Leggi in inglese

Condividi tramite

Licenze Microsoft Entra

  • Articolo

Questo articolo illustra le opzioni di licenza per la famiglia di prodotti Microsoft Entra. È destinato ai decision maker della sicurezza, agli amministratori dell'identità e all'accesso alla rete e ai professionisti IT che prendono in considerazione le soluzioni Microsoft Entra per le proprie organizzazioni.

Opzioni di licenza di Microsoft Entra

Microsoft Entra è disponibile in diverse opzioni di licenza che consentono di scegliere il pacchetto più adatto alle proprie esigenze.

Nota

Le opzioni di licenza in questa pagina non sono complete. È possibile ottenere informazioni dettagliate sulle varie opzioni disponibili nella pagina dei prezzi di Microsoft Entra e nella pagina Confronta piani e prezzi di Microsoft 365 Enterprise.

Microsoft Entra ID gratis: incluso con gli abbonamenti a Microsoft Cloud, ad esempio Microsoft Azure, Microsoft 365 e altri.

Microsoft Entra ID P1: Microsoft Entra ID P1 è disponibile come prodotto autonomo o incluso in Microsoft 365 E3 per i clienti aziendali e Microsoft 365 Business Premium per le piccole e medie imprese.

Microsoft Entra ID P2: Microsoft Entra ID P2 è disponibile come prodotto autonomo o incluso in Microsoft 365 E5 per i clienti aziendali.

Microsoft Entra Suite: la suite combina i prodotti Microsoft Entra per proteggere l'accesso ai dipendenti. Consente agli amministratori di fornire l'accesso sicuro da qualsiasi posizione a qualunque app o risorsa, sia cloud sia locale, garantendo al tempo stesso l'accesso con privilegi minimi. È necessaria una sottoscrizione di Microsoft Entra ID P1. La suite Microsoft Entra include cinque prodotti:

  • Accesso privato Microsoft Entra
  • Microsoft Entra Accesso a Internet
  • Microsoft Entra ID Governance
  • Microsoft Entra ID Protection
  • ID verificato di Microsoft Entra (funzionalità Premium)

Importante

Le assegnazioni di licenze utente e gruppo vengono gestite tramite l'interfaccia di amministrazione di Microsoft 365. Per altre informazioni su come assegnare o annullare l'assegnazione di licenze a utenti e gruppi, vedere questo articolo: - Assegnare o annullare l'assegnazione delle licenze per gli utenti nell'interfaccia di amministrazione di Microsoft 365

Provisioning delle applicazioni

Il proxy dell'applicazione Microsoft Entra richiede licenze Microsoft Entra ID P1 o P2. Per ulteriori informazioni sulle licenze, consultare i prezzi di Microsoft Entra.

Autenticazione

La tabella seguente indica un elenco delle funzionalità disponibili nelle varie versioni di Microsoft Entra ID per l’autenticazione a più fattori. Pianificare le esigenze di protezione dell’accesso utente, quindi determinare quale approccio soddisfa tali requisiti. Ad esempio, sebbene Microsoft Entra ID gratis offra impostazioni predefinite per la sicurezza con l’autenticazione a più fattori, solo Microsoft Authenticator può essere utilizzato per la richiesta di autenticazione, inclusi messaggi e chiamate vocali. Questo approccio può costituire una limitazione se non è possibile verificare che l'app di autenticazione per dispositivi mobili sia installata nel dispositivo personale di un utente.

Funzionalità Microsoft Entra ID gratuito - Impostazioni predefinite di sicurezza (abilitate per tutti gli utenti) Microsoft Entra ID gratuito - Solo amministratori globali Office 365 Microsoft Entra ID P1 Microsoft Entra ID P2
Protezione degli account di amministratore tenant di Microsoft Entra con MFA (autenticazione a più fattori) ✅ (solo per account amministratore globale Microsoft Entra)
App per dispositivi mobili come secondo fattore
Chiamata telefonica come secondo fattore
SMS come secondo fattore
Controllo amministrativo sui metodi di verifica
Avviso di illecito
Report MFA
Messaggi di saluto personalizzati per le telefonate
ID chiamante personalizzato per le telefonate
Indirizzi IP attendibili
Ricorda MFA per dispositivi attendibili
MFA per applicazioni locali
Accesso condizionale
Accesso condizionale basato sul rischio
Reimpostazione automatica della password
Reimpostazione della password self-service con riscrittura

Identità gestite

Non sono previsti requisiti di licenza per l'uso di identità gestite per le risorse di Azure. Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente affinché le applicazioni possano connettersi alle risorse che supportano l'autenticazione Microsoft Entra. Uno dei vantaggi dell'uso delle identità gestite è che non è necessario gestire le credenziali e che possono essere usate senza costi aggiuntivi. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.

Microsoft Entra ID Governance (Gestione ID di Microsoft Entra)

La tabella seguente illustra i requisiti di licenza per le funzionalità di Microsoft Entra ID Governance. Microsoft Entra Suite include tutte le funzionalità di Microsoft Entra ID Governance. Le informazioni sulle licenze e gli scenari di licenza di esempio per la gestione dei diritti, le verifiche di accesso e i flussi di lavoro del ciclo di vita sono forniti dopo la tabella.

Funzionalità in base al tipo di licenza

La tabella seguente illustra le funzionalità disponibili per ogni licenza. Non tutte le funzionalità sono disponibili in tutti i cloud; vedere Disponibilità delle funzionalità di Microsoft Entra per Azure per enti pubblici.

Funzionalità Gratuito Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra ID Governance Microsoft Entra Suite
Provisioning basato su API
Provisioning basato sulle Risorse Umane
Automatizzazione del provisioning degli utenti alle applicazioni SaaS
Provisioning gruppi automatizzato nelle app SaaS
Approvvigionamento automatizzato per le app locali
Accesso condizionale: attestazione delle condizioni per l'utilizzo
Gestione delle autorizzazioni - Funzionalità disponibili in precedenza in Microsoft Entra ID P2
Gestione dei diritti - Scoping dell'Accesso Condizionale
Gestione delle autorizzazioni MyAccess Search
Gestione delle autorizzazioni con ID verificato
Gestione dei diritti - Estensioni personalizzate (Logic Apps)
Gestione dei diritti – Criteri di assegnazione automatica
Gestione diritti - Assegnazione diretta a qualsiasi utente (Anteprima)
Gestione delle autorizzazioni - Contrassegnare gli ospiti come soggetti a gestione
Gestione delle autorizzazioni - La gestione del ciclo di vita degli utenti esterni
Portale di Accesso personale
Gestione dei diritti: ruoli di Microsoft Entra (anteprima)
Gestione delle autorizzazioni - Richiedere pacchetti di accesso per conto di qualcun altro (Anteprima)
Gestione dei diritti - Politica degli sponsor
Privileged Identity Management (PIM)
PIM per i gruppi
Controlli di Accesso Condizionale PIM
Verifiche di accesso - Funzionalità disponibili in precedenza in Microsoft Entra ID P2
Verifiche di accesso - PIM per i gruppi (anteprima)
Verifiche di accesso: verifiche degli utenti inattivi
Verifiche di accesso: raccomandazioni per gli utenti inattivi
Verifiche di accesso: certificazioni e verifiche dell'accesso assistite da Machine Learning
Flussi di lavoro del ciclo di vita (LCW)
LCW + Estensioni personalizzate (App per la logica)
Dashboard delle governance di identità
Reportistica e approfondimenti - Account guest inattivi

Gestione entitlement

L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione. Alcune caratteristiche all'interno di questa funzionalità possono operare con una sottoscrizione a Microsoft Entra ID P2.

Esempi di scenari di licenza

Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.

Scenario Calcolo Numero di licenze
Un amministratore delle identità presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. 2.000 dipendenti possono richiedere i pacchetti di accesso 2.000
Un amministratore di governance delle identità presso Woodgrove Bank crea cataloghi iniziali. Creano criteri di assegnazione automatica che concedono a tutti i membri del reparto vendite (350 dipendenti) l'accesso a un set specifico di pacchetti di accesso. 350 dipendenti vengono assegnati automaticamente ai pacchetti di accesso. 350 dipendenti hanno bisogno di licenze. 351

Verifiche di accesso

L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione, inclusi tutti i dipendenti che esaminano l'accesso o quelli sottoposti a verifica dell'accesso. Alcune caratteristiche all'interno di questa funzionalità possono funzionare con una sottoscrizione a Microsoft Entra ID P2.

Esempi di scenari di licenza

Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.

Scenario Calcolo Numero di licenze
Un amministratore crea una verifica di accesso del gruppo A con 75 utenti e 1 proprietario del gruppo, assegnando al proprietario del gruppo il ruolo di revisore. 1 licenza per il proprietario del gruppo come revisore e 75 licenze per i 75 utenti. 76
Un amministratore crea una verifica di accesso del gruppo B con 500 utenti e 3 proprietari del gruppo, assegnando ai 3 proprietari del gruppo il ruolo di revisore. 500 licenze per gli utenti e 3 licenze per ogni proprietario del gruppo come revisore. 503
Un amministratore crea una verifica di accesso del gruppo B con 500 utenti. La rende un'autovalutazione. 500 licenze, una per ogni utente come revisore autonomo 500
Un amministratore crea una verifica di accesso del gruppo C con 50 utenti membri. La rende una verifica autonoma. 50 licenze, una per ogni utente come revisore autonomo. 50
Un amministratore crea una verifica di accesso del gruppo D con 6 utenti membri. La rende un'autovalutazione. 6 licenze, una per ogni utente come revisore autonomo. Non sono necessarie licenze aggiuntive. 6

Flussi di lavoro del ciclo di vita

Con le licenze di Microsoft Entra ID Governance per i flussi di lavoro del ciclo di vita, è possibile:

  • Creare, gestire ed eliminare flussi di lavoro fino al limite totale di 50 flussi di lavoro.
  • Attivare l'esecuzione di flussi di lavoro su richiesta e pianificati.
  • Gestire e configurare le attività esistenti per creare flussi di lavoro specifici per le proprie esigenze.
  • Creare fino a 100 estensioni di attività personalizzate da usare nei flussi di lavoro.

L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione.

Esempi di scenari di licenza

Scenario Calcolo Numero di licenze
Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per aggiungere nuovi assunti nel reparto Marketing al gruppo dei team di marketing. 250 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro, una sola volta. Altri 150 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro più tardi nello stesso anno. 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita e 400 licenze per gli utenti. 401
Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per eseguire l'offboarding anticipato di un gruppo di dipendenti prima dell'ultimo giorno di lavoro. Gli utenti che saranno offboardati anticipatamente sono 40 contemporaneamente. Abbiamo eseguito l'offboarding di 40 utenti con licenza. Ora, è possibile riassegnare queste 40 licenze e assegnare altre 10 licenze più avanti nell'anno per eseguire l'offboarding anticipato di altri 50 utenti. 50 licenze per gli utenti e 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita. 51

Microsoft Entra Connect

L'uso di questa funzionalità è gratuito ed è incluso nella sottoscrizione di Azure.

Microsoft Entra Connect Health

L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Accesso condizionale Microsoft Entra

L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Anche i clienti con licenze Microsoft 365 Business Premium possono accedere alle funzionalità di accesso condizionale.

I criteri basati sui rischi richiedono l'accesso a Microsoft Entra ID Protection, che è una funzionalità di Microsoft Entra ID P2.

Microsoft Entra Suite include tutte le funzionalità di accesso condizionale di Microsoft Entra.

Per altri prodotti e funzionalità che possono interagire con i criteri di accesso condizionale sono richieste licenze appropriate.

Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono disabilitati o eliminati automaticamente. Ciò consente ai clienti di eseguire la migrazione dai criteri di accesso condizionale senza un improvviso cambiamento nella postura di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati, ma non più aggiornati.

Le impostazioni predefinite per la sicurezza consentono di proteggersi da attacchi correlati all'identità e sono disponibili per tutti i clienti.

Microsoft Entra Domain Services

L'utilizzo di Microsoft Entra Domain Services viene addebitato all'ora, in base allo SKU selezionato dal proprietario del tenant.

ID esterno di Microsoft

Le funzionalità principali di Microsoft Entra per ID esterno sono gratuite per i primi 50.000 utenti attivi mensili. Altre informazioni sulle licenze sono disponibili nelle domande frequenti sull'ID esterno

Microsoft Entra ID Protection

L'uso di questa funzionalità richiede licenze Microsoft Entra ID P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Capacità Dettagli Microsoft Entra ID Gratuita / Microsoft 365 Apps Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra Suite
Criteri di rischio Criteri di rischio di accesso e utente (tramite Accesso condizionale) No No
Report di sicurezza. Panoramica No No
Report di sicurezza. Utenti a rischio Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. Accesso completo
Report di sicurezza. Accessi a rischio Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. Accesso completo
Report di sicurezza. Rilevamenti dei rischi No Informazioni limitate. Nessun pannello dei dettagli. Accesso completo
Notifiche Avvisi relativi a utenti a rischio rilevati No No
Notifiche Riepilogo settimanale No No
Criteri di registrazione MFA No No

Microsoft Entra Accesso a Internet

Accesso a Internet di Microsoft Entra è disponibile autonomamente o come parte della famiglia di prodotti Microsoft Entra.

Monitoraggio e stato di Microsoft Entra

Le licenze necessarie variano in base alle funzionalità di monitoraggio e salute.

Capacità Microsoft Entra ID versione gratuita Microsoft Entra ID P1 o P2/ Microsoft Entra Suite
Log di controllo
Registri di accesso
Log di provisioning No
Attributi di sicurezza personalizzati
Integrità No
Registri delle attività di Microsoft Graph No
Utilizzo e informazioni dettagliate No

Gestione delle autorizzazioni di Microsoft Entra

Gestione autorizzazioni supporta tutte le risorse in Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform, ma richiede solo licenze per le risorse fatturabili.

Accesso privato Microsoft Entra

Accesso privato Microsoft Entra è disponibile autonomamente o come parte di Microsoft Entra Suite.

Gestione delle identità con privilegi di Microsoft Entra

Per usare Microsoft Entra Privileged Identity Management, un tenant deve avere una licenza valida. Inoltre, è necessario che le licenze siano assegnate agli amministratori e ai relativi utenti. Questo articolo descrive i requisiti di licenza per usare Privileged Identity Management. Per usare Privileged Identity Management, è necessario disporre di una delle licenze seguenti:

Licenze valide per PIM

Per usare PIM e tutte le relative impostazioni, sono necessarie licenze di Microsoft Entra ID Governance o licenze di Microsoft Entra ID P2. Attualmente, è possibile definire l'ambito di una verifica di accesso ai principali di servizio con accesso a Microsoft Entra ID, ai ruoli delle risorse con Microsoft Entra ID P2 o agli utenti con edizione Governance di Microsoft Entra ID attiva nel tenant.

Licenze necessarie per PIM

Assicurarsi che la directory abbia licenze Microsoft Entra ID P2 o Microsoft Entra ID Governance per le seguenti categorie di utenti:

  • Utenti con assegnazioni idonee e/o a tempo limitato a ruoli di Microsoft Entra ID o di Azure gestiti tramite PIM
  • Utenti con assegnazioni idonee e/o a tempo limitato come membri o proprietari di PIM per i gruppi
  • Utenti in grado di approvare o rifiutare le richieste di attivazione in PIM
  • Utenti assegnati a una verifica di accesso
  • Utenti che eseguono verifiche di accesso

Esempi di scenari di licenze per PIM

Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.

Scenario Calcolo Numero di licenze
Woodgrove Bank dispone di 10 amministratori per reparti diversi e 2 amministratori di ruoli con privilegi che configurano e gestiscono PIM. Cinque amministratori vengono resi idonei. Cinque licenze per gli amministratori idonei 5
Graphic Design Institute ha 25 amministratori di cui 14 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti tre diversi utenti che possono approvare le attivazioni. 14 licenze per i ruoli idonei + tre approvatori 17
Contoso ha 50 amministratori di cui 42 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti cinque diversi utenti che possono approvare le attivazioni. Contoso esegue anche revisioni mensili degli utenti assegnati a ruoli di amministratore e i revisori sono coloro che gestiscono gli utenti, sei dei quali non ricoprono ruoli di amministratore gestiti tramite PIM. 42 licenze per i ruoli idonei + cinque responsabili approvazione + sei revisori 53

Quando una licenza scade per PIM

Se una licenza Microsoft Entra ID P2, Microsoft Entra ID Governance o licenza di prova scade, le funzionalità di Privileged Identity Management non sono più disponibili nel tuo directory.

  • Le assegnazioni permanenti ai ruoli di Microsoft Entra non sono influenzate.
  • Il servizio Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra, i cmdlet dell'API Graph e le interfacce PowerShell di Privileged Identity Management, non saranno più disponibili per l'attivazione di ruoli con privilegi, gestire l'accesso con privilegi o eseguire verifiche di accesso dei ruoli con privilegi.
  • Le assegnazioni di ruoli idonei di Microsoft Entra sono rimosse poiché gli utenti non sono più in grado di attivare ruoli con privilegi.
  • Eventuali verifiche di accesso in corso dei ruoli di Microsoft Entra vengono interrotte e le impostazioni di configurazione di Privileged Identity Management vengono rimosse.
  • Privileged Identity Management non invia più messaggi di posta elettronica relativi alle modifiche di assegnazione dei ruoli.

ID verificato di Microsoft Entra

ID verificato di Microsoft Entra è incluso in qualsiasi sottoscrizione di Microsoft Entra ID, compresa la sottoscrizione gratuita di Microsoft Entra ID, senza alcun costo aggiuntivo. La funzionalità ID di base verificata consente alle organizzazioni di:

  • Verificare e rilasciare le credenziali dell'organizzazione per qualsiasi attributo di identità univoco.
  • Consentire agli utenti finali di essere titolari delle proprie credenziali digitali e di avere una maggiore visibilità.
  • Ridurre il rischio dell'organizzazione e semplificare il processo di controllo
  • Creare applicazioni serverless incentrate sugli utenti che usano credenziali ID verificate.

ID verificato di Microsoft Entra fornisce anche la verifica facciale come funzionalità premium disponibile come componente aggiuntivo e inclusa nella famiglia di prodotti di Microsoft Entra (limite di 8 verifiche facciali per utente al mese).

ID carico di lavoro di Microsoft Entra

L'ID del carico di lavoro di Microsoft Entra supporta le identità delle applicazioni e i principi di servizio in Azure, richiedendo licenze per ogni identità di carico di lavoro al mese.

Organizzazioni multiutenza

Nel tenant di origine: l'uso di questa funzionalità richiede le licenze di Microsoft Entra ID P1. Ogni utente sincronizzato con la sincronizzazione tra tenant deve disporre di una licenza P1 nel tenant principale/di origine. Per trovare la licenza adatta alle proprie esigenze, consultare Piani e prezzi di Microsoft Entra ID.

Nel tenant di destinazione: la sincronizzazione tra tenant si basa sul modello di fatturazione Microsoft Entra External ID. Per informazioni sul modello di licenza per le identità esterne, consultare Modello di fatturazione MAU per Microsoft Entra per ID esterno. È inoltre necessario disporre di almeno una licenza Microsoft Entra ID P1 nel tenant di destinazione per abilitare l'autoredemption.

Tutte le funzionalità delle organizzazioni multi-tenant sono incluse nella famiglia di prodotti di Microsoft Entra.

Controllo degli accessi in base al ruolo

L'uso dei ruoli predefiniti in Microsoft Entra ID è gratuito. L'uso di ruoli personalizzati richiede una licenza Microsoft Entra ID P1 per ogni utente a cui viene assegnato un ruolo personalizzato. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.

Ruoli

Unità amministrative

L'uso di unità amministrative richiede una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa a cui sono assegnati ruoli della directory nell'ambito dell'unità amministrativa e una licenza gratuita di Microsoft Entra ID per ogni membro dell'unità amministrativa. La creazione di unità amministrative è disponibile con una licenza gratuita di Microsoft Entra ID. Se vengono usate le regole per l'appartenenza ai gruppi di appartenenza dinamica per le unità amministrative, ogni membro dell'unità amministrativa richiede una licenza Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.

Unità amministrative di gestione con restrizioni

Le unità amministrative di gestione con restrizioni richiedono una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa e licenze Microsoft Entra ID gratuito per i membri dell'unità amministrativa. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.

Funzionalità in anteprima

Le informazioni sulle licenze per tutte le funzionalità attualmente in anteprima sono incluse qui, se applicabile. Per ulteriori informazioni sulle funzionalità di anteprima, consultare Funzionalità di anteprima di Microsoft Entra ID.

Passaggi successivi