このドキュメントでは、従業員向けの Microsoft Entra ID ガバナンス ライセンスについて説明します。 この記事は、組織に Microsoft Entra ID ガバナンス サービスを検討している IT 意思決定者、IT 管理者、IT プロフェッショナルを対象としています。
ゲスト ユーザーのライセンス ガバナンスについては、ゲスト ユーザー 向けの Microsoft Entra ID ガバナンス のライセンスを参照してください。 エージェントのプレビューについては、 エージェント ID の管理 (プレビュー) を参照してください。
ライセンスの種類
商用および政府機関向けクラウドでは、次のライセンスを Azure Active Directory Identity Governance で使用できます。 テナントで必要なライセンスのラインアップは、テナントで使用している機能によって異なります。
- 無料 - Microsoft Azure、Microsoft 365 などの Microsoft クラウド サブスクリプションに含まれます。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 はスタンドアロン製品として利用できます。または、エンタープライズのお客様向けの Microsoft 365 E3 と中小企業向けの Microsoft 365 Business Premium に含まれています。
- Microsoft Entra ID P2 - Microsoft Entra ID P2 は、スタンドアロン製品として使用することも、企業のお客様向けに Microsoft 365 E5 に含まれています。
- Microsoft Entra ID ガバナンス - Microsoft Entra ID ガバナンスは、Microsoft Entra ID P1 および P2 のお客様が利用できる高度な ID ガバナンス機能のセットです。 Microsoft Entra ID Governance は、Microsoft Entra ID Governance、Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2、Entra ID Governance Frontline Worker、Microsoft Entra ID Governance Step up for Microsoft Entra ID F2、Microsoft Entra ID Governance for Government、Microsoft Entra ID Governance Add-on for Microsoft Entra ID P2 for Government の 6 つの製品として利用できます。 これら 6 つの製品は、前提条件のみが異なります。エンタイトルメント管理、Microsoft Entra ID P2 にあった特権 ID 管理およびアクセス レビュー機能、および追加の高度な ID ガバナンス機能の両方が含まれています。 次のセクションでは、これらの製品のさまざまな前提条件について詳しく説明します。
- Microsoft Entra Suite - Microsoft Entra Suite は、Microsoft Entra ID P1 および P2 のお客様が利用できる、従業員アクセスのための完全なクラウドベースのソリューションです。 Microsoft Entra Suite は、 Microsoft Entra Private Access、 Microsoft Entra Internet Access、 Microsoft Entra ID Governance、 Microsoft Entra ID Protection、 および Microsoft Entra Verified ID を統合します。 Microsoft Entra ID ガバナンス部分は、 Microsoft Entra ID ガバナンス 製品と同じ ID ガバナンス機能を提供します。 違いは、前提条件が異なっていることです。
注
Microsoft Entra ID ガバナンスのシナリオの一部は、Microsoft Entra ID ガバナンスでカバーされていない他の機能に依存するよう構成できるものもあります。 これらの機能には、追加のライセンス要件がある場合があります。 他の機能を使用したガバナンス シナリオの詳細については、 ID ガバナンスの概要 ページを参照してください。
政府機関向け Microsoft Entra ID P2 製品の政府機関向け Microsoft Entra ID ガバナンスと Microsoft Entra ID ガバナンス アドオンは、US Government Community Cloud (GCC)、GCC-High、国防省の各クラウド環境で使用できます。
ガバナンス製品と前提条件
Microsoft Entra ID ガバナンス機能は、現在、6 つのスタンドアロン製品で利用できます。 これら 6 つの製品は、同じ ID ガバナンス機能を提供します。 6 つの製品の違いは、前提条件が異なっていることです。
-
Microsoft Entra ID Governance(User SL) 製品として製品条項に記載されている Microsoft Entra ID Governance または Microsoft Entra ID Governance for Government のサブスクリプションでは、テナントにも、
AAD_PREMIUMまたはAAD_PREMIUM_P2サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例としては、 Microsoft Entra ID P1、 Microsoft 365 E3/E5/A3/A5/G3/G5 、 Enterprise Mobility + Security E3/E5 などがあります。 - Microsoft Entra ID P2 の Microsoft Entra ID Governance Step Up または 政府向け Microsoft Entra ID P2 の Microsoft Entra ID Governance Add-on は、製品条件に Microsoft Entra ID Governance P2 製品として記載されていますが、これらのサブスクリプションには、 サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例としては、 Microsoft Entra ID P2、 Microsoft 365 E5/A5/G5、 Enterprise Mobility + Security E5、 Microsoft 365 E5/F5 Security 、 Microsoft 365 F5 Security + Compliance などがあります。
-
Entra ID Governance Frontline Worker (User SL) 製品のサブスクリプションでは、テナントにも、
AAD_PREMIUMまたはAAD_PREMIUM_P2サービス プランを含む別の製品へのアクティブなサブスクリプションが必要です。 この前提条件を満たす製品の例としては、 Microsoft Entra ID P1、 Microsoft 365 E3/E5/A3/A5/G3/G5、 Enterprise Mobility + Security E3/E5 、 Microsoft 365 F1/F3 などがあります。 -
Microsoft Entra ID Governance Step up for Microsoft Entra ID F2 に対するサブスクリプションは、製品規約において Microsoft Entra ID Governance F2 または Microsoft Entra ID Governance Step-Up for Microsoft Entra ID F2 for Frontline Worker (User SL) 製品としても知られています。このサブスクリプションを取得するには、
AAD_PREMIUM_P2のサービスプランを含む別の製品へのアクティブなサブスクリプションがテナントに必要です。 この前提条件を満たす製品の例には、 Microsoft Entra ID F2 が含まれます。
Microsoft Entra ID ガバナンス機能も Microsoft Entra Suite に含まれています。 利用可能な Microsoft Entra Suite 製品には、 Microsoft Entra Suite (User SL)、 Microsoft Entra Suite Add-on for Microsoft Entra ID F2 for FLW (User SL)、 Microsoft Entra Suite Add-on for Microsoft Entra ID P2 (User SL)、 Microsoft Entra Suite Add-on for Microsoft Entra ID P2 EDU (User SL)、 Microsoft Entra Suite FLW (User SL)、 Microsoft Entra Suite for EDU (User SL) などがあります。
ライセンスの製品名とサービス プラン識別子には、前提条件となるサービス プランを含む追加の製品が一覧表示されます。
注
Microsoft Entra ID Governance 製品の前提条件へのサブスクリプションは、テナントでアクティブである必要があります。 前提条件が存在しない場合、またはサブスクリプションの有効期限が切れた場合、Microsoft Entra ID ガバナンス シナリオが想定どおりに機能しない可能性があります。
Microsoft Entra ID ガバナンス製品の前提条件製品がテナントに存在するかどうかを確認するには、Microsoft Entra 管理センターまたは Microsoft 365 管理センターを使用して製品のリストを表示できます。
Microsoft Entra 管理センターにライセンス管理者としてサインインします。
[請求]>[ライセンス] に移動します。
[ 管理 ] メニューで、[ ライセンスされた機能] を選択します。 情報バーには、現在の Microsoft Entra ID ライセンス プランが表示されます。
テナント内の既存の製品を表示するには、[ 管理 ] メニューで [ すべての製品] を選択します。
ゲスト ユーザーのガバナンスでは、ゲスト課金用に Azure サブスクリプションを選択する必要があります。 詳細については、「 ゲスト ユーザー向けの Microsoft Entra ID ガバナンス ライセンス」を参照してください。
試用版の開始
Microsoft Entra ID P1 など、適切な前提条件製品を所有しており、既に購入済みで、現在 Microsoft Entra ID ガバナンスを使用していない、または試用版を使用したことがない商用テナントのグローバル管理者は、そのテナントで Microsoft Entra ID ガバナンスの試用版を要求できます。
グローバル管理者として Microsoft 365 管理センターにサインインする
[ 課金 ] メニューで、[ サービスの購入] を選択します。
[ すべての製品カテゴリを検索 ] ボックスに「
"Microsoft Entra ID Governance"」と入力します。Microsoft Entra ID ガバナンスの下にある [詳細] を選択して、製品の試用版と購入情報を表示します。 テナントに Microsoft Entra ID P2 がある場合は、Microsoft Entra ID P2 の Microsoft Entra ID ガバナンス Step-Up の下にある [詳細] を選択します。
製品の詳細ページで、[ 無料試用版の開始] を選択します。
Microsoft Entra ID ガバナンス機能
次の表に、メンバー ユーザー向けの Microsoft Entra ID ガバナンス機能のライセンス要件を示します。 Microsoft Entra スイートには、Azure AD Identity Governance のすべての機能が含まれています。 ライセンス情報と、エンタイトルメント管理、アクセス レビュー、ライフサイクル ワークフローのライセンス シナリオの例を表の後に示します。
ライセンス別の機能
次の表に、各ライセンスで使用できる ID ガバナンスに関連付けられている機能を示します。 その他の機能の詳細については、 Microsoft Entra のプランと価格に関する説明を参照してください。 すべての機能がすべてのクラウドで利用できるわけではありません。Azure Government の Microsoft Entra 機能の可用性 に関するページを参照してください。
エンタイトルメント管理
この機能を使用するには、組織のメンバー ユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。 この機能内の一部の機能には、ゲスト課金が必要です。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 ポリシーの 1 つは、 すべての従業員 (2,000 人の従業員) が特定のアクセス パッケージのセットを要求できることを指定します。 150 人の従業員がアクセス パッケージを要求します。 | アクセス パッケージを要求可能な従業員は 2,000 人いる | 二千 |
| Woodgrove Bank の ID ガバナンス管理者が初期カタログを作成します。 営業部門のすべてのメンバー (350 人の従業員) に特定のアクセス パッケージへのアクセス権を付与する自動割り当てポリシーを作成します。 350 人の従業員がアクセス パッケージに自動的に割り当てられます。 | 350 人の従業員にライセンスが必要です。 | 3:51 |
アクセス レビュー
この機能を使用するには、組織のメンバー ユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。これには、アクセスをレビューしている従業員やアクセス権をレビューしているすべての従業員が対象となります。 この機能に含まれる一部の機能は、Microsoft Entra ID P2 サブスクリプションで動作する場合があります。 この機能内の一部の機能には、ゲスト課金が必要です。
ライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| 管理者は、75 人のメンバー ユーザーと 1 人のグループ所有者を持つグループ A のアクセス レビューを作成し、グループ所有者をレビュー担当者として割り当てます。 | レビュー担当者としてのグループ所有者のライセンスが 1 つ、75 人のユーザーに対して 75 ライセンス。 | 76 |
| 管理者は、500 人のメンバー ユーザーと 3 人のグループ所有者を含むグループ B のアクセス レビューを作成し、3 人のグループ所有者をレビュー担当者として割り当てます。 | ユーザーには 500 ライセンス、レビュー担当者としてグループ所有者ごとに 3 つのライセンス。 | 503 |
| 管理者は、500 人のメンバー ユーザーを含むグループ B のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 500 ライセンス | 5:00 |
| 管理者は、メンバー ユーザーが 50 人のグループ C のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 50 ライセンス。 | 50 |
| 管理者は、メンバー ユーザーが 6 人のグループ D のアクセス レビューを作成します。 自己レビューにします。 | 自己レビュー担当者としての各ユーザー用に 6 ライセンス。 その他のライセンスは不要です。 | 6 |
ライフサイクル ワークフロー
ライフサイクル ワークフローの Entra Governance ID ライセンスを使用すると、次のことができます:
- 合計 50 ワークフローまで作成、管理、削除できます。
- オンデマンドおよびスケジュールされたワークフロー実行をトリガーします。
- 既存のタスクを管理および構成して、ニーズに固有のワークフローを作成します。
- ワークフローで使用するカスタム タスク拡張機能を最大 100 個作成します。
この機能を使用するには、組織のメンバー ユーザー向けの Microsoft Entra ID ガバナンス サブスクリプションが必要です。 この機能内の一部の機能には、ゲスト課金が必要です。
ライセンスのシナリオ例
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| ライフサイクル ワークフロー管理者はワークフローを作成し、マーケティング部門の新入社員をマーケティング チーム グループに追加します。 このワークフローを使用して、250 人の新規採用メンバー ユーザーがマーケティング チーム グループに 1 回割り当てられます。 他の 150 人の新規採用メンバー ユーザーは、同じ年の後半にこのワークフローを介してマーケティング チーム グループに割り当てられます。 | ライフサイクル ワークフロー管理者に 1 ライセンス、ユーザーに 400 ライセンス。 | 401 |
| ライフサイクル ワークフロー管理者は、雇用最終日の前に従業員のグループに事前オフボードするためのワークフローを作成します。 事前オフボードされるユーザーの範囲は、一度に 40 人です。 40 人のライセンスユーザーをオフボードします。 これらの 40 ライセンスを再割り当てし、今年の後半にさらに 10 ライセンスを割り当てることにより、さらに 50 人のユーザーを事前オフボードできます。 | ユーザーに 50 ライセンス、ライフサイクル ワークフロー管理者に 1 ライセンス。 | 51 |
Privileged Identity Management
Microsoft Entra Privileged Identity Management を使用するには、テナントに有効なライセンスが必要です。 この記事では、Privileged Identity Management を使用するためのライセンス要件について説明します。 Privileged Identity Management を使用するには、次のライセンスのいずれかが必要です。
PIM の有効なライセンス
PIM とそのすべての設定を使用するには、Microsoft Entra ID ガバナンス ライセンスまたは Microsoft Entra ID P2 ライセンスが必要です。 現時点では、アクセス レビューのスコープを、Microsoft Entra ID へのアクセス権を持つサービス プリンシパルと、テナントで Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス エディションがアクティブになっているユーザーの Azure リソース ロールに設定できます。
PIM に必要なライセンス
次のユーザー カテゴリについて、お使いのディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスがあることを確認します:
- PIM を使用して管理される Microsoft Entra ID または Azure ロールへの適格な割り当てや期限付き割り当てを持つユーザー
- グループの PIM のメンバーまたは所有者として、資格のある割り当てまたは期限付きの割り当てを持つユーザー
- PIM でアクティブ化要求を承認または却下できるユーザー
- アクセス レビューに割り当てられたユーザー
- アクセス レビューを実行するユーザー
PIM のライセンスのシナリオ例
必要なライセンス数の決定に役立つライセンスのシナリオ例をいくつか以下に示します。
| シナリオ | 計算 | ライセンス数 |
|---|---|---|
| Woodgrove Bank には、部門ごとに 10 人の管理者と、PIM を構成および管理する 2 人の 特権ロール管理者 がいます。 5 人の管理者を対象とします。 | 資格のある管理者用の 5 ライセンス | 5 |
| Graphic Design Institute には 25 人の管理者がいて、そのうちの 14 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 3 人います。 | 資格のある役割用のライセンス 14 件と承認者 3 名 | 十七 |
| Contoso には 50 人の管理者がいて、そのうちの 42 人は PIM で管理されています。 ロールのアクティブ化には承認が必要であり、組織にはアクティブ化を承認できるユーザーが 5 人います。 また、Contoso では、管理者ロールに割り当てられているユーザーのレビューが毎月行われており、レビュー担当者はユーザーのマネージャーで、そのうちの 6 人は PIM によって管理される管理者ロールにはなっていません。 | 資格のある役割に対する42ライセンス+5人の承認者+6人のレビュー担当者 | 53 |
PIM のライセンスの有効期限が切れた場合
Microsoft Entra ID P2、Microsoft Entra ID Governance、または試用版ライセンスの有効期限が切れた場合、Privileged Identity Management 機能はディレクトリで使用できなくなります。
- Microsoft Entra ロールへの永続的なロールの割り当ては影響を受けません。
- 特権ロールのアクティブ化、特権アクセスの管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターの Privileged Identity Management サービスと、Privileged Identity Management の Graph API コマンドレットおよび PowerShell インターフェイスを利用することはできなくなります。
- ユーザーが特権ロールをアクティブ化できなくなったので、Microsoft Entra ロールの有資格ロールの割り当ては削除されます。
- Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
- ロールの割り当てを変更しても、Privileged Identity Management からメールが送信されなくなります。
API 駆動型のプロビジョニング
この機能は、Microsoft Entra ID P1、P2、Microsoft Entra ID ガバナンスのサブスクリプションで使用できます。 /bulkUpload API を使用して取得され、オンプレミスの Active Directory または Microsoft Entra ID にプロビジョニングされるすべての ID のためには、それぞれの ID に十分なライセンス数を持つサブスクリプションライセンスが必要です。
ライセンス シナリオ
| カスタマー ライセンス | API 駆動型のプロビジョニングのテナント レベルで適用される使用制限 |
|---|---|
| Microsoft Entra ID P1 または P2 | 1 日の使用量クォータ (24 時間にわたってアップロードできるユーザー レコードの数): 100,000 個のユーザー レコード (最大 50 レコードを含む各要求で 2000 /bulkUpload API 呼び出し)。 各フローの API 駆動型プロビジョニング ジョブの最大数: 2 o オンプレミス Active Directory への API 駆動型プロビジョニングでは最大 2 つのアプリ。 o Microsoft Entra ID への API 駆動型プロビジョニングでは最大 2 つのアプリ。 |
| Microsoft Entra ID Governance と Microsoft Entra ID P1 または P2 | 1 日の使用量クォータ (24 時間にわたってアップロードできるユーザー レコードの数): 300,000 ユーザー レコード (最大 50 レコードを含む各要求で 6000 /bulkUpload API 呼び出し)。 各フローの API 駆動型プロビジョニング ジョブの最大数: 20 o オンプレミス Active Directory への API 駆動型プロビジョニングでは最大 20 のアプリ。 o Microsoft Entra ID への API 駆動型プロビジョニングでは最大 20 のアプリ。 |
ライセンスに関する FAQ
ID ガバナンス機能を使用するには、ライセンスをユーザーに割り当てる必要がありますか?
ユーザーに Microsoft Entra ID ガバナンス ライセンスを割り当てる必要はありませんが、ID ガバナンス機能のスコープまたは構成者にすべてのメンバー ユーザーを含めるには、ライセンスの数が必要です。 さらに、次の回答で説明するように、管理するゲスト ユーザーがある場合は、ゲスト課金モデルを有効にする必要があります。
ビジネス ゲストに Microsoft Entra ID Governance 機能の使用をライセンス許可するにはどうすればよいですか?
Microsoft Entra ID Governance は、従業員のライセンスとは異なり、Azure サブスクリプションが必要なゲスト ユーザーに対して、月間アクティブ ユーザー (MAU) ライセンスを利用します。
ゲスト課金モデルでは、ユーザーの認証場所に関係なく、ゲストは userType of Guest によって識別されます。 userType of Guest は、すべての B2B 招待メソッドの既定の userType であり、ID 管理者が設定することもできます。 毎月の請求には、その月に 1 つ以上のガバナンス アクションを持つ各ゲスト ユーザーのレコードが含まれます。 価格の詳細については、Azure の価格ページを参照してください。
詳細については、「 ゲスト ユーザー向けの Microsoft Entra ID ガバナンス ライセンス」を参照してください。
ライセンスの有効期限が切れたら PIM はどうなりますか?
Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス ライセンスの有効期限が切れるか、試用版の期間が終了した場合、ディレクトリで Privileged Identity Management 機能が利用できなくなります。 次に示す変更は、Microsoft Entra ロールの PIM、Azure リソースの PIM、グループの PIM に適用されます。
- 有効な永続割り当てには影響がありません。
- 期限付きのアクティブな割り当ては、永続的なアクティブ状態へと変更されます。つまり、指定された時間に有効期限が切れることがなくなります。
- ユーザーが今後特権ロールをアクティブ化できなくなるため、候補ロールの割り当ては削除されます。
- ロールのアクティブ化、割り当ての管理、または特権ロールのアクセス レビューの実行のために、Microsoft Entra 管理センターまたは Azure portal の Privileged Identity Management ブレードと、Privileged Identity Management の API、および PowerShell インターフェイスを利用することはできなくなります。
- Microsoft Entra ロールのすべての実行中のアクセス レビューが終了し、Privileged Identity Management の構成設定が削除されます。
- ロールの割り当て変更や PIM アラートの際に、Privileged Identity Management から電子メールが送信されなくなります。
IGA の特徴と機能は Microsoft Entra ID P2 ライセンスに追加されますか?
現在一般公開されている Microsoft Entra ID P2 の機能はすべて残りますが、新しい IGA の特徴や機能は Microsoft Entra ID P2 SKU に追加されません。