Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este documento analiza las licencias de gobernanza de identidad de Microsoft Entra. Está pensado para responsables de la toma de decisiones de TI, administradores de TI y profesionales de TI que están considerando el uso de los servicios de Gobierno de Microsoft Entra ID para sus organizaciones.
Tipos de licencias
Las siguientes licencias están disponibles para su uso con Microsoft Entra ID Governance en las nubes comerciales y gubernamentales. La elección de licencias que necesita en un inquilino dependerá de las características que use en ese inquilino.
- Gratis : se incluye con suscripciones a la nube de Microsoft, como Microsoft Azure, Microsoft 365 y otros.
- Microsoft Entra ID P1: Microsoft Entra ID P1 está disponible como producto independiente o incluido con Microsoft 365 E3 para clientes empresariales y Microsoft 365 Empresa Premium para pequeñas y medianas empresas.
- Microsoft Entra ID P2 : microsoft Entra ID P2 está disponible como un producto independiente o incluido con Microsoft 365 E5 para clientes empresariales.
- Gobernanza de identificadores de Entra de Microsoft : la gobernanza de identificadores de Microsoft Entra es un conjunto avanzado de funcionalidades de gobernanza de identidades disponibles para los clientes de Microsoft Entra ID P1 y P2. Gobernanza de identificadores de Entra de Microsoft está disponible como seis productos Microsoft Entra ID Governance, Microsoft Entra ID Governance Step Up for Microsoft Entra ID ID P2, Entra ID Governance Frontline Worker, Microsoft Entra ID Governance Step up for Microsoft Entra ID F2, Microsoft Entra ID Governance for Government y Microsoft Entra ID Governance for Government and Microsoft Entra ID Governance Add-on for Microsoft Entra ID P2 for Government. Estos seis productos solo difieren en sus requisitos previos; contienen las funcionalidades de administración de derechos, administración de identidades con privilegios y revisiones de acceso que estaban en microsoft Entra ID P2 y funcionalidades de gobernanza de identidades avanzadas adicionales.
- Microsoft Entra Suite : Microsoft Entra Suite es una solución completa basada en la nube para el acceso a los empleados, disponible para los clientes de Microsoft Entra ID P1 y P2. Microsoft Entra Suite reúne Microsoft Entra Private Access, Microsoft Entra Internet Access, Microsoft Entra ID Governance, Microsoft Entra ID Protection y Microsoft Entra Verified ID. La parte Gobernanza de identificadores de Microsoft Entra proporciona las mismas funcionalidades de gobernanza de identidades que el producto microsoft Entra ID Governance . La diferencia es que tienen requisitos previos diferentes.
Nota:
Algunos escenarios de Gobierno de Microsoft Entra ID se pueden configurar para depender de otras características que no están cubiertas por Gobierno de Microsoft Entra ID. Estas características pueden tener requisitos de licencia adicionales. Para obtener más información sobre los escenarios de gobernanza que usan otras características, consulte la página de información general sobre la gobernanza de identidades .
Los productos de gobernanza de Microsoft Entra ID para el Gobierno y el complemento de gobernanza de Microsoft Entra ID para Microsoft Entra ID P2 para el Gobierno están disponibles en los entornos de nube de la comunidad del Gobierno de EE. UU. (GCC), GCC-High y del Departamento de Defensa.
Requisitos previos y productos de gobernanza
Las funcionalidades de gobernanza de identificadores de Microsoft Entra están disponibles actualmente en seis productos independientes. Estos seis productos proporcionan las mismas funcionalidades de gobernanza de identidades. La diferencia entre los seis productos es que tienen requisitos previos diferentes.
- Una suscripción a Microsoft Entra ID Governance o Microsoft Entra ID Governance for Government, que aparece en los términos del producto como producto Microsoft Entra ID Governance (User SL), requiere que el inquilino también tenga una suscripción activa a otro producto, una que contenga el
AAD_PREMIUMplan de servicio oAAD_PREMIUM_P2. Algunos ejemplos de productos que cumplen este requisito previo son Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5 o Enterprise Mobility + Security E3/E5. - Una suscripción a Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 o Microsoft Entra ID Governance Add-on for Microsoft Entra ID P2 for Government, que aparece en los términos del producto como producto Microsoft Entra ID Governance P2, requiere que el inquilino también tenga una suscripción activa a otro producto, uno que contenga el plan de servicio
AAD_PREMIUM_P2. Algunos ejemplos de productos que cumplen este requisito previo son Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security o Microsoft 365 F5 Security + Compliance. - Una suscripción al producto Entra ID Governance Frontline Worker (User SL) requiere que el inquilino también tenga una suscripción activa a otro producto, uno que contenga el plan de
AAD_PREMIUMservicio oAAD_PREMIUM_P2. Algunos ejemplos de productos que cumplen este requisito previo son Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 o Microsoft 365 F1/F3. - Una suscripción a Microsoft Entra ID Governance Step up for Microsoft Entra ID F2, listado en los términos del producto como Microsoft Entra ID Governance F2 o Microsoft Entra ID Governance Step-Up para Microsoft Entra ID F2 para Trabajador de Primera Línea (Usuario SL), requiere que el cliente también tenga una suscripción activa a otro producto, uno que contenga el
AAD_PREMIUM_P2plan de servicio. Algunos ejemplos de productos que cumplen este requisito previo son Microsoft Entra ID F2.
Las funcionalidades de gobernanza de identificadores de Microsoft Entra también se incluyen en Microsoft Entra Suite. Los productos disponibles de Microsoft Entra Suite incluyen Microsoft Entra Suite (User SL), Complemento de Microsoft Entra Suite para Microsoft Entra ID F2 para FLW (User SL), Complemento de Microsoft Entra Suite para Microsoft Entra ID P2 (User SL), Complemento de Microsoft Entra Suite para Microsoft Entra ID P2 EDU (User SL), Microsoft Entra Suite FLW (User SL), y Microsoft Entra Suite para EDU (User SL).
Los nombres de productos y los identificadores de planes de servicio para la concesión de licencias incluyen productos adicionales que cuentan con los planes de servicio prerrequisitos.
Nota:
Debe estar activa en el inquilino la suscripción a un requisito previo para un producto de Gobierno de Microsoft Entra ID. Si un requisito previo no está presente o la suscripción expira, es posible que los escenarios de gobernanza de identificadores de Microsoft Entra no funcionen según lo previsto.
Para comprobar si los productos necesarios para un producto de Gobernanza de ID de Microsoft Entra están presentes en un tenant, puede utilizar el Centro de administración de Microsoft Entra o el Centro de administración de Microsoft 365 para ver la lista de productos.
Inicie sesión en el Centro de administración de Microsoft Entra como administrador de licencias.
Vaya a Facturación>Licencias.
En el menú Administrar , seleccione Características con licencia. La barra de información indica el plan actual de licencia de Microsoft Entra ID.
Para ver los productos existentes en el inquilino, en el menú Administrar , seleccione Todos los productos.
Inicio de una prueba
Un Administrador global de un inquilino comercial que tenga un producto de requisitos previos adecuado, como Microsoft Entra ID P1, ya comprado, y que aún no esté usando o que haya probado previamente el Gobierno de Microsoft Entra ID, puede solicitar una prueba de Gobierno de Microsoft Entra ID en su inquilino.
Inicie sesión en el Centro de administración de Microsoft 365 como administrador global
En el menú Facturación , seleccione Comprar servicios.
En el cuadro Buscar todas las categorías de productos , escriba
"Microsoft Entra ID Governance".Seleccione Detalles debajo de Microsoft Entra ID Governance para ver la información de prueba y compra del producto. Si el inquilino tiene Microsoft Entra ID P2, seleccione Detalles debajo de Microsoft Entra ID Governance Step-Up for Microsoft Entra ID P2.
En la página de detalles del producto, seleccione Iniciar evaluación gratuita.
En la tabla siguiente se muestran los requisitos de licencia para las características de Gobierno de Identidad de Microsoft Entra. Suite de Microsoft Entra incluye todas las características de Administración de Microsoft Entra ID. La información sobre licencias y los escenarios de licencia de ejemplo para la gestión de derechos de uso, las revisiones de acceso y los flujos de trabajo del ciclo de vida se proporcionan después de la tabla.
Características por licencia
En la tabla siguiente se muestran las características asociadas a la gobernanza de identidades disponibles con cada licencia. Para obtener más información sobre otras características, consulte Planes y precios de Microsoft Entra. No todas las funciones están disponibles en todas las nubes; consulte la disponibilidad de características de Microsoft Entra para Azure Government.
Administración de derechos
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización. Algunas funcionalidades de esta característica pueden funcionar con una suscripción de Microsoft Entra ID P2.
Escenarios de licencia de ejemplo
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Una de las directivas especifica que Todos los empleados (2000 empleados) pueden solicitar un conjunto específico de paquetes de acceso. 150 empleados solicitan los paquetes de acceso. | 2000 empleados que pueden solicitar los paquetes de acceso | 2.000 |
| Un administrador de Identity Governance en Woodgrove Bank crea catálogos iniciales. Crean una directiva de asignación automática que concede a todos los miembros del departamento de ventas (350 empleados) acceso a un conjunto específico de paquetes de acceso. 350 empleados se asignan automáticamente a los paquetes de acceso. | 350 empleados necesitan licencias. | 351 |
Revisiones de acceso
El uso de esta característica requiere suscripciones a la gobernanza de identidades de Microsoft Entra para los usuarios de su organización, incluidos todos los empleados que estén revisando el acceso o que tengan su acceso revisado. Algunas funcionalidades de esta característica podrían funcionar con una suscripción de Microsoft Entra ID P2.
Escenarios de licencia de ejemplo
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador crea una revisión de acceso del Grupo A con 75 usuarios y 1 propietario del grupo, y asigna el propietario del grupo como revisor. | 1 licencia para el propietario del grupo como revisor y 75 licencias para los 75 usuarios. | 76 |
| Un administrador crea una revisión de acceso del Grupo B con 500 usuarios y 3 propietarios de grupo, y asigna los 3 propietarios de grupo como revisores. | 500 licencias para usuarios y 3 licencias para cada propietario de grupo como revisores. | 503 |
| Un administrador crea una revisión de acceso del Grupo B con 500 usuarios. Lo convierte en una autorrevisión. | 500 licencias para cada usuario como autorrevisores | 500 |
| Un administrador crea una revisión de acceso del Grupo C con 50 usuarios miembros. Lo convierte en una autorrevisión. | 50 licencias para cada usuario como autorrevisores. | 50 |
| Un administrador crea una revisión de acceso del Grupo D con 6 usuarios miembros. Lo convierte en una autorrevisión. | 6 licencias para cada usuario como autorrevisores. No se necesitan licencias adicionales. | 6 |
Flujos de trabajo de ciclo de vida
Con las licencias de Gobernanza de Microsoft Entra ID para flujos de trabajo de ciclo de vida, puede hacer lo siguiente:
- Crear, administrar y eliminar flujos de trabajo hasta un límite total de 50 flujos de trabajo.
- Desencadenar la ejecución de flujo de trabajo a petición y de forma programada.
- Administrar y configurar las tareas existentes para crear flujos de trabajo específicos de sus necesidades.
- Crear hasta 100 extensiones de tareas personalizadas que se usarán en los flujos de trabajo.
El uso de esta característica requiere suscripciones de Gobernanza de id. de Microsoft Entra para los usuarios de la organización.
Escenarios de licencia de ejemplo
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para agregar nuevas contrataciones en el departamento de Marketing al grupo de equipos de Marketing. Mediante este flujo de trabajo, se asignan una vez 250 nuevas contrataciones al grupo de equipos de Marketing. Mediante este flujo de trabajo, se asignan más adelante el mismo año otras 150 nuevas contrataciones al grupo de equipos de Marketing. | 1 licencia para el administrador de flujos de trabajo de ciclo de vida y 400 licencias para los usuarios. | 401 |
| Un administrador de flujos de trabajo de ciclo de vida crea un flujo de trabajo para dar de baja con antelación a un grupo de empleados antes de su último día de trabajo. El ámbito de los usuarios que se darán de baja con antelación es de 40 usuarios una vez. Desvinculamos a 40 usuarios con licencia. Ahora, podemos volver a asignar estas 40 licencias y asignar otras 10 licencias más adelante en el año para desvincular previamente a 50 usuarios más. | 50 licencias para los usuarios y 1 licencia para el administrador de flujos de trabajo de ciclo de vida. | 51 |
Gestión de Identidades con Privilegios
Para usar Microsoft Entra Privileged Identity Management, el inquilino debe tener una licencia válida. Además, deben asignarse licencias a los administradores y usuarios pertinentes. Este artículo describe los requisitos de licencia para usar Privileged Identity Management. Para usar Privileged Identity Management, debe tener una de las licencias siguientes:
Licencias válidas para PIM
Necesita licencias de gobernanza de Microsoft Entra ID o licencias P2 de Microsoft Entra ID para usar PIM y toda su configuración. Actualmente, puede definir el ámbito de una revisión de acceso para abarcar las entidades de servicio con acceso a Microsoft Entra ID, los roles de recursos con una licencia de Microsoft Entra ID P2 o los usuarios con la edición de Gobierno de Microsoft Entra ID activa en el inquilino.
Licencias que debe tener para PIM
Asegúrese de que su directorio tenga licencias de Microsoft Entra ID P2 o Microsoft Entra ID Governance para las siguientes categorías de usuarios:
- Usuarios con asignaciones elegibles y/o limitadas en el tiempo a Microsoft Entra ID o roles Azure administrados mediante PIM
- Usuarios con asignaciones aptas y/o con límite de tiempo como miembros o propietarios de PIM para Grupos
- Los usuarios que pueden aprobar o rechazar solicitudes de activación en PIM
- Los usuarios asignados a una revisión de acceso
- Los usuarios que realizan revisiones de acceso
Escenarios de licencia de ejemplo para PIM
Estos son algunos escenarios de licencia de ejemplo que le ayudarán a determinar el número de licencias que debe tener.
| Escenario | Cálculo | Número de licencias |
|---|---|---|
| Woodgrove Bank tiene 10 administradores para diferentes departamentos y 2 administradores de roles con privilegios que configuran y administran PIM. Ellos hacen que cinco administradores sean elegibles. | Cinco licencias para los administradores que sean válidos | 5 |
| Graphic Design Institute tiene 25 administradores, de los cuales 14 se administran a través de PIM. La activación de roles necesita aprobación y hay tres usuarios diferentes en la organización que pueden aprobar las activaciones. | 14 licencias para los roles válidos + 3 aprobadores | 17 |
| Contoso tiene 50 administradores, de los cuales 42 se administran a través de PIM. La activación de roles necesita aprobación y hay cinco usuarios diferentes en la organización que pueden aprobar las activaciones. Contoso también realiza revisiones mensuales de los usuarios asignados a roles de administrador y los revisores son los administradores de los usuarios, de los cuales seis no tienen roles de administrador administrados por PIM. | 42 licencias para los roles válidos + 5 aprobadores + 6 revisores | 53 |
Cuando una licencia expira para PIM
Si expira una licencia de microsoft Entra ID P2, microsoft Entra ID Governance o una licencia de prueba, las características de Privileged Identity Management ya no están disponibles en el directorio:
- Las asignaciones permanentes a los roles de Microsoft Entra no se ven afectadas.
- El servicio Privileged Identity Management en el Centro de administración Microsoft Entra, y los cmdlets de Graph API y las interfaces de PowerShell de Privileged Identity Management, ya no estarán disponibles para que los usuarios activen roles con privilegios, administren el acceso con privilegios o realicen revisiones de acceso de roles con privilegios.
- Se eliminan las asignaciones de roles elegibles de Microsoft Entra, ya que los usuarios no podrán activar roles privilegiados.
- Cualquier revisión de acceso en curso de los roles de Microsoft Entra finaliza y se eliminan las configuraciones de administración de identidad privilegiada.
- Privileged Identity Management ya no envía correos electrónicos en los cambios de asignación de roles.
Aprovisionamiento controlado por API
Esta característica está disponible con las suscripciones de Microsoft Entra ID P1, P2 y Microsoft Entra ID Governance. Se requiere una licencia de suscripción para todas las identidades que se tienen como origen mediante la API /bulkUpload y se aprovisionan en Active Directory local o en el identificador de Microsoft Entra.
Escenarios de licencia
| Licencia del cliente | Límites de uso aplicados en el nivel de inquilino para el aprovisionamiento controlado por API |
|---|---|
| Microsoft Entra ID P1 o P2 | Cuota de uso diario (número de registros de usuario que se pueden cargar durante un período de 24 horas): 100 000 registros de usuario (2000 /bulkUpload API llamadas con cada solicitud que contenga un máximo de 50 registros). Número máximo de trabajos de aprovisionamiento controlados por API para cada flujo: 2 o máximo dos aplicaciones para el aprovisionamiento controlado por API en Active Directory local. o máximo dos aplicaciones para el aprovisionamiento controlado por API en Microsoft Entra ID. |
| Gobierno de Microsoft Entra ID junto con Microsoft Entra ID P1 o P2 | Cuota de uso diario (número de registros de usuario que se pueden cargar durante un período de 24 horas): 300 000 registros de usuario (6 000 llamadas API de /bulkUpload, con cada solicitud conteniendo un máximo de 50 registros). Número máximo de trabajos de aprovisionamiento controlados por API para cada flujo: 20 o máximo 20 aplicaciones para el aprovisionamiento controlado por API en Active Directory local. o máximo 20 aplicaciones para el aprovisionamiento controlado por API en Microsoft Entra ID. |
Preguntas más frecuentes sobre licencias
¿Es necesario asignar licencias a los usuarios para usar las características de Identity Governance?
No es necesario asignar a los usuarios una licencia de gobernanza de identificadores de Microsoft Entra, pero debe haber tantas licencias para incluir a todos los usuarios en el ámbito de, o quién configura, las características de Identity Governance.
¿Cómo puedo usar la licencia de las características de gobierno de Microsoft Entra ID para invitados empresariales?
La gobernanza de identificadores de Entra de Microsoft utiliza licencias mensuales de usuario activo (MAU) para usuarios invitados que son diferentes de las licencias de los empleados y requieren una suscripción de Azure.
En el modelo de facturación de invitado, los invitados se identifican mediante un userType de Invitado, independientemente de donde el usuario se autentique. El userType 'Guest' es el valor predeterminado para todos los métodos de invitación B2B y un administrador de identidades también puede establecerlo. La factura de cada mes incluye un registro para cada usuario invitado con una o más acciones de gobernanza en ese mes. Consulte la página de precios de Azure para obtener más información.
Para obtener más información, consulte: Licencias de gobernanza de ID de Microsoft Entra para usuarios invitados.
¿Qué ocurre cuando expira una licencia de PIM?
Si una licencia de Microsoft Entra ID P2 o de Microsoft Entra ID Governance expira o finaliza la prueba, las características de Privileged Identity Management ya no estarán disponibles en el directorio. Los siguientes cambios enumerados son aplicables a PIM para roles de Microsoft Entra, PIM para recursos de Azure y PIM para grupos.
- Las asignaciones permanentemente activas no se ven afectadas.
- Las asignaciones con límite de tiempo activo se vuelven permanentemente activas, lo que significa que ya no expirarán en un momento designado.
- Se quitarán las asignaciones de roles elegibles, puesto que los usuarios ya no podrán activar roles con privilegios.
- Las hojas de Privileged Identity Management en el Centro de administración Microsoft Entra o Azure Portal, y las interfaces de API y de PowerShell de Privileged Identity Management, ya no estarán disponibles para que los usuarios activen roles, administren asignaciones o realicen revisiones de acceso de roles con privilegios.
- Las revisiones de acceso en curso de los roles de Microsoft Entra finalizan y se eliminan las configuraciones de Privileged Identity Management.
- Privileged Identity Management no volverá a enviar correos electrónicos cuando se produzcan cambios de asignación de rol y alertas de PIM.
¿Se agregarán características y funcionalidades de IGA en la licencia de Microsoft Entra ID P2?
Todas las características disponibles con carácter general en Microsoft Entra ID P2 permanecerán, pero no se agregarán nuevas características ni funcionalidades de IGA a la SKU de Microsoft Entra ID P2.