Licenze Microsoft Entra
Questo articolo illustra le licenze dei servizi Microsoft Entra. È destinato ai decision maker IT, agli amministratori IT e ai professionisti IT che prendono in considerazione i servizi Microsoft Entra per le proprie organizzazioni. Questo articolo non è destinato agli utenti finali.
Importante
Per informazioni sulle licenze sui servizi non elencati qui, vedere la documentazione del servizio o la pagina dei prezzi di Microsoft Entra ID.
Provisioning di app
Il proxy dell'applicazione Microsoft Entra richiede licenze Microsoft Entra ID P1 o P2. Per altre informazioni sulle licenze, vedere Prezzi di Microsoft Entra.
Autenticazione
Nella tabella seguente sono elencate le funzionalità disponibili per l'autenticazione nelle varie versioni di Microsoft Entra ID. Pianificare le esigenze per proteggere l'accesso utente, quindi determinare quale approccio soddisfa tali requisiti. Ad esempio, anche se Microsoft Entra ID Free fornisce impostazioni predefinite di sicurezza con l'autenticazione a più fattori, è possibile usare solo Microsoft Authenticator per la richiesta di autenticazione, incluse chiamate vocali e di testo. Questo approccio potrebbe essere una limitazione se non è possibile assicurarsi che Authenticator sia installato nel dispositivo personale di un utente.
| Funzionalità | Microsoft Entra ID Free - Impostazioni predefinite di sicurezza (abilitate per tutti gli utenti) | Microsoft Entra ID Gratuito - Solo amministratori globali | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Proteggere gli account di amministratore tenant di Microsoft Entra con MFA | ✅ | ✅ (solo account amministratore globale di Microsoft Entra) | ✅ | ✅ | ✅ |
| App per dispositivi mobili come secondo fattore | ✅ | ✅ | ✅ | ✅ | ✅ |
| Chiamata telefonica come secondo fattore | ✅ | ✅ | ✅ | ||
| SMS come secondo fattore | ✅ | ✅ | ✅ | ✅ | |
| Controllo amministrativo sui metodi di verifica | ✅ | ✅ | ✅ | ✅ | |
| Avviso di illecito | ✅ | ✅ | |||
| Report MFA | ✅ | ✅ | |||
| Messaggi di saluto personalizzati per le telefonate | ✅ | ✅ | |||
| ID chiamante personalizzato per le telefonate | ✅ | ✅ | |||
| Indirizzi IP attendibili | ✅ | ✅ | |||
| Memorizzazione di MFA per dispositivi attendibili | ✅ | ✅ | ✅ | ✅ | |
| MFA per applicazioni locali | ✅ | ✅ | |||
| Accesso condizionale | ✅ | ✅ | |||
| Accesso condizionale basato sul rischio | ✅ | ||||
| Reimpostazione della password self-service | ✅ | ✅ | ✅ | ✅ | ✅ |
| Reimpostazione della password self-service con writeback | ✅ | ✅ |
Identità gestite
Non sono previsti requisiti di licenza per l'uso di identità gestite per le risorse di Azure. Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Uno dei vantaggi dell'uso delle identità gestite è che non è necessario gestire le credenziali e che possono essere usate senza costi aggiuntivi. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.
Microsoft Entra ID Governance
La tabella seguente illustra i requisiti di licenza per le funzionalità di governance di Microsoft Entra ID. Le informazioni sulle licenze e gli scenari di licenza di esempio per la gestione entitlement, le verifiche di accesso e i flussi di lavoro del ciclo di vita vengono forniti seguendo la tabella.
Funzionalità per licenza
La tabella seguente illustra le funzionalità disponibili con ogni licenza. Non tutte le funzionalità sono disponibili in tutti i cloud; vedere Disponibilità delle funzionalità di Microsoft Entra per Azure per enti pubblici.
Gestione entitlement
L'uso di questa funzionalità richiede l'abbonamento a Governance di Microsoft Entra ID per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2.
Scenari di licenze di esempio
Ecco alcuni esempi di scenari che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore di Identity Governance presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 che possono richiedere i pacchetti di accesso | 2,000 |
| Un amministratore di Identity Governance presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 dipendenti hanno bisogno di licenze. | 2,000 |
| Un amministratore di Identity Governance presso Woodgrove Bank crea cataloghi iniziali. Creano criteri di assegnazione automatica che concedono a tutti i membri del reparto vendite (350 dipendenti) l'accesso a un set specifico di pacchetti di accesso. 350 dipendenti vengono assegnati automaticamente ai pacchetti di accesso. | 350 dipendenti hanno bisogno di licenze. | 351 |
Verifiche di accesso
L'uso di questa funzionalità richiede le sottoscrizioni di Governance di Microsoft Entra ID per gli utenti dell'organizzazione, inclusi per tutti i dipendenti che esaminano l'accesso o che hanno eseguito la verifica dell'accesso. Alcune funzionalità all'interno di questa funzionalità potrebbero funzionare con un abbonamento a Microsoft Entra ID P2.
Scenari di licenze di esempio
Ecco alcuni esempi di scenari che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore crea una verifica di accesso del gruppo A con 75 utenti e 1 proprietario del gruppo, quindi assegna il proprietario del gruppo come revisore. | 1 licenza per il proprietario del gruppo come revisore e 75 licenze per i 75 utenti. | 76 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti e 3 proprietari del gruppo, quindi assegna i 3 proprietari del gruppo come revisori. | 500 licenze per gli utenti e 3 licenze per ogni proprietario del gruppo come revisori. | 503 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti. La crea come verifica autonoma. | 500 licenze, una per ogni utente come revisore autonomo | 500 |
| Un amministratore crea una verifica di accesso del gruppo C con 50 utenti membri. La crea come verifica autonoma. | 50 licenze, una per ogni utente come revisore autonomo. | 50 |
| Un amministratore crea una verifica di accesso del gruppo D con 6 utenti membri. La crea come verifica autonoma. | 6 licenze, una per ogni utente come revisore autonomo. Non sono necessarie licenze aggiuntive. | 6 |
Flussi di lavoro relativi al ciclo di vita
Con le licenze di governance di Microsoft Entra ID per i flussi di lavoro del ciclo di vita, è possibile:
- Creare, gestire ed eliminare flussi di lavoro fino al limite totale di 50 flussi di lavoro.
- Attivare l'esecuzione di flussi di lavoro su richiesta e pianificati.
- Gestire e configurare le attività esistenti per creare flussi di lavoro specifici per le proprie esigenze.
- Creare fino a 100 estensioni di attività personalizzate da usare nei flussi di lavoro.
L'uso di questa funzionalità richiede l'abbonamento a Governance di Microsoft Entra ID per gli utenti dell'organizzazione.
Scenari di licenze di esempio
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per aggiungere nuovi assunti nel reparto Marketing al gruppo Team marketing. 250 nuovi assunti vengono assegnati al gruppo Team marketing tramite questo flusso di lavoro. | 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita e 250 licenze per gli utenti. | 251 |
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per pre-offboarding di un gruppo di dipendenti prima dell'ultimo giorno di lavoro. L'ambito degli utenti che saranno pre-offboard sono 40 utenti. | 40 licenze per gli utenti e 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita. | 41 |
Microsoft Entra Connect
L'uso di questa funzionalità è gratuito ed è incluso nella sottoscrizione di Azure.
Microsoft Entra Connect Health
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Accesso condizionale Microsoft Entra
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Anche i clienti con licenze Premium di Microsoft 365 Business possono accedere alle funzionalità di accesso condizionale.
I criteri basati sul rischio richiedono l'accesso a Identity Protection, ovvero una funzionalità P2 di Microsoft Entra ID.
Altri prodotti e funzionalità che potrebbero interagire con i criteri di accesso condizionale richiedono licenze appropriate per tali prodotti e funzionalità.
Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono disabilitati o eliminati automaticamente. Ciò consente ai clienti di eseguire la migrazione dai criteri di accesso condizionale senza un improvviso cambiamento nel comportamento di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati, ma non più aggiornati.
Le impostazioni predefinite per la sicurezza consentono di proteggersi da attacchi correlati all'identità e sono disponibili per tutti i clienti.
Microsoft Entra ID
L'uso di questa funzionalità richiede licenze Microsoft Entra ID P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
| Funzionalità | Dettagli | App Microsoft Entra ID gratuita / Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Criteri di rischio | Criteri di rischio di accesso e utente (tramite Identity Protection o accesso condizionale) | No | No | Sì |
| Report di sicurezza. | Panoramica | No | No | Sì |
| Report di sicurezza. | Utenti a rischio | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Accesso completo |
| Report di sicurezza. | Accessi a rischio | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Accesso completo |
| Report di sicurezza. | Rilevamenti dei rischi | No | Informazioni limitate. Nessun pannello dei dettagli. | Accesso completo |
| Notifications | Avvisi relativi a utenti a rischio rilevati | No | No | Sì |
| Notifications | Digest settimanale | No | No | Sì |
| Criteri di registrazione MFA | No | No | Sì |
Monitoraggio e integrità di Microsoft Entra
I ruoli e le licenze necessari variano in base al report. Sono necessarie autorizzazioni separate per accedere ai dati di monitoraggio e integrità in Microsoft Graph. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.
*La visualizzazione degli attributi di sicurezza personalizzati nei log di controllo o la creazione di impostazioni di diagnostica per gli attributi di sicurezza personalizzati richiede uno dei ruoli log attributi. È anche necessario il ruolo appropriato per visualizzare i log di controllo standard.
**Il livello di accesso e funzionalità per Identity Protection varia in base al ruolo e alla licenza. Per altre informazioni, vedere i requisiti di licenza per Identity Protection.
Gestione delle identità con privilegi di Microsoft Entra
Per usare Microsoft Entra Privileged Identity Management, un tenant deve avere una licenza valida. Le licenze devono anche essere assegnate agli amministratori e agli utenti pertinenti. Questo articolo descrive i requisiti di licenza per usare Privileged Identity Management. Per usare Privileged Identity Management, è necessario avere una delle licenze seguenti:
Licenze valide per PIM
Per usare PIM e tutte le relative impostazioni, sono necessarie licenze di Microsoft Entra ID Governance o licenze Microsoft Entra ID P2. Attualmente, è possibile definire l'ambito di una verifica di accesso alle entità servizio con accesso a Microsoft Entra ID, ruoli delle risorse con microsoft Entra ID P2 o utenti con Microsoft Entra ID Governance edition attivo nel tenant. Il modello di licenza per le entità servizio verrà finalizzato per la disponibilità generale di questa funzionalità e potrebbero essere necessarie altre licenze.
Licenze necessarie per PIM
Assicurarsi che la directory abbia licenze microsoft Entra ID P2 o Microsoft Entra ID Governance per le categorie di utenti seguenti:
- Utenti con assegnazioni idonee e/o associate a tempo a ruoli di Microsoft Entra ID o di Azure gestiti tramite PIM
- Utenti con assegnazioni idonee e/o associate al tempo come membri o proprietari di PIM per i gruppi
- Gli utenti possono approvare o rifiutare le richieste di attivazione in PIM
- Utenti assegnati a una verifica di accesso
- Utenti che eseguono verifiche di accesso
Scenari di licenza di esempio per PIM
Ecco alcuni esempi di scenari che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Woodgrove Bank dispone di 10 amministratori per reparti diversi e 2 amministratori di ruoli con privilegi che configurano e gestiscono PIM. Rendono idonei cinque amministratori. | Cinque licenze per gli amministratori idonei | 5 |
| Graphic Design Institute ha 25 amministratori di cui 14 vengono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti tre utenti diversi che possono approvare le attivazioni. | 14 licenze per i ruoli idonei + tre responsabili approvazione | 17 |
| Contoso ha 50 amministratori di cui 42 vengono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti cinque utenti diversi che possono approvare le attivazioni. Contoso esegue anche revisioni mensili degli utenti assegnati ai ruoli di amministratore e ai revisori sono i responsabili degli utenti di cui sei non sono nei ruoli di amministratore gestiti da PIM. | 42 licenze per i ruoli idonei + cinque responsabili approvazione + sei revisori | 53 |
Quando una licenza scade per PIM
Se una licenza microsoft Entra ID P2, Microsoft Entra ID Governance o versione di valutazione scade, le funzionalità di Privileged Identity Management non saranno più disponibili nella directory:
- Le assegnazioni di ruolo permanenti ai ruoli di Microsoft Entra non saranno interessate.
- Il servizio Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra e i cmdlet dell'API Graph e le interfacce di PowerShell di Privileged Identity Management non saranno più disponibili per gli utenti per attivare i ruoli con privilegi, gestire l'accesso con privilegi o eseguire verifiche di accesso dei ruoli con privilegi.
- Le assegnazioni di ruolo idonee dei ruoli di Microsoft Entra vengono rimosse, perché gli utenti non possono più attivare i ruoli con privilegi.
- Tutte le verifiche di accesso in corso dei ruoli di Microsoft Entra terminano e le impostazioni di configurazione di Privileged Identity Management vengono rimosse.
- Privileged Identity Management non invia più messaggi di posta elettronica alle modifiche all'assegnazione di ruolo.
ID verificato di Microsoft Entra
ID verificato di Microsoft Entra è attualmente incluso in qualsiasi abbonamento a Microsoft Entra, incluso Microsoft Entra ID Free, senza costi aggiuntivi. Per informazioni sull'ID verificato e su come abilitarlo, vedere Panoramica dell'ID verificato.
Organizzazioni multi-tenant
Nel tenant di origine: l'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Ogni utente sincronizzato con la sincronizzazione tra tenant deve avere una licenza P1 nel tenant principale/di origine. Per trovare la licenza appropriata per i propri requisiti, vedere Piani e prezzi di Microsoft Entra ID.
Nel tenant di destinazione: la sincronizzazione tra tenant si basa sul modello di fatturazione Microsoft Entra per ID esterno. Per informazioni sul modello di licenza delle identità esterne, vedere Modello di fatturazione MAU per Microsoft Entra per ID esterno. Per abilitare l'autoredemption, è necessaria almeno una licenza P1 di Microsoft Entra ID P1 nel tenant di destinazione.
Controllo degli accessi in base al ruolo
L'uso dei ruoli predefiniti in Microsoft Entra ID è gratuito. L'uso di ruoli personalizzati richiede una licenza Microsoft Entra ID P1 per ogni utente a cui viene assegnato un ruolo personalizzato. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuito e Premium.
Ruoli
Unità amministrative
L'uso di unità amministrative richiede una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa a cui sono assegnati ruoli della directory nell'ambito dell'unità amministrativa e una licenza Microsoft Entra ID Free per ogni membro dell'unità amministrativa. La creazione di unità amministrative è disponibile con una licenza gratuita di Microsoft Entra ID. Se si usano regole di appartenenza dinamica per le unità amministrative, ogni membro dell'unità amministrativa richiede una licenza microsoft Entra ID P1. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuito e Premium.
Unità amministrative di gestione con restrizioni
Le unità amministrative di gestione con restrizioni richiedono una licenza P1 di Microsoft Entra ID per ogni amministratore di unità amministrativa e licenze Microsoft Entra ID Free per i membri dell'unità amministrativa. Per trovare la licenza appropriata per i requisiti, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuito e Premium.
Funzionalità in anteprima
Le informazioni sulle licenze per tutte le funzionalità attualmente in anteprima sono incluse qui, se applicabile. Per altre informazioni sulle funzionalità di anteprima, vedere Funzionalità di anteprima di Microsoft Entra ID.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per