Microsoft Entra ID-Lizenzierung
In diesem Artikel wird die Lizenzierung der Microsoft Entra-Dienste erläutert. Er richtet sich an IT-Entscheidungsträger*innen, IT-Administrator*innen und IT-Expert*innen, die Microsoft Entra-Dienste für ihre Organisationen in Betracht ziehen. Dieser Artikel ist nicht für Endbenutzer*innen vorgesehen.
Wichtig
Lizenzierungsinformationen zu Diensten, die hier nicht aufgeführt sind, finden Sie in der Dokumentation des Diensts oder auf der Microsoft Entra ID-Preisseite.
App-Bereitstellung
Microsoft Entra-Anwendungsproxy benötigt Microsoft Entra ID P1- oder P2-Lizenzen. Weitere Informationen zu den Preisen finden Sie unter Preise von Microsoft Entra.
Authentifizierung
In der folgenden Tabelle werden die Features aufgeführt, die in den verschiedenen Versionen von Microsoft Entra ID für die Authentifizierung zur Verfügung stehen. Planen Sie Ihre Anforderungen an eine sichere Benutzeranmeldung, und legen Sie dann fest, welcher Ansatz diese Anforderungen erfüllt. Beispiel: Obwohl die Edition „Microsoft Entra ID Free“ Sicherheitsstandards mit Multi-Faktor-Authentifizierung bereitstellt, kann für die Authentifizierungsaufforderung, einschließlich SMS und Sprachanrufen, nur Microsoft Authenticator verwendet werden. Dieser Ansatz kann eine Einschränkung darstellen, wenn Sie nicht gewährleisten können, dass Authenticator auf dem persönlichen Gerät der Benutzer*innen installiert ist.
| Funktion | Microsoft Entra ID Free – Sicherheitsstandards (für alle Benutzer aktiviert) | Microsoft Entra ID Free – nur globale Administratoren | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Schutz von Microsoft Entra-Administratorkonten eines Mandanten mit MFA | ✅ | ✅ (nur Konten von Globalen Administratoren von Microsoft Entra) | ✅ | ✅ | ✅ |
| Mobile App als zweiter Faktor | ✅ | ✅ | ✅ | ✅ | ✅ |
| Telefonanruf als zweiter Faktor | ✅ | ✅ | ✅ | ||
| SMS als zweiter Faktor | ✅ | ✅ | ✅ | ✅ | |
| Administrative Kontrolle über Überprüfungsmethoden | ✅ | ✅ | ✅ | ✅ | |
| Betrugswarnung | ✅ | ✅ | |||
| MFA-Berichte | ✅ | ✅ | |||
| Benutzerdefinierte Begrüßungen für Telefonanrufe | ✅ | ✅ | |||
| Benutzerdefinierte Anrufer-ID für Telefonanrufe | ✅ | ✅ | |||
| Vertrauenswürdige IP-Adressen | ✅ | ✅ | |||
| Speichern der MFA für vertrauenswürdige Geräte | ✅ | ✅ | ✅ | ✅ | |
| MFA für lokale Anwendungen | ✅ | ✅ | |||
| Bedingter Zugriff | ✅ | ✅ | |||
| Risikobasierter bedingter Zugriff | ✅ | ||||
| Self-Service-Kennwortzurücksetzung (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR mit Rückschreiben | ✅ | ✅ |
Verwaltete Identitäten
Es gibt keine Lizenzierungsanforderungen für die Verwendung von verwalteten Identitäten für Azure-Ressourcen. Verwaltete Identitäten für Azure-Ressourcen bieten eine automatisch verwaltete Identität, die Anwendungen beim Herstellen von Verbindungen mit Ressourcen verwenden können, welche die Microsoft Entra-Authentifizierung unterstützen. Einer der Vorteile der Verwendung von verwalteten Identitäten besteht darin, dass Sie keine Anmeldeinformationen verwalten müssen, und sie können ohne zusätzliche Kosten verwendet werden. Weitere Informationen finden Sie im unter Was sind verwaltete Identitäten für Azure-Ressourcen?.
Microsoft Entra ID Governance
Die folgende Tabelle zeigt die Lizenzierungsanforderungen für Microsoft Entra ID Governance-Features. Lizenzierungsinformationen und Beispiellizenzszenarien für die Berechtigungsverwaltung, Zugriffsüberprüfungen und Lebenszyklus-Workflows werden entsprechend der Tabelle bereitgestellt.
Features nach Lizenz
In der folgenden Tabelle werden die mit den einzelnen Lizenztypen verfügbaren Features angezeigt. Nicht alle Features sind in allen Clouds verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Microsoft Entra-Features für Azure Government.
Berechtigungsverwaltung
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation. Einige Funktionen in diesem Feature können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden.
Beispielszenarien für Lizenzen
Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Ein Identity Governance-Administrator bei Woodgrove Bank erstellt erste Kataloge. Eine der Richtlinien gibt an, dass alle Mitarbeiter (2.000 Mitarbeiter) einen bestimmten Satz von Zugriffspaketen anfordern können. 150 Mitarbeiter fordern die Zugriffspakete an. | 2.000 Mitarbeiter, die Zugriffspakete anfordern können | 2.000 |
| Ein Identity Governance-Administrator bei Woodgrove Bank erstellt erste Kataloge. Eine der Richtlinien gibt an, dass alle Mitarbeiter (2.000 Mitarbeiter) einen bestimmten Satz von Zugriffspaketen anfordern können. 150 Mitarbeiter fordern die Zugriffspakete an. | 2.000 Mitarbeiter benötigen Lizenzen. | 2.000 |
| Ein Identity Governance-Administrator bei Woodgrove Bank erstellt erste Kataloge. Sie erstellen eine Richtlinie für die automatische Zuweisung, die allen Mitgliedern der Vertriebsabteilung (350 Mitarbeiter) Zugriff auf einen bestimmten Satz von Zugriffspaketen gewährt. 350 Mitarbeiter werden den Zugriffspaketen automatisch zugewiesen. | 350 Mitarbeiter benötigen Lizenzen. | 351 |
Zugriffsüberprüfungen
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation, einschließlich aller Mitarbeiter, die den Zugriff überprüfen oder deren Zugriff überprüft wird. Einige Funktionen dieses Features können mit einem Microsoft Entra ID P2-Abonnement ausgeführt werden.
Beispielszenarien für Lizenzen
Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Ein Administrator erstellt eine Zugriffsüberprüfung von Gruppe A mit 75 Benutzern und 1 Gruppenbesitzer und weist den Gruppenbesitzer als Reviewer zu. | Eine Lizenz für den Gruppenbesitzer als Reviewer und 75 Lizenzen für die 75 Benutzer. | 76 |
| Ein Administrator erstellt eine Zugriffsüberprüfung von Gruppe B mit 500 Benutzern und 3 Gruppenbesitzern und weist die 3 Gruppenbesitzer als Reviewer zu. | 500 Lizenzen für Benutzer und drei Lizenzen für jeden Gruppenbesitzer als Reviewer. | 503 |
| Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe B mit 500 Benutzern. Er legt sie als Selbstüberprüfung fest. | 500 Lizenzen für jeden Benutzer als Selbstprüfer | 500 |
| Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe C mit 50 Mitgliedsbenutzern. Er legt sie als Selbstüberprüfung fest. | 50 Lizenzen für jeden Benutzer als Selbstprüfer. | 50 |
| Ein Administrator erstellt eine Zugriffsüberprüfung für Gruppe D mit 6 Mitgliedsbenutzern. Er legt sie als Selbstüberprüfung fest. | 6 Lizenzen für jeden Benutzer als Selbstprüfer. Es sind keine zusätzlichen Lizenzen erforderlich. | 6 |
Lebenszyklus-Workflows
Mit Microsoft Entra ID Governance-Lizenzen für Lebenszyklusworkflows haben Sie folgende Möglichkeiten:
- Workflows erstellen, verwalten und löschen, bis zu einer Gesamtzahl von 50 Workflows.
- Auslösen einer bedarfsgesteuerten und geplanten Workflowausführung.
- Verwalten und Konfigurieren vorhandener Aufgaben zum Erstellen von Workflows, die speziell auf Ihre Anforderungen zugeschnitten sind.
- Erstellen von bis zu 100 benutzerdefinierten Aufgabenerweiterungen, die in Ihren Workflows verwendet werden sollen.
Die Verwendung dieses Features erfordert Microsoft Entra ID Governance-Abonnements für die Benutzer Ihrer Organisation.
Beispielszenarien für Lizenzen
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Ein Administrator des Lebenszyklus-Workflows erstellt einen Workflow, um neue Mitarbeiter in der Marketingabteilung zur Gruppe Marketingteams hinzuzufügen. Über diesen Workflow werden der Gruppe „Marketingteams“ 250 neue Mitarbeiter zugewiesen. | 1 Lizenz für den Administrator Lebenszyklus-Workflowsund und 250 Lizenzen für die Benutzer. | 251 |
| Ein Administrator des Lebenszyklus-Workflows erstellt einen Workflow, um eine Gruppe von Mitarbeitern vor ihrem letzten Arbeitstag vorab zu starten. Die Anzahl der Benutzer, für denen das Offboarding im Voraus durchgeführt wird, beträgt 40. | 40 Lizenzen für Benutzer und 1 Lizenz für den Administrator des Lebenszyklus-Workflows. | 41 |
Microsoft Entra Connect
Die Nutzung dieses Features ist kostenlos und in Ihrem Azure-Abonnement enthalten.
Microsoft Entra Connect Health
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Bedingter Microsoft Entra-Zugriff
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Kunden mit Microsoft 365 Business Premium-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.
Risikobasierte Richtlinien erfordern Zugriff auf Identity Protection, ein Microsoft Entra ID P2-Feature.
Andere Produkte und Features, die mit Richtlinien für bedingten Zugriff interagieren können, erfordern eine entsprechende Lizenzierung für die betreffenden Produkte und Features.
Wenn die für den bedingten Zugriff erforderlichen Lizenzen ablaufen, werden Richtlinien nicht automatisch deaktiviert oder gelöscht. Das gibt den Kunden die Möglichkeit, ohne plötzliche Änderung ihres Sicherheitsstatus eine Migration von den Richtlinien für bedingten Zugriff zu anderen Features vorzunehmen. Die übrigen Richtlinien können angezeigt und gelöscht, aber nicht mehr aktualisiert werden.
Sicherheitsstandards tragen dazu bei, Ihre Organisation vor identitätsbezogenen Angriffen zu schützen und sind für alle Kunden verfügbar.
Microsoft Entra ID Protection
Für die Verwendung dieses Features werden Microsoft Entra ID P2-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
| Fähigkeit | Details | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Risikorichtlinien | Richtlinien zu Anmelde- und Benutzerrisiken (über Identitätsschutz und bedingten Zugriff) | Nein | Nein | Ja |
| Sicherheitsberichte | Übersicht | Nein | Nein | Ja |
| Sicherheitsberichte | Riskante Benutzer | Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. | Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. | Vollzugriff |
| Sicherheitsberichte | Riskante Anmeldungen | Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. | Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. | Vollzugriff |
| Sicherheitsberichte | Risikoerkennungen | Nein | Eingeschränkte Informationen. Kein Drawer „Details“. | Vollzugriff |
| Benachrichtigungen | Warnungen zu erkannten gefährdeten Benutzern | Nein | Nein | Ja |
| Benachrichtigungen | Wöchentliche Übersicht | Nein | Nein | Ja |
| Richtlinie für MFA-Registrierung | Nein | Nein | Ja |
Überwachung und Integrität von Microsoft Entra
Die erforderlichen Rollen und Lizenzen können je nach Bericht variieren. Für den Zugriff auf Überwachungs- und Integritätsdaten in Microsoft Graph sind separate Berechtigungen erforderlich. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.
| Protokoll/Bericht | Rollen | Lizenzen |
|---|---|---|
| Überwachung | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator Globaler Leser |
Alle Editionen von Microsoft Entra ID |
| Anmeldungen | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator Globaler Leser |
Alle Editionen von Microsoft Entra ID |
| Bereitstellung | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator Globaler Leser Sicherheitsoperator Anwendungsadministrator Cloud-App-Administrator*in |
Microsoft Entra ID P1 oder P2 |
| Überwachungsprotokolle für benutzerdefinierte Sicherheitsattribute* | Attributprotokolladministrator Attributprotokollleser |
Alle Editionen von Microsoft Entra ID |
| Nutzung und Erkenntnisse | Berichtleseberechtigter Sicherheitsleseberechtigter Sicherheitsadministrator |
Microsoft Entra ID P1 oder P2 |
| Identitätsschutz** | Sicherheitsadministrator Sicherheitsoperator Sicherheitsleseberechtigter Globaler Leser |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 oder P2 |
| Microsoft Graph-Aktivitätsprotokolle | Sicherheitsadministrator Berechtigungen für den Zugriff auf Daten im entsprechenden Protokollziel |
Microsoft Entra ID P1 oder P2 |
*Das Anzeigen der benutzerdefinierten Sicherheitsattribute in den Überwachungsprotokollen oder das Erstellen von Diagnoseeinstellungen für benutzerdefinierte Sicherheitsattribute erfordert eine der Attributprotokollrollen. Außerdem benötigen Sie die entsprechende Rolle, um die Standardüberwachungsprotokolle anzuzeigen.
**Die Zugriffsebene und die Funktionen für den Identitätsschutz variieren je nach Rolle und Lizenz. Weitere Informationen finden Sie in den Lizenzanforderungen für Identity Protection.
Microsoft Entra Privileged Identity Management
Um Microsoft Entra Privileged Identity Management zu verwenden, muss ein Mandant über eine gültige Lizenz verfügen. Auch Administratoren und relevanten Benutzern müssen Lizenzen zugewiesen werden. In diesem Artikel werden die Lizenzanforderungen für die Verwendung von Privileged Identity Management beschrieben. Um Privileged Identity Management verwenden zu können, müssen Sie über eine der folgenden Lizenzen verfügen:
Gültige Lizenzen für PIM
Sie benötigen entweder Microsoft Entra ID Governance Lizenzen oder Microsoft Entra ID P2 Lizenzen, um PIM und alle seine Einstellungen zu nutzen. Derzeit können Sie eine Zugriffsüberprüfung auf Dienstprinzipale mit Zugriff auf Microsoft Entra ID, auf Ressourcenrollen mit einer Microsoft Entra ID P2 oder auf Benutzende mit einer Microsoft Entra ID Governance Edition, die in Ihrem Mandanten aktiv ist, ausweiten. Das Lizenzierungsmodell für Dienstprinzipale wird für die allgemeine Verfügbarkeit dieser Funktion fertiggestellt und es könnten mehr Lizenzen erforderlich sein.
Lizenzen, die Sie für PIM benötigen
Stellen Sie sicher, dass Ihr Verzeichnis über Microsoft Entra ID P2 oder Microsoft Entra ID Governance Lizenzen für die folgenden Kategorien von Benutzenden verfügt:
- Benutzer mit berechtigten und/oder zeitgebundenen Zuweisungen zu Microsoft Entra ID oder Azure-Rollen, die mit PIM verwaltet werden
- Benutzer*innen mit berechtigten und/oder zeitgebundenen Zuweisungen als Mitglieder oder Besitzer*innen von PIM für Gruppen
- Benutzer mit der Berechtigung zum Genehmigen oder Ablehnen von Aktivierungsanforderungen in PIM
- Benutzer mit einer Zugriffsüberprüfung
- Benutzer, die Zugriffsüberprüfungen ausführen
Beispielszenarien für Lizenzen für PIM
Anhand der folgenden Beispielszenarien für Lizenzen können Sie die Anzahl der benötigten Lizenzen bestimmen.
| Szenario | Berechnung | Anzahl der Lizenzen |
|---|---|---|
| Die Woodgrove Bank hat 10 Admins für verschiedene Abteilungen und 2 Admins mit privilegierter Rolle, die PIM konfigurieren und verwalten. Fünf Administratoren erhalten eine Berechtigung. | Fünf Lizenzen für die Administratoren, die berechtigt sind | 5 |
| Das Graphic Design Institute hat 25 Administratoren, von denen 14 über PIM verwaltet werden. Für die Rollenaktivierung ist eine Genehmigung erforderlich, und es gibt drei verschiedene Benutzer in der Organisation, die Aktivierungen genehmigen können. | 14 Lizenzen für die berechtigten Rollen + drei genehmigende Personen | 17 |
| Contoso hat 50 Administratoren, von denen 42 über PIM verwaltet werden. Für die Rollenaktivierung ist eine Genehmigung erforderlich, und es gibt fünf verschiedene Benutzer in der Organisation, die Aktivierungen genehmigen können. Außerdem überprüft Contoso monatlich die Benutzer*innen, denen Administratorrollen zugewiesen sind. Bei den Prüfern handelt es sich um die Vorgesetzten der Benutzer*innen, von denen sechs keine von PIM verwaltete Administratorrolle haben. | 42 Lizenzen für die berechtigten Rollen + fünf genehmigende Personen + sechs Prüfer | 53 |
Wenn eine Lizenz für PIM abläuft
Wenn eine Microsoft Entra ID P2-, eine Microsoft Entra ID Governance-Lizenz oder eine Testlizenz abläuft, stehen die Features von Privileged Identity Management in Ihrem Verzeichnis nicht mehr zur Verfügung:
- Dauerhafte Rollenzuweisungen an Microsoft Entra-Rollen sind davon unberührt.
- Der Dienst Privileged Identity Management im Microsoft Entra Admin Center sowie die Graph-API- Cmdlets und PowerShell-Schnittstellen von Privileged Identity Management stehen Benutzern nicht mehr zur Verfügung, um privilegierte Rollen zu aktivieren, privilegierten Zugriff zu verwalten oder Zugriffsüberprüfungen von privilegierten Rollen durchzuführen.
- Berechtigte Rollenzuweisungen von Microsoft Entra-Rollen werden entfernt, da Benutzende privilegierte Rollen nicht mehr aktivieren können.
- Alle laufenden Zugriffsüberprüfungen von Microsoft Entra-Rollen enden und die Konfigurationseinstellungen von Privileged Identity Management werden entfernt.
- Privileged Identity Management versendet keine E-Mails mehr bei Änderungen der Rollenzuweisung.
Microsoft Entra Verified ID
Microsoft Entra Verified ID ist derzeit ohne zusätzliche Kosten in jedem Microsoft Entra-Abonnement enthalten, einschließlich Microsoft Entra ID Free. Informationen zu Verified ID und ihrer Aktivierung finden Sie unter Übersicht über Verified ID.
Mehrmandantenfähige Organisationen
Im Quellmandanten gilt: Für die Verwendung dieses Features sind Microsoft Entra ID P1-Lizenzen erforderlich. Jeder Benutzer, der mit der mandantenübergreifenden Synchronisierung synchronisiert wird, muss über eine P1-Lizenz in seinem Basis-/Quellmandanten verfügen. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Microsoft Entra ID Pläne und Preise.
Im Zielmandanten gilt: Für die mandantenübergreifende Synchronisierung wird das Abrechnungsmodell für Microsoft Entra External ID verwendet. Informationen zum Lizenzierungsmodell für externe Identitäten finden Sie unter MAU-Abrechnungsmodell für Microsoft Entra External ID. Außerdem benötigen Sie mindestens eine Microsoft Entra ID P1-Lizenz im Zielmandanten, um die automatische Einlösung zu aktivieren.
Rollenbasierte Zugriffssteuerung
Die Verwendung integrierter Rollen in Microsoft Entra ID ist kostenlos. Für die Verwendung benutzerdefinierter Rollen ist eine Microsoft Entra ID P1-Lizenz für alle Benutzer*innen mit einer benutzerdefinierten Rollenzuweisung erforderlich. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.
Rollen
Verwaltungseinheiten
Die Verwendung von Verwaltungseinheiten erfordert eine Microsoft Entra ID P1-Lizenz für sämtliche Administrator*innen einer Verwaltungseinheit, denen Verzeichnisrollen über den Bereich der Verwaltungseinheit zugewiesen sind, sowie eine Microsoft Entra ID Free-Lizenz für jedes Mitglied der Verwaltungseinheit. Das Erstellen von Verwaltungseinheiten ist mit einer Microsoft Entra ID Free-Lizenz verfügbar. Wenn Sie dynamische Mitgliedschaftsregeln für Verwaltungseinheiten verwenden, benötigt jedes Mitglied der Verwaltungseinheit eine Microsoft Entra ID P1-Lizenz. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.
Verwaltungseinheiten mit eingeschränkter Verwaltung
Bei der Verwendung von Verwaltungseinheiten mit eingeschränkter Verwaltung ist für jeden Administrator einer Verwaltungseinheit eine Microsoft Entra ID Premium P1-Lizenz erforderlich, und alle Mitglieder der Verwaltungseinheit benötigen Microsoft Entra ID Free-Lizenzen. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie Vergleich der allgemein verfügbaren Features der Editionen Free und Premium.
Funktionen in der Vorschau
Lizenzierungsinformationen für alle Features, die sich derzeit in der Vorschau befinden, sind ggf. hier enthalten. Weitere Informationen zu Previewfunktionen finden Sie unter Microsoft Entra ID-Previewfunktionen.