Microsoft Entra ID Governance-Lizenzierungsgrundlagen
In diesem folgenden Dokument wird die Lizenzierung von Microsoft Entra ID Governance erläutert. Dies richtet sich an IT-Entscheidungsträger, IT-Administratoren und IT-Experten, die Microsoft Entra ID Governance-Dienste für ihre Organisationen in Betracht ziehen.
Lizenztypen
Die folgenden Lizenzen stehen zur Verwendung mit Microsoft Entra ID Governance in der kommerziellen Cloud zur Verfügung. Die Auswahl der Lizenzen, die Sie in einem Mandanten benötigen, hängt von den Features ab, die Sie in diesem Mandanten verwenden.
- Kostenlos – Enthalten in Microsoft Cloud-Abonnements wie Microsoft Azure, Microsoft 365 usw.
- Microsoft Entra ID P1: Microsoft Entra ID P1 ist als eigenständiges Produkt erhältlich oder in Microsoft 365 E3 für Unternehmenskund*innen und in Microsoft 365 Business Premium für kleine und mittelständische Unternehmen enthalten.
- Microsoft Entra ID P2: Microsoft Entra ID P2 ist als eigenständiges Produkt erhältlich oder in Microsoft 365 E5 für Unternehmenskund*innen enthalten.
- Microsoft Entra ID Governance: Microsoft Entra ID Governance bietet erweiterte Funktionen für die Identitätsgovernance, die für Microsoft Entra ID P1- und P2-Kund*innen als zwei Abonnements – Microsoft Entra ID Governance und Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 – verfügbar sind. Diese Produkte enthalten die grundlegenden Identitätsgovernancefunktionen, die in Microsoft Entra ID P2 verfügbar waren, sowie zusätzliche erweiterte Identitätsgovernancefunktionen.
Hinweis
Einige Microsoft Entra ID Governance-Szenarien können so konfiguriert werden, dass sie von anderen Features abhängen, die nicht von Microsoft Entra ID Governance abgedeckt werden. Für diese Features gelten möglicherweise zusätzliche Lizenzierungsanforderungen. Weitere Informationen zu Governance-Szenarien, die auf zusätzlichen Funktionen beruhen, finden Sie in der Übersicht Identity Governance.
Microsoft Entra ID Governance-Produkte sind noch nicht in der US Government- oder in den nationalen Clouds in den USA verfügbar.
Governanceprodukte und Voraussetzungen
Die Microsoft Entra ID Governance-Funktionen sind derzeit für zwei Produkte in der kommerziellen Cloud verfügbar. Diese beiden Produkte bieten die gleichen Funktionen für die Identitätsgovernance. Der Unterschied zwischen den beiden Produkten besteht darin, dass sie unterschiedliche Voraussetzungen haben.
- Ein Microsoft Entra ID Governance-Abonnement, das in den Produktbedingungen als Microsoft Entra ID Governance (Benutzer-SL)-Lizenz aufgeführt ist, erfordert, dass der Mandant auch über ein aktives Abonnement für ein anderes Produkt verfügt, das den
AAD_PREMIUM- oderAAD_PREMIUM_P2-Dienstplan enthält. Beispiele für Produkte, die diese Voraussetzung erfüllen, sind Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 oder Microsoft 365 F1/F3. - Ein Abonnement für Microsoft Entra ID Governance Step-up für Microsoft Entra ID P2, das in den Produktbedingungen als Microsoft Entra ID-Governance P2-Lizenz aufgeführt ist, erfordert, dass der Mandant auch über ein aktives Abonnement für ein anderes Produkt verfügt, das den
AAD_PREMIUM_P2-Dienstplan enthält. Beispiele für Produkte, die diese Voraussetzung erfüllen, sind Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security oder Microsoft 365 F5 Security + Compliance.
In den Produktnamen und Dienstplanbezeichnern für die Lizenzierung werden zusätzliche Produkte aufgelistet, die die Dienstpläne mit den Voraussetzungen enthalten.
Hinweis
Ein Abonnement für eine Voraussetzung eines Microsoft Entra ID Governance-Produkts muss im Mandanten aktiv sein. Wenn eine Voraussetzung nicht vorhanden ist oder das Abonnement abläuft, funktionieren Microsoft Entra ID Governance-Szenarien möglicherweise nicht wie erwartet.
Um zu überprüfen, ob die erforderlichen Produkte für ein Microsoft Entra ID Governance-Produkt in einem Mandanten vorhanden sind, können Sie das Microsoft Entra-Admin Center oder das Microsoft 365-Admin Center verwenden, um die Liste der Produkte anzuzeigen.
Melden Sie sich beim Microsoft Entra-Admin Center als globaler Administrator an.
Erweitern Sie im Menü Identität die Option Abrechnung, und wählen Sie Lizenzen aus.
Wählen Sie im Menü Verwalten die Option Lizenzierte Features aus. Die Informationsleiste zeigt den aktuellen Microsoft Entra ID-Lizenzplan an.
Um die vorhandenen Produkte im Mandanten anzuzeigen, wählen Sie im Menü Verwalten die Option Alle Produkte aus.
Starten einer Testversion
Globale Administrator*innen in einem Mandanten, der bereits ein geeignetes, erforderliches Produkt (z. B. Microsoft Entra ID P1) erworben und Microsoft Entra ID Governance noch nicht verwendet oder zuvor getestet hat, können eine Testversion von Microsoft Entra ID Governance in ihrem Mandanten anfordern.
Melden Sie sich beim Microsoft 365-Admin Center als globaler Administrator an.
Wählen Sie im Menü Abrechnung die Option Dienste kaufen aus.
Geben Sie im Feld Alle Produktkategorien durchsuchen
"Microsoft Entra ID Governance"ein.Wählen Sie unter Microsoft Entra ID GovernanceDetails aus, um die Test- und Kaufinformationen für das Produkt anzuzeigen. Wenn Ihr Mandant über Microsoft Entra ID P2 verfügt, wählen Sie unter Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 die Option Details aus.
Wählen Sie auf der Seite mit den Produktdetails Kostenlose Testversion starten aus.
Die folgende Tabelle zeigt die Lizenzierungsanforderungen für Microsoft Entra ID Governance-Features. Lizenzierungsinformationen und Beispiellizenzszenarien für die Berechtigungsverwaltung, Zugriffsüberprüfungen und Lebenszyklus-Workflows werden entsprechend der Tabelle bereitgestellt.
Features nach Lizenz
In der folgenden Tabelle werden die mit den einzelnen Lizenztypen verfügbaren Features angezeigt. Nicht alle Features sind in allen Clouds verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Microsoft Entra-Features für Azure Government.
Berechtigungsverwaltung
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation. Einige Funktionen in diesem Feature können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden.
Beispielszenarien für Lizenzen
Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Ein Identity Governance-Administrator bei Woodgrove Bank erstellt erste Kataloge. Eine der Richtlinien gibt an, dass alle Mitarbeiter (2.000 Mitarbeiter) einen bestimmten Satz von Zugriffspaketen anfordern können. 150 Mitarbeiter fordern die Zugriffspakete an. | 2.000 Mitarbeiter, die Zugriffspakete anfordern können | 2.000 |
| Ein Identity Governance-Administrator bei Woodgrove Bank erstellt erste Kataloge. Eine der Richtlinien gibt an, dass alle Mitarbeiter (2.000 Mitarbeiter) einen bestimmten Satz von Zugriffspaketen anfordern können. 150 Mitarbeiter fordern die Zugriffspakete an. | 2.000 Mitarbeiter benötigen Lizenzen. | 2.000 |
| Ein Identity Governance-Administrator bei Woodgrove Bank erstellt erste Kataloge. Sie erstellen eine Richtlinie für die automatische Zuweisung, die allen Mitgliedern der Vertriebsabteilung (350 Mitarbeiter) Zugriff auf einen bestimmten Satz von Zugriffspaketen gewährt. 350 Mitarbeiter werden den Zugriffspaketen automatisch zugewiesen. | 350 Mitarbeiter benötigen Lizenzen. | 351 |
Zugriffsüberprüfungen
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation, einschließlich aller Mitarbeiter, die den Zugriff überprüfen oder deren Zugriff überprüft wird. Einige Funktionen dieses Features können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden.
Beispielszenarien für Lizenzen
Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Ein Administrator erstellt eine Zugriffsüberprüfung von Gruppe A mit 75 Benutzern und 1 Gruppenbesitzer und weist den Gruppenbesitzer als Reviewer zu. | Eine Lizenz für den Gruppenbesitzer als Reviewer und 75 Lizenzen für die 75 Benutzer. | 76 |
| Ein Administrator erstellt eine Zugriffsüberprüfung von Gruppe B mit 500 Benutzern und 3 Gruppenbesitzern und weist die 3 Gruppenbesitzer als Reviewer zu. | 500 Lizenzen für Benutzer und drei Lizenzen für jeden Gruppenbesitzer als Reviewer. | 503 |
| Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe B mit 500 Benutzern. Er legt sie als Selbstüberprüfung fest. | 500 Lizenzen für jeden Benutzer als Selbstprüfer | 500 |
| Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe C mit 50 Mitgliedsbenutzern. Er legt sie als Selbstüberprüfung fest. | 50 Lizenzen für jeden Benutzer als Selbstprüfer. | 50 |
| Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe D mit 6 Mitgliedsbenutzern. Er legt sie als Selbstüberprüfung fest. | 6 Lizenzen für jeden Benutzer als Selbstprüfer. Es sind keine zusätzlichen Lizenzen erforderlich. | 6 |
Lebenszyklus-Workflows
Mit Microsoft Entra ID Governance-Lizenzen für Lebenszyklusworkflows haben Sie folgende Möglichkeiten:
- Workflows erstellen, verwalten und löschen, bis zu einer Gesamtzahl von 50 Workflows.
- Auslösen einer bedarfsgesteuerten und geplanten Workflowausführung.
- Verwalten und Konfigurieren vorhandener Aufgaben zum Erstellen von Workflows, die speziell auf Ihre Anforderungen zugeschnitten sind.
- Erstellen von bis zu 100 benutzerdefinierten Aufgabenerweiterungen, die in Ihren Workflows verwendet werden sollen.
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation.
Beispielszenarien für Lizenzen
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Ein Administrator des Lebenszyklus-Workflows erstellt einen Workflow, um neue Mitarbeiter in der Marketingabteilung zur Gruppe Marketingteams hinzuzufügen. Über diesen Workflow werden der Gruppe „Marketingteams“ 250 neue Mitarbeiter zugewiesen. | 1 Lizenz für den Administrator Lebenszyklus-Workflowsund und 250 Lizenzen für die Benutzer. | 251 |
| Ein Administrator des Lebenszyklus-Workflows erstellt einen Workflow, um eine Gruppe von Mitarbeitern vor ihrem letzten Arbeitstag vorab zu starten. Die Anzahl der Benutzer, für denen das Offboarding im Voraus durchgeführt wird, beträgt 40. | 40 Lizenzen für Benutzer und 1 Lizenz für den Administrator des Lebenszyklus-Workflows. | 41 |
Privileged Identity Management
Um Microsoft Entra Privileged Identity Management zu verwenden, muss ein Mandant über eine gültige Lizenz verfügen. Auch Administratoren und relevanten Benutzern müssen Lizenzen zugewiesen werden. In diesem Artikel werden die Lizenzanforderungen für die Verwendung von Privileged Identity Management beschrieben. Um Privileged Identity Management verwenden zu können, müssen Sie über eine der folgenden Lizenzen verfügen:
Gültige Lizenzen für PIM
Sie benötigen entweder Microsoft Entra ID Governance Lizenzen oder Microsoft Entra ID P2 Lizenzen, um PIM und alle seine Einstellungen zu nutzen. Derzeit können Sie eine Zugriffsüberprüfung auf Dienstprinzipale mit Zugriff auf Microsoft Entra ID, auf Ressourcenrollen mit einer Microsoft Entra ID P2 oder auf Benutzende mit einer Microsoft Entra ID Governance Edition, die in Ihrem Mandanten aktiv ist, ausweiten. Das Lizenzierungsmodell für Dienstprinzipale wird für die allgemeine Verfügbarkeit dieser Funktion fertiggestellt und es könnten mehr Lizenzen erforderlich sein.
Lizenzen, die Sie für PIM benötigen
Stellen Sie sicher, dass Ihr Verzeichnis über Microsoft Entra ID P2 oder Microsoft Entra ID Governance Lizenzen für die folgenden Kategorien von Benutzenden verfügt:
- Benutzer mit berechtigten und/oder zeitgebundenen Zuweisungen zu Microsoft Entra ID oder Azure-Rollen, die mit PIM verwaltet werden
- Benutzer*innen mit berechtigten und/oder zeitgebundenen Zuweisungen als Mitglieder oder Besitzer*innen von PIM für Gruppen
- Benutzer mit der Berechtigung zum Genehmigen oder Ablehnen von Aktivierungsanforderungen in PIM
- Benutzer mit einer Zugriffsüberprüfung
- Benutzer, die Zugriffsüberprüfungen ausführen
Beispielszenarien für Lizenzen für PIM
Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Die Woodgrove Bank hat 10 Administratoren für verschiedene Abteilungen und 2 globale Administratoren, die PIM konfigurieren und verwalten. Fünf Administratoren erhalten eine Berechtigung. | Fünf Lizenzen für die Administratoren, die berechtigt sind | 5 |
| Das Graphic Design Institute hat 25 Administratoren, von denen 14 über PIM verwaltet werden. Für die Rollenaktivierung ist eine Genehmigung erforderlich, und es gibt drei verschiedene Benutzer in der Organisation, die Aktivierungen genehmigen können. | 14 Lizenzen für die berechtigten Rollen + drei genehmigende Personen | 17 |
| Contoso hat 50 Administratoren, von denen 42 über PIM verwaltet werden. Für die Rollenaktivierung ist eine Genehmigung erforderlich, und es gibt fünf verschiedene Benutzer in der Organisation, die Aktivierungen genehmigen können. Außerdem überprüft Contoso monatlich die Benutzer*innen, denen Administratorrollen zugewiesen sind. Bei den Prüfern handelt es sich um die Vorgesetzten der Benutzer*innen, von denen sechs keine von PIM verwaltete Administratorrolle haben. | 42 Lizenzen für die berechtigten Rollen + fünf genehmigende Personen + sechs Prüfer | 53 |
Wenn eine Lizenz für PIM abläuft
Wenn eine Microsoft Entra ID P2-, eine Microsoft Entra ID Governance-Lizenz oder eine Testlizenz abläuft, stehen die Features von Privileged Identity Management in Ihrem Verzeichnis nicht mehr zur Verfügung:
- Dauerhafte Rollenzuweisungen an Microsoft Entra-Rollen sind davon unberührt.
- Der Dienst Privileged Identity Management im Microsoft Entra Admin Center sowie die Graph-API- Cmdlets und PowerShell-Schnittstellen von Privileged Identity Management stehen Benutzern nicht mehr zur Verfügung, um privilegierte Rollen zu aktivieren, privilegierten Zugriff zu verwalten oder Zugriffsüberprüfungen von privilegierten Rollen durchzuführen.
- Berechtigte Rollenzuweisungen von Microsoft Entra-Rollen werden entfernt, da Benutzende privilegierte Rollen nicht mehr aktivieren können.
- Alle laufenden Zugriffsüberprüfungen von Microsoft Entra-Rollen enden und die Konfigurationseinstellungen von Privileged Identity Management werden entfernt.
- Privileged Identity Management versendet keine E-Mails mehr bei Änderungen der Rollenzuweisung.
API-basierte Bereitstellung
Dieses Feature ist mit Microsoft Entra ID P1-, P2- und Microsoft Entra ID Governance-Abonnements verfügbar. Eine Abonnementlizenz ist für jede Identität erforderlich, die über die /bulkUpload-API bezogen wird und entweder im lokalen Active Directory oder in Microsoft Entra ID bereitgestellt wird.
Lizenzszenarios
| Kundenlizenz | Verwendungseinschränkungen, die auf Mandantenebene für die API-basierte Bereitstellung erzwungen werden |
|---|---|
| Microsoft Entra ID P1 oder P2 | Tägliches Nutzungskontingent (Anzahl der Benutzerdatensätze, die über einen Zeitraum von 24 Stunden hochgeladen werden können): 100K-Benutzerdatensätze (2000 /bulkUpload-API-Aufrufe mit jeder Anforderung mit maximal 50 Datensätzen). Maximale Anzahl API-basierter Bereitstellungsaufträge für jeden Flow: 2 o Max. 2 Apps für API-gesteuerte Bereitstellung in lokalem Active Directory. o Max. 2 Apps für API-gesteuerte Bereitstellung in Microsoft Entra ID. |
| Microsoft Entra ID Governance neben Microsoft Entra ID P1 oder P2 | Tägliches Nutzungskontingent (Anzahl der Benutzerdatensätze, die über einen Zeitraum von 24 Stunden hochgeladen werden können): 300K-Benutzerdatensätze (6000 /bulkUpload-API-Aufrufe mit jeder Anforderung mit maximal 50 Datensätzen). Maximale Anzahl API-basierter Bereitstellungsaufträge für jeden Flow: 20 o Max. 20 Apps für API-gesteuerte Bereitstellung in lokalem Active Directory. o Max. 20 Apps für API-gesteuerte Bereitstellung in Microsoft Entra ID. |
Häufig gestellte Fragen zur Lizenzierung
Müssen Benutzern Lizenzen zugewiesen werden, damit sie Identity Governance-Features verwenden können?
Benutzer*innen muss keine Microsoft Entra ID Governance-Lizenz zugewiesen werden, aber es müssen so viele Lizenzplätze vorhanden sein, um alle Benutzer in den Bereich der Identity Governance-Features einzuschließen oder zu konfigurieren.
Wie kann ich die Nutzung von Microsoft Entra ID Governance-Features für den Gastzugriff lizenzieren?
Alle Benutzer, die in den Anwendungsbereich der Microsoft Entra ID Governance-Funktionen fallen, einschließlich Gastzugriff von beispielsweise Auftragnehmern, Partnern und externen Mitarbeitern, benötigen eine Lizenz. Wir erstellen eine neue Microsoft Entra ID Governance-Lizenz für den Gastzugriff. Diese Lizenz wird auf einem Modell der aktiven Benutzer pro Monat (MAU) ausgeführt. Kundschaft kann Lizenzen erwerben, die den erwarteten Gastzugriff-MAU entsprechen.
Wir gehen davon aus, diese Lizenzen im Frühjahr 2024 verfügbar zu machen. In der Zwischenzeit können Organisationen, die die Identitäten ihrer Mitarbeiter mit Microsoft Entra ID Governance steuern, die Identitäten ihrer Nutzer mit Gastzugriff ohne zusätzliche Kosten steuern. Zu diesem Zeitpunkt können vorhandene Kunden von Microsoft Entra ID P1 oder P2 mit der externen Microsoft Entra-ID weiterhin die Teilmenge der Features verwenden, die in P1 oder P2 mit Gastzugriff über ihre Microsoft Entra External ID-Lizenz enthalten sind.
Weitere Informationen finden Sie unter: Microsoft Entra ID Governance-Lizenzierung für den Gastzugriff.
Was passiert, wenn eine PIM-Lizenz abläuft?
Wenn eine Microsoft Entra ID P2-, eine Microsoft Entra ID Governance-Lizenz oder eine Testlizenz abläuft, stehen die Features von Privileged Identity Management in Ihrem Verzeichnis nicht mehr zur Verfügung. Die unten beschriebenen Änderungen gelten für PIM für Microsoft Entra-Rollen, PIM für Azure-Ressourcen und PIM für Gruppen.
- Aktive dauerhafte Zuweisungen sind nicht betroffen.
- Aktive zeitgebundene Zuweisungen werden dauerhaft aktiv, was bedeutet, dass sie nicht mehr zu einem festgelegten Zeitpunkt ablaufen.
- Berechtigte Rollenzuweisungen werden entfernt, da Benutzer keine privilegierten Rollen mehr aktivieren können.
- Privileged Identity Management-Blätter im Microsoft Entra Admin Center oder im Azure-Portal, die API und PowerShell-Schnittstellen von Privileged Identity Management stehen Benutzern nicht mehr zur Verfügung, um Rollen zu aktivieren, Aufgaben zu verwalten oder Zugriffsüberprüfungen privilegierter Rollen durchzuführen.
- Alle laufenden Zugriffsüberprüfungen von Microsoft Entra-Rollen enden, und die Konfigurationseinstellungen von Privileged Identity Management werden entfernt.
- Privileged Identity Management sendet keine E-Mails mehr zu Rollenzuweisungsänderungen und PIM-Warnungen.
Werden alle IGA-Funktionen und -Fähigkeiten unter der Microsoft Entra ID P2-Lizenz hinzugefügt?
Alle derzeit allgemein verfügbaren Funktionen von Microsoft Entra ID P2 werden beibehalten, aber es werden keine neuen IGA-Funktionen oder -Fähigkeiten zur Microsoft Entra ID P2 SKU hinzugefügt.