Principes fondamentaux des licences de gouvernance des identités Microsoft Entra

Ce document suivant décrit les licences Gouvernance des ID Microsoft Entra. Il s’adresse aux décideurs informatiques, aux administrateurs informatiques et aux professionnels de l’informatique qui envisagent d’adopter les services Gouvernance Microsoft Entra ID pour leurs organisations.

Types de licences

Les licences suivantes peuvent être utilisées avec la Gouvernance des ID Microsoft Entra dans le cloud commercial. Le choix des licences dont vous avez besoin dans un locataire dépend des fonctionnalités que vous utilisez dans ce locataire.

• Gratuit : inclus dans les abonnements cloud Microsoft tels que Microsoft Azure, Microsoft 365 et autres.
• Microsoft Entra ID P1 : Microsoft Entra ID P1 est disponible en produit autonome ou inclus avec Microsoft 365 E3 pour les entreprises clientes, et avec Microsoft 365 Business Premium pour les petites et moyennes entreprises.
• Microsoft Entra ID P2 : Microsoft Entra ID P2 est disponible en produit autonome ou inclus avec Microsoft 365 E5 pour les entreprises clientes.
• Gouvernance Microsoft Entra ID - Microsoft Gouvernance Entra ID est un ensemble avancé de fonctionnalités de gouvernance des identités disponibles pour les clients Microsoft Entra ID P1 et P2, car deux produits Gouvernance Microsoft Entra ID et Gouvernance Microsoft Entra ID Pas à pas pour Microsoft Entra ID P2. Ces produits contiennent les fonctionnalités de base de gouvernance des identités qu’offrait Microsoft Entra ID P2, ainsi que d’autres fonctionnalités avancées de gouvernance des identités.

Remarque

Vous pouvez configurer certains scénarios de Gouvernance Microsoft Entra ID pour qu’ils dépendent d’autres fonctionnalités qui ne sont pas prises en charge par Gouvernance Microsoft Entra ID. Il est possible que ces fonctionnalités aient des exigences supplémentaires en termes de licence. Consultez la vue d’ensemble de la gouvernance des identités pour plus d’informations sur les scénarios de gouvernance qui s’appuient sur des fonctionnalités supplémentaires.

Les produits Gouvernance Microsoft Entra ID ne sont pas encore disponibles dans le cloud national américain ni dans le cloud du gouvernement américain.

Produits et prérequis de la gouvernance

Les fonctionnalités de Gouvernance des ID Microsoft Entra sont actuellement disponibles dans deux produits dans le cloud commercial. Ces deux produits fournissent les mêmes fonctionnalités de gouvernance des identités. La différence entre les deux produits est qu’ils ont des prérequis différents.

• Un abonnement à Gouvernance Microsoft Entra ID, listé dans les conditions générales du produit sous la licence Gouvernance Microsoft Entra ID (SL utilisateur), nécessite que le locataire ait également un abonnement actif à un autre produit, qui contient le plan de service AAD_PREMIUM ou AAD_PREMIUM_P2. Voici des exemples de produits répondant à ce prérequis : Microsoft Entra ID P1, Microsoft 365 E3/E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 ou Microsoft 365 F1/F3.
• Un abonnement à Passage à une édition supérieure de Gouvernance Microsoft Entra ID pour Microsoft Entra ID P2, listé dans les conditions générales du produit sous la licence Gouvernance Microsoft Entra ID P2, nécessite que le locataire ait également un abonnement actif à un autre produit, qui contient le plan de service AAD_PREMIUM_P2. Voici des exemples de produits répondant à ce prérequis : Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Sécurité ou Microsoft 365 F5 Sécurité + conformité.

Les noms de produits et les identificateurs de plan de service pour les licences répertorient des produits supplémentaires qui incluent les plans de service requis.

Remarque

Un abonnement à un prérequis pour un produit Gouvernance Microsoft Entra ID doit être actif dans le locataire. Si aucun prérequis n’est présent ou si l’abonnement expire, les scénarios Gouvernance des ID Microsoft Entra peuvent ne pas fonctionner comme prévu.

Pour vérifier si les produits requis pour un produit Gouvernance Microsoft Entra ID sont présents dans un locataire, vous pouvez utiliser le centre d’administration Microsoft Entra ou le Centre d'administration Microsoft 365 pour afficher la liste des produits.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur général.

2. Dans le menu Identité , développez Facturation , puis sélectionnez Licences.

3. Dans le menu Gérer , sélectionnez Fonctionnalités sous licence. La barre d’informations indique le plan de licence Microsoft Entra ID actuel.

4. Pour afficher les produits existants dans le locataire, dans le menu Gérer, sélectionnez Tous les produits.

Démarrage d’une version d’évaluation

Un administrateur général dans un locataire qui a déjà acheté un produit prérequis approprié, comme Microsoft Entra ID P1, et qui n’utilise pas ou n’a pas encore essayé gratuitement Gouvernance Microsoft Entra ID, peut demander un essai gratuit de Gouvernance Microsoft Entra ID dans son locataire.

1. Connectez-vous au Centre d’administration Microsoft 365 en tant qu’administrateur général.

2. Dans le menu Facturation , sélectionnez Acheter des services.

3. Dans la zone Rechercher dans toutes les catégories de produits , entrez "Microsoft Entra ID Governance".

4. Sélectionnez Détails ci-dessous Gouvernance Microsoft Entra ID pour afficher les informations d’évaluation et d’achat du produit. Si votre locataire a Microsoft Entra ID P2, sélectionnez Détails ci-dessous Gouvernance Microsoft Entra ID Pas à pas pour Microsoft Entra ID P2.

5. Dans la page des détails du produit, sélectionnez Démarrer un essai gratuit.

Le tableau suivant décrit les exigences de licence pour les fonctionnalités de gouvernance de Microsoft Entra ID. Les informations de licence et les exemples de scénarios de licence pour la gestion des droits d’utilisation, les révisions d’accès et les workflows de cycle de vie sont fournis à la suite du tableau.

Fonctionnalités par licence

Le tableau suivant indique les fonctionnalités disponibles avec chaque licence. Toutes les fonctionnalités ne sont pas disponibles dans tous les clouds ; consultez Disponibilité des fonctionnalités Microsoft Entra pour Azure Government.

Fonction	Gratuit	Microsoft Entra ID P1	Microsoft Entra ID P2	Microsoft Entra ID Governance
Provisionnement piloté par l’API		✅	✅	✅
Provisionnement axé sur les RH		✅	✅	✅
Approvisionnement automatisé des utilisateurs sur les applications SaaS	✅	✅	✅	✅
Approvisionnement automatisé des groupes sur les applications SaaS		✅	✅	✅
Approvisionnement automatisé sur les applications locales		✅	✅	✅
Accès conditionnel – Attestation des conditions d’utilisation		✅	✅	✅
Gestion des droits d’utilisation – Gestion de base des droits d’utilisation			✅	✅
Gestion des droits d’utilisation – Étendue d'accès conditionnel			✅	✅
Gestion des droits d’utilisation MyAccess Search			✅	✅
Gestion des droits d’utilisation avec Verified ID				✅
Gestion des droits d’utilisation + Extensions personnalisées (Logic Apps)				✅
Gestion des droits d’utilisation + Stratégies d'attribution automatique				✅
Gestion des droits d’utilisation - Affecter directement n’importe quel utilisateur (préversion)				✅
Gestion des droits d’utilisation – API de conversion d'invité				✅
Gestion des droits d’utilisation – Période de grâce (Préversion)			✅	✅
Portail Mon Accès			✅	✅
Gestion des droits d’utilisation – Rôles Microsoft Entra (préversion)				✅
Gestion des droits d’utilisation – Stratégie relative aux commanditaires				✅
Privileged Identity Management (PIM)			✅	✅
PIM pour les groupes			✅	✅
Contrôles PIM de l’autorité de certification			✅	✅
Révisions d'accès – Certifications et révisions d'accès de base			✅	✅
Révisions d’accès - PIM pour les groupes (Préversion)				✅
Révisions d’accès – Révisions des utilisateurs inactifs				✅
Révisions d’accès – Recommandations concernant les utilisateurs inactifs			✅	✅
Révision d’accès – Certifications et révisions d'accès assisté par apprentissage automatique				✅
Workflows de cycle de vie (LCW)				✅
LCW + Extensions personnalisées (Logic Apps)				✅
Tableau de bord de la gouvernance d’identité (Préversion)		✅	✅	✅
Insights et rapports - Comptes invités inactifs (Préversion)				✅

Gestion des droits d’utilisation

Les utilisateurs de votre organisation doivent disposer d’abonnements Microsoft Entra ID Governance pour utiliser cette fonctionnalité. Certaines capacités de cette fonctionnalité peuvent nécessiter un abonnement Microsoft Entra ID P2.

Exemples de scénarios de licence

Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.

Scénario	Calcul	Nombre de licences
Un administrateur de la gouvernance des identités chez Woodgrove Bank crée des catalogues initiaux. L’une des stratégies spécifie que tous les employés (2 000 employés) peuvent demander un ensemble spécifique de packages d’accès. 150 employés demandent les packages d’accès.	2 000 employés qui peuvent demander les packages d’accès	2 000
Un administrateur de la gouvernance des identités chez Woodgrove Bank crée des catalogues initiaux. L’une des stratégies spécifie que tous les employés (2 000 employés) peuvent demander un ensemble spécifique de packages d’accès. 150 employés demandent les packages d’accès.	2 000 employés ont besoin de licences.	2 000
Un administrateur de la gouvernance des identités chez Woodgrove Bank crée des catalogues initiaux. Ils créent une stratégie d’affectation automatique qui accorde à Tous les membres du service Ventes (350 employés) l’accès à un ensemble spécifique de packages d’accès. 350 employés sont automatiquement affectés aux packages d’accès.	350 employés ont besoin de licences.	351

Révisions d’accès

Cette fonctionnalité nécessite des abonnements Gouvernance des ID Microsoft Entra pour les utilisateurs de votre organisation, y compris tous les employés qui révisent les accès ou dont l’accès est révisé. Certaines capacités de cette fonctionnalité peuvent fonctionner avec un abonnement Microsoft Entra ID P2.

Exemples de scénarios de licence

Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.

Scénario	Calcul	Nombre de licences
Un administrateur crée une révision d’accès du groupe A comportant 75 utilisateurs et 1 propriétaire du groupe, et affecte le propriétaire du groupe en tant que réviseur.	1 licence pour le propriétaire de groupe en tant que réviseur et 75 licences pour les 75 utilisateurs.	76
Un administrateur crée une révision d’accès du groupe B comportant 500 utilisateurs et 3 propriétaires de groupe, et affecte les 3 propriétaires du groupe en tant que réviseurs.	500 licences pour les utilisateurs et 3 licences pour chaque propriétaire de groupe en tant que réviseurs.	503
Un administrateur crée une révision d’accès du groupe B comportant 500 utilisateurs. Effectue une révision indépendante.	500 licences pour chaque utilisateur en tant qu’auto-réviseurs	500
Un administrateur crée une révision d’accès du Groupe C comportant 50 utilisateurs membres. Effectue une révision indépendante.	50 licences pour chaque utilisateur en tant que réviseurs indépendants.	50
Un administrateur crée une révision d’accès du Groupe D comportant 6 utilisateurs membres. Effectue une révision indépendante.	6 licences pour chaque utilisateur en tant qu’auto-réviseurs. Aucune licence supplémentaire n’est requise.	6

Workflows de cycle de vie

Avec les licences Gouvernance Microsoft Entra ID pour les workflows de cycle de vie, vous pouvez :

• Créer, gérer et supprimer des workflows jusqu’à la limite totale de 50 workflows.
• Déclencher l’exécution planifiée et à la demande des workflows.
• Gérer et configurer des tâches existantes pour créer des workflows propres à vos besoins.
• Créer jusqu’à 100 extensions de tâches personnalisées à utiliser dans vos workflows.

Les utilisateurs de votre organisation doivent disposer d’abonnements Microsoft Entra ID Governance pour utiliser cette fonctionnalité.

Exemples de scénarios de licence

Scénario	Calcul	Nombre de licences
Un administrateur de workflows de cycle de vie crée un flux de travail pour ajouter de nouveaux employés dans le service Marketing au groupe Équipes marketing. 250 nouvelles recrues sont affectées au groupe Équipes marketing via ce workflow.	Une licence pour l’administrateur de workflows de cycle de vie et 250 licences pour les utilisateurs.	251
Un administrateur de workflows de cycle de vie crée un flux de travail pour pré-retirer un groupe d’employés avant leur dernier jour de travail. L’étendue des utilisateurs qui seront pré-retirés est de 40 utilisateurs.	40 licences pour les utilisateurs et une licence pour l’administrateur des workflows de cycle de vie.	41

Privileged Identity Management

Pour utiliser Microsoft Entra Privileged Identity Management, un locataire doit disposer d’une licence valide. Les licences doivent également être attribuées aux administrateurs et aux utilisateurs concernés. Cet article décrit les licences requises pour utiliser Privileged Identity Management. Pour utiliser Privileged Identity Management, vous devez disposer de l’une des licences suivantes :

Licences valides pour PIM

Vous avez besoin de licences Gouvernance Microsoft Entra ID ou de licences P2 Microsoft Entra ID pour utiliser PIM (Privileged Identity Management) et tous ses paramètres. Actuellement, vous pouvez étendre une révision d’accès aux principaux de service avec un accès à Microsoft Entra ID, aux rôles de ressources avec une édition Microsoft Entra ID P2 ou aux utilisateurs avec une édition Gouvernance Microsoft Entra ID active dans votre locataire. Le modèle de licence pour les principaux de service sera finalisé pour la disponibilité générale de cette fonctionnalité, et d’autres licences pourraient être exigées.

Licences que vous devez avoir pour PIM

Vérifiez que votre répertoire contient des licences Microsoft Entra ID P2 ou Gouvernance Microsoft Entra ID pour les catégories d’utilisateurs suivantes :

• Utilisateurs avec des attributions éligibles et/ou temporaires de rôles Microsoft Entra ID ou Azure managées à l’aide de PIM
• Utilisateurs avec des attributions éligibles et/ou temporaires en tant que membres ou propriétaires de PIM pour les groupes
• Utilisateurs en mesure d’approuver ou de refuser des demandes d’activation dans PIM
• Utilisateurs affectés à une révision d’accès
• Utilisateurs qui effectuent des révisions d’accès

Exemples de scénarios de licence pour PIM

Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.

Scénario	Calcul	Nombre de licences
Woodgrove Bank a 10 administrateurs dans différents services et 2 administrateurs généraux qui configurent et gèrent PIM. Cinq administrateurs sont admissibles.	Cinq licences pour les administrateurs admissibles	5
Graphic Design Institute a 25 administrateurs dont 14 sont gérés via PIM. L’activation de rôle nécessite une approbation et trois utilisateurs différents dans l’organisation peuvent approuver les activations.	14 licences pour les rôles admissibles + 3 approbateurs	17
Contoso a 50 administrateurs dont 42 sont gérés via PIM. L’activation de rôle nécessite une approbation et cinq utilisateurs différents dans l’organisation peuvent approuver les activations. Contoso effectue également des révisions mensuelles des utilisateurs affectés aux rôles d’administrateur et les réviseurs sont les gestionnaires des utilisateurs dont six ne sont pas des rôles d’administrateur gérés par PIM.	42 licences pour les rôles admissibles + 5 approbateurs + 6 réviseurs	53

Quand une licence expire pour PIM

Si une licence Microsoft Entra ID P2, Gouvernance Microsoft Entra ID ou une licence d’essai expire, les fonctionnalités Privileged Identity Management ne sont plus disponibles dans votre répertoire :

• Les attributions de rôles Microsoft Entra permanentes ne seront pas touchées.
• Le service Privileged Identity Management dans le portail d’administration Microsoft Entra, ainsi que les cmdlets API Graph et les interfaces PowerShell de Privileged Identity Management, ne permettront plus aux utilisateurs d’activer des rôles privilégiés, de gérer les accès privilégiés ou de procéder à des révisions d’accès pour des rôles privilégiés.
• Les attributions de rôles éligibles pour les rôles Microsoft Entra sont supprimées, car les utilisateurs ne sont plus en mesure d’activer des rôles privilégiés.
• Les révisions d’accès continues pour les rôles Microsoft Entra prennent fin et les paramètres de configuration Privileged Identity Management sont supprimés.
• Privileged Identity Management n’envoie plus d’e-mails concernant les changements d’attributions de rôles.

Provisionnement piloté par l’API

Cette fonctionnalité est disponible avec les abonnements Microsoft Entra ID P1, P2 et Gouvernance Microsoft Entra ID. Une licence d’abonnement est nécessaire pour chaque identité sourcée avec l’API /bulkUpload, et provisionnée sur Active Directory local ou Microsoft Entra ID.

Scénarios de licence

Licence client	Limites d’utilisation appliquées au niveau du locataire pour le provisionnement piloté par l’API
Microsoft Entra ID P1 ou P2	Quota d’utilisation quotidienne (nombre d’enregistrements utilisateur pouvant être chargés sur une période de 24 heures) : 100 000 enregistrements utilisateur (2000 appels d’API /bulkUpload avec chaque demande contenant un maximum de 50 enregistrements). Nombre maximal de travaux de provisionnement piloté par l’API pour chaque flux : 2 o 2 applications max. pour le provisionnement piloté par l’API sur Active Directory local. o 2 applications max. pour le provisionnement piloté par l’API sur Microsoft Entra ID.
Gouvernance Microsoft Entra ID avec Microsoft Entra ID P1 ou P2	Quota d’utilisation quotidienne (nombre d’enregistrements utilisateur pouvant être chargés sur une période de 24 heures) : 300 000 enregistrements utilisateur (6000 appels d’API /bulkUpload avec chaque demande contenant un maximum de 50 enregistrements). Nombre maximal de travaux de provisionnement piloté par l’API pour chaque flux : 20 o 20 applications max. pour le provisionnement piloté par l’API sur Active Directory local. o 20 applications max. pour le provisionnement piloté par l’API sur Microsoft Entra ID.

FAQ sur l’attribution de licences

Des licences doivent-elles être attribuées aux utilisateurs pour utiliser les fonctionnalités d’Identity Governance ?

Les utilisateurs n’ont pas besoin d’avoir une licence Gouvernance Microsoft Entra ID, mais il faut suffisamment de postes de licence pour inclure tous les utilisateurs dans l’étendue des fonctionnalités de Gouvernance des identités ou tous les utilisateurs qui les configurent.

Comment puis-je licencier l’utilisation des fonctionnalités de la Gouvernance Microsoft Entra ID pour les invités professionnels ?

Tous les utilisateurs qui sont dans l’étendue des fonctionnalités de la Gouvernance Microsoft Entra ID, y compris les invités professionnels comme les sous-traitants, les partenaires et les collaborateurs externes, ont besoin d’une licence. Nous créons une nouvelle licence Gouvernance Microsoft Entra ID pour les invités professionnels. Cette licence fonctionne sur un modèle d’utilisateurs actifs mensuels (MAU). Les clients peuvent acquérir des licences correspondant au modèle MAU prévu pour leurs invités professionnels.

Nous prévoyons de rendre ces licences disponibles au printemps 2024. Dans l’intervalle, les organisations qui régissent les identités de leurs employés avec la Gouvernance Microsoft Entra ID peuvent régir les identités de leurs invités professionnels sans aucun coût supplémentaire. À ce stade, les clients existants de Microsoft Entra ID P1 ou P2 avec ID externe Microsoft Entra peuvent continuer à utiliser le sous-ensemble de fonctionnalités incluses dans P1 ou P2 avec leurs invités professionnels via leur licence d’ID externe Microsoft Entra.

Pour plus d’informations, consultez : Licences Gouvernance Microsoft Entra ID pour les invités professionnels.

Que se passe-t-il quand une licence PIM expire ?

Si une licence Microsoft Entra ID P2 ou la gouvernance des ID Microsoft Entra expire ou si la période d'essai se termine, les fonctionnalités Privileged Identity Management ne sont plus disponibles dans votre annuaire. Les modifications décrites ci-dessous s’appliquent à PIM pour les rôles Microsoft Entra, PIM pour les ressources Azure et PIM pour les groupes.

• Les attributions permanentes actives ne sont pas affectées.
• Les attributions temporaires actives deviennent permanentes actives, ce qui signifie qu’elles n’expirent plus à un moment désigné.
• Les attributions de rôle éligibles sont supprimées, car les utilisateurs ne peuvent plus activer des rôles privilégiés.
• Les panneaux Privileged Identity Management des interfaces du centre d’administration Microsoft Entra ou du portail Azure, de l’API et de PowerShell ne sont plus disponibles pour permettre aux utilisateurs d’activer des rôles, de gérer des attributions ou d’effectuer des révisions d’accès de rôles privilégiés.
• Les révisions d’accès en continu des rôles Microsoft Entra se terminent et les paramètres de configuration Privileged Identity Management sont supprimés.
• Privileged Identity Management n’envoie plus d’e-mails concernant les modifications apportées aux attributions de rôles et les alertes PIM.

Des fonctionnalités et capacités IGA seront-elles ajoutées sous la licence Microsoft Entra ID P2 ?

Toutes les fonctionnalités actuellement en disponibilité générale dans Microsoft Entra ID P2 sont conservées, mais aucune nouvelle fonctionnalité ou capacité IGA (Identity Governance and Administration) n’est ajoutée à la référence SKU Microsoft Entra ID P2.

Étapes suivantes

• Qu’est-ce que Microsoft Entra ID Governance ?