Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il documento seguente illustra le licenze di Microsoft Entra ID Governance. È rivolto ai decision maker IT, agli amministratori IT e ai professionisti IT che stanno valutando i servizi di Microsoft Entra ID Governance per le proprie organizzazioni.
Tipi di licenze
Le licenze seguenti sono disponibili per l'uso con Microsoft Entra ID Governance nei cloud commerciali e per enti pubblici. La scelta delle licenze necessarie in un tenant dipende dalle funzionalità usate nel tenant stesso.
- Gratuito: licenza inclusa con le sottoscrizioni a Microsoft Cloud, ad esempio Microsoft Azure, Microsoft 365 e altri.
- Microsoft Entra ID P1: Microsoft Entra ID P1 è disponibile come prodotto autonomo o incluso in Microsoft 365 E3 per i clienti aziendali e in Microsoft 365 Business Premium per le piccole e medie imprese.
- Microsoft Entra ID P2: Microsoft Entra ID P2 è disponibile come prodotto autonomo o incluso in Microsoft 365 E5 per i clienti aziendali.
- Microsoft Entra ID Governance: Microsoft Entra ID Governance è un set avanzato di funzionalità di governance delle identità disponibile per i clienti Microsoft Entra ID P1 e P2. Microsoft Entra ID Governance è disponibile come sei prodotti Microsoft Entra ID Governance, Microsoft Entra ID Governance Step Up per Microsoft Entra ID P2, Entra ID Governance Frontline Worker, Microsoft Entra ID Governance Step Up per Microsoft Entra ID F2, Microsoft Entra ID Governance for Government e Microsoft Entra ID Governance Add-on for Microsoft Entra ID P2 for Government. Questi sei prodotti differiscono solo nei loro prerequisiti; contengono sia la gestione entitlement, la gestione delle identità con privilegi sia le funzionalità di verifica di accesso presenti in Microsoft Entra ID P2 e funzionalità avanzate di governance delle identità.
- Microsoft Entra Suite - Microsoft Entra Suite è una soluzione completa basata sul cloud per l'accesso alla forza lavoro, disponibile per i clienti Microsoft Entra ID P1 e P2. Microsoft Entra Suite riunisce Microsoft Entra Private Access, Microsoft Entra Internet Access, Microsoft Entra ID Governance, Microsoft Entra ID Protectione MICROSOFT Entra Verified ID. La parte Governance ID di Microsoft Entra offre le stesse capacità di governance delle identità del prodotto Microsoft Entra ID Governance. La differenza è che hanno prerequisiti diversi.
Nota
Alcuni scenari di Microsoft Entra ID Governance possono essere configurati in modo da dipendere da altre funzionalità non coperte da Microsoft Entra ID Governance. Queste funzionalità potrebbero avere requisiti di licenza aggiuntivi. Per altre informazioni sugli scenari di governance che usano altre funzionalità, vedere la pagina di panoramica di Identity Governance .
I prodotti Microsoft Entra ID Governance for Government e il componente aggiuntivo Microsoft Entra ID Governance per Microsoft Entra ID P2 for Government sono disponibili negli ambienti cloud del governo degli Stati Uniti: cloud della community governativa (GCC), GCC-High e cloud del Dipartimento della Difesa.
Prodotti di Governance e prerequisiti
Le funzionalità di governance di Microsoft Entra ID sono attualmente disponibili in sei prodotti autonomi. Questi sei prodotti offrono le stesse funzionalità di governance delle identità. La differenza tra i sei prodotti è che hanno prerequisiti diversi.
- Una sottoscrizione a Microsoft Entra ID Governance o Microsoft Entra ID Governance for Government, elencata nei termini del prodotto come prodotto Microsoft Entra ID Governance (User SL), richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto, uno che contiene il
AAD_PREMIUMpiano di servizio oAAD_PREMIUM_P2. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5 o Enterprise Mobility + Security E3/E5. - Una sottoscrizione a Microsoft Entra ID Governance Upgrade per Microsoft Entra ID P2 o Microsoft Entra ID Governance Add-on per Microsoft Entra ID P2 for Government, elencata nei termini del prodotto come prodotto Microsoft Entra ID Governance P2, richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto che includa il
AAD_PREMIUM_P2piano di servizio. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security o Microsoft 365 F5 Security + Compliance. - Una sottoscrizione al prodotto Entra ID Governance Frontline Worker (User SL) richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto, uno che contiene il
AAD_PREMIUMpiano di servizio oAAD_PREMIUM_P2. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 o Microsoft 365 F1/F3. - Una sottoscrizione a Microsoft Entra ID Governance Step up for Microsoft Entra ID F2, elencata nei termini del prodotto come Microsoft Entra ID Governance F2 o Microsoft Entra ID Governance Step-Up per il prodotto Microsoft Entra ID F2 for Frontline Worker (User SL), richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto, uno che contiene il
AAD_PREMIUM_P2piano di servizio. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID F2.
Le funzionalità di governance di Microsoft Entra ID sono incluse anche in Microsoft Entra Suite. I prodotti Microsoft Entra Suite disponibili includono Microsoft Entra Suite (User SL), componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID F2 for FLW (User SL), Microsoft Entra Suite Add-on for Microsoft Entra ID P2 (User SL), Microsoft Entra Suite Add-on for Microsoft Entra ID P2 EDU (User SL), Microsoft Entra Suite FLW (User SL)e Microsoft Entra Suite for EDU (User SL).
I nomi dei prodotti e gli identificatori del piano di servizio per le licenze elencano prodotti aggiuntivi che includono i piani di servizio prerequisiti.
Nota
Una sottoscrizione a un prerequisito per un prodotto Microsoft Entra ID Governance deve essere attiva nel tenant. Se non è presente un prerequisito o la sottoscrizione scade, gli scenari di governance dell'ID di Microsoft Entra potrebbero non funzionare come previsto.
Per verificare se i prodotti prerequisiti per un prodotto di Microsoft Entra ID Governance sono presenti in un tenant, è possibile usare l'interfaccia di amministrazione di Microsoft Entra o l'interfaccia di amministrazione di Microsoft 365 per visualizzare l'elenco dei prodotti.
Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore delle licenze.
Passare a Licenze di fatturazione>.
Nel menu Gestisci selezionare Funzionalità con licenza. La barra informazioni indica il piano di licenza corrente di Microsoft Entra ID.
Per visualizzare i prodotti esistenti nel tenant, nel menu Gestisci selezionare Tutti i prodotti.
Avviare una prova
Un amministratore globale in un tenant commerciale che dispone di un prodotto prerequisito appropriato, come Microsoft Entra ID P1, già acquistato, e che non sta già utilizzando o non ha precedentemente provato Microsoft Entra ID Governance, può richiedere una versione di valutazione di Microsoft Entra ID Governance nel proprio tenant.
Accedere all’Interfaccia di amministrazione di Microsoft 365 come Amministratore globale
Nel menu Fatturazione, selezionare Acquista servizi.
Nella casella Cerca tutte le categorie di prodotti, digitare
"Microsoft Entra ID Governance".Selezionare Dettagli sotto Microsoft Entra ID Governance per visualizzare le informazioni sulla versione di valutazione e sull'acquisto del prodotto. Se il tenant ha Microsoft Entra ID P2, selezionare Dettagli sotto Amministrazione avanzata di Microsoft Entra ID per Microsoft Entra ID P2.
Nella pagina dei dettagli del prodotto selezionare Avvia versione di valutazione gratuita.
La tabella seguente illustra i requisiti di licenza per le funzionalità di Microsoft Entra ID Governance. Microsoft Entra Suite include tutte le funzionalità di Microsoft Entra ID Governance. Le informazioni sulle licenze e gli scenari di licenza di esempio per Gestione delle autorizzazioni, le Verifiche di accesso e i Flussi di lavoro del ciclo di vita sono forniti sotto la tabella.
Funzionalità in base al tipo di licenza
La tabella seguente illustra le funzionalità associate alla governance delle identità disponibili con ogni licenza. Per altre informazioni su altre funzionalità, vedere Piani e prezzi di Microsoft Entra. Non tutte le funzionalità sono disponibili in tutti i cloud; vedere Disponibilità delle funzionalità di Microsoft Entra per Azure per enti pubblici.
Gestione dei diritti
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione. Alcune caratteristiche all'interno di questa funzionalità possono operare con una sottoscrizione a Microsoft Entra ID P2.
Esempi di scenari di licenza
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Sceneggiatura | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore di gestione delle identità presso Woodgrove Bank crea i cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 dipendenti possono richiedere i pacchetti di accesso | 2.000 |
| Un amministratore di gestione delle identità presso Woodgrove Bank crea i cataloghi iniziali. Creano criteri di assegnazione automatica che concedono a tutti i membri del reparto vendite (350 dipendenti) l'accesso a un set specifico di pacchetti di accesso. 350 dipendenti vengono assegnati automaticamente ai pacchetti di accesso. | 350 dipendenti hanno bisogno di licenze. | 351 |
Verifiche di accesso
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione, inclusi tutti i dipendenti che esaminano l'accesso o quelli sottoposti a verifica dell'accesso. Alcune caratteristiche all'interno di questa funzionalità possono funzionare con una sottoscrizione a Microsoft Entra ID P2.
Esempi di scenari di licenza
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Sceneggiatura | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore crea una verifica di accesso del gruppo A con 75 utenti e 1 proprietario del gruppo, assegnando al proprietario del gruppo il ruolo di revisore. | 1 licenza per il proprietario del gruppo come revisore e 75 licenze per i 75 utenti. | 76 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti e 3 proprietari del gruppo, assegnando ai 3 proprietari del gruppo il ruolo di revisore. | 500 licenze per gli utenti e 3 licenze per ogni proprietario del gruppo come revisore. | 503 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti. La rende una revisione autonoma. | 500 licenze, una per ogni utente come revisore autonomo | 500 |
| Un amministratore crea una verifica di accesso del gruppo C con 50 utenti membri. La rende una revisione autonoma. | 50 licenze, una per ogni utente come revisore autonomo. | 50 |
| Un amministratore crea una verifica di accesso del gruppo D con 6 utenti membri. La rende una revisione autonoma. | 6 licenze, una per ogni utente come revisore autonomo. Non sono necessarie licenze aggiuntive. | 6 |
Flussi di lavoro del ciclo di vita
Con le licenze di Microsoft Entra ID Governance per i flussi di lavoro del ciclo di vita, è possibile:
- Creare, gestire ed eliminare flussi di lavoro fino al limite totale di 50 flussi di lavoro.
- Attivare l'esecuzione di flussi di lavoro su richiesta e pianificati.
- Gestire e configurare le attività esistenti per creare flussi di lavoro specifici per le proprie esigenze.
- Creare fino a 100 estensioni di attività personalizzate da usare nei flussi di lavoro.
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione.
Esempi di scenari di licenza
| Sceneggiatura | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per aggiungere nuovi assunti nel reparto Marketing al gruppo dei team di marketing. 250 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro, una sola volta. Altri 150 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro più tardi nello stesso anno. | 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita e 400 licenze per gli utenti. | 401 |
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per eseguire l'offboarding anticipato di un gruppo di dipendenti prima dell'ultimo giorno di lavoro. L'ambito degli utenti che saranno sottoposti a un offboarding anticipato è composto da 40 utenti in una sola volta. Abbiamo eseguito l'offboarding di 40 utenti licenziati. Ora, è possibile riassegnare queste 40 licenze e assegnare altre 10 licenze più avanti nell'anno per eseguire l'offboarding anticipato di altri 50 utenti. | 50 licenze per gli utenti e 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita. | 51 |
Gestione delle Identità Privilegiate
Per usare Microsoft Entra Privileged Identity Management, un tenant deve avere una licenza valida. Inoltre, è necessario che le licenze siano assegnate agli amministratori e ai relativi utenti. Questo articolo descrive i requisiti di licenza per usare Privileged Identity Management. Per usare Privileged Identity Management, è necessario disporre di una delle licenze seguenti:
Licenze valide per PIM
Per usare PIM e tutte le relative impostazioni, sono necessarie licenze di Microsoft Entra ID Governance o licenze di Microsoft Entra ID P2. Attualmente, è possibile definire l'ambito di una verifica di accesso alle entità di servizio con accesso a Microsoft Entra ID, ai ruoli delle risorse con Microsoft Entra ID P2 o agli utenti con l'edizione Governance di Microsoft Entra ID attiva nel tenant.
Licenze necessarie per PIM
Assicurarsi che la directory abbia licenze Microsoft Entra ID P2 o Microsoft Entra ID Governance per le seguenti categorie di utenti:
- Utenti con assegnazioni idonee e/o a tempo limitato a ruoli di Microsoft Entra ID o di Azure gestiti tramite PIM
- Utenti con assegnazioni idonee e/o a tempo limitato come membri o proprietari di PIM per i gruppi
- Utenti in grado di approvare o rifiutare le richieste di attivazione in PIM
- Utenti assegnati a una verifica di accesso
- Utenti che eseguono verifiche di accesso
Esempi di scenari di licenze per PIM
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Sceneggiatura | Calcolo | Numero di licenze |
|---|---|---|
| Woodgrove Bank dispone di 10 amministratori per reparti diversi e 2 amministratori di ruoli con privilegi che configurano e gestiscono PIM. Loro rendono cinque amministratori idonei. | Cinque licenze per gli amministratori idonei | 5 |
| Graphic Design Institute ha 25 amministratori di cui 14 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti tre diversi utenti che possono approvare le attivazioni. | 14 licenze per i ruoli idonei + tre responsabili dell'approvazione | 17 |
| Contoso ha 50 amministratori di cui 42 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti cinque diversi utenti che possono approvare le attivazioni. Contoso esegue anche revisioni mensili degli utenti assegnati a ruoli di amministratore e i revisori sono coloro che gestiscono gli utenti, sei dei quali non ricoprono ruoli di amministratore gestiti tramite PIM. | 42 licenze per i ruoli idonei + cinque responsabili approvazione + sei revisori | 53 |
Quando una licenza scade per PIM
Se una licenza Microsoft Entra ID P2, Microsoft Entra ID Governance o licenza di prova scade, le funzionalità di Privileged Identity Management non sono più disponibili nel tuo directory.
- Le assegnazioni permanenti ai ruoli di Microsoft Entra non sono influenzate.
- Il servizio Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra, i cmdlet dell'API Graph e le interfacce PowerShell di Privileged Identity Management, non saranno più disponibili per l'attivazione di ruoli con privilegi, gestire l'accesso con privilegi o eseguire verifiche di accesso dei ruoli con privilegi.
- Le assegnazioni di ruoli idonei di Microsoft Entra sono rimosse poiché gli utenti non sono più in grado di attivare ruoli con privilegi.
- Eventuali verifiche di accesso in corso dei ruoli di Microsoft Entra vengono interrotte e le impostazioni di configurazione di Privileged Identity Management vengono rimosse.
- Privileged Identity Management non invierà più email sulle modifiche di assegnazioni di ruoli.
Provisioning guidato dalle API
Questa funzionalità è disponibile con le sottoscrizioni di Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. È necessaria una licenza di sottoscrizione per ogni identità che viene originata usando l'API /bulkUpload e di cui è stato effettuato il provisioning in Active Directory locale o in Microsoft Entra ID.
Scenari di licenza
| Licenza del cliente | Limiti di utilizzo applicati a livello di tenant per il provisioning basato su API |
|---|---|
| Microsoft Entra ID P1 o P2 | Quota di utilizzo giornaliera (numero di record utente che possono essere caricati in un periodo di 24 ore): 100.000 record utente (2000 /bulkUpload chiamate API con ogni richiesta contenente un massimo di 50 record). Numero massimo di processi di provisioning basati su API per ogni flusso: 2 o Massimo 2 app per il provisioning basato su API verso l'Active Directory locale. o Massimo 2 applicazioni per il provisioning basato su API verso Microsoft Entra ID. |
| Microsoft Entra ID Governance insieme a Microsoft Entra ID P1 o P2 | Quota di utilizzo giornaliera (numero di record utente che possono essere caricati in un periodo di 24 ore): 300.000 record utente (6000 /bulkUpload chiamate API con ogni richiesta contenente un massimo di 50 record). Numero massimo di processi di provisioning basati su API per ogni flusso: 20 o Massimo 20 app per il provisioning basato su API verso l'Active Directory locale. o Massimo 20 app per il provisioning basato su API verso Microsoft Entra ID. |
Domande frequenti sulle licenze
È necessario assegnare licenze agli utenti per usare le funzionalità di governance delle identità?
Agli utenti non è necessario assegnare una licenza di Governance di Microsoft Entra ID, ma è necessario che siano presenti tutte le licenze per includere tutti gli utenti nell'ambito o che configurano le funzionalità di Identity Governance.
Come posso concedere in licenza l'utilizzo delle funzionalità di Microsoft Entra ID Governance per i guest aziendali?
Microsoft Entra ID Governance usa licenze MAU (Monthly Active User) per gli utenti guest diversi dalle licenze per i dipendenti e richiede una sottoscrizione di Azure.
Nel modello di fatturazione guest, gli utenti guest vengono identificati da un userType guest indipendentemente dalla posizione in cui l'utente esegue l'autenticazione. Un userType guest è l'userType predefinito per tutti i metodi di invito B2B e può essere impostato anche da un amministratore di identità. La fattura per ogni mese include un record per ogni utente guest con una o più azioni di governance in quel mese. Per informazioni dettagliate sui prezzi, vedere la pagina dei prezzi di Azure.
Per ulteriori informazioni, vedere: Licenze di governance di Microsoft Entra ID per utenti guest.
Che cosa accade a PIM quando una licenza scade?
Se una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance scade o termina la versione di valutazione, le funzionalità di Privileged Identity Management non saranno più disponibili nella directory. Le modifiche seguenti elencate sono applicabili a PIM per i ruoli di Microsoft Entra, PIM per le risorse di Azure e PIM per i gruppi.
- Le assegnazioni permanenti attive non sono interessate.
- Le assegnazioni attive a tempo limitato diventano permanenti attive, il che significa che non scadranno più in un momento designato.
- Le assegnazioni di ruoli idonei sono rimosse poiché gli utenti non saranno più in grado di attivare ruoli con privilegi.
- I pannelli Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra o portale di Azure, le API e le interfacce Privileged Identity Management di PowerShell, non saranno più disponibili per consentire agli utenti di attivare i ruoli, gestire le assegnazioni o eseguire verifiche di accesso dei ruoli con privilegi.
- Le verifiche di accesso dei ruoli di Microsoft Entra in corso terminano, e le impostazioni di configurazione del Privileged Identity Management sono rimosse.
- Privileged Identity Management non invierà più email sulle modifiche di assegnazioni di ruoli e sugli avvisi PIM.
Le funzionalità e le caratteristiche di IGA verranno aggiunte con la licenza Microsoft Entra ID P2?
Tutte le funzionalità attualmente disponibili a livello generale in Microsoft Entra ID P2 rimarranno, ma non verranno aggiunte nuove funzionalità o carfatteristiche IGA allo SKU di Microsoft Entra ID P2.