaryo için bir örnek yapalım ve detaylara değinelim.
Aşağıda görebileceğiniz üzere Azure Active Directory üzerinden bir Güvenlik Grubu oluşturuyorum. Grup ismini de İzmirOfis olarak belirledim. Üyelik türü kısmında Dinamik kullanıcı seçeneğini seçtikten sonra Dinamik Sorguyu düzenle seçeneğine tıklayın.
Amacım İzmir Ofis çalışanlarına otomatik olarak Microsoft 365 E5 lisansı atamak olduğu için Dinamik üyelik için aradığım kriter de City yani şehir özelliğinin İzmir Değeri ile eşleşmesi. Eğer yeni veya var olan bir kullanıcının City (Şehir) kısmına İzmir değeri girilirse otomatik olarak bu grubun bir üyesi haline gelecektir.
Böylece bu ofis için seçtiğim lisans türünü kullanacaktır. Siz burada farklı bir özellik ve değer kullanabilirsiniz. Örneğin bu department veya Job title da olabilirdi.
Sonra Grup içerisinden Lisanslar başlığına ve Atamalar seçeneğine tıklayarak Microsoft 365 E5 lisansını seçiyorum.
Atanacak lisansı seçerken başındaki işaretleri kaldırarak belirli servisleri devre dışı bırakabilirsiniz.
Şimdi daha önce oluşturduğum Test İzmir kullanıcısına göz atalım. Kendisi Unlicensed yani lisanssız durumda.
Kullanıcının özelliklerine giriş yaparak City kısmını İzmir olarak güncelliyorum.
Değişikliği gerçekleştirdikten birkaç dakika sonra Test izmir kullanıcısı İzmirOfis grubunun bir üyesi haline geliyor.
Kullanıcıyı Microsoft 365 Admin Center>>Kullanıcılar>>Etkin Kullanıcılar başlığından tekrar kontrol ettiğimde artık Microsoft 365 E5 lisansına sahip olduğunu görüyorum.
Burada önemli bir detay var. Bakın kullanıcının üzerine tıklayıp Lisanslar ve Kullanıcılar başlığına giriş yapıyorum. Bireysel lisans atamalarında olduğu gibi lisansı kaldırma veya alt servisleri uygulamaları yönetme şansım olmadığını görüyorum. Bunun yerine bu lisansın grup bazlı bir atama ile sağlandığına ve buradan değişiklik yapılamadığına dair uyarı ile karşılaşıyorum. Eğer bu lisans ve alt servislerini yönetmek istiyorsanız az önce grup için lisans ataması yaptığımız kısımdan bu işlemi yönetebilirsiniz. Fakat bunu yaparsanız tüm grup üyelerine aynı lisans değişikliğini yansıtmış olursunuz.
Değinmek istediğim bir başka konu ise çakışmalar veya yetersiz lisans sayısı durumunda ne olduğu. Bu senaryolarda Grup içerisinde Lisanslar başlığına girdiğinizde şöyle bir uyarı alırsınız: X kullanıcıda lisans atama hataları var
Tıkladığımızda Hatanın en yaygın nedeni başlığında Yeterli lisans yok uyarısını görüyoruz. Burada problem, atanan lisansın kullanıcıya ait diğer lisanslar ile çakışması da olabilirdi. Örneğin Exchange Online Plan1 kullanan bir kullanıcıya Exchange Online Plan2 atamak gibi.
Son olarak dikkat etmemiz gereken iki konu bulunmakta;
– Grup bazlı lisanslama sadece güvenlik grubu ile çalışmaktadır. Microsoft 365 gruplarını kullanmak isterseniz SecurityEnabled=True değerine sahip olmalıdır.
– İçerisinde bir grup barındıran gruplarda bu özelliği kullanamazsınız. Daha doğrusu atanan lisans grubun içerisinde üye olarak bulunan alt gruba yansımaz.
Umarım bu yazı sayesinde lisans yönetimini daha kolay yönetilebilir hale getirebilirsiniz.
Eline sağlık.