Lizenzen für Microsoft 365 mittels PowerShell zuweisen

In den meisten Fällen sollen die User durch die Mitgliedschaft in einer lokalen Active Directory-Gruppe automatisch eine Lizenz in Microsoft 365 erhalten. Dies ist möglich, wenn die entsprechende Gruppe über Azure Active Directory Connect (AAD Connect) nach Microsoft 365 synchronisiert wurde.

Im ersten Schritt muss man erwartungsgemäß mit PowerShell eine Verbindung zu Microsoft 365 herstellen. Wie man dabei vorgeht, beschreibt diese Anleitung.

Vorhandene Lizenzen abfragen

Nun wird man sich einen Überblick verschaffen wollen, welche Lizenzen denn überhaupt zur Verfügung stehen. Dies geht mit dem Cmdlet

Get-AzureADSubscribedSku

Wenn man prüfen möchte, wie viele Lizenzen aus dem Kontingent bereits vergeben sind, dann kann man dies mit folgendem Befehl erfragen:

Get-AzureADSubscribedSku |
Select -Property Sku*,ConsumedUnits -ExpandProperty PrepaidUnits

Des Weiteren kann man auch für einzelne Benutzer die jeweils zuge­wiesene Lizenz ermitteln. Wichtig hierbei ist immer die so genannte SkuID. Die SKUPartNumber, unter welcher der normale Paket- bzw. Lizenzname steht, hilft leider hier nicht weiter.

Get-AzureADUser -objectid cb5e0cb0-b07a-482f-bb4d-3ade2426b7e9 |
Select -ExpandProperty AssignedLicenses

Jetzt kann man anhand der SkuID heraus­finden, um welches Lizenzpaket es sich dabei handelt:

Get-AzureADSubscribedSku |
Where {$_.SkuId -eq "29a2f828-8f39-4837-b8ff-c957e86abe3c"}

Es gibt hierzu allerdings noch einen anderen Weg, welcher zeigt, welche Features einer Lizenz für einen User aktiviert wurden. In vielen Umgebungen sind nämlich aus verschiedenen Gründen die Lizenzen nicht immer in vollem Umfang zugeteilt.

Get-AzureADUser -objectid cb5e0cb0-b07a-482f-bb4d-3ade2426b7e9 |
Select -ExpandProperty AssignedPlans

In diesem Fall sind alle Features der Lizenz beim User aktiviert, wie die Spalte CapabilityStatus anhand des Werts Enabled zeigt.

Mit diesen Informationen könnte man bereits einem User eine Lizenz zuweisen:

$userUPN = "<USERUPN, wobei auch die ObjectID verwendet werden kann>" $planName="TEAMS_COMMERCIAL_TRIAL" $License = New-Object -TypeName Microsoft.Open.AzureAD.Model.AssignedLicense $License.SkuId = (Get-AzureADSubscribedSku | Where-Object -Property SkuPartNumber -eq $planName ).SkuID $LicensesToAssign = New-Object -TypeName Microsoft.Open.AzureAD.Model.AssignedLicenses $LicensesToAssign.AddLicenses = $License Set-AzureADUserLicense -ObjectId $userUPN -AssignedLicenses $LicensesToAssign

Oftmals soll aber, wie erwähnt, eine Lizenz nicht in vollem Umfang zur Verfügung gestellt werden, da gewisse Funktionen im Unter­nehmen noch nicht implementiert sind oder der User sie schlicht nicht nutzen darf.

Hier wäre es gut zu wissen, wie die einzelnen Programm­abschnitte, welche in der Lizenz enthalten sind, heißen (zum Beispiel: Sharepoint, Teams, Exchange etc.). Dies kann folgender Befehl herausfinden:

(Get-AzureADSubscribedSku |
where {$_.SkuPartNumber –eq 'TEAMS_COMMERCIAL_TRIAL'}).ServicePlans

Wichtig ist hier eigentlich nur die Spalte ServicePlaneName.

Für die granulare Zuweisung finde ich persönlich das alte MSOnline-Modul einfacher:

$SkuPartNumber="TEAMS_COMMERCIAL_TRIAL" $planList=@("YAMMER_ENTERPRISE","SWAY","POWERAPPS_O365_P1","STREAM_O365_E1",` "FLOW_O365_P1","SHAREPOINTWAC","POWERAPPS_O365_P1",` "POWER_VIRTUAL_AGENTS_O365_P1","CDS_O365_P1","SHAREPOINTDESKLESS") $licenseOptions = New-MsolLicenseOptions -AccountSkuId $SkuPartNumber ` -DisabledPlans $planList Set-MsolUserLicense -UserPrincipalName $users.EmailAddress ` -AddLicenses $accountSkuId -ErrorAction SilentlyContinue Set-MsolUserLicense -UserPrincipalName $users.EmailAddress ` -LicenseOptions $licenseOptions -ErrorAction SilentlyContinue

Lizenz entziehen

Irgendwann muss einem User natürlich auch wieder die Lizenz entzogen werden. Sollte es sich um ein Offboarding handeln, so kann man das Konto einfach in AAD Connect aus der Synchronisation zum Azure AD entfernen und seine Lizenz wird dann automatisch wieder freigegeben.

Wenn jedoch ein User mehrere Lizenzen besitzt und ihm eine davon weggenommen werden soll, dann kann man folgendermaßen vorgehen:

$userUPN = <UPN des Users> $License = New-Object -TypeName Microsoft.Open.AzureAD.Model.AssignedLicense $License.SkuId = "29a2f828-8f39-4837-b8ff-c957e86abe3c" $LicensesToAssign = New-Object -TypeName Microsoft.Open.AzureAD.Model.AssignedLicenses $LicensesToAssign.AddLicenses = @() $LicensesToAssign.RemoveLicenses = $License.SkuId Set-AzureADUserLicense -ObjectId $UserUPN -AssignedLicenses $LicensesToAssign

Den Erfolg des Befehls kann man wie folgt kontrollieren:

Get-AzureADUser -ObjectId $UserUPN |
Select -ExpandProperty AssignedPlans

Er bestätigt, dass die Lizenz dem Benutzer nun entzogen worden ist.