Gestion des licences Microsoft Entra
Cet article décrit les licences des services Microsoft Entra. Il est destiné aux décideurs informatiques, aux administrateurs informatiques et aux professionnels de l’informatique qui envisagent les services Microsoft Entra pour leurs organisations. Cet article n’est pas destiné aux utilisateurs finaux.
Important
Pour obtenir des informations sur la gestion des licences sur les services non répertoriés ici, reportez-vous à la documentation du service ou à la page de tarification Microsoft Entra ID.
Provisionnement d’applications
Le proxy d’application Microsoft Entra nécessite des licences Microsoft Entra ID P1 ou P2. Pour plus d’informations sur les licences, consultez la tarification Microsoft Entra.
Authentification
Le tableau suivant liste les fonctionnalités disponibles pour l’authentification dans les différentes versions de Microsoft Entra ID. Planifiez vos besoins en matière de sécurisation de la connexion des utilisateurs, puis déterminez l’approche correspondant à ces exigences. Par exemple, bien que Microsoft Entra ID Free fournit des paramètres de sécurité par défaut avec l’authentification multi-facteur, seul Microsoft Authenticator peut être utilisé pour l’invite d’authentification, texte et appels inclus. Cette approche peut constituer une limitation si vous ne pouvez pas vous assurer que Authenticator est installée sur l’appareil personnel d’un utilisateur.
| Fonctionnalité | Microsoft Entra ID Gratuit : paramètres de sécurité par défaut (activés pour tous les utilisateurs) | Microsoft Entra ID Gratuit : administrateurs généraux uniquement | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Protection des comptes d’administrateur de locataire Microsoft Entra avec authentification multifacteur | ✅ | ✅ (comptes Administrateur général Microsoft Entra uniquement) | ✅ | ✅ | ✅ |
| Application mobile comme second facteur | ✅ | ✅ | ✅ | ✅ | ✅ |
| Appel téléphonique comme second facteur | ✅ | ✅ | ✅ | ||
| SMS comme second facteur | ✅ | ✅ | ✅ | ✅ | |
| Contrôle d’administration sur les méthodes de vérification | ✅ | ✅ | ✅ | ✅ | |
| Alerte de fraude | ✅ | ✅ | |||
| Rapports MFA | ✅ | ✅ | |||
| Messages de bienvenue personnalisés pour les appels téléphoniques | ✅ | ✅ | |||
| ID d’appelant personnalisé pour les appels téléphoniques | ✅ | ✅ | |||
| Adresses IP approuvées | ✅ | ✅ | |||
| Mémoriser MFA pour les appareils fiables | ✅ | ✅ | ✅ | ✅ | |
| MFA pour les applications locales | ✅ | ✅ | |||
| Accès conditionnel | ✅ | ✅ | |||
| Accès conditionnel en fonction du risque | ✅ | ||||
| Réinitialisation de mot de passe en libre-service (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR avec écriture différée | ✅ | ✅ |
Identités managées
Il n’existe aucune exigence de licence concernant l’utilisation d’identités managées pour les ressources Azure. Les identités managées pour les ressources Azure fournissent une identité managée automatiquement que les applications peuvent utiliser lors de la connexion à des ressources qui prennent en charge l’authentification Microsoft Entra. L’un des avantages de l’utilisation d’identités managées est que vous n’avez pas besoin de gérer les informations d’identification et qu’elles peuvent être utilisées sans coût supplémentaire. Pour plus d’informations, consultez Identités managées pour les ressources Azure.
Microsoft Entra ID Governance
Le tableau suivant décrit les exigences en termes de licence pour les fonctionnalités de Gouvernance Microsoft Entra ID. Les informations de licence et les exemples de scénarios de licence pour la gestion des droits d’utilisation, les révisions d’accès et les workflows de cycle de vie sont fournis à la suite du tableau.
Fonctionnalités par licence
Le tableau suivant indique les fonctionnalités disponibles avec chaque licence. Toutes les fonctionnalités ne sont pas disponibles dans tous les clouds ; consultez Disponibilité des fonctionnalités Microsoft Entra pour Azure Government.
Gestion des droits d’utilisation
Les utilisateurs de votre organisation doivent disposer d’abonnements Microsoft Entra ID Governance pour utiliser cette fonctionnalité. Certaines capacités de cette fonctionnalité peuvent nécessiter un abonnement Microsoft Entra ID P2.
Exemples de scénarios de licence
Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.
| Scénario | Calcul | Nombre de licences |
|---|---|---|
| Un administrateur de la gouvernance des identités chez Woodgrove Bank crée des catalogues initiaux. L’une des stratégies spécifie que tous les employés (2 000 employés) peuvent demander un ensemble spécifique de packages d’accès. 150 employés demandent les packages d’accès. | 2 000 employés qui peuvent demander les packages d’accès | 2 000 |
| Un administrateur de la gouvernance des identités chez Woodgrove Bank crée des catalogues initiaux. L’une des stratégies spécifie que tous les employés (2 000 employés) peuvent demander un ensemble spécifique de packages d’accès. 150 employés demandent les packages d’accès. | 2 000 employés ont besoin de licences. | 2 000 |
| Un administrateur de la gouvernance des identités chez Woodgrove Bank crée des catalogues initiaux. Ils créent une stratégie d’affectation automatique qui accorde à Tous les membres du service Ventes (350 employés) l’accès à un ensemble spécifique de packages d’accès. 350 employés sont automatiquement affectés aux packages d’accès. | 350 employés ont besoin de licences. | 351 |
Révisions d’accès
Cette fonctionnalité nécessite des abonnements Gouvernance des ID Microsoft Entra pour les utilisateurs de votre organisation, y compris tous les employés qui révisent les accès ou dont l’accès est révisé. Certaines capacités de cette fonctionnalité peuvent fonctionner avec un abonnement Microsoft Entra ID P2.
Exemples de scénarios de licence
Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.
| Scénario | Calcul | Nombre de licences |
|---|---|---|
| Un administrateur crée une révision d’accès du groupe A comportant 75 utilisateurs et 1 propriétaire du groupe, et affecte le propriétaire du groupe en tant que réviseur. | 1 licence pour le propriétaire de groupe en tant que réviseur et 75 licences pour les 75 utilisateurs. | 76 |
| Un administrateur crée une révision d’accès du groupe B comportant 500 utilisateurs et 3 propriétaires de groupe, et affecte les 3 propriétaires du groupe en tant que réviseurs. | 500 licences pour les utilisateurs et 3 licences pour chaque propriétaire de groupe en tant que réviseurs. | 503 |
| Un administrateur crée une révision d’accès du groupe B comportant 500 utilisateurs. Effectue une révision indépendante. | 500 licences pour chaque utilisateur en tant qu’auto-réviseurs | 500 |
| Un administrateur crée une révision d’accès du Groupe C comportant 50 utilisateurs membres. Effectue une révision indépendante. | 50 licences pour chaque utilisateur en tant que réviseurs indépendants. | 50 |
| Un administrateur crée une révision d’accès du Groupe D comportant 6 utilisateurs membres. Effectue une révision indépendante. | 6 licences pour chaque utilisateur en tant qu’auto-réviseurs. Aucune licence supplémentaire n’est requise. | 6 |
Workflows de cycle de vie
Avec les licences Gouvernance Microsoft Entra ID pour les workflows de cycle de vie, vous pouvez :
- Créer, gérer et supprimer des workflows jusqu’à la limite totale de 50 workflows.
- Déclencher l’exécution planifiée et à la demande des workflows.
- Gérer et configurer des tâches existantes pour créer des workflows propres à vos besoins.
- Créer jusqu’à 100 extensions de tâches personnalisées à utiliser dans vos workflows.
Les utilisateurs de votre organisation doivent disposer d’abonnements Microsoft Entra ID Governance pour utiliser cette fonctionnalité.
Exemples de scénarios de licence
| Scénario | Calcul | Nombre de licences |
|---|---|---|
| Un administrateur de workflows de cycle de vie crée un flux de travail pour ajouter de nouveaux employés dans le service Marketing au groupe Équipes marketing. 250 nouvelles recrues sont affectées au groupe Équipes marketing via ce workflow. | Une licence pour l’administrateur de workflows de cycle de vie et 250 licences pour les utilisateurs. | 251 |
| Un administrateur de workflows de cycle de vie crée un flux de travail pour pré-retirer un groupe d’employés avant leur dernier jour de travail. L’étendue des utilisateurs qui seront pré-retirés est de 40 utilisateurs. | 40 licences pour les utilisateurs et une licence pour l’administrateur des workflows de cycle de vie. | 41 |
Microsoft Entra Connect
L'utilisation de cette fonctionnalité est gratuite et incluse dans votre abonnement Azure.
Microsoft Entra Connect Health
L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
Accès conditionnel Microsoft Entra
L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
Les clients avec des licences Microsoft 365 Business Premium ont également accès aux fonctionnalités d’accès conditionnel.
Les stratégies basées sur les risques nécessitent l’accès à Identity Protection, qui est une fonctionnalité de Microsoft Entra ID P2.
D’autres produits et fonctionnalités susceptibles d’interagir avec les stratégies d’accès conditionnel nécessitent une licence appropriée.
Lorsque des licences requises pour l’accès conditionnel expirent, les stratégies ne sont pas automatiquement désactivées ou supprimées. Cela permet aux clients de migrer en dehors des stratégies d’accès conditionnel sans changer soudainement leur posture de sécurité. Les stratégies restantes peuvent être consultées et supprimées, mais elles ne sont plus mises à jour.
Les valeurs par défaut de sécurité aident à protéger contre les attaques liées à l’identité et sont disponibles pour tous les clients.
Microsoft Entra ID Protection
L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P2. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
| Fonctionnalité | Détails | Microsoft Entra ID (édition gratuite)/Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Stratégies de risque | Stratégies de risque de connexion et d’utilisateur (via Identity Protection ou l’accès conditionnel) | Non | Non | Oui |
| Rapports de sécurité | Vue d’ensemble | Non | Non | Oui |
| Rapports de sécurité | Utilisateurs à risque | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Informations limitées. Seuls les utilisateurs présentant un risque moyen ou élevé sont affichés. Aucun tiroir de détails ou historique des risques. | Accès total |
| Rapports de sécurité | Connexions risquées | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Informations limitées. Aucun détail sur les risques ou niveau de risque n’est affiché. | Accès total |
| Rapports de sécurité | Détections de risques | Non | Informations limitées. Aucun tiroir de détails. | Accès total |
| Notifications | Alertes Utilisateurs à risque détectés | Non | Non | Oui |
| Notifications | Synthèse hebdomadaire | Non | Non | Oui |
| Stratégie d'inscription MFA | Non | Non | Oui |
Monitoring et intégrité de Microsoft Entra
Les rôles et licences requis varient en fonction du rapport. Des autorisations distinctes sont requises pour accéder aux données de monitoring et d’intégrité dans Microsoft Graph. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.
| Journal / Rapport | Rôles | Licences |
|---|---|---|
| Audit | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général |
Toutes les éditions de Microsoft Entra ID |
| Connexions | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général |
Toutes les éditions de Microsoft Entra ID |
| Approvisionnement | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité Lecteur général Opérateur de sécurité Administrateur d’application Administrateur d’application cloud |
Microsoft Entra ID P1 ou P2 |
| Journaux d’audit des attributs de sécurité personnalisés* | Administrateur de journal d’attributs Lecteur du journal des attributs |
Toutes les éditions de Microsoft Entra ID |
| Utilisation et insights | Lecteur de rapports Lecteur Sécurité Administrateur de la sécurité |
Microsoft Entra ID P1 ou P2 |
| Protection des identités** | Administrateur de la sécurité Opérateur de sécurité Lecteur de sécurité Lecteur général |
Microsoft Entra ID Gratuit Microsoft 365 Apps Microsoft Entra ID P1 ou P2 |
| Journaux d’activité Microsoft Graph | Administrateur de la sécurité Autorisations d’accès aux données dans la destination de journal correspondante |
Microsoft Entra ID P1 ou P2 |
*L’affichage des attributs de sécurité personnalisés dans les journaux d’audit ou la création de paramètres de diagnostic pour les attributs de sécurité personnalisés nécessite l’un des rôles de journal d’audit. Vous avez également besoin du rôle approprié pour afficher les journaux d’audit standard.
**Le niveau d’accès et les fonctionnalités de protection des identités varient en fonction du rôle et de la licence. Pour plus d’informations, consultez les conditions de licence pour Identity Protection.
Microsoft Entra Privileged Identity Management
Pour utiliser Microsoft Entra Privileged Identity Management, un locataire doit disposer d’une licence valide. Les licences doivent également être attribuées aux administrateurs et aux utilisateurs concernés. Cet article décrit les licences requises pour utiliser Privileged Identity Management. Pour utiliser Privileged Identity Management, vous devez disposer de l’une des licences suivantes :
Licences valides pour PIM
Vous avez besoin de licences Gouvernance Microsoft Entra ID ou de licences P2 Microsoft Entra ID pour utiliser PIM (Privileged Identity Management) et tous ses paramètres. Actuellement, vous pouvez étendre une révision d’accès aux principaux de service avec un accès à Microsoft Entra ID, aux rôles de ressources avec une édition Microsoft Entra ID P2 ou aux utilisateurs avec une édition Gouvernance Microsoft Entra ID active dans votre locataire. Le modèle de licence pour les principaux de service sera finalisé pour la disponibilité générale de cette fonctionnalité, et d’autres licences pourraient être exigées.
Licences que vous devez avoir pour PIM
Vérifiez que votre répertoire contient des licences Microsoft Entra ID P2 ou Gouvernance Microsoft Entra ID pour les catégories d’utilisateurs suivantes :
- Utilisateurs avec des attributions éligibles et/ou temporaires de rôles Microsoft Entra ID ou Azure managées à l’aide de PIM
- Utilisateurs avec des attributions éligibles et/ou temporaires en tant que membres ou propriétaires de PIM pour les groupes
- Utilisateurs en mesure d’approuver ou de refuser des demandes d’activation dans PIM
- Utilisateurs affectés à une révision d’accès
- Utilisateurs qui effectuent des révisions d’accès
Exemples de scénarios de licence pour PIM
Voici quelques exemples de scénarios de licence pour vous permettre de déterminer le nombre de licences dont vous devez disposer.
| Scénario | Calcul | Nombre de licences |
|---|---|---|
| La banque Woodgrove a 10 administrateurs pour différents départements et 2 administrateurs de rôles privilégiés qui configurent et gèrent PIM. Cinq administrateurs sont admissibles. | Cinq licences pour les administrateurs admissibles | 5 |
| Graphic Design Institute a 25 administrateurs dont 14 sont gérés via PIM. L’activation de rôle nécessite une approbation et trois utilisateurs différents dans l’organisation peuvent approuver les activations. | 14 licences pour les rôles admissibles + 3 approbateurs | 17 |
| Contoso a 50 administrateurs dont 42 sont gérés via PIM. L’activation de rôle nécessite une approbation et cinq utilisateurs différents dans l’organisation peuvent approuver les activations. Contoso effectue également des révisions mensuelles des utilisateurs affectés aux rôles d’administrateur et les réviseurs sont les gestionnaires des utilisateurs dont six ne sont pas des rôles d’administrateur gérés par PIM. | 42 licences pour les rôles admissibles + 5 approbateurs + 6 réviseurs | 53 |
Quand une licence expire pour PIM
Si une licence Microsoft Entra ID P2, Gouvernance Microsoft Entra ID ou une licence d’essai expire, les fonctionnalités Privileged Identity Management ne sont plus disponibles dans votre répertoire :
- Les attributions de rôles Microsoft Entra permanentes ne seront pas touchées.
- Le service Privileged Identity Management dans le portail d’administration Microsoft Entra, ainsi que les cmdlets API Graph et les interfaces PowerShell de Privileged Identity Management, ne permettront plus aux utilisateurs d’activer des rôles privilégiés, de gérer les accès privilégiés ou de procéder à des révisions d’accès pour des rôles privilégiés.
- Les attributions de rôles éligibles pour les rôles Microsoft Entra sont supprimées, car les utilisateurs ne sont plus en mesure d’activer des rôles privilégiés.
- Les révisions d’accès continues pour les rôles Microsoft Entra prennent fin et les paramètres de configuration Privileged Identity Management sont supprimés.
- Privileged Identity Management n’envoie plus d’e-mails concernant les changements d’attributions de rôles.
Vérification d’identité Microsoft Entra
La Vérification d’identité Microsoft Entra est actuellement incluse avec tout abonnement Microsoft Entra ID, y compris Microsoft Entra ID Gratuit, sans frais supplémentaires. Pour plus d’informations sur l’ID vérifié et la façon de l’activer, consultez vue d’ensemble de l’ID vérifié.
Organisations multilocataire
Dans le locataire source : l’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra Premium P1. Chaque utilisateur synchronisé avec la synchronisation interlocataire doit disposer d’une licence P1 dans son locataire d’origine/source. Pour trouver la licence adaptée à vos besoins, consultez Offres et tarification Microsoft Entra ID.
Dans le locataire cible : la synchronisation interlocataire s’appuie sur le modèle de facturation ID externe Microsoft Entra. Pour comprendre le modèle de licence des identités externes, consultez Modèle de facturation MAU pour ID externe Microsoft Entra. Vous avez également besoin d’au moins une licence Microsoft Entra ID P1 dans le locataire cible pour activer l’échange automatique.
Contrôle d’accès en fonction du rôle
L’utilisation de rôles intégrés dans Microsoft Entra ID est gratuite. Utiliser des rôles personnalisés nécessite une licence Microsoft Entra ID P1 pour chaque utilisateur disposant d’une attribution de rôle personnalisée. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.
Rôles
Unités administratives
L’utilisation d’unités administratives nécessite une licence Microsoft Entra ID Premium P1 pour chaque administrateur d’une unité administrative auquel sont attribués des rôles d’annuaire sur l’étendue de l’unité administrative et une licence Microsoft Entra ID Free pour chaque membre d’une unité administrative. La création d’unités administratives est disponible avec une licence Microsoft Entra ID Free. Si vous utilisez des règles d’appartenance dynamique pour les unités administratives, chaque membre de l’unité administrative requiert une licence Microsoft Entra ID Premium P1. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.
Unités administratives de gestion restreinte
Les unités administratives de gestion restreinte nécessitent une licence Microsoft Entra ID Premium P1 pour chaque administrateur d’une unité administrative et des licences Microsoft Entra ID Free pour des membres d’unités administratives. Pour trouver la licence appropriée à vos besoins, consultez Comparaison des fonctionnalités mises à la disposition générale des éditions Gratuite et Premium.
Fonctionnalités de la version préliminaire
Les informations de licence pour toutes les fonctionnalités actuellement en préversion sont incluses ici, le cas échéant. Pour plus d’informations sur les fonctionnalités en préversion, consultez fonctionnalités d’aperçu Microsoft Entra ID.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour