Pular para o conteúdo principal

Laboratório de Troubleshooting: Manage licenses in Microsoft Entra ID

Cenários de Diagnóstico

Cenário 1 — Causa Raiz

Uma organização utiliza atribuição de licenças baseada em grupo no Microsoft Entra ID. O grupo GRP-M365-E3-Producao possui 340 membros e está associado ao produto Microsoft 365 E3 há seis meses sem problemas.

Na última semana, o time de suporte começou a receber reclamações de 12 usuários específicos que perderam acesso ao Microsoft Teams e ao SharePoint Online. Os demais 328 usuários do mesmo grupo não relataram nenhum problema.

O administrador verifica o portal do Microsoft Entra ID e encontra o seguinte estado para os 12 usuários afetados na aba de licenças:

Status: Error
Error type: CountViolation
Product: Microsoft 365 E3
Assigned via: GRP-M365-E3-Producao

O administrador também observa que, na mesma semana, a empresa realizou uma migração de diretório que moveu 15 contas de um tenant parceiro para o tenant principal. Dos 15 usuários migrados, 12 foram adicionados ao grupo GRP-M365-E3-Producao.

O inventário de licenças adquiridas do tenant mostra:

ProdutoLicenças adquiridasLicenças atribuídas
Microsoft 365 E3340352
Microsoft Entra ID P1500310
Microsoft 365 F35048

Qual é a causa raiz do problema observado?

A. As contas migradas do tenant parceiro possuem atributos de diretório incompatíveis com o grupo, impedindo que a atribuição seja processada corretamente.

B. O número de licenças atribuídas excede o número de licenças adquiridas para o produto Microsoft 365 E3, e o sistema não consegue completar a atribuição para os usuários mais recentemente adicionados ao grupo.

C. A migração de diretório corrompeu o token de sessão dos 12 usuários afetados, fazendo com que o serviço de licenciamento os trate como contas inválidas.

D. O grupo GRP-M365-E3-Producao atingiu o limite máximo de membros suportados para atribuição de licença baseada em grupo, e os usuários excedentes ficam sem licença.

Cenário 2 — Decisão de Ação

O administrador de um tenant identificou que o seguinte problema está ocorrendo: o grupo GRP-ENTRA-P2-PIM foi criado para distribuir licenças do Microsoft Entra ID P2 aos usuários que precisam usar o Microsoft Entra Privileged Identity Management (PIM). O grupo está corretamente configurado com a atribuição de licença baseada em grupo, e todos os 25 membros aparecem com status de licença Ativo no portal.

No entanto, ao tentar ativar uma função elegível no PIM, os 25 usuários recebem a mensagem abaixo:

You need an Azure AD Premium P2 license to use Privileged Identity Management.
Contact your administrator.

O ambiente possui as seguintes características:

  • Tenant em produção com 800 usuários ativos
  • Janela de manutenção disponível apenas aos domingos entre 02h e 04h
  • Os 25 usuários afetados são administradores de sistemas críticos que precisam ativar funções durante o horário comercial
  • O administrador possui permissão de Administrador Global no tenant

Qual é a ação correta a tomar neste momento?

A. Remover os usuários do grupo GRP-ENTRA-P2-PIM e recriar o grupo com o tipo de associação dinâmica, pois o PIM exige grupos dinâmicos para reconhecer a licença corretamente.

B. Aguardar a próxima janela de manutenção no domingo e então reprocessar a atribuição de licença do grupo por meio do portal do Microsoft Entra ID.

C. Atribuir a licença do Microsoft Entra ID P2 diretamente a cada um dos 25 usuários, mantendo ou removendo a atribuição via grupo conforme preferência administrativa.

D. Abrir um chamado no suporte da Microsoft para forçar a sincronização do estado de licença entre o serviço de atribuição de grupo e o serviço do PIM, pois trata-se de uma falha de propagação interna.

Cenário 3 — Causa Raiz

Uma empresa possui dois grupos de licenciamento configurados no Microsoft Entra ID:

GrupoProduto atribuído
GRP-VISIO-PLAN2Visio Plan 2
GRP-PROJECT-PLAN3Project Plan 3

Um novo funcionário, Carlos, foi adicionado a ambos os grupos simultaneamente pelo processo de onboarding automatizado. Após 30 minutos, o administrador verifica o status de licença de Carlos e encontra:

GRP-VISIO-PLAN2      -> Status: Active
GRP-PROJECT-PLAN3    -> Status: Error
Error type: MutuallyExclusiveViolation

O administrador investiga e confirma os seguintes fatos adicionais:

  • O tenant possui licenças disponíveis suficientes para ambos os produtos
  • Carlos não possui nenhuma outra licença atribuída diretamente
  • O departamento de Carlos possui 8 outros membros, todos com ambas as licenças ativas sem erro
  • O processo de onboarding de Carlos foi o primeiro a ser executado após uma atualização no script de automação

Qual é a causa raiz do problema observado?

A. O script de automação atualizado adicionou Carlos aos dois grupos em sequência muito rápida, e o serviço de licenciamento não conseguiu processar as duas atribuições simultâneas, gerando o erro temporariamente.

B. O Visio Plan 2 e o Project Plan 3 possuem um plano de serviço interno em comum que não pode ser ativado duas vezes no mesmo usuário, e a atualização do script introduziu uma ordem de adição que expõe esse conflito.

C. A conta de Carlos foi criada com um atributo de localização de uso ausente ou inválido, e sem esse atributo o sistema não consegue processar a segunda licença corretamente.

D. O limite de atribuições simultâneas por grupo foi atingido no grupo GRP-PROJECT-PLAN3 devido a outros onboardings ocorrendo em paralelo no mesmo momento.

Cenário 4 — Sequência de Diagnóstico

Um administrador recebe o seguinte relato: usuários de um departamento específico perderam acesso ao Exchange Online, mas o restante do tenant não foi afetado. Não houve mudanças manuais de licença reportadas.

Os passos de investigação disponíveis são:

  1. Verificar se o grupo de licenciamento associado ao produto Exchange Online ainda existe e se os usuários afetados continuam como membros
  2. Consultar os logs de auditoria do Microsoft Entra ID filtrando por operações de "Remove member from group" e "Change user license" nas últimas 48 horas
  3. Acessar o perfil de um usuário afetado e verificar o estado atual da licença, incluindo o tipo de erro se houver
  4. Confirmar se o número de licenças adquiridas para o produto ainda cobre o número de atribuições ativas no tenant
  5. Verificar se houve alteração recente na política de Microsoft Entra Conditional Access que possa estar bloqueando o acesso ao Exchange Online

Qual é a sequência de diagnóstico correta?

A. 5 -> 1 -> 3 -> 2 -> 4

B. 3 -> 1 -> 4 -> 2 -> 5

C. 2 -> 4 -> 1 -> 3 -> 5

D. 1 -> 3 -> 2 -> 4 -> 5

Gabarito e Explicações

Gabarito — Cenário 1

Resposta: B

A pista definitiva está na tabela de inventário: o produto Microsoft 365 E3 possui 340 licenças adquiridas e 352 licenças atribuídas. A diferença de 12 corresponde exatamente ao número de usuários afetados. O erro CountViolation confirma essa hipótese: o sistema detectou que não há assentos disponíveis para completar a atribuição dos usuários adicionados mais recentemente ao grupo.

A informação sobre a migração de diretório é relevante para entender o contexto temporal (por que o problema surgiu nessa semana), mas é uma informação de evento, não de causa. A causa não é a origem das contas, mas o desequilíbrio entre assentos adquiridos e atribuídos que a adição de 12 novos membros provocou.

Os distratores representam dois erros clássicos de diagnóstico:

  • A alternativa A foca na origem das contas migradas, confundindo evento com causa.
  • A alternativa C inventa uma consequência técnica inexistente (corrupção de token) para o evento de migração.
  • A alternativa D é factualmente falsa: não existe limite documentado de membros para grupos de licenciamento.

O distrator mais perigoso é A: agir com base nele levaria o administrador a investigar atributos de diretório e perder tempo, enquanto a solução real é adquirir licenças adicionais ou redistribuir o excedente.

Gabarito — Cenário 2

Resposta: C

O Microsoft Entra Privileged Identity Management requer que a licença do Microsoft Entra ID P2 seja atribuída diretamente ao usuário. Atribuição via grupo não é reconhecida pelo PIM para fins de elegibilidade de uso. Esse é um requisito de licenciamento documentado e específico do PIM, independente do status "Ativo" que aparece no portal de licenças.

A ação correta é atribuir a licença diretamente, e isso pode ser feito imediatamente, sem aguardar janela de manutenção. A restrição de janela de manutenção mencionada no enunciado é uma informação irrelevante para esta ação específica: atribuição direta de licença é uma operação não disruptiva que não exige manutenção.

  • A alternativa A é falsa: o tipo de associação do grupo (estática ou dinâmica) não altera o comportamento do PIM em relação ao licenciamento por grupo.
  • A alternativa B aplica uma restrição desnecessária ao usar a janela de manutenção para uma operação que não requer interrupção de serviço.
  • A alternativa D descreve uma ação de suporte para um problema que tem solução conhecida e aplicável imediatamente pelo administrador.

O distrator mais perigoso é B: aguardar a janela de manutenção significaria deixar 25 administradores de sistemas críticos sem acesso ao PIM durante dias.

Gabarito — Cenário 3

Resposta: B

O erro MutuallyExclusiveViolation indica conflito entre planos de serviço internos. O Visio Plan 2 e o Project Plan 3 compartilham um plano de serviço que não pode ser ativado duas vezes no mesmo usuário. A chave do diagnóstico está no fato de que os 8 colegas de Carlos possuem ambas as licenças ativas sem erro: isso elimina a hipótese de que o conflito é estrutural e universal entre os dois produtos.

A informação sobre a atualização do script de automação indica que algo mudou no processo. A hipótese mais coerente é que o script atualizado introduziu uma ordem ou configuração diferente na adição ao grupo, que expôs o conflito de plano de serviço que antes era tratado de forma diferente ou não ocorria.

A alternativa A é o distrator mais atraente, pois "velocidade de adição simultânea" parece uma causa técnica razoável. Mas MutuallyExclusiveViolation não é um erro transitório de concorrência: ele persiste e indica conflito de plano de serviço real.

A alternativa C é a informação irrelevante propositalmente incluída: o atributo de localização de uso ausente geraria um erro diferente (ProhibitedInUsageCountryViolation), não MutuallyExclusiveViolation.

O distrator mais perigoso é A: levaria o administrador a aguardar a resolução espontânea de um erro que não se resolverá por si só.

Gabarito — Cenário 4

Resposta: B

A sequência correta é 3 -> 1 -> 4 -> 2 -> 5, que segue a lógica de diagnóstico progressivo: do específico ao geral, do sintoma observável à causa sistêmica.

  • Passo 3 primeiro: confirmar o estado atual da licença do usuário afetado é o ponto de partida mais direto. O tipo de erro (se houver) direciona toda a investigação subsequente.
  • Passo 1 em seguida: verificar se o grupo ainda existe e se os usuários ainda são membros responde à causa mais comum de perda de licença em ambientes com licenciamento por grupo.
  • Passo 4: verificar a contagem de licenças disponíveis responde à segunda causa mais comum: CountViolation por esgotamento de assentos.
  • Passo 2: os logs de auditoria confirmam ou descartam mudanças não reportadas, com contexto histórico.
  • Passo 5 por último: verificar o Microsoft Entra Conditional Access só faz sentido depois de descartar causas de licenciamento, pois o Conditional Access não remove licenças, ele bloqueia acesso. Se o problema fosse de acesso condicional, a licença do usuário estaria ativa sem erro.

A alternativa A coloca o Conditional Access como primeiro passo, o que representa o erro de diagnóstico de focar no componente mais visível ao usuário final (bloqueio de acesso) antes de verificar a causa mais provável (licença ausente ou com erro).

Árvore de Troubleshooting: Manage licenses in Microsoft Entra ID

100%
Scroll para zoom · Arraste para mover · 📱 Pinch para zoom no celular

Legenda de cores:

  • Azul escuro: sintoma inicial, ponto de entrada da investigação
  • Azul: pergunta diagnóstica, nó de decisão com resposta verificável
  • Vermelho: causa identificada, raiz do problema confirmada
  • Verde: ação recomendada ou resolução aplicável
  • Laranja: verificação ou validação intermediária antes de decidir

Para usar esta árvore diante de um problema real, comece pelo nó raiz e responda cada pergunta com base no que é observável no portal do Microsoft Entra ID ou nos logs de auditoria. Não avance para a ação antes de confirmar a causa: o estado da licença no perfil do usuário e o tipo de erro reportado são as duas informações que mais rapidamente direcionam o diagnóstico para o caminho correto.