Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe la estructura de precios para el complemento microsoft Entra ID Governance para invitados y se describe cómo vincular el inquilino a una suscripción de Azure para garantizar el acceso correcto a las características y la facturación.
Modelo de facturación de usuarios activos mensuales (MAU)
La gobernanza del identificador de Entra de Microsoft utiliza licencias mensuales de usuario activo (MAU) para los usuarios invitados que son diferentes de las licencias de los empleados. Consulte Aspectos básicos de las licencias de gobernanza de Id. de Microsoft Entra para obtener más información sobre las licencias de los empleados.
En el modelo de facturación de invitado, los invitados se identifican mediante un userType de Guest independientemente de dónde se autentique el usuario. Un userType de Guest es el valor predeterminado userType para todos los métodos de invitación B2B y también puede establecerlo un administrador de identidades. La factura de cada mes incluye un registro para cada usuario invitado con una o varias acciones de gobernanza en ese mes. Consulte la página de precios de Azure para más información sobre los precios.
Características de gobernanza facturables
Los usuarios invitados solo se facturan cuando usan activamente características exclusivas de la gobernanza de identificadores de Microsoft Entra. No se facturan las características incluidas con Microsoft Entra P2. Además, si un invitado no realiza ninguna acción activa relacionada con la gobernanza durante un mes, como en los casos en los que el acceso se asignó automáticamente en un mes anterior, no se facturará durante ese mes.
Puede identificar las acciones que se facturarán al complemento Microsoft Entra ID Governance para invitados examinando los registros de auditoría. En concreto, cada acción facturable tiene estas propiedades incluidas:
TargetId: id. de objeto del usuario de destino
TargetUserType: Invitado
FunciónLicencia de GobernanzaUtilizado: Verdadero
La tabla siguiente contiene una lista de acciones facturables actualmente para los usuarios invitados. Esta lista puede cambiar a medida que se agregan más características a la gobernanza de identificadores de Entra de Microsoft.
| Service | Action | Eventos facturables y API | Registro de auditoría donde TargetUserType es Guest y GovernanceLicenseFeatureUsed es True |
|---|---|---|---|
| Administración de derechos | Solicitud del paquete de acceso en nombre de otros usuarios | Facturar sobre la creación correcta de la solicitud. El usuario solicita o actualiza una asignación de paquetes de acceso en nombre de otro usuario. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests cuando el solicitante (administrador) se extrae del token y el objeto de destino viene determinado por el identificador del empleado directo que recibe acceso. |
Asignación de paquetes de acceso de solicitudes de usuario, Creación de una solicitud de actualización de usuario de asignación de paquetes de acceso, el administrador asigna directamente el usuario al paquete de acceso. |
| Administración de derechos | El invitado se asigna a una asignación de roles de Microsoft Entra | Facturar si se crea correctamente una solicitud cuando se incluye un rol de Microsoft Entra en el paquete de acceso. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests cuando el paquete de acceso contiene un rol de Microsoft Entra. |
Asignación de paquetes de acceso de solicitudes de usuario, Creación de una solicitud de actualización de usuario de asignación de paquetes de acceso, el administrador asigna directamente el usuario al paquete de acceso. |
| Administración de derechos | La directiva de patrocinador se aplica a la asignación | Facturar sobre la creación correcta de solicitudes cuando se incluye un patrocinador como aprobador en la directiva de paquete de acceso. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests donde un patrocinador se incluye como aprobador en la directiva de paquete de acceso. |
Asignación de paquetes de acceso de solicitudes de usuario, Creación de una solicitud de actualización de usuario de asignación de paquetes de acceso, el administrador asigna directamente el usuario al paquete de acceso. |
| Administración de derechos | EM: PIM para grupos | Facturar si se crea correctamente una solicitud cuando se incluye un grupo pim en el paquete de acceso. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests cuando el paquete de acceso contiene un grupo PIM. |
Asignación de paquetes de acceso de solicitudes de usuario, Creación de una solicitud de actualización de usuario de asignación de paquetes de acceso, el administrador asigna directamente el usuario al paquete de acceso. |
| Administración de derechos | El invitado usa el identificador comprobado para la solicitud. | Facturar si se crea correctamente la solicitud cuando se requiere el identificador comprobado en la directiva. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests cuando la directiva de paquete de acceso requiere un identificador comprobado. |
Asignación de paquetes de acceso de solicitudes de usuario, Creación de una solicitud de actualización de usuario de asignación de paquetes de acceso, el administrador asigna directamente el usuario al paquete de acceso. |
| Administración de derechos | Directiva de invitado asignada con la extensión personalizada | Facturar cuando se incluye una extensión personalizada en la directiva de asignación. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests cuando se incluye una extensión personalizada en la directiva de asignación. |
Asignación de paquetes de acceso de solicitudes de usuario, Creación de una solicitud de actualización de usuario de asignación de paquetes de acceso, el administrador asigna directamente el usuario al paquete de acceso. |
| Administración de derechos | Se concede a un invitado una directiva de asignación automática | Facturar la creación correcta de solicitudes con una directiva de asignación automática. | La administración de derechos crea una solicitud de asignación de paquetes de acceso para el usuario. |
| Administración de derechos | Asigna directamente cualquier identidad | Facturar la creación correcta de solicitudes cuando se usa la asignación directa de un paquete de acceso a un usuario que aún no está en el directorio. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests cuando se usa requestType "AdminAdd" para un usuario que no existe en el directorio. |
La administración de derechos invita al usuario externo. |
| Administración de derechos | Marcar invitado como regulado | Facturar por la conversión al usuario regulado. API https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/subjects donde "subjectLifecycle" está establecido en "regulado". |
Actualice el ciclo de vida del usuario del paquete de acceso. |
| Flujos de trabajo del ciclo de vida | El flujo de trabajo se ejecuta para invitado | Facturar en la ejecución del flujo de trabajo. API https://graph.microsoft.com/v1.0/identityGovernance/lifecycleWorkflows/workflows/{workflowId}/activate |
Ejecución del flujo de trabajo iniciada para el usuario. |
| Revisiones de acceso | Revisión de acceso: revisiones de acceso asistido por aprendizaje automático | Factura cuando el usuario invitado se incluye en la revisión. API https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions donde la configuración de recomendación está habilitada en una revisión de grupo. |
Resumen del elemento de decisión. |
| Revisiones de acceso | Revisión de acceso: usuarios inactivos | Factura cuando el usuario invitado se incluye en la revisión. API https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions donde las opiniones de invitado inactivas se incluyen en la directiva de un recurso de grupo. |
Resumen del elemento de decisión. |
Facturación de invitados en organizaciones multiinquilino
La facturación de invitado de gobernanza solo se aplica a los usuarios con un userType de invitado, por lo que si los usuarios con licencia de gobernanza de id. de Microsoft Entra se incorporan a otros inquilinos de la organización con un userType de miembro, no se acumularán en el medidor de facturación.
Si estos usuarios se incluyen con un userType de invitado que se acumulan en el medidor, sin embargo, puede evitar que se le cobre configurando o uniendo una organización multiinquilino. Si el usuario invitado procede de un inquilino organizativo participante, el invitado no se acumulará en el medidor de facturación. Consulte Configuración de una organización multiinquilino en Microsoft 365.
Ejemplos de facturación
Escenario 1: Automatización de asignaciones de paquetes de acceso
March:
Contoso crea una directiva de asignación automática que asigna un paquete de acceso a 500 usuarios invitados.
Contoso IT ejecuta la API de conversión de invitado para otro conjunto de 500 usuarios invitados.
Facturación: en marzo, Contoso se factura por 1000 usuarios invitados totales: 500 usuarios para la directiva de asignación automática y 500 usuarios para la API de conversión de invitado.
April:
Los 500 usuarios invitados que se asignaron automáticamente a un paquete de acceso en marzo conservan sus asignaciones, pero no se facturan, ya que no se ha realizado ninguna acción explícita en estos usuarios en abril.
Además, El departamento de TI de Contoso ejecuta una revisión de acceso inactiva en 100 invitados.
Facturación: para abril, Contoso se factura a 100 usuarios por la revisión de acceso inactivo.
Escenario 2: Flujo de trabajo del ciclo de vida y revisión de acceso para usuarios inactivos
March:
Fabrikam ejecuta un flujo de trabajo de ciclo de vida para 300 usuarios invitados.
También realizan una revisión de acceso para los usuarios inactivos, destinados a 100 de los mismos invitados que antes, además de un conjunto diferente de 200 invitados.
Facturación: para marzo, Fabrikam se factura por 300 usuarios para el flujo de trabajo del ciclo de vida y 200 usuarios para la revisión de acceso inactivo. Dado que 100 de los usuarios invitados ya incurrió en un cargo por el flujo de trabajo del ciclo de vida, no incurrió en ningún cargo adicional por la revisión del usuario inactivo, ya que cada usuario invitado solo se cobrará una vez por una o varias acciones de gobernanza en el mes.
April:
Desde el segundo grupo de usuarios invitados de 200 en marzo, 150 invitados reciben un paquete de acceso asignado automáticamente que concede acceso a una aplicación y tienen la misma revisión de acceso de usuario inactiva que se ejecutó en marzo, repetida en abril.
Facturación: para abril, Fabrikam se factura por 150 usuarios y no se les cobra por la acción de asignación automática del paquete de acceso, ya que estos 150 invitados ya se han cargado por abril.
Escenario 3: Revisiones de acceso para usuarios inactivos y afiliación de usuario a grupo
May:
- Tailspin Toys crea una revisión de acceso de invitado inactiva para 200 usuarios.
- Tailspin crea una segunda revisión de acceso para un grupo de seguridad con 300 usuarios invitados con la característica de afiliación de usuario a grupo habilitada.
- Facturación: para mayo, Tailspin se factura por 500 usuarios : 200 por la revisión de acceso de invitado inactivo y 300 por la revisión con afiliación de usuario a grupo.
Vinculación del inquilino a una suscripción
Los inquilinos deben estar vinculados a una suscripción de Azure para obtener una facturación y acceso adecuados a las características. Para vincular el inquilino a una suscripción, siga estos pasos.
Inicie sesión en el Centro de administración de Microsoft Entra con una cuenta que tenga al menos el rol Colaborador dentro de la suscripción o un grupo de recursos dentro de la suscripción.
Seleccione el directorio que desea vincular: en la barra de herramientas del Centro de administración de Microsoft Entra, seleccione el icono Configuración de la barra de herramientas del portal. A continuación, en la configuración del portal | Directorios y suscripciones página, busque el inquilino del personal en la lista Nombre del directorio y, a continuación, seleccione Cambiar.
Vaya alPanel>> de entra.
En el panel de gobernanza, busque el panel de gobernanza de invitados y seleccione Introducción.
En el panel Vincular una suscripción , seleccione una suscripción y un grupo de recursos. A continuación, seleccione Activar.
Después de completar estos pasos, la suscripción de Azure se factura según los detalles del Contrato Enterprise o De Azure Direct, si procede.
¿Qué ocurre si no puedo encontrar una suscripción?
Si no hay suscripciones disponibles en el panel Vincular una suscripción , estos son algunos de los motivos posibles:
No tiene los permisos adecuados. Asegúrese de iniciar sesión con una cuenta de Azure que tenga al menos el rol Colaborador dentro de la suscripción o un grupo de recursos dentro de la suscripción.
Existe una suscripción, pero aún no está asociada al directorio. Puede asociar una suscripción existente al inquilino y, a continuación, repetir los pasos para vincularla al inquilino.
No existe ninguna suscripción. En el panel Vincular una suscripción , puede crear una suscripción seleccionando si aún no tiene una suscripción que puede crear aquí. Después de crear una nueva suscripción, deberá crear un grupo de recursos en la nueva suscripción y, a continuación, repetir los pasos para vincularlo al inquilino.
Desactivar la facturación de invitado
Para desactivar la facturación de invitado de gobernanza, vuelva al panel de gobernanza y seleccione Editar en el panel de gobernanza de invitados. En el panel Editar acceso de invitado, seleccione "Desactivar" para deshabilitar la facturación y las características de gobernanza de identificadores de Entra de Microsoft para los usuarios invitados.
Preguntas más frecuentes sobre licencias de usuarios invitados
¿Es necesario tener una suscripción a Microsoft Entra ID Governance o Microsoft Entra Suite si solo quiero controlar a los invitados?
Yes. Aunque no necesita una suscripción para los usuarios invitados, debe tener al menos una licencia de Gobernanza de identificadores de Microsoft Entra o Microsoft Entra Suite para un administrador en el inquilino.
He estado usando revisiones de acceso y características de administración de derechos incluidas en Microsoft Entra P2 para mis usuarios invitados. ¿Empezaré a facturar este uso?
Las características de gobernanza incluidas en Microsoft Entra P2, incluidas las revisiones de acceso básicas y las funcionalidades de administración de derechos, no se facturarán al complemento invitado de gobernanza. Solo se facturarán las características de gobernanza exclusivas de Microsoft Entra Suite o la gobernanza de identificadores de Microsoft Entra independiente al medidor. Consulte la acción tablas facturables en esta página para obtener más información.
¿Se aplica la facturación de invitados de gobernanza a todos los usuarios invitados, incluidos los de los primeros 50 000 usuarios activos mensuales (MAU)?
Sí, no hay ningún nivel gratuito para la facturación de gobernanza. La facturación de invitados de gobernanza se aplica a todos los usuarios invitados, incluso a los de los primeros 50 000 MAU.
Características de gobernanza de invitados no disponibles sin el complemento Microsoft Entra ID Governance for Guest
Para usar las características de gobernanza del identificador de Entra de Microsoft para los usuarios invitados, el inquilino debe estar vinculado a una suscripción de Azure con el complemento Microsoft Entra ID Governance para invitados. Si el medidor de facturación de invitado no está habilitado, se aplica el siguiente comportamiento:
Nota:
La conexión del complemento microsoft Entra ID Governance for Guests se aplicará a partir de enero de 2026. Esta lista puede cambiar a medida que se agregan más características a la gobernanza de identificadores de Entra de Microsoft.
Revisiones de acceso
- No podrá crear nuevas revisiones de acceso con ámbito para los usuarios invitados si se selecciona alguna de las siguientes características:
- Revisión de acceso de usuario inactivo
- Asistente de recomendaciones de afiliación de usuario a grupo
Administración de derechos
- No podrá crear directivas con invitados en el ámbito ("Para todos los usuarios del directorio incluidos los invitados" o "Para los usuarios que no están en el directorio") y las características de gobernanza de id. de Entra de Microsoft enumeradas en esta documentación (por ejemplo, aprobadores de patrocinador, extensiones personalizadas e identificador comprobado).
- No podrá crear nuevas directivas de asignación automática en las que se incluya una regla configurada.
userType=Guest - No podrá actualizar las directivas de administración de derechos existentes que agreguen estas características.
- No podrá realizar estas operaciones:
- Marcar invitado como regulado
- Asignar directamente a cualquier usuario invitado
Flujos de trabajo de ciclo de vida
- No podrá crear nuevos flujos de trabajo si el ámbito de flujo de trabajo incluye usuarios invitados:
- La regla configurada incluye
userType=Guest
- La regla configurada incluye
- No podrá actualizar los flujos de trabajo existentes en los que las condiciones de ejecución incluyan un ámbito con
userType=Guest.