Bei Nutzung der gruppenbasierten Zuweisung von Microsoft 365 Lizenzen via Entra ID, kann es zu einem spannenden Phänomen kommen.
Das folgende Fehlerbild trat in einer Kundenumgebung auf, als ein Administrator versuchte, eine lokale und synchronisierte Active Directory Sicherheitsgruppe zu löschen, die in Entra ID für die Zuweisung von Lizenzen verwendet wurde. Die Sicherheitsgruppe selbst enthielt keine Mitgliederkonten mehr. Sie war somit, aus Sicht der Administratoren, nicht mehr in Nutzung und konnte gelöscht werden.
Das Problem
Entra ID Connect versuchte nun, die Löschung der Gruppe auch in Richtung Entra ID umzusetzen. Im Entra ID Connect Service Client wird jedoch ein completed-export-errors Status für den Export in Richtung Entra ID protokolliert, wie er im folgenden Screenshot zu sehen ist.
In diesem Fall wird der Fehler für zwei Gruppenobjekte protokolliert. Eine Detailansicht des Fehlers zeigt:
Unable to delete the group because there is a product license assigned to the group. To delete this group, remove any product licenses first.
Der Fehler als Screenshot:
Der folgende Screenshot zeigt die betroffene Gruppe in der Entra ID-Lizenzverwaltung. Beim Versuch die Gruppe zu löschen, wird nur eine sehr generische Fehlermeldung angezeigt.
Die JSON-Fehler hilft uns in dem Fall weiter:
{"errorCode":"LicenseAssignmentError",
"localizedErrorDetails":null,
"operationResults":[{"objectId":"df1363b6-f077-4408-af23-941ff82306e7",
"displayName":"O365_E3_FULL_AUDIOCONF_PHONESYSTEM",
"status":0,
"details":"2"}],
"timeStampUtc":"2021-12-19T16:08:27.0596207Z",
"clientRequestId":"57980b0f-4938-4615-a51f-f8394da3801a",
"internalTransactionId":"23e85640-7cf8-4acf-8aaa-4b96300a2bab",
"tenantId":"xxxxxxxx-3975-4157-9f31-ef7d7c8b068a",
"userObjectId":"xxxxxxxx-3fa7-4eff-9fdd-4fddef73328f",
"exceptionType":"AggregateException"}
Die Fehlermeldung besagt:
- Fehler bei Lizenzvorgang. Stellen Sie sicher, dass “group” die notwendigen Dienste besitzt, bevor Sie einen abhängigen Dienst hinzufügen oder entfernen.
Das Problem ist, dass es unsichtbare Lizenzabhängigkeiten gibt, die erst bei nicht korrekter Bereinigung der gruppenbasierten Lizensierung sichtbar werden.
- Für den Dienst “Microsoft 365 Audio Conferencing” muss “Microsoft Teams, Skype for Business Online (Plan 2)” ebenfalls aktiviert sein.
- Für den Dienst “Microsoft 365 Phone System” muss “Microsoft Teams, Skype for Business Online (Plan 2)” ebenfalls aktiviert sein.
Lösung
Damit die synchronisierte Gruppe erfolgreich gelöscht werden konnte, musste zuerst die Referenzierung der Gruppe in der Entra ID-Lizenzverwaltung entfernt werden. Die Gruppe muss aus jedem Lizenzplan aus der Gruppenzuweisung entfernt werden, in dem sie verwendet wurde. Erst dann darf die Gruppe im lokalen Active Directory gelöscht werden.
Viel Spaß mit Microsoft 365.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
