Автоматизация назначения лицензий Azure в Microsoft Azure

Одной из задач, требующих много времени и внимания со стороны операционной группы, является процесс назначения лицензий при перемещении пользователей в облако Microsoft, особенно потому, что задействовано множество лицензий и служб. Хотя я видел некоторые компании, предлагающие это как управляемые услуги, Microsoft Azure предлагает отличную функцию, которая позволяет любой компании автоматизировать лицензии Azure на основе групп Active Directory. Если это ваш случай, вы можете сэкономить немного денег, просто включив эту функцию. В этой статье мы рассмотрим несколько способов назначения разрешений вручную, а затем выполним несколько шагов, необходимых для того, чтобы сделать это автоматически.

Управление лицензиями Azure вручную

Существует несколько способов назначить лицензии Azure в Azure и Office 365 с помощью веб-консоли, мобильных приложений и интерфейсов командной строки.

Самый простой способ — использовать Microsoft Azure, так что давайте поступим так. Войдите на портал Azure, щелкните Azure Active Directory, щелкните Пользователи и группы, щелкните Все пользователи, и справа отобразится список всех пользователей. Нажмите на нужного пользователя.

В новой колонке все элементы слева будут связаны с выбранным пользователем. Мы видим имя пользователя в верхнем левом углу текущего блейда. Щелкните Лицензии.

Будет показан список всех лицензий, назначенных этому пользователю. Лицензия может включать в себя одну или несколько служб. В случае текущего пользователя все службы (три из трех) включены.

Если мы хотим добавить новую лицензию пользователю с помощью Azure Portal, нажмите + Assign. Вы увидите новую колонку, требующую двух частей информации: будут отображаться продукты и параметры назначения. В колонке будет указан список всех продуктов, назначенных вашей подписке (приобретенных или пробных). Выберите один или несколько и нажмите Выбрать.

В колонке »: включите все службы, которые будут частью этого назначения, и нажмите «Выбрать и сохранить».

Если мы хотим узнать, какие службы являются частью уже назначенной лицензии, просто дважды щелкните по ней из списка. Появится новый блейд со списком всех служб для этого конкретного пользователя. Мы можем изменять услуги с помощью кнопок » и в любое время. Чтобы сохранить информацию для этого конкретного пользователя, нажмите Сохранить.

Если у вас есть Office 365 как часть вашей подписки, лицензией также можно управлять из Центра администрирования Office 365. Нажмите «Пользователи», «Активные пользователи», дважды щелкните нужного пользователя, а затем нажмите «Изменить», расположенную в разделе ».

Используйте переключатели включения/выключения для управления лицензиями, как показано на рисунке ниже. Таким же образом можно управлять всеми службами под любой данной лицензией.

Если вам не хочется использовать веб-интерфейс или даже интерфейс командной строки, Office 365 также позволяет управлять мобильными устройствами, и мы хотели бы отметить, что вы можете назначать лицензии на лету, что является отличной функцией.

Чтобы назначить лицензии с помощью мобильного приложения, загрузите и выполните аутентификацию в приложении Office 365 Admin. На странице нажмите «Пользователи», выберите пользователя из списка и нажмите «Назначить лицензию». На новой странице включите лицензии и службы, которые вы хотите использовать для пользователя, и нажмите «Готово» после завершения. Если вы измените какую-либо лицензию, вы увидите диалоговое окно, информирующее о статусе изменения (успешно или нет).

Автоматизация процесса лицензирования

Когда мы начинаем планировать автоматизацию процессов, первое, что нужно сделать, — это быть последовательными и создать пуленепробиваемый (или максимально приближенный к нему) дизайн для нашего нового решения. Это может быть простое решение, подобное теме этой статьи, или полноценный сервис.

Наша первая цель — создать группы Active Directory для поддержки лицензирования — нам нужно упростить работу операционной группы, где они должны иметь возможность просто назначать любого данного пользователя в группу, а наш процесс будет назначать лицензии автоматически.

Первым шагом является создание соглашения об именах. В этой статье мы создадим префикс для всех групп, связанных с лицензией Azure AD, и назовем его AZLic. После этого мы будем использовать строку для определения лицензионного пакета (который может быть E1, E3, ADPremium, EOP, ATP и т. д.), а третья часть имени будет одним из следующих исходных вариантов: , , или . Целью этой последней группы является объединение сервисов определенного пакета лицензий.

Вот несколько примеров моей логики соглашения об именах. Пожалуйста, не стесняйтесь применять свои в своей среде, и вы можете оставить комментарий с некоторыми идеями, чтобы поделиться с остальным сообществом.

• AZLic-E1-Standard: Эта группа назначит только несколько услуг для лицензии E1. Предположим, что мы определяем, что это только Exchange Online, Flow и Planner как часть пакета.
• AZLic-E1-Premium: Эта группа будет назначать все услуги из лицензии E1 (около 14 услуг).

В предлагаемом соглашении об именах у нас может быть группа для каждой лицензии. В некоторых компаниях это может быть не очень хорошей идеей, поскольку они могут захотеть сгруппировать несколько лицензий в одну группу. Для такого сценария простое имя группы, например , может назначать группе службы из разных лицензий Azure.

Наш второй шаг — создать структуру Active Directory и создать начальные группы. Мы собираемся создать корневую организационную единицу под названием Global Services и дочернюю организационную единицу под названием Azure Licenses. Все группы, связанные с этой лицензией, будут храниться в этом месте.

Примечание. Если вы фильтруете подразделения для синхронизации с Azure AD, убедитесь, что это новое расположение подразделения добавлено в процесс синхронизации.

После того, как процесс синхронизации состоится, мы можем перейти на портал Azure. Щелкните элемент Azure Active Directory слева. В новой колонке нажмите «Лицензии», а затем нажмите «Все продукты». Отобразится список, содержащий все лицензии, доступные для текущей подписки. У нас есть три столбца, которые могут помочь администратору контролировать распределение: и .

Создадим автоматическое назначение для нашей группы AZLic-E1-Standard. Установите флажок Office 365 Business Premium и нажмите Назначить. В новой колонке выбираем группу, которая к настоящему моменту синхронизирована, и в оставляем только основные службы, которые мы определили ранее (Exchange Online, Flow и Planner). Нажмите «Применить» и подождите несколько минут, пока процесс не завершится.

Вернитесь в область лицензий на уровне Azure AD. (Существует лицензия на уровне пользователя, но это не та, которую мы ищем в данный момент.) Мы можем щелкнуть любую лицензию в списке, и у нас будет два варианта: Лицензированные пользователи, которые отобразят все пользователи, которым назначена текущая лицензия, и , где мы можем видеть, откуда исходит лицензия.

Если вы попытаетесь удалить или управлять лицензией на уровне пользователя, назначенной группой, вы не сможете этого сделать. Это делает процесс согласованным для управления большим количеством пользователей, которые должны полагаться на членство в группе для получения надлежащего назначения лицензии.

Если мы внесем некоторые изменения в лицензию/услуги для определенной группы, мы всегда сможем получить свойства группы. В разделе «Лицензия» у нас будет кнопка «Повторно обработать », которая устранит любые проблемы с лицензией, которые могут возникнуть у ваших конечных пользователей.

После настройки и связывания групп с необходимыми доступными лицензиями Azure группа эксплуатации может назначить пользователей Active Directory в группу, и лицензия будет применена автоматически.