次のドキュメントでは、Microsoft Entra ID ガバナンス ライセンスについて説明します。 この記事は、組織に Microsoft Entra ID ガバナンス サービスを検討している IT 意思決定者、IT 管理者、IT プロフェッショナルを対象としています。
ライセンスの種類
商用および政府機関向けクラウドでは、次のライセンスを Azure Active Directory Identity Governance で使用できます。 テナントで必要なライセンスのラインアップは、テナントで使用している機能によって異なります。
無料 - Microsoft Azure、Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれています。
Microsoft Entra ID P1 - Microsoft Entra ID P1 は、スタンドアロン プロダクトとして使用できるほか、大企業向けの Microsoft 365 E3 および中小企業向けの Microsoft 365 Business Premium に含まれています。
Microsoft Entra ID P2 - Microsoft Entra ID P2 は、スタンドアロン製品として利用できるほか、大企業顧客向けの Microsoft 365 E5 に含まれています。
Microsoft Entra ID ガバナンス - Microsoft Entra ID ガバナンスは、Microsoft Entra ID P1 と P2 の顧客が利用できる高度な一連の ID ガバナンスの機能です。 Azure AD Identity Governance は 5 つの製品として用意しており、それぞれ Azure AD Identity Governance、Microsoft Entra ID P2 用 Azure AD Identity Governance ステップ アップ、Microsoft Entra ID F2 用 Azure AD Identity Governance ステップ アップ、政府機関向け Azure AD Identity Governance、Microsoft Entra ID P2 for Governmen 用 Azure Active Directory Identity Governance アドオンです。 この 5 製品は前提条件のみが異なっており、Microsoft Entra ID P2 にあったエンタイトルメント管理、Privileged Identity Management、アクセス レビュー機能に加え、追加の高度な ID ガバナンス機能が含まれています。
注意
Microsoft Entra ID ガバナンスのシナリオの一部は、Microsoft Entra ID ガバナンスでカバーされていない他の機能に依存するよう構成できるものもあります。 これらの機能には、追加のライセンス要件がある場合があります。 追加機能に依存する ガバナンス シナリオの詳細については、「ID ガバナンスの概要」を参照してください。
Microsoft Entra ID ガバナンス製品は、米国国内クラウドではまだ利用できません。
ガバナンス製品と前提条件
Azure AD Identity Governance 機能は現在、5 つの製品で利用できます。 これら 5 つの製品は、同じ ID ガバナンス機能を提供します。 5 つの製品の違いは、前提条件が異なっていることです。
Azure AD Identity Governance (ユーザー SL) ライセンスとして製品使用条件に記載されている Azure AD Identity Governance または政府機関向け Azure AD Identity Governance のサブスクリプションでは、テナントにも、AAD_PREMIUM または AAD_PREMIUM_P2 サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例には、Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、Enterprise Mobility + Security E3/E5、Microsoft 365 F1/F3 などがあります。
Azure AD Identity Governance P2 ライセンスとして製品使用条件に記載されている Microsoft Entra ID P2 用の Azure AD Identity Governance ステップ アップまたはMicrosoft Entra ID P2 for Government 用 Azure AD Identity Governance アドオンのサブスクリプションでは、テナントにも、AAD_PREMIUM_P2 サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例には、Microsoft Entra ID P2、Microsoft 365 E5/A5/G5、Enterprise Mobility + Security E5、Microsoft 365 E5/F5 Security、Microsoft 365 F5 Security + Complianceなどがあります。
Microsoft Entra ID ガバナンス F2 ライセンスとして製品使用条件に記載されている Microsoft Entra ID F2 用の Microsoft Entra ID ガバナンス ステップアップのサブスクリプションでは、テナントにも、AAD_PREMIUM_P2 サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例として、Microsoft Entra ID F2 があります。
Microsoft Entra ID Governance 製品の前提条件へのサブスクリプションは、テナントでアクティブである必要があります。 前提条件が存在しない場合、またはサブスクリプションの有効期限が切れた場合、Microsoft Entra ID Governance シナリオが想定どおりに機能しない可能性があります。
Microsoft Entra ID ガバナンス製品の前提条件製品がテナントに存在するかどうかを確認するには、Microsoft Entra 管理センターまたは Microsoft 365 管理センターを使用して製品のリストを表示できます。
[管理] メニューの [ライセンスありの機能] を選択します。 情報バーには、現在の Microsoft Entra ID ライセンス プランが表示されます。
テナント内の既存の製品を表示するには、[管理] メニューの [すべての製品] を選択します。
試用版の開始
Microsoft Entra ID P1 など、適切な前提条件製品を所有しており、既に購入済みで、現在 Microsoft Entra ID ガバナンスを使用していない、または試用版を使用したことがない商用テナントのグローバル管理者は、そのテナントで Microsoft Entra ID ガバナンスの試用版を要求できます。
[すべての製品カテゴリを検索する] ボックスに「"Microsoft Entra ID Governance"」と入力します。
Microsoft Entra ID Governance の下にある [詳細] を選択して、製品の試用版と購入情報を表示します。 テナントに Microsoft Entra ID P2 がある場合は、Microsoft Entra ID P2 用の Microsoft Entra ID Governance ステップ アップ の下にある [詳細] を選択します。
製品の詳細ページで、[試用版の開始] を選択します。
次のテーブルには、Microsoft Entra ID ガバナンス機能のライセンス要件が示されています。 Microsoft Entra スイートには、Azure AD Identity Governance のすべての機能が含まれています。 ライセンス情報と、エンタイトルメント管理、アクセス レビュー、ライフサイクル ワークフローのライセンス シナリオの例を表の後に示します。
ライセンス別の機能
次の表は、各ライセンスので使用できる機能を示しています。 すべての機能がすべてのクラウドで使用できるわけではありません。Azure Government の「Microsoft Entra 機能の可用性」を参照してください。
組織のユーザーがこの機能を使うには、Microsoft Entra ID Governance のサブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
シナリオ
計算
ライセンス数
Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。
アクセス パッケージを要求できる 2,000 人の従業員
2,000
Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つで、すべての従業員 (2,000 の従業員) は特定のアクセス パッケージのセットを要求できることが指定されています。 150 人の従業員がアクセス パッケージを要求します。
2,000 人の従業員にライセンスが必要です。
2,000
Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 営業部門のすべてのメンバー (350 人の従業員) に特定のアクセス パッケージへのアクセス権を付与する自動割り当てポリシーを作成します。 350 人の従業員がアクセス パッケージに自動的に割り当てられます。
350 人の従業員にライセンスが必要です。
351
アクセス レビュー
この機能を使用するには、アクセスをレビューしているやアクセスがレビューしされているすべての従業員を含む、組織のユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
シナリオ
計算
ライセンス数
管理者は、ユーザーが 75 人でグループ所有者が 1 人のグループ A のアクセス レビューを作成し、そのグループ所有者をレビュー担当者として割り当てます。
PIM とそのすべての設定を使用するには、Microsoft Entra ID ガバナンス ライセンスまたは Microsoft Entra ID P2 ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Microsoft Entra ID へのアクセス権を持つサービス プリンシパルと、テナントで Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス エディションがアクティブになっているユーザーの Azure リソース ロールに設定できます。 サービス プリンシパルのライセンス モデルは、この機能の一般提供のために終了する予定です。このため、追加のライセンスが必要になる場合があります。
PIM に必要なライセンス
次のユーザー カテゴリについて、お使いのディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスがあることを確認します:
PIM を使用して管理される Microsoft Entra ID または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
この機能は、Microsoft Entra ID P1、P2、Microsoft Entra ID ガバナンスのサブスクリプションで使用できます。 /bulkUpload API を使用して取得され、オンプレミスの Active Directory または Microsoft Entra ID にプロビジョニングされるすべての ID には、サブスクリプション ライセンスが必要です。
各フローの API 駆動型プロビジョニング ジョブの最大数: 20 o オンプレミス Active Directory への API 駆動型プロビジョニングでは最大 20 のアプリ。 o Microsoft Entra ID への API 駆動型プロビジョニングでは最大 20 のアプリ。
ライセンスに関する FAQ
ID ガバナンス機能を使用するには、ライセンスをユーザーに割り当てる必要がありますか?
ユーザーに Microsoft Entra ID ガバナンス ライセンスを割り当てる必要はありませんが、ID ガバナンス機能のスコープまたは構成者のすべてのユーザーを含めるには、テナント内に同数のライセンスシートが必要です。
ビジネス ゲストに Microsoft Entra ID Governance 機能の使用をライセンス許可するにはどうすればよいですか?
請負業者、パートナー、外部コラボレーターなどのビジネス ゲストを含め、Microsoft Entra ID Governance 機能の対象となるすべてのユーザーには、ライセンスが必要です。 ビジネス ゲスト向けの新しい Microsoft Entra ID Governance ライセンスを作成しています。 このライセンスは、毎月のアクティブな使用状況 (MAU) モデルで動作します。 お客様は、想定されるビジネス ゲスト MAU に合致するライセンスを取得できます。
これらのライセンスは 2024 年後半に利用可能になる予定です。 その間、Microsoft Entra ID Governance を使用して従業員の ID を管理している組織は、追加コストなしでビジネス ゲストの ID を管理できます。 現時点では、Microsoft Entra 外部 ID をおもちの Microsoft Entra ID P1 または P2 の既存のお客様は、Microsoft Entra External ID ライセンスを通じて、ビジネス ゲストについての P1 または P2 に含まれる機能のサブセットを引き続き使用できます。