Aspectos básicos de las licencias de Gobierno de id. de Microsoft Entra

En este documento se describen las licencias de Gobierno de id. de Microsoft Entra. Está pensado para responsables de la toma de decisiones de TI, administradores de TI y profesionales de TI que están considerando el uso de los servicios de Gobierno de Microsoft Entra ID para sus organizaciones.

Tipos de licencias

Las siguientes licencias están disponibles para su uso con Azure AD Identity Governance. La elección de licencias que necesita en un inquilino dependerá de las características que use en ese inquilino.

• Gratis: se incluye con suscripciones en la nube de Microsoft, como Microsoft Azure, Microsoft 365 y otros.
• Microsoft Entra ID P1: Microsoft Entra ID P1 está disponible como producto independiente o incluido con Microsoft 365 E3 para clientes empresariales y Microsoft 365 Business Premium para pequeñas y medianas empresas.
• Microsoft Entra ID P2: Microsoft Entra ID P2 está disponible como producto independiente o incluido con Microsoft 365 E5 para clientes empresariales.
• Gobernanza de Microsoft Entra ID: Gobernanza de Microsoft Entra ID es un conjunto avanzado de funcionalidades de gobernanza de identidades disponible para clientes de Microsoft Entra ID P1 y P2, como dos productos: Gobernanza de Microsoft Entra ID y Actualización a la edición superior de Gobernanza de Microsoft Entra ID a Microsoft Entra ID P2. Estos productos contienen las funcionalidades básicas de gobernanza de identidades que estaban en Microsoft Entra ID P2 y otras funcionalidades avanzadas de gobernanza de identidades.

Nota:

Algunos escenarios de Gobierno de Microsoft Entra ID se pueden configurar para depender de otras características que no están cubiertas por Gobierno de Microsoft Entra ID. Estas características pueden tener requisitos de licencia adicionales. Consulte la introducción a Identity Governance para obtener más información sobre los escenarios de gobernanza que dependen de características adicionales.

Los productos de Azure AD Identity Governance aún no están disponibles en las nubes nacionales de Estados Unidos o del gobierno de Estados Unidos.

Requisitos previos y productos de gobernanza

Las funcionalidades de gobernanza de Azure AD Identity Governance están disponibles actualmente en dos productos de la nube comercial. Estos dos productos proporcionan las mismas funcionalidades de gobernanza de identidades. La diferencia entre los dos productos es que tienen requisitos previos diferentes.

• Una suscripción a Gobierno de Microsoft Entra ID, que se muestra en los términos del producto como licencia de Gobierno de Microsoft Entra ID (User SL) requiere que el inquilino también tenga una suscripción activa a otro producto, una que contenga el plan de servicio AAD_PREMIUM o AAD_PREMIUM_P2. Algunos ejemplos de productos que cumplen este requisito previo incluyen Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 o Microsoft 365 F1/F3.
• Una suscripción a Gobierno de Microsoft Entra ID Step Up para Microsoft Entra ID P2, que aparece en los términos del producto como licencia de Gobierno de Microsoft Entra ID P2, requiere que el inquilino también tenga una suscripción activa a otro producto, una que contenga el plan de servicio AAD_PREMIUM_P2. Algunos ejemplos de productos que cumplen este requisito previo incluyen Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security o Microsoft 365 F5 Security + Compliance.

Los nombres de productos y los identificadores de los planes de servicio de para la concesión de licencias muestran productos adicionales que incluyen los planes de servicio necesarios.

Nota:

Debe estar activa en el inquilino la suscripción a un requisito previo para un producto de Gobernanza de Microsoft Entra ID. Si un requisito previo no está presente, o la suscripción expira, entonces los escenarios de Azure AD Identity Governance puede que no funcionen como se espera.

Para comprobar si los productos de requisitos previos para un producto de Azure AD Identity Governance están presentes en un inquilino, puede utilizar el Centro de administración de Microsoft Entra o el Centro de administración de Microsoft 365 para ver la lista de productos.

1. Inicie sesión en el Centro de administración de Microsoft Entra como administrador global.

2. En el menú Identidad, expanda Facturación y seleccione Licencias.

3. En el menú Administrar, seleccione Características con licencia. La barra de información indica el plan actual de licencia de Microsoft Entra ID.

4. Para ver los productos existentes en el inquilino, en el menú Administrar, seleccione Todos los productos.

Inicio de una evaluación

Un administrador global de un inquilino que ya tenga comprado un producto de requisitos previos adecuado, como Microsoft Entra ID P1, y que aún no esté usando o que previamente haya realizado una prueba de Gobernanza de Microsoft Entra ID, puede solicitar una prueba de Gobernanza de Microsoft Entra ID en su inquilino.

1. Inicie sesión en el Centro de administración de Microsoft 365 como administrador global.

2. En el menú Facturación, seleccione Comprar servicios.

3. En el cuadro Buscar todas las categorías de productos, escriba "Microsoft Entra ID Governance".

4. Seleccione Detalles debajo de Azure AD Identity Governance para ver la información de evaluación y compra del producto. Si el inquilino tiene Microsoft Entra ID P2, seleccione Detalles debajo de Actualización a la edición superior de Gobernanza de Microsoft Entra ID a Microsoft Entra ID P2.

5. En la página de detalles del producto, seleccione Iniciar evaluación gratuita.

En la tabla siguiente se muestran los requisitos de licencia para las características de Gobierno de Microsoft Entra ID. La información de licencias y los escenarios de licencia de ejemplo para la administración de derechos, las revisiones de acceso y los flujos de trabajo de ciclo de vida se proporcionan siguiendo la tabla.

Características por licencia

En la siguiente tabla se muestran las características disponibles con cada licencia. No todas las características están disponibles en todas las nubes; consulte Disponibilidad de características de Microsoft Entra para Azure Government.

Característica	Gratuito	Microsoft Entra ID P1	Microsoft Entra ID P2	Microsoft Entra ID Governance
Aprovisionamiento controlado por API		✅	✅	✅
Aprovisionamiento controlado por recursos humanos		✅	✅	✅
Aprovisionamiento automático de usuarios en aplicaciones SaaS	✅	✅	✅	✅
Aprovisionamiento de grupos automatizado para aplicaciones SaaS		✅	✅	✅
Aprovisionamiento automático en aplicaciones locales		✅	✅	✅
Acceso condicional: atestación de los Términos de uso		✅	✅	✅
Administración de derechos: administración de derechos básica			✅	✅
Administración de derechos: ámbito del acceso condicional			✅	✅
Administración de derechos MyAccess Search			✅	✅
Administración de derechos con el id. comprobado				✅
Administración de derechos + Extensiones personalizadas (Logic Apps)				✅
Administración de derechos + Directivas de asignación automática				✅
Administración de derechos: asignar directamente cualquier usuario (versión preliminar)				✅
Administración de derechos: API de conversión de invitado				✅
Administración de derechos: período de gracia (versión preliminar)			✅	✅
Portal Mi acceso			✅	✅
Administración de derechos: roles de Microsoft Entra (versión preliminar)				✅
Administración de derechos: directiva de patrocinadores				✅
Privileged Identity Management (PIM)			✅	✅
PIM para grupos			✅	✅
Controles de acceso condicional de PIM			✅	✅
Revisiones de acceso: certificaciones y revisiones de acceso básicas			✅	✅
Revisiones de acceso: PIM For Groups(Preview)				✅
Revisiones de acceso: revisiones de usuarios inactivos				✅
Revisiones de acceso: recomendaciones de usuarios inactivos			✅	✅
Revisiones de acceso: certificación y revisiones de acceso asistido por aprendizaje automático				✅
Flujos de trabajo de ciclo de vida (LCW)				✅
LCW + Extensiones personalizadas (Logic Apps)				✅
Panel de gobernanza de identidad (versión preliminar)		✅	✅	✅
Información e informes: cuentas de invitado inactivas (versión preliminar)				✅

Administración de derechos

El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica pueden funcionar con una suscripción de Microsoft Entra ID P2.

Escenarios de licencia de ejemplo

Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.

Escenario	Cálculo	Número de licencias
Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso. 150 empleados solicitan los paquetes de acceso.	2000 empleados que pueden solicitar los paquetes de acceso	2\.000
Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Una de las directivas especifica que todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso. 150 empleados solicitan los paquetes de acceso.	2000 empleados necesitan licencias.	2.000
Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Crean una directiva de asignación automática que concede a todos los miembros del departamento de ventas (350 empleados) acceso a un conjunto específico de paquetes de acceso. 350 empleados se asignan automáticamente a los paquetes de acceso.	350 empleados necesitan licencias.	351

Revisiones de acceso

El uso de esta característica requiere suscripciones a Gobierno de id. de Microsoft Entra para los usuarios de su organización, incluyendo a todos los empleados que estén revisando el acceso o que tengan su acceso revisado. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2.

Escenarios de licencia de ejemplo

Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.

Escenario	Cálculo	Número de licencias
Un administrador crea una revisión de acceso del Grupo A con 75 usuarios y 1 propietario del grupo, y asigna el propietario del grupo como revisor.	1 licencia para el propietario del grupo como revisor y 75 licencias para los 75 usuarios.	76
Un administrador crea una revisión de acceso del Grupo B con 500 usuarios y 3 propietarios de grupo, y asigna los 3 propietarios de grupo como revisores.	500 licencias para usuarios y 3 licencias para cada propietario de grupo como revisores.	503
Un administrador crea una revisión de acceso del Grupo B con 500 usuarios. Realiza una autorrevisión.	500 licencias para cada usuario como revisores	500
Un administrador crea una revisión de acceso del Grupo C con 50 usuarios miembros. Realiza una autorrevisión.	50 licencias para cada usuario como autorrevisores.	50
Un administrador crea una revisión de acceso del Grupo D con 6 usuarios miembros. Realiza una autorrevisión.	6 licencias para cada usuario como revisores. No se necesitan licencias adicionales.	6

Flujos de trabajo de ciclo de vida

Con las licencias de Gobernanza de Microsoft Entra ID para flujos de trabajo de ciclo de vida, puede hacer lo siguiente:

• Crear, administrar y eliminar flujos de trabajo hasta un límite total de 50 flujos de trabajo.
• Desencadenar la ejecución de flujo de trabajo a petición y de forma programada.
• Administrar y configurar las tareas existentes para crear flujos de trabajo específicos de sus necesidades.
• Crear hasta 100 extensiones de tareas personalizadas que se usarán en los flujos de trabajo.

El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización.

Escenarios de licencia de ejemplo

Escenario	Cálculo	Número de licencias
Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para agregar nuevas contrataciones en el departamento de Marketing al grupo de equipos de Marketing. A través de este flujo de trabajo, se asignan 250 nuevas contrataciones al grupo de equipos de Marketing.	1 licencia para el administrador de flujos de trabajo de ciclo de vida y 250 licencias para los usuarios.	251
Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para dar de baja con antelación a un grupo de empleados antes de su último día de trabajo. El ámbito de los usuarios que se darán de baja con antelación es de 40 usuarios.	40 licencias para los usuarios y 1 licencia para el administrador de flujos de trabajo de ciclo de vida.	41

Privileged Identity Management

Para usar Microsoft Entra Privileged Identity Management, el inquilino debe tener una licencia válida. Además, deben asignarse licencias a los administradores y usuarios pertinentes. Este artículo describe los requisitos de licencia para usar Privileged Identity Management. Para usar Privileged Identity Management, debe tener una de las licencias siguientes:

Licencias válidas para PIM

Necesita licencias de gobernanza de Microsoft Entra ID o licencias P2 de Microsoft Entra ID para usar PIM y toda su configuración. Actualmente, puede definir el ámbito de una revisión de acceso para abarcar las entidades de servicio con acceso a Microsoft Entra ID, los roles de recursos con una licencia de Microsoft Entra ID P2 o los usuarios con la edición de Gobierno de Microsoft Entra ID activa en el inquilino. El modelo de licencia para entidades de servicio finalizará para la disponibilidad general de esta característica y es posible que se requieran licencias adicionales.

Licencias que debe tener para PIM

Asegúrese de que su directorio tenga licencias de Gobierno de Microsoft Entra ID P2 o Gobierno de Microsoft Entra ID para las siguientes categorías de usuarios:

• Usuarios con asignaciones elegibles y/o limitadas en el tiempo a Microsoft Entra ID o roles Azure administrados mediante PIM
• Usuarios con asignaciones aptas o con límites de tiempo como miembros o propietarios de PIM para grupos
• Los usuarios que pueden aprobar o rechazar solicitudes de activación en PIM
• Los usuarios asignados a una revisión de acceso
• Los usuarios que realizan revisiones de acceso

Escenarios de licencia de ejemplo para PIM

Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.

Escenario	Cálculo	Número de licencias
Woodgrove Bank tiene 10 administradores para diferentes departamentos y 2 administradores globales que configuran y administran PIM. Eso hace cinco administradores válidos.	Cinco licencias para los administradores que sean válidos	5
Graphic Design Institute tiene 25 administradores, de los cuales 14 se administran a través de PIM. La activación de roles necesita aprobación y hay tres usuarios diferentes en la organización que pueden aprobar las activaciones.	14 licencias para los roles válidos + 3 aprobadores	17
Contoso tiene 50 administradores, de los cuales 42 se administran a través de PIM. La activación de roles necesita aprobación y hay cinco usuarios diferentes en la organización que pueden aprobar las activaciones. Contoso también realiza revisiones mensuales de los usuarios asignados a roles de administrador y los revisores son los administradores de los usuarios, de los cuales seis no tienen roles de administrador administrados por PIM.	42 licencias para los roles válidos + 5 aprobadores + 6 revisores	53

Cuando una licencia expira para PIM

Si expira una licencia de Microsoft Entra ID P2, gobierno de Microsoft Entra ID o una licencia de prueba, las características de Privileged Identity Management ya no estará disponibles en el directorio:

• Las asignaciones de roles permanentes a los roles de Microsoft Entra ID no se verán afectadas.
• El servicio Privileged Identity Management en el Centro de administración Microsoft Entra, y los cmdlets de Graph API y las interfaces de PowerShell de Privileged Identity Management, ya no estarán disponibles para que los usuarios activen roles con privilegios, administren el acceso con privilegios o realicen revisiones de acceso de roles con privilegios.
• Se quitan las asignaciones de roles aptas de roles de Microsoft Entra ID, ya que los usuarios ya no pueden activar roles con privilegios.
• Las revisiones de acceso continuas de los roles de Microsoft Entra finalizan y se quitan las opciones de configuración de Privileged Identity Management.
• Privileged Identity Management ya no envía correos electrónicos en los cambios de asignación de roles.

Aprovisionamiento controlado por API

Esta característica está disponible con las suscripciones de Microsoft Entra ID P1, P2 y Gobierno de Microsoft Entra ID. Se requiere una licencia de suscripción para cada identidad que se genera mediante la API /bulkUpload y se aprovisiona en Active Directory local o en Microsoft Entra ID.

Escenarios de licencia

Licencia del cliente	Límites de uso aplicados en el nivel de inquilino para el aprovisionamiento controlado por API
Microsoft Entra ID P1 o P2	Cuota de uso diario (número de registros de usuario que se pueden cargar durante un período de 24 horas): registros de usuario de 100 000 (2000 llamadas a la API /bulkUpload con cada solicitud que contenga un máximo de 50 registros). Número máximo de trabajos de aprovisionamiento controlados por API para cada flujo: 2 o máximo dos aplicaciones para el aprovisionamiento controlado por API en Active Directory local. o máximo dos aplicaciones para el aprovisionamiento controlado por API en Microsoft Entra ID.
Gobierno de Microsoft Entra ID junto con Microsoft Entra ID P1 o P2	Cuota de uso diario (número de registros de usuario que se pueden cargar durante un período de 24 horas): registros de usuario de 300 000 (6000 llamadas a la API /bulkUpload con cada solicitud que contenga un máximo de 50 registros). Número máximo de trabajos de aprovisionamiento controlados por API para cada flujo: 20 o máximo 20 aplicaciones para el aprovisionamiento controlado por API en Active Directory local. o máximo 20 aplicaciones para el aprovisionamiento controlado por API en Microsoft Entra ID.

Preguntas más frecuentes sobre licencias

¿Es necesario asignar licencias a los usuarios para usar las características de Identity Governance?

No es necesario asignar a los usuarios una licencia de gobierno de Microsoft Entra ID, pero debe haber tantos puestos de licencia como para incluir a todos los usuarios en el ámbito de las características de Identity Governance, o a quien las configura.

¿Cómo puedo usar la licencia de las características de gobierno de Microsoft Entra ID para invitados empresariales?

Todos los usuarios que están en el ámbito de las características de gobierno de Microsoft Entra ID, incluidos invitados empresariales, como contratistas, asociados y colaboradores externos, necesitan una licencia. Estamos creando una nueva licencia de gobierno de Microsoft Entra ID para invitados empresariales. Esta licencia funciona en un modelo de uso activo mensual (MAU). Los clientes pueden adquirir licencias que coincidan con su MAU de invitado empresarial previsto.

Se prevé que estas licencias estén disponibles en primavera de 2024. Mientras tanto, las organizaciones que rigen las identidades de sus empleados con gobierno de Microsoft Entra ID pueden controlar las identidades de sus invitados empresariales sin costo adicional. En este momento, los clientes existentes de Microsoft Entra ID P1 o P2 con la id. externa de Microsoft Entra pueden seguir usando el subconjunto de características que se incluyen en P1 o P2 con sus invitados empresariales a través de su licencia de id. externa de Microsoft Entra.

Para obtener más información, consulte: Licencias de Gobierno de Microsoft Entra ID para invitados empresariales.

¿Qué ocurre cuando expira una licencia de PIM?

Si expira una licencia de Microsoft Entra ID P2, gobierno de id. de Microsoft Entra o una licencia de prueba, las características de Privileged Identity Management ya no estará disponibles en el directorio. Los cambios que se describen a continuación son aplicables a PIM para roles de Microsoft Entra, PIM para recursos de Azure y PIM para grupos.

• Las asignaciones permanentemente activas no se ven afectadas.
• Las asignaciones con límite de tiempo activo se vuelven permanentemente activas, lo que significa que ya no expirarán en un momento designado.
• Se quitarán las asignaciones de roles elegibles, puesto que los usuarios ya no podrán activar roles con privilegios.
• Las hojas de Privileged Identity Management en el Centro de administración Microsoft Entra o Azure Portal, y las interfaces de API y de PowerShell de Privileged Identity Management, ya no estarán disponibles para que los usuarios activen roles, administren asignaciones o realicen revisiones de acceso de roles con privilegios.
• Las revisiones de acceso continuas de los roles de Microsoft Entra finalizan y se quitan las opciones de configuración de Privileged Identity Management.
• Privileged Identity Management no volverá a enviar correos electrónicos cuando se produzcan cambios de asignación de rol y alertas de PIM.

¿Se agregarán características y funcionalidades de IGA en la licencia de Microsoft Entra ID P2?

Todas las características disponibles con carácter general en Microsoft Entra ID P2 permanecerán, pero no se agregarán nuevas características ni funcionalidades de IGA a la SKU de Microsoft Entra ID P2.

Pasos siguientes

• ¿Qué es Microsoft Entra ID Governance?