Licencování Microsoft Entra
Tento článek popisuje možnosti licencování produktové řady Microsoft Entra. Je určená pro pracovníky s rozhodovací pravomocí v oblasti zabezpečení, správce identit a přístupu k síti a it specialistům, kteří zvažují řešení Microsoft Entra pro své organizace.
Možnosti licencování Entra
Microsoft Entra je k dispozici v několika možnostech licencování, které vám umožní zvolit balíček, který nejlépe vyhovuje vašim potřebám.
Poznámka:
Možnosti licencování na této stránce nejsou vyčerpávající. Podrobné informace o různých možnostech najdete na stránce s cenami Microsoft Entra a na stránce Porovnání plánů Microsoft 365 Enterprise a cen.
Microsoft Entra ID Free – součástí cloudových předplatných Microsoftu, jako jsou Microsoft Azure, Microsoft 365 a další.
Microsoft Entra ID P1 – Microsoft Entra ID P1 je k dispozici jako samostatný produkt nebo je součástí Microsoftu 365 E3 pro podnikové zákazníky a Microsoft 365 Business Premium pro malé až střední firmy.
Microsoft Entra ID P2 – Microsoft Entra ID P2 je k dispozici jako samostatný produkt nebo je součástí Microsoftu 365 E5 pro podnikové zákazníky.
Microsoft Entra Suite – Sada kombinuje produkty Microsoft Entra za účelem zabezpečení přístupu pro vaše zaměstnance. Umožňuje správcům poskytovat zabezpečený přístup odkudkoli k libovolné aplikaci nebo prostředku bez ohledu na to, jestli je cloud nebo místní, a zároveň zajistit přístup s nejnižšími oprávněními. Vyžaduje se předplatné Microsoft Entra ID P1. Sada Microsoft Entra zahrnuje pět produktů:
- Soukromý přístup Microsoft Entra
- Internetový přístup Microsoft Entra
- Zásady správného řízení Microsoft Entra ID
- Ochrana Microsoft Entra ID
- Ověřené ID Microsoft Entra (prémiové funkce)
Zřizování aplikací
Proxy aplikace Microsoft Entra vyžaduje licence Microsoft Entra ID P1 nebo P2. Další informace o licencování najdete v tématu o cenách Microsoft Entra.
Ověřování
Následující tabulka uvádí funkce, které jsou k dispozici pro ověřování v různých verzích MICROSOFT Entra ID. Naplánujte si potřeby zabezpečení přihlašování uživatelů a určete, který přístup splňuje tyto požadavky. I když například Microsoft Entra ID Free poskytuje výchozí hodnoty zabezpečení s vícefaktorovým ověřováním, lze pro výzvu k ověření použít jenom Microsoft Authenticator, včetně textových a hlasových hovorů. Tento přístup může být omezením, pokud se nemůžete ujistit, že je v osobním zařízení uživatele nainstalovaný Authenticator.
| Funkce | Microsoft Entra ID Free – výchozí nastavení zabezpečení (povoleno pro všechny uživatele) | Microsoft Entra ID Free – pouze globální správci | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Ochrana účtů správce tenanta Microsoft Entra pomocí vícefaktorového ověřování | ✅ | ✅ (Pouze účty globálního správce Microsoft Entra) | ✅ | ✅ | ✅ |
| Mobilní aplikace jako druhý faktor | ✅ | ✅ | ✅ | ✅ | ✅ |
| Telefonní hovor jako druhý faktor | ✅ | ✅ | ✅ | ||
| SMS jako druhý faktor | ✅ | ✅ | ✅ | ✅ | |
| Kontrola nad metodami ověřování správcem | ✅ | ✅ | ✅ | ✅ | |
| Výstraha podvodů | ✅ | ✅ | |||
| Sestavy MFA | ✅ | ✅ | |||
| Vlastní přivítání pro telefonní hovory | ✅ | ✅ | |||
| ID vlastního volajícího pro telefonní hovory | ✅ | ✅ | |||
| Důvěryhodné IP adresy | ✅ | ✅ | |||
| Zapamatovat MFA pro důvěryhodná zařízení | ✅ | ✅ | ✅ | ✅ | |
| MFA pro místní aplikace | ✅ | ✅ | |||
| Podmíněný přístup | ✅ | ✅ | |||
| Podmíněný přístup podle rizika | ✅ | ||||
| Samoobslužné resetování hesla (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| Samoobslužné resetování hesla se zpětným zápisem | ✅ | ✅ |
Spravované identity
Neexistují žádné licenční požadavky pro používání spravovaných identit pro prostředky Azure. Spravované identity pro prostředky Azure poskytují automaticky spravovanou identitu pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra. Jednou z výhod používání spravovaných identit je, že nemusíte spravovat přihlašovací údaje a je možné je bez dalších poplatků použít. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure?
Zásady správného řízení Microsoft Entra ID
Následující tabulka uvádí licenční požadavky pro funkce zásad správného řízení Microsoft Entra ID. Microsoft Entra Suite obsahuje všechny funkce zásad správného řízení ID Microsoft Entra. Následující tabulka obsahuje informace o licencování a ukázkové scénáře licencí pro správu nároků, kontroly přístupu a pracovní postupy životního cyklu.
Funkce podle licence
Následující tabulka ukazuje, jaké funkce jsou k dispozici pro jednotlivé licence. Ne všechny funkce jsou dostupné ve všech cloudech; Viz dostupnost funkcí Microsoft Entra pro Azure Government.
Správa nároků
Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace. Některé funkce v této funkci můžou fungovat s předplatným Microsoft Entra ID P2.
Ukázkové scénáře licencí
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které potřebujete.
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Správce zásad správného řízení identit ve společnosti Woodgrove Bank vytváří počáteční katalogy. Jedna ze zásad určuje, že všichni zaměstnanci (2 000 zaměstnanců ) můžou požádat o konkrétní sadu přístupových balíčků. 150 zaměstnanců žádá o přístupové balíčky. | 2 000 zaměstnanců, kteří mohou požádat o přístupové balíčky | 2 000 |
| Správce zásad správného řízení identit ve společnosti Woodgrove Bank vytváří počáteční katalogy. Jedna ze zásad určuje, že všichni zaměstnanci (2 000 zaměstnanců ) můžou požádat o konkrétní sadu přístupových balíčků. 150 zaměstnanců žádá o přístupové balíčky. | 2 000 zaměstnanců potřebuje licence. | 2 000 |
| Správce zásad správného řízení identit ve společnosti Woodgrove Bank vytváří počáteční katalogy. Vytvoří zásady automatického přiřazení, které všem členům prodejního oddělení (350 zaměstnanců) udělí přístup ke konkrétní sadě přístupových balíčků. K přístupovým balíčkům se automaticky přiřadí 350 zaměstnanců. | 350 zaměstnanců potřebuje licence. | 351 |
Kontroly přístupu
Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace, včetně všech zaměstnanců, kteří kontrolují přístup nebo mají kontrolu přístupu. Některé funkce v této funkci můžou fungovat s předplatným Microsoft Entra ID P2.
Ukázkové scénáře licencí
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které potřebujete.
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Správce vytvoří kontrolu přístupu skupiny A s 75 uživateli a 1 vlastníkem skupiny a přiřadí vlastníka skupiny jako revidujícímu. | 1 licence pro vlastníka skupiny jako revidujícím a 75 licencí pro 75 uživatelů. | 76 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli a 3 vlastníky skupin a přiřadí 3 vlastníky skupin jako revidujících. | 500 licencí pro uživatele a 3 licence pro každého vlastníka skupiny jako revidujících. | 503 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli. Dělá to samohodnocením. | 500 licencí pro každého uživatele jako samoobslužní kontroloři | 500 |
| Správce vytvoří kontrolu přístupu skupiny C s 50 členy uživatelů. Dělá to samohodnocením. | 50licencích | 50 |
| Správce vytvoří kontrolu přístupu skupiny D se 6 členy. Dělá to samohodnocením. | 6licencích Nejsou potřeba žádné další licence. | 6 |
Pracovní postupy životního cyklu
S licencemi zásad správného řízení Microsoft Entra ID pro pracovní postupy životního cyklu můžete:
- Vytváření, správa a odstraňování pracovních postupů až do celkového limitu 50 pracovních postupů
- Aktivace na vyžádání a plánovaného spuštění pracovního postupu
- Správa a konfigurace existujících úkolů pro vytváření pracovních postupů, které jsou specifické pro vaše potřeby.
- Vytvořte až 100 vlastních rozšíření úloh, která se budou používat ve vašich pracovních postupech.
Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace.
Ukázkové scénáře licencí
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Správce pracovních postupů životního cyklu vytvoří pracovní postup pro přidání nových zaměstnanců do marketingového oddělení do skupiny Marketingové týmy. 250 nových zaměstnanců je přiřazeno skupině marketingových týmů prostřednictvím tohoto pracovního postupu jednou. Dalších 150 nových zaměstnanců je přiřazeno skupině marketingových týmů prostřednictvím tohoto pracovního postupu později ve stejném roce. | 1 licence pro správce pracovních postupů životního cyklu a 400 licencí pro uživatele. | 401 |
| Správce pracovních postupů životního cyklu vytvoří pracovní postup, který předem zprovozní skupinu zaměstnanců před posledním dnem zaměstnání. Rozsah uživatelů, kteří budou předem zprovozněni, je 40 uživatelů jednou. Zprovozníme 40 licencovaných uživatelů. Teď můžeme tyto 40 licencí znovu přiřadit a později v roce přiřadit 10 dalších licencí, aby bylo možné předem připojit 50 dalších uživatelů. | 50 licencí pro uživatele a 1 licenci pro správce pracovních postupů životního cyklu. | 51 |
Microsoft Entra Connect
Tato funkce je bezplatná a součástí předplatného Azure.
Stav služby Microsoft Entra Connect
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Podmíněný přístup Microsoft Entra
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Zákazníci s licencemi Microsoft 365 Business Premium mají přístup i k funkcím podmíněného přístupu.
Zásady založené na rizicích vyžadují přístup k Microsoft Entra ID Protection, což je funkce Microsoft Entra ID P2.
Microsoft Entra Suite zahrnuje všechny funkce podmíněného přístupu Microsoft Entra.
Jiné produkty a funkce, které by mohly komunikovat se zásadami podmíněného přístupu, vyžadují pro tyto produkty a funkce odpovídající licencování.
Pokud vyprší platnost licencí vyžadovaných pro podmíněný přístup, zásady se automaticky nezablokují ani neodstraní. To zákazníkům umožňuje migrovat ze zásad podmíněného přístupu bez náhlé změny stavu zabezpečení. Zbývající zásady se dají zobrazit a odstranit, ale už se neaktualizují.
Výchozí nastavení zabezpečení pomáhá chránit před útoky souvisejícími s identitou a jsou k dispozici pro všechny zákazníky.
Microsoft Entra Domain Services
Využití služby Microsoft Entra Domain Services se účtuje za hodinu na základě skladové položky vybrané vlastníkem tenanta.
Externí ID Microsoftu
Základní funkce externího ID microsoftu Entra jsou zdarma pro prvních 50 000 aktivních uživatelů měsíčně. Další informace o licencování najdete v nejčastějších dotazech k externímu ID.
Ochrana Microsoft Entra ID
Použití této funkce vyžaduje licence Microsoft Entra ID P2. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
| Schopnost | Detaily | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra Suite |
|---|---|---|---|---|---|
| Zásady rizik | Zásady rizik přihlašování a uživatelů (prostřednictvím podmíněného přístupu) | No | No | Ano | Yes |
| Sestavy zabezpečení | Přehled | No | No | Ano | Yes |
| Sestavy zabezpečení | Rizikoví uživatelé | Omezené informace. Zobrazují se jenom uživatelé se středním a vysokým rizikem. Žádné podrobnosti o zásuvce ani historii rizik. | Omezené informace. Zobrazují se jenom uživatelé se středním a vysokým rizikem. Žádné podrobnosti o zásuvce ani historii rizik. | Úplný přístup | Ano |
| Sestavy zabezpečení | Riziková přihlášení | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Omezené informace. Nezobrazují se žádné podrobnosti o riziku ani úroveň rizika. | Úplný přístup | Ano |
| Sestavy zabezpečení | Detekce rizik | No | Omezené informace. Zásuvka bez podrobností. | Úplný přístup | Ano |
| Oznámení | Upozornění na zjištěné ohrožené uživatele | No | No | Ano | Yes |
| Oznámení | Týdenní přehled | No | No | Ano | Yes |
| Zásady registrace MFA | No | No | Ano | Yes |
Internetový přístup Microsoft Entra
Microsoft Entra Přístup k Internetu je k dispozici samostatně nebo jako součást sady Microsoft Entra Suite.
Monitorování a stav Microsoft Entra
Požadované role a licence se liší v závislosti na sestavě. Pro přístup k datům monitorování a stavu v Microsoft Graphu se vyžadují samostatná oprávnění. K zajištění souladu s pokyny k nulová důvěra (Zero Trust) doporučujeme použít roli s přístupem s nejnižšími oprávněními. Úplný seznam rolí najdete v tématu Nejméně privilegované role podle úlohy.
| Protokol / sestava | Role | Licence |
|---|---|---|
| Protokoly auditu | Čtenář sestav Čtenář zabezpečení Správce zabezpečení |
Všechny edice Microsoft Entra ID |
| Protokoly přihlašování | Čtenář sestav Čtenář zabezpečení Správce zabezpečení |
Všechny edice Microsoft Entra ID |
| Protokoly zřizování | Čtenář sestav Čtenář zabezpečení Správce aplikace Správce cloudových aplikací |
Microsoft Entra ID P1 nebo P2 |
| Protokoly auditu vlastních atributů zabezpečení* | Správce protokolu atributů Čtenář protokolu atributů |
Všechny edice Microsoft Entra ID |
| Zdravotnictví | Čtenář sestav Čtenář zabezpečení Správce helpdesku |
Microsoft Entra ID P1 nebo P2 |
| Microsoft Entra ID Protection** | Správce zabezpečení Operátor zabezpečení Čtenář zabezpečení Globální čtenář |
Microsoft Entra ID zdarma Aplikace Microsoft 365 Microsoft Entra ID P1 nebo P2 |
| Protokoly aktivit Microsoft Graphu | Správce zabezpečení Oprávnění pro přístup k datům v odpovídajícím cíli protokolu |
Microsoft Entra ID P1 nebo P2 |
| Přehledy a využití | Čtenář sestav Čtenář zabezpečení Správce zabezpečení |
Microsoft Entra ID P1 nebo P2 |
*Zobrazení vlastních atributů zabezpečení v protokolech auditu nebo vytvoření nastavení diagnostiky pro vlastní atributy zabezpečení vyžaduje jednu z rolí protokolu atributů. K zobrazení standardních protokolů auditu potřebujete také příslušnou roli.
**Úroveň přístupu a možností pro Microsoft Entra ID Protection se liší podle role a licence. Další informace najdete v licenčních požadavcích pro SLUŽBU ID Protection.
Správa oprávnění Microsoft Entra
Správa oprávnění podporuje všechny prostředky ve službách Amazon Web Services (AWS), Microsoft Azure a Google Cloud Platform, ale vyžaduje jenom licence na fakturovatelné prostředky.
Soukromý přístup Microsoft Entra
Soukromý přístup Microsoft Entra je k dispozici samostatně nebo jako součást sady Microsoft Entra Suite.
Microsoft Entra Privileged Identity Management
Pokud chcete používat Microsoft Entra Privileged Identity Management, musí mít tenant platnou licenci. Licence musí být také přiřazeny správcům a příslušným uživatelům. Tento článek popisuje licenční požadavky pro použití Privileged Identity Managementu. Pokud chcete používat Privileged Identity Management, musíte mít jednu z následujících licencí:
Platné licence pro PIM
K používání PIM a všech jeho nastavení potřebujete licence zásad správného řízení Microsoft Entra ID nebo licence Microsoft Entra ID P2. V současné době můžete nastavit obor kontroly přístupu na instanční objekty s přístupem k Microsoft Entra ID, rolím prostředků s Microsoft Entra ID P2 nebo uživatelům s edicí Zásad správného řízení ID Microsoft Entra aktivní ve vašem tenantovi. Model licencování pro instanční objekty bude finalizován pro obecnou dostupnost této funkce a může být vyžadováno více licencí.
Licence, které musíte mít pro PIM
Ujistěte se, že váš adresář má licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID pro následující kategorie uživatelů:
- Uživatelé s oprávněnými přiřazeními a/nebo časovými omezeními k ID Microsoft Entra nebo rolím Azure spravovaným pomocí PIM
- Uživatelé s oprávněnými přiřazeními a/nebo časově svázanými přiřazeními jako členové nebo vlastníci PIM pro skupiny
- Uživatelé, kteří můžou žádosti o aktivaci v PIM schválit nebo odmítnout
- Uživatelé přiřazení ke kontrole přístupu
- Uživatelé, kteří provádějí kontroly přístupu
Ukázkové scénáře licencí pro PIM
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které potřebujete.
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Společnost Woodgrove Bank má 10 správců pro různá oddělení a 2 správce privilegovaných rolí, kteří konfigurují a spravují PIM. Získají nárok na pět správců. | Pět licencí pro správce, kteří mají nárok | 5 |
| Grafický design Institute má 25 správců, z nichž 14 se spravuje prostřednictvím PIM. Aktivace role vyžaduje schválení a existují tři různí uživatelé v organizaci, kteří můžou schvalovat aktivace. | 14 licencí pro oprávněné role + tři schvalovatelé | 17 |
| Společnost Contoso má 50 správců, z nichž 42 se spravuje prostřednictvím PIM. Aktivace role vyžaduje schválení a v organizaci je pět různých uživatelů, kteří můžou aktivaci schválit. Společnost Contoso také měsíčně kontroluje uživatele přiřazené k rolím správců a revidujícím uživatelům, jejichž šest není v rolích správců spravovaných nástrojem PIM. | 42 licencí pro oprávněné role + pět schvalovatelů + šest revidujících | 53 |
Když vyprší platnost licence pro PIM
Pokud vyprší platnost zkušební licence microsoft Entra ID P2, Zásady správného řízení MICROSOFT Entra ID nebo zkušební licence, funkce Privileged Identity Management už nebudou ve vašem adresáři dostupné:
- Trvalé přiřazení rolí k rolím Microsoft Entra nebudou ovlivněna.
- Služba Privileged Identity Management v Centru pro správu Microsoft Entra a rutiny rozhraní Graph API a rozhraní PowerShell služby Privileged Identity Management už nebudou uživatelům k dispozici k aktivaci privilegovaných rolí, správě privilegovaného přístupu nebo provádění kontrol přístupu privilegovaných rolí.
- Oprávnění přiřazení rolí Microsoft Entra se odeberou, protože uživatelé už nemůžou aktivovat privilegované role.
- Všechny probíhající kontroly přístupu rolí Microsoft Entra končí a nastavení konfigurace Privileged Identity Management se odeberou.
- Privileged Identity Management už neodesílá e-maily o změnách přiřazení rolí.
Ověřené ID Microsoft Entra
Ověřené ID Microsoft Entra je součástí libovolného předplatného Microsoft Entra ID, včetně bezplatného Microsoft Entra ID, bez dalších poplatků. Základní funkce ověřeného ID pomáhají organizacím:
- Ověřte a vydejte přihlašovací údaje organizace pro všechny atributy jedinečné identity.
- Posílení vlastnictví digitálních přihlašovacích údajů koncovým uživatelům a lepší viditelnost
- Snížení rizika organizace a zjednodušení procesu auditu
- Vytvářejte bezserverové aplikace zaměřené na uživatele, které používají přihlašovací údaje ověřeného ID.
Ověřené ID Microsoft Entra také nabízí funkci Kontrola tváře jako prémiovou funkci, která je k dispozici jako doplněk a je součástí sady Microsoft Entra Suite (omezeno na 8 kontrol tváří na uživatele měsíčně).
ID úlohy Microsoft Entra
Microsoft Entra ID úloh podporuje identity aplikací a principy služeb v Azure a vyžaduje licence na identitu úloh za měsíc.
Víceklientských organizací
Ve zdrojovém tenantovi: Použití této funkce vyžaduje licence Microsoft Entra ID P1. Každý uživatel, který je synchronizovaný se synchronizací mezi tenanty, musí mít ve svém domovském nebo zdrojovém tenantovi licenci P1. Pokud chcete najít správnou licenci pro vaše požadavky, podívejte se na plány Microsoft Entra ID a ceny.
V cílovém tenantovi: Synchronizace mezi tenanty spoléhá na model fakturace Microsoft Entra Externí ID. Vysvětlení modelu licencování externích identit najdete v tématu Fakturační model MAU pro Microsoft Entra Externí ID. K povolení automatického odstranění potřebujete také alespoň jednu licenci Microsoft Entra ID P1 v cílovém tenantovi.
Všechny funkce víceklientských organizací jsou součástí sady Microsoft Entra.
Řízení přístupu na základě role
Použití předdefinovaných rolí v Microsoft Entra ID je zdarma. Použití vlastních rolí vyžaduje licenci Microsoft Entra ID P1 pro každého uživatele s vlastním přiřazením role. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.
Role
Jednotky pro správu
Použití jednotek pro správu vyžaduje licenci Microsoft Entra ID P1 pro každého správce jednotek pro správu, který má přiřazené role adresáře v oboru jednotky pro správu, a licenci Microsoft Entra ID Free pro každého člena jednotky pro správu. Vytváření jednotek pro správu je k dispozici s licencí Microsoft Entra ID Free. Pokud používáte pravidla pro dynamické skupiny členství pro jednotky pro správu, každý člen jednotky pro správu vyžaduje licenci Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.
Omezené jednotky pro správu
Omezené jednotky pro správu vyžadují licenci Microsoft Entra ID P1 pro každého správce jednotek pro správu a licence Microsoft Entra ID Free pro členy jednotek pro správu. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.
Funkce ve verzi Preview
Informace o licencování pro všechny funkce, které jsou aktuálně ve verzi Preview, najdete tady, pokud je to možné. Další informace o funkcích preview najdete v tématu Funkce Microsoft Entra ID Preview.