Základy licencování zásad správného řízení pro Microsoft Entra ID
Tento následující dokument popisuje licencování zásad správného řízení pro Microsoft Entra ID. Je určen pro pracovníky s rozhodovací pravomocí v oblasti IT, správce IT a ODBORNÍKY v oblasti IT, kteří zvažují služby zásad správného řízení Microsoft Entra ID pro své organizace.
Typy licencí
Následující licence jsou k dispozici pro použití se zásadami správného řízení Microsoft Entra ID v komerčním cloudu. Volba licencí, které potřebujete v tenantovi, závisí na funkcích, které v daném tenantovi používáte.
- Bezplatná – součástí cloudových předplatných Microsoftu, jako jsou Microsoft Azure, Microsoft 365 a další.
- Microsoft Entra ID P1 – Microsoft Entra ID P1 je k dispozici jako samostatný produkt nebo je součástí Microsoftu 365 E3 pro podnikové zákazníky a Microsoft 365 Business Premium pro malé až střední firmy.
- Microsoft Entra ID P2 – Microsoft Entra ID P2 je k dispozici jako samostatný produkt nebo je součástí Microsoftu 365 E5 pro podnikové zákazníky.
- Zásady správného řízení ID Microsoft Entra – Zásady správného řízení ID Microsoft Entra jsou pokročilou sadou možností zásad správného řízení identit, které jsou k dispozici pro zákazníky s platformou Microsoft Entra ID P1 a P2. Zásady správného řízení ID Microsoft Entra jsou k dispozici jako tři produkty Microsoft Entra ID Governance, Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 a Microsoft Entra ID Governance step up for Microsoft Entra ID F2. Tyto tři produkty se liší pouze v jejich požadavcích; obsahují základní možnosti zásad správného řízení identit, které byly v Microsoft Entra ID P2, a další pokročilé možnosti zásad správného řízení identit.
Poznámka:
Některé scénáře zásad správného řízení MICROSOFT Entra ID je možné nakonfigurovat tak, aby závisely na dalších funkcích, které nejsou pokryty zásadami správného řízení Microsoft Entra ID. Tyto funkce můžou mít další licenční požadavky. Další informace o scénářích zásad správného řízení, které se spoléhají na další funkce, najdete v přehledu zásad správného řízení identit.
Produkty zásad správného řízení Microsoft Entra ID zatím nejsou dostupné v národních cloudech státní správy USA nebo USA.
Produkty a požadavky zásad správného řízení
Možnosti zásad správného řízení Microsoft Entra ID jsou v současné době k dispozici ve třech produktech v komerčním cloudu. Tyto tři produkty poskytují stejné možnosti zásad správného řízení identit. Rozdíl mezi třemi produkty spočívá v tom, že mají různé požadavky.
- Předplatné zásad správného řízení id Microsoft Entra, uvedené v podmínkách produktu jako licence Microsoft Entra ID Governance (USER SL), vyžaduje, aby tenant měl aktivní předplatné i k jinému produktu, který obsahuje
AAD_PREMIUMplán služby neboAAD_PREMIUM_P2plán služeb. Mezi příklady produktů, které splňují tento předpoklad, patří Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/G5/G5, Enterprise Mobility + Security E3/E5 nebo Microsoft 365 F1/F3. - Předplatné zásad správného řízení Microsoft Entra ID Krok up pro Microsoft Entra ID P2, uvedené v podmínkách produktu jako licence Zásad správného řízení Microsoft Entra ID P2 , vyžaduje, aby tenant měl také aktivní předplatné jiného produktu, který obsahuje
AAD_PREMIUM_P2plán služby. Mezi příklady produktů, které splňují tento předpoklad, patří Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security nebo Microsoft 365 F5 Security + Dodržování předpisů. - Předplatné zásad správného řízení Microsoft Entra ID Krok up pro Microsoft Entra ID F2, uvedené v podmínkách produktu jako licence Zásad správného řízení Microsoft Entra ID F2 , vyžaduje, aby tenant měl také aktivní předplatné jiného produktu, který obsahuje
AAD_PREMIUM_P2plán služby. Mezi příklady produktů, které splňují tento předpoklad, patří Microsoft Entra ID F2.
Názvy produktů a identifikátory plánů služeb pro licencování obsahují další produkty, které zahrnují požadované plány služeb.
Poznámka:
Předplatné předpokladu pro produkt zásad správného řízení Microsoft Entra ID musí být aktivní v tenantovi. Pokud předpoklad není k dispozici nebo vyprší platnost předplatného, nemusí scénáře zásad správného řízení id Microsoft Entra fungovat podle očekávání.
Pokud chcete zkontrolovat, jestli jsou v tenantovi k dispozici požadované produkty pro produkt zásad správného řízení Microsoft Entra ID, můžete k zobrazení seznamu produktů použít Centrum pro správu Microsoft Entra nebo Centrum pro správu Microsoftu 365.
Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
V nabídce Identita rozbalte položku Fakturace a vyberte Licence.
V nabídce Spravovat vyberte Licencované funkce. Informační panel označuje aktuální licenční plán Microsoft Entra ID.
Pokud chcete zobrazit existující produkty v tenantovi, vyberte v nabídce Spravovat všechny produkty.
Spuštění zkušební verze
Globální správce v tenantovi, který má odpovídající požadovaný produkt, například Microsoft Entra ID P1, už zakoupený a ještě nepoužívá nebo už zkušební verzi zásad správného řízení Microsoft Entra ID, může požádat o zkušební verzi zásad správného řízení Microsoft Entra ID ve svém tenantovi.
Přihlaste se k Centrum pro správu Microsoftu 365 jako globální správce.
V nabídce Fakturace vyberte Koupit služby.
Do pole Prohledat všechny kategorie produktů zadejte
"Microsoft Entra ID Governance".Výběrem možnosti Podrobnosti pod zásadami správného řízení microsoft Entra ID zobrazíte zkušební verzi a informace o nákupu produktu. Pokud má váš tenant Microsoft Entra ID P2, vyberte podrobnosti pod krokem zásad správného řízení Microsoft Entra ID pro Microsoft Entra ID P2.
Na stránce s podrobnostmi o produktu vyberte Spustit bezplatnou zkušební verzi.
Následující tabulka uvádí licenční požadavky pro funkce zásad správného řízení Microsoft Entra ID. Následující tabulka obsahuje informace o licencování a ukázkové scénáře licencí pro správu nároků, kontroly přístupu a pracovní postupy životního cyklu.
Funkce podle licence
Následující tabulka ukazuje, jaké funkce jsou k dispozici pro jednotlivé licence. Ne všechny funkce jsou dostupné ve všech cloudech; Viz dostupnost funkcí Microsoft Entra pro Azure Government.
Správa nároků
Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace. Některé funkce v této funkci můžou fungovat s předplatným Microsoft Entra ID P2.
Ukázkové scénáře licencí
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které potřebujete.
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Správce zásad správného řízení identit ve společnosti Woodgrove Bank vytváří počáteční katalogy. Jedna ze zásad určuje, že všichni zaměstnanci (2 000 zaměstnanců ) můžou požádat o konkrétní sadu přístupových balíčků. 150 zaměstnanců žádá o přístupové balíčky. | 2 000 zaměstnanců, kteří mohou požádat o přístupové balíčky | 2 000 |
| Správce zásad správného řízení identit ve společnosti Woodgrove Bank vytváří počáteční katalogy. Jedna ze zásad určuje, že všichni zaměstnanci (2 000 zaměstnanců ) můžou požádat o konkrétní sadu přístupových balíčků. 150 zaměstnanců žádá o přístupové balíčky. | 2 000 zaměstnanců potřebuje licence. | 2 000 |
| Správce zásad správného řízení identit ve společnosti Woodgrove Bank vytváří počáteční katalogy. Vytvoří zásady automatického přiřazení, které všem členům prodejního oddělení (350 zaměstnanců) udělí přístup ke konkrétní sadě přístupových balíčků. K přístupovým balíčkům se automaticky přiřadí 350 zaměstnanců. | 350 zaměstnanců potřebuje licence. | 351 |
Kontroly přístupu
Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace, včetně všech zaměstnanců, kteří kontrolují přístup nebo mají kontrolu přístupu. Některé funkce v této funkci můžou fungovat s předplatným Microsoft Entra ID P2.
Ukázkové scénáře licencí
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které potřebujete.
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Správce vytvoří kontrolu přístupu skupiny A s 75 uživateli a 1 vlastníkem skupiny a přiřadí vlastníka skupiny jako revidujícímu. | 1 licence pro vlastníka skupiny jako revidujícím a 75 licencí pro 75 uživatelů. | 76 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli a 3 vlastníky skupin a přiřadí 3 vlastníky skupin jako revidujících. | 500 licencí pro uživatele a 3 licence pro každého vlastníka skupiny jako revidujících. | 503 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli. Dělá to samohodnocením. | 500 licencí pro každého uživatele jako samoobslužní kontroloři | 500 |
| Správce vytvoří kontrolu přístupu skupiny C s 50 členy uživatelů. Dělá to samohodnocením. | 50licencích | 50 |
| Správce vytvoří kontrolu přístupu skupiny D se 6 členy. Dělá to samohodnocením. | 6licencích Nejsou potřeba žádné další licence. | 6 |
Pracovní postupy životního cyklu
S licencemi zásad správného řízení Microsoft Entra ID pro pracovní postupy životního cyklu můžete:
- Vytváření, správa a odstraňování pracovních postupů až do celkového limitu 50 pracovních postupů
- Aktivace na vyžádání a plánovaného spuštění pracovního postupu
- Správa a konfigurace existujících úkolů pro vytváření pracovních postupů, které jsou specifické pro vaše potřeby.
- Vytvořte až 100 vlastních rozšíření úloh, která se budou používat ve vašich pracovních postupech.
Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace.
Ukázkové scénáře licencí
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Správce pracovních postupů životního cyklu vytvoří pracovní postup pro přidání nových zaměstnanců do marketingového oddělení do skupiny Marketingové týmy. Prostřednictvím tohoto pracovního postupu se skupině Marketing teams přiřadí 250 nových zaměstnanců. | 1 licence pro správce pracovních postupů životního cyklu a 250 licencí pro uživatele. | 251 |
| Správce pracovních postupů životního cyklu vytvoří pracovní postup, který předem zprovozní skupinu zaměstnanců před posledním dnem zaměstnání. Rozsah uživatelů, kteří budou předem zprovozněni, je 40uživatelůch | 40 licencí pro uživatele a 1 licenci pro správce pracovních postupů životního cyklu. | 41 |
Privileged Identity Management
Pokud chcete používat Microsoft Entra Privileged Identity Management, musí mít tenant platnou licenci. Licence musí být také přiřazeny správcům a příslušným uživatelům. Tento článek popisuje licenční požadavky pro použití Privileged Identity Managementu. Pokud chcete používat Privileged Identity Management, musíte mít jednu z následujících licencí:
Platné licence pro PIM
K používání PIM a všech jeho nastavení potřebujete licence zásad správného řízení Microsoft Entra ID nebo licence Microsoft Entra ID P2. V současné době můžete nastavit obor kontroly přístupu na instanční objekty s přístupem k Microsoft Entra ID, rolím prostředků s Microsoft Entra ID P2 nebo uživatelům s edicí Zásad správného řízení ID Microsoft Entra aktivní ve vašem tenantovi. Model licencování pro instanční objekty bude finalizován pro obecnou dostupnost této funkce a může být vyžadováno více licencí.
Licence, které musíte mít pro PIM
Ujistěte se, že váš adresář má licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID pro následující kategorie uživatelů:
- Uživatelé s oprávněnými přiřazeními a/nebo časovými omezeními k ID Microsoft Entra nebo rolím Azure spravovaným pomocí PIM
- Uživatelé s oprávněnými přiřazeními a/nebo časově svázanými přiřazeními jako členové nebo vlastníci PIM pro skupiny
- Uživatelé, kteří můžou žádosti o aktivaci v PIM schválit nebo odmítnout
- Uživatelé přiřazení ke kontrole přístupu
- Uživatelé, kteří provádějí kontroly přístupu
Ukázkové scénáře licencí pro PIM
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které potřebujete.
| Scénář | Výpočet | Počet licencí |
|---|---|---|
| Společnost Woodgrove Bank má 10 správců pro různá oddělení a 2 správce privilegovaných rolí, kteří konfigurují a spravují PIM. Získají nárok na pět správců. | Pět licencí pro správce, kteří mají nárok | 5 |
| Grafický design Institute má 25 správců, z nichž 14 se spravuje prostřednictvím PIM. Aktivace role vyžaduje schválení a existují tři různí uživatelé v organizaci, kteří můžou schvalovat aktivace. | 14 licencí pro oprávněné role + tři schvalovatelé | 17 |
| Společnost Contoso má 50 správců, z nichž 42 se spravuje prostřednictvím PIM. Aktivace role vyžaduje schválení a v organizaci je pět různých uživatelů, kteří můžou aktivaci schválit. Společnost Contoso také měsíčně kontroluje uživatele přiřazené k rolím správců a revidujícím uživatelům, jejichž šest není v rolích správců spravovaných nástrojem PIM. | 42 licencí pro oprávněné role + pět schvalovatelů + šest revidujících | 53 |
Když vyprší platnost licence pro PIM
Pokud vyprší platnost zkušební licence microsoft Entra ID P2, Zásady správného řízení MICROSOFT Entra ID nebo zkušební licence, funkce Privileged Identity Management už nebudou ve vašem adresáři dostupné:
- Trvalé přiřazení rolí k rolím Microsoft Entra nebudou ovlivněna.
- Služba Privileged Identity Management v Centru pro správu Microsoft Entra a rutiny rozhraní Graph API a rozhraní PowerShell služby Privileged Identity Management už nebudou uživatelům k dispozici k aktivaci privilegovaných rolí, správě privilegovaného přístupu nebo provádění kontrol přístupu privilegovaných rolí.
- Oprávnění přiřazení rolí Microsoft Entra se odeberou, protože uživatelé už nemůžou aktivovat privilegované role.
- Všechny probíhající kontroly přístupu rolí Microsoft Entra končí a nastavení konfigurace Privileged Identity Management se odeberou.
- Privileged Identity Management už neodesílá e-maily o změnách přiřazení rolí.
Zřizování řízené rozhraním API
Tato funkce je dostupná s předplatnými zásad správného řízení Microsoft Entra ID P1, P2 a Microsoft Entra ID. Licence předplatného se vyžaduje pro každou identitu, která je zdrojem pomocí rozhraní /bulkUpload API a zřízená pro místní Active Directory nebo Id Microsoft Entra.
Scénáře licencí
| Zákaznická licence | Limity využití vynucené na úrovni tenanta pro zřizování řízené rozhraním API |
|---|---|
| Microsoft Entra ID P1 nebo P2 | Denní kvóta využití (počet záznamů uživatelů, které je možné nahrát za 24 hodin): 100 tisíc uživatelských záznamů (2000 /bulkUpload API volání s každou žádostí obsahující maximálně 50 záznamů). Maximální počet úloh zřizování řízených rozhraním API pro každý tok: 2 o Maximální počet aplikací 2 pro zřizování řízené rozhraním API pro místní Active Directory. o Max 2 aplikací pro zřizování řízené rozhraním API pro ID Microsoft Entra. |
| Zásady správného řízení MICROSOFT Entra ID společně s Microsoft Entra ID P1 nebo P2 | Denní kvóta využití (počet záznamů uživatelů, které je možné nahrát za 24 hodin): 300 tisíc uživatelských záznamů (6000 /bulkUpload API volání s každou žádostí obsahující maximálně 50 záznamů). Maximální počet úloh zřizování řízených rozhraním API pro každý tok: 20 o Maximální počet 20 aplikací pro zřizování řízené rozhraním API pro místní Active Directory. o Maximální počet 20 aplikací pro zřizování řízené rozhraním API pro ID Microsoft Entra. |
Nejčastější dotazy k licencování
Potřebujete uživatelům přiřadit licence, aby mohli používat funkce zásad správného řízení identit?
Uživatelům není potřeba přiřazovat licenci zásad správného řízení Microsoft Entra ID, ale musí existovat tolik licencí, kolik licencí může zahrnovat všechny uživatele v oboru nebo kdo konfiguruje funkce zásad správného řízení identit.
Jak můžu u firemních hostů licencovat používání funkcí zásad správného řízení Microsoft Entra ID?
Všichni uživatelé, kteří jsou v rozsahu funkcí zásad správného řízení Microsoft Entra ID, včetně firemních hostů, jako jsou dodavatelé, partneři a externí spolupracovníci, potřebují licenci. Vytváříme novou licenci zásad správného řízení Microsoft Entra ID pro obchodní hosty. Tato licence funguje s měsíčním aktivním modelem využití (MAU). Zákazníci můžou získat licence odpovídající očekávanému firemnímu hostu MAU.
Předpokládáme, že tyto licence zpřístupníme na konci roku 2024. Organizace, které řídí identity svých zaměstnanců pomocí zásad správného řízení ID Microsoft Entra, můžou dále řídit identity svých obchodních hostů bez dalších nákladů. V současné době můžou stávající zákazníci Microsoft Entra ID P1 nebo P2 s Microsoft Entra Externí ID dál používat podmnožinu funkcí, které jsou součástí P1 nebo P2 se svými obchodními hosty prostřednictvím své Microsoft Entra Externí ID licence.
Další informace najdete v tématu: Licencování zásad správného řízení id Microsoft Entra ID pro obchodní hosty.
Co se stane s PIM, když vyprší platnost licence?
Pokud platnost licence zásad správného řízení microsoft Entra ID P2 nebo Microsoft Entra ID vyprší nebo skončí zkušební verze, funkce Privileged Identity Management už nebudou ve vašem adresáři dostupné. Níže uvedené změny platí pro PIM pro role Microsoft Entra, PIM pro prostředky Azure a PIM pro skupiny.
- Aktivní trvalá přiřazení nejsou ovlivněná.
- Aktivní přiřazení vázaná na čas se stanou aktivní trvalou, což znamená, že už nevyprší v určený čas.
- Oprávnění přiřazení rolí se odeberou, protože uživatelé už nebudou moct aktivovat privilegované role.
- Okna Privileged Identity Management v Centru pro správu Microsoft Entra nebo na webu Azure Portal, rozhraní API a PowerShellu služby Privileged Identity Management už nebudou uživatelům k dispozici k aktivaci rolí, správě přiřazení nebo provádění kontrol přístupu privilegovaných rolí.
- Všechny průběžné kontroly přístupu rolí Microsoft Entra končí a nastavení konfigurace Privileged Identity Management se odeberou.
- Privileged Identity Management už nebude posílat e-maily o změnách přiřazení rolí a výstrahách PIM.
Budou v rámci licence Microsoft Entra ID P2 přidány nějaké funkce a možnosti IGA?
Všechny aktuálně obecně dostupné funkce v Microsoft Entra ID P2 zůstanou, ale do skladové položky Microsoft Entra ID P2 nebudou přidány žádné nové funkce nebo funkce IGA.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro