Office 365 : affecter une licence en fonction d’un groupe AD
I. Présentation
Lorsque l'on gère un tenant Office 365 et que l'on synchronise les utilisateurs de son annuaire Active Directory on-premise avec Azure AD Connect, se pose la question de l'affectation des licences aux utilisateurs. En effet, l'outil Azure AD Connect va synchroniser vos comptes utilisateurs sur le tenant afin de les créer à l'identique en fonction des options de synchronisation, mais il n'y a pas d'options dans cet outil pour gérer les licences.
Il est alors possible d'attribuer manuellement les licences aux utilisateurs, mais c'est vite répétitif et chronophage... ou alors on peut affecter les licences Office 365 avec PowerShell afin d'automatiser la tâche. Enfin, le portail Azure offre la possibilité d'affecter une ou plusieurs licences à vos utilisateurs en fonction de l'appartenance à un groupe Active Directory. C'est ce que nous allons voir.
En bref, vous créez un groupe "Licence-Office365" sur votre annuaire local, et l'on va dire que tous les utilisateurs membres de ce groupe doivent avoir la licence Office 365 A1, par exemple. On peut avoir plusieurs groupes correspondants chacun à des licences/droits différents, il suffit ensuite d'affecter les utilisateurs à ces groupes.
Pour accéder au portail Azure, vous devez avoir l'une des licences suivantes comme le précise Microsoft sur son site :
- Azure AD Premium P1 ou supérieur
- Office 365 E3 pour l'entreprise
- Office 365 A3 pour l'Education
- Office 365 G3 pour le secteur public
II. Procédure
Sur le portail Microsoft Azure, connectez-vous avec un compte Administrateur général de votre tenant. Dans la zone de recherche, saisissez "Groups" et vous allez arriver sur cette page :
Dans la liste des groupes, recherchez celui qui correspond au groupe d'affectation de la licence. C'est-à-dire le groupe de référence pour l'affectation de la licence.
Note : si vous venez de créer le groupe dans votre annuaire local, pensez à relancer une synchronisation de votre Azure AD Connect pour voir apparaître le groupe sur le portail Azure.
Cliquez sur "Licenses" sur la gauche et ensuite sur "Assign".
Sélectionnez la ou les licences à affecter à ce groupe Active Directory. Validez.
Lorsque vous validez l'opération, il faut attendre quelques minutes avant que les changements soient opérationnels.
Il est tout à fait possible d'affecter une même licence à plusieurs groupes, mais ce qui est intéressant c'est d'avoir un groupe par licence comme ça vous gérez ensuite l'affectation directement au niveau de l'annuaire local. Quand vous créez un utilisateur, vous l'ajoutez directement au bon groupe pour qu'il hérite de la licence Office 365 adéquat.
Merci pour ce tuto, par contre cette gestion des licences par groupe AD ne nécessite pas un niveau de licence minimum coté azure?
Il y a effectivement des contraintes de licence qu’il serait judicieux de spécifier (à moins que cette limitation ai été modifiée) :
Exigences en termes de licence
Vous devez disposer d’une des licences suivantes pour utiliser les licences basées sur le groupe :
– Abonnement d’essai ou payant pour Azure AD Premium P1 et versions ultérieures
– Édition d’essai ou payante d’Office 365 Enterprise E3 ou Office 365 A3 ou Office 365 GCC G3 et versions ultérieures
https://docs.microsoft.com/fr-fr/azure/active-directory/fundamentals/active-directory-licensing-whatis-azure-portal#licensing-requirements
Bonsoir Yohann,
Je vais compléter l’article pour apporter des précisions sur les licences suite à ton commentaire. Sur un tenant « Education », cette option est disponible sans surcoût, ce qui était mon cas lorsque je l’ai utilisé à plusieurs fois.
Florian
Bonjour,
Pour le moment, je n’ai toujours pas eu la contrainte des licences nécessaires et ce depuis la preview de la fonctionnalité.
Cette fonctionnalité devrait vraiment être gratuite de base.
Bonjour,
Cette page m’a aidé à avancer sur ce sujet mais je rencontre un souci : je synchronise un AD local avec un compte M365 par AD Connect, et j’ai l’impression que les UO des comptes que je synchronise ne remontent pas (je ne les vois pas dans M365). De ce fait les comptes se retrouvent sans groupe, je ne peux donc pas appliquer la solution préconisée ici. Existe t’il un moyen de faire remonter les UO depuis l’AD local ou bien de faire en sorte que les comptes soient intégrés dans un groupe générique à la synchronisation dans M365 ?
Merci 🙂
Problème résolu, je n’avais pas synchronisé les groupes de sécurité dans lesquels se trouvent les comptes, une fois effectif je peux travailler dessus côté M365 et gérer les attributions de licences.
Si cela peut servir à quelqu’un 🙂
Bon j’ai trouvé ma solution, je n’avais pas synchronisé les groupes de sécurité où il y avaient les comptes, c’est désormais le cas et je peux travailler dessus côté M365 pour la gestion des licences. Si cela peut servir à quelqu’un 🙂
Bonjour,
Depuis le 1er Septembre, la gestion des licences a basculé vers le Centre d’administration M365. (https://learn.microsoft.com/fr-fr/entra/identity/users/licensing-admin-center)
Avez vous une idée de comment faire remonter les groupes dans cette partie d’Azure ?
Car j’ai bien les groupes dans Entra mais pas dans le le Centre d’administration M365, donc pas d’affectation des licences aux groupes possible.
Merci