podstawy licencjonowania Zarządzanie tożsamością Microsoft Entra
W tym dokumencie omówiono Zarządzanie tożsamością Microsoft Entra licencjonowania. Jest ona przeznaczona dla osób podejmujących decyzje IT, administratorów IT i specjalistów IT, którzy rozważają Zarządzanie tożsamością Microsoft Entra usług dla swoich organizacji.
Typy licencji
Poniższe licencje są dostępne do użycia z Zarządzanie tożsamością Microsoft Entra w chmurze komercyjnej. Wybór potrzebnych licencji w dzierżawie zależy od funkcji używanych w tej dzierżawie.
- Bezpłatnie — dostępne w przypadku subskrypcji w chmurze firmy Microsoft, takich jak Microsoft Azure, Microsoft 365 i inne.
- Microsoft Entra ID P1 — microsoft Entra ID P1 jest dostępny jako produkt autonomiczny lub dołączony do platformy Microsoft 365 E3 dla klientów korporacyjnych i platformy Microsoft 365 Business Premium dla małych i średnich firm.
- Microsoft Entra ID P2 — microsoft Entra ID P2 jest dostępny jako produkt autonomiczny lub dołączony do platformy Microsoft 365 E5 dla klientów korporacyjnych.
- Zarządzanie tożsamością Microsoft Entra — Zarządzanie tożsamością Microsoft Entra to zaawansowany zestaw funkcji zapewniania ładu tożsamości dostępnych dla klientów firmy Microsoft Entra ID P1 i P2 jako dwa produkty Zarządzanie tożsamością Microsoft Entra i krok Zarządzanie tożsamością Microsoft Entra dla identyfikatora P2 firmy Microsoft. Te produkty zawierają podstawowe funkcje zapewniania ładu tożsamości, które znajdowały się w usłudze Microsoft Entra ID P2 i dodatkowe zaawansowane możliwości zapewniania ładu tożsamości.
Uwaga
Niektóre scenariusze Zarządzanie tożsamością Microsoft Entra można skonfigurować tak, aby zależeć od innych funkcji, które nie są objęte Zarządzanie tożsamością Microsoft Entra. Te funkcje mogą mieć dodatkowe wymagania licencyjne. Zobacz Omówienie ładu tożsamości, aby uzyskać więcej informacji na temat scenariuszy zapewniania ładu, które opierają się na dodatkowych funkcjach.
Zarządzanie tożsamością Microsoft Entra produkty nie są jeszcze dostępne w chmurach rządowych USA ani amerykańskich.
Produkty i wymagania wstępne dotyczące ładu
Możliwości Zarządzanie tożsamością Microsoft Entra są obecnie dostępne w dwóch produktach w chmurze komercyjnej. Te dwa produkty zapewniają te same możliwości zapewniania ładu tożsamości. Różnica między dwoma produktami polega na tym, że mają różne wymagania wstępne.
- Subskrypcja Zarządzanie tożsamością Microsoft Entra wymieniona w warunkach produktu jako licencja Zarządzanie tożsamością Microsoft Entra (User SL) wymaga, aby dzierżawa miała również aktywną subskrypcję innego produktu, który zawiera
AAD_PREMIUMplan usługi lubAAD_PREMIUM_P2. Przykłady produktów spełniających to wymaganie wstępne to Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 lub Microsoft 365 F1/F3. - Subskrypcja Zarządzanie tożsamością Microsoft Entra Step Up for Microsoft Entra ID P2, wymieniona w warunkach produktu jako licencja Zarządzanie tożsamością Microsoft Entra P2, wymaga, aby dzierżawa miała również aktywną subskrypcję innego produktu, która zawiera
AAD_PREMIUM_P2plan usługi. Przykłady produktów spełniających te wymagania wstępne obejmują microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security lub Microsoft 365 F5 Security + Compliance.
Nazwy produktów i identyfikatory planu usługi dla licencjonowania zawierają dodatkowe produkty, które obejmują plany usług wstępnych.
Uwaga
Subskrypcja wymagań wstępnych dla produktu Zarządzanie tożsamością Microsoft Entra musi być aktywna w dzierżawie. Jeśli warunek wstępny nie istnieje lub subskrypcja wygaśnie, Zarządzanie tożsamością Microsoft Entra scenariusze mogą nie działać zgodnie z oczekiwaniami.
Aby sprawdzić, czy produkty wstępne dotyczące produktu Zarządzanie tożsamością Microsoft Entra znajdują się w dzierżawie, możesz użyć centrum administracyjnego firmy Microsoft Entra lub Centrum administracyjne platformy Microsoft 365, aby wyświetlić listę produktów.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
W menu Tożsamość rozwiń węzeł Rozliczenia i wybierz pozycję Licencje.
W menu Zarządzaj wybierz pozycję Licencjonowane funkcje. Pasek informacji wskazuje bieżący plan licencji Microsoft Entra ID.
Aby wyświetlić istniejące produkty w dzierżawie, w menu Zarządzaj wybierz pozycję Wszystkie produkty.
Uruchamianie wersji próbnej
Administrator globalny w dzierżawie, który ma odpowiedni produkt wstępnie wymagany, taki jak Microsoft Entra ID P1, został już zakupiony i nie jest jeszcze używany lub wcześniej w wersji próbnej Zarządzanie tożsamością Microsoft Entra, może zażądać wersji próbnej Zarządzanie tożsamością Microsoft Entra w dzierżawie.
Zaloguj się do Centrum administracyjne platformy Microsoft 365 jako administrator globalny.
W menu Rozliczenia wybierz pozycję Kup usługi.
W polu Wyszukaj wszystkie kategorie produktów wpisz
"Microsoft Entra ID Governance".Wybierz pozycję Szczegóły poniżej Zarządzanie tożsamością Microsoft Entra, aby wyświetlić informacje o wersji próbnej i zakupie produktu. Jeśli dzierżawa ma identyfikator Microsoft Entra ID P2, wybierz pozycję Szczegóły poniżej Zarządzanie tożsamością Microsoft Entra Krok do kroku dla identyfikatora P2 firmy Microsoft.
Na stronie szczegółów produktu wybierz pozycję Rozpocznij bezpłatną wersję próbną.
W poniższej tabeli przedstawiono wymagania licencyjne dotyczące funkcji Zarządzanie tożsamością Microsoft Entra. Informacje o licencjonowaniu i przykładowe scenariusze licencji dotyczące zarządzania upoważnieniami, przeglądów dostępu i przepływów pracy cyklu życia znajdują się poniżej tabeli.
Funkcje według licencji
W poniższej tabeli przedstawiono funkcje dostępne dla każdej licencji. Nie wszystkie funkcje są dostępne we wszystkich chmurach; Zobacz Dostępność funkcji entra firmy Microsoft dla platformy Azure Dla instytucji rządowych.
Zarządzanie upoważnieniami
Korzystanie z tej funkcji wymaga Zarządzanie tożsamością Microsoft Entra subskrypcji dla użytkowników organizacji. Niektóre możliwości w ramach tej funkcji mogą działać z subskrypcją Microsoft Entra ID P2.
Przykładowe scenariusze licencji
Oto kilka przykładowych scenariuszy licencji, które ułatwiają określenie liczby potrzebnych licencji.
| Scenariusz | Obliczenia | Liczba licencji |
|---|---|---|
| Usługa Identity Governance Administracja istrator w woodgrove Bank tworzy katalogi początkowe. Jedna z zasad określa, że wszyscy pracownicy (2000 pracowników) mogą zażądać określonego zestawu pakietów dostępu. 150 pracowników żąda pakietów dostępu. | 2000 pracowników, którzy mogą zażądać pakietów dostępu | 2000 |
| Usługa Identity Governance Administracja istrator w woodgrove Bank tworzy katalogi początkowe. Jedna z zasad określa, że wszyscy pracownicy (2000 pracowników) mogą zażądać określonego zestawu pakietów dostępu. 150 pracowników żąda pakietów dostępu. | 2000 pracowników potrzebuje licencji. | 2000 |
| Usługa Identity Governance Administracja istrator w woodgrove Bank tworzy katalogi początkowe. Tworzą zasady automatycznego przypisywania, które udzielają dostępu wszystkim członkom działu sprzedaży (350 pracowników) do określonego zestawu pakietów dostępu. 350 pracowników jest automatycznie przypisanych do pakietów dostępu. | 350 pracowników potrzebuje licencji. | 351 |
Przeglądy dostępu
Korzystanie z tej funkcji wymaga Zarządzanie tożsamością Microsoft Entra subskrypcji dla użytkowników organizacji, w tym dla wszystkich pracowników przeglądających dostęp lub przeglądanych przez nie. Niektóre możliwości tej funkcji mogą działać z subskrypcją Microsoft Entra ID P2.
Przykładowe scenariusze licencji
Oto kilka przykładowych scenariuszy licencji, które ułatwiają określenie liczby potrzebnych licencji.
| Scenariusz | Obliczenia | Liczba licencji |
|---|---|---|
| Administrator tworzy przegląd dostępu grupy A z 75 użytkownikami i 1 właścicielem grupy i przypisuje właściciela grupy jako recenzenta. | 1 licencja właściciela grupy jako recenzenta i 75 licencji dla 75 użytkowników. | 76 |
| Administrator tworzy przegląd dostępu grupy B z 500 użytkownikami i 3 właścicielami grup i przypisuje 3 właścicieli grup jako recenzentów. | 500 licencji dla użytkowników i 3 licencje dla każdego właściciela grupy jako recenzentów. | 503 |
| Administrator tworzy przegląd dostępu grupy B z 500 użytkownikami. Sprawia, że jest to przegląd własny. | 500 licencji dla każdego użytkownika jako samodzielnie recenzentów | 500 |
| Administrator tworzy przegląd dostępu grupy C z 50 użytkownikami członkowskimi. Sprawia, że jest to przegląd własny. | 50 licencji dla każdego użytkownika jako samodzielnie recenzentów. | 50 |
| Administrator tworzy przegląd dostępu grupy D z 6 użytkownikami członkowskimi. Sprawia, że jest to przegląd własny. | 6 licencji dla każdego użytkownika jako samo recenzentów. Żadne dodatkowe licencje nie są wymagane. | 6 |
Przepływy pracy cyklu życia
W przypadku Zarządzanie tożsamością Microsoft Entra licencji na przepływy pracy cyklu życia można wykonywać następujące czynności:
- Tworzenie przepływów pracy, zarządzanie nimi i usuwanie ich do całkowitego limitu 50 przepływów pracy.
- Wyzwalanie na żądanie i zaplanowane wykonywanie przepływu pracy.
- Zarządzanie istniejącymi zadaniami i konfigurowanie ich w celu tworzenia przepływów pracy specyficznych dla Twoich potrzeb.
- Utwórz maksymalnie 100 niestandardowych rozszerzeń zadań do użycia w przepływach pracy.
Korzystanie z tej funkcji wymaga Zarządzanie tożsamością Microsoft Entra subskrypcji dla użytkowników organizacji.
Przykładowe scenariusze licencji
| Scenariusz | Obliczenia | Liczba licencji |
|---|---|---|
| Przepływy pracy cyklu życia Administracja istrator tworzy przepływ pracy, aby dodać nowych pracowników w dziale marketingu do grupy Zespoły marketingowe. 250 nowych pracowników jest przypisanych do grupy Zespoły marketingowe za pośrednictwem tego przepływu pracy. | 1 licencja na przepływy pracy cyklu życia Administracja istrator i 250 licencji dla użytkowników. | 251 |
| Przepływy pracy cyklu życia Administracja istrator tworzy przepływ pracy w celu wstępnego odłączenia grupy pracowników przed ostatnim dniem zatrudnienia. Zakres użytkowników, którzy zostaną wstępnie odłączeni, to 40 użytkowników. | 40 licencji dla użytkowników i 1 licencja na przepływy pracy cyklu życia Administracja istrator. | 41 |
Privileged Identity Management
Aby korzystać z usługi Microsoft Entra Privileged Identity Management, dzierżawa musi mieć ważną licencję. Licencje muszą być również przypisane do administratorów i odpowiednich użytkowników. W tym artykule opisano wymagania licencyjne dotyczące korzystania z usługi Privileged Identity Management. Aby korzystać z usługi Privileged Identity Management, musisz mieć jedną z następujących licencji:
Prawidłowe licencje dla usługi PIM
Potrzebujesz licencji Zarządzanie tożsamością Microsoft Entra lub licencji microsoft Entra ID P2 do korzystania z usługi PIM i wszystkich jej ustawień. Obecnie można określić zakres przeglądu dostępu do jednostek usługi z dostępem do identyfikatora Entra firmy Microsoft, ról zasobów z identyfikatorem P2 firmy Microsoft lub użytkowników z Zarządzanie tożsamością Microsoft Entra edycji aktywnej w dzierżawie. Model licencjonowania dla jednostek usługi zostanie sfinalizowany w celu zapewnienia ogólnej dostępności tej funkcji i może być wymagana więcej licencji.
Licencje, które musisz mieć dla usługi PIM
Upewnij się, że katalog ma licencje Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra dla następujących kategorii użytkowników:
- Użytkownicy z uprawnionymi i/lub powiązanymi czasowo przypisaniami do usługi Microsoft Entra ID lub ról platformy Azure zarządzanych przy użyciu usługi PIM
- Użytkownicy z kwalifikującymi się i/lub powiązanymi czasowo przypisaniami jako członkowie lub właściciele usługi PIM dla grup
- Użytkownicy mogą zatwierdzać lub odrzucać żądania aktywacji w usłudze PIM
- Użytkownicy przypisani do przeglądu dostępu
- Użytkownicy, którzy wykonują przeglądy dostępu
Przykładowe scenariusze licencji dla usługi PIM
Oto kilka przykładowych scenariuszy licencji, które ułatwiają określenie liczby potrzebnych licencji.
| Scenariusz | Obliczenia | Liczba licencji |
|---|---|---|
| Woodgrove Bank ma 10 administratorów dla różnych działów i 2 globalnych Administracja istratorów, którzy konfigurują usługę PIM i zarządzają nią. Kwalifikują się do nich pięciu administratorów. | Pięć licencji dla administratorów, którzy kwalifikują się | 5 |
| Program Graphic Design Institute ma 25 administratorów, z których 14 jest zarządzanych za pośrednictwem usługi PIM. Aktywacja roli wymaga zatwierdzenia i istnieje trzech różnych użytkowników w organizacji, którzy mogą zatwierdzać aktywacje. | 14 licencji dla kwalifikujących się ról i trzech osób zatwierdzających | 17 |
| Firma Contoso ma 50 administratorów, z których 42 jest zarządzanych za pośrednictwem usługi PIM. Aktywacja roli wymaga zatwierdzenia i istnieje pięciu różnych użytkowników w organizacji, którzy mogą zatwierdzać aktywacje. Firma Contoso wykonuje również miesięczne przeglądy użytkowników przypisanych do ról administratorów i recenzentów to menedżerowie użytkowników, których sześć nie jest w rolach administratora zarządzanych przez usługę PIM. | 42 licencje dla kwalifikujących się ról + pięć osób zatwierdzających + sześć recenzentów | 53 |
Po wygaśnięciu licencji dla usługi PIM
Jeśli wygasa licencja microsoft Entra ID P2, Zarządzanie tożsamością Microsoft Entra lub wersji próbnej, funkcje usługi Privileged Identity Management nie będą już dostępne w katalogu:
- Nie będzie to miało wpływu na stałe przypisania ról w usłudze Microsoft Entra.
- Usługa Privileged Identity Management w centrum administracyjnym firmy Microsoft Entra oraz polecenia cmdlet interfejsu API programu Graph i interfejsy programu PowerShell usługi Privileged Identity Management nie będą już dostępne dla użytkowników w celu aktywowania ról uprzywilejowanych, zarządzania uprzywilejowanym dostępem lub przeprowadzania przeglądów dostępu uprzywilejowanych ról.
- Kwalifikujące się przypisania ról usługi Microsoft Entra są usuwane, ponieważ użytkownicy nie będą już mogli aktywować ról uprzywilejowanych.
- Wszystkie bieżące przeglądy dostępu ról entra firmy Microsoft kończą się, a ustawienia konfiguracji usługi Privileged Identity Management zostaną usunięte.
- Usługa Privileged Identity Management nie wysyła już wiadomości e-mail dotyczących zmian przypisania roli.
Aprowizowanie oparte na interfejsie API
Ta funkcja jest dostępna w przypadku subskrypcji Microsoft Entra ID P1, P2 i Zarządzanie tożsamością Microsoft Entra. Licencja subskrypcji jest wymagana dla każdej tożsamości źródłowej przy użyciu interfejsu API /bulkUpload i aprowizowanej do lokalna usługa Active Directory lub identyfikatora Entra firmy Microsoft.
Scenariusze licencji
| Licencja klienta | Limity użycia wymuszane na poziomie dzierżawy na potrzeby aprowizacji opartej na interfejsie API |
|---|---|
| Microsoft Entra ID P1 lub P2 | Dzienny limit przydziału użycia (liczba rekordów użytkownika, które można przekazać w okresie 24-godzinnym): 100 000 rekordów użytkownika (2000 /bulkUpload wywołań interfejsu API z każdym żądaniem zawierającym maksymalnie 50 rekordów)). Maksymalna liczba zadań aprowizacji opartych na interfejsie API dla każdego przepływu: 2 o Maksymalnie 2 aplikacje do aprowizacji opartej na interfejsie API w celu lokalna usługa Active Directory. o Maksymalna liczba aplikacji 2 na potrzeby aprowizacji opartej na interfejsie API w usłudze Microsoft Entra ID. |
| Zarządzanie tożsamością Microsoft Entra obok microsoft Entra ID P1 lub P2 | Dzienny limit przydziału użycia (liczba rekordów użytkownika, które można przekazać w okresie 24-godzinnym): 300 000 rekordów użytkownika (6000 /bulkUpload wywołań interfejsu API z każdym żądaniem zawierającym maksymalnie 50 rekordów)). Maksymalna liczba zadań aprowizacji opartych na interfejsie API dla każdego przepływu: 20 o Maksymalnie 20 aplikacji na potrzeby aprowizacji opartej na interfejsie API w celu lokalna usługa Active Directory. o Maksymalnie 20 aplikacji na potrzeby aprowizacji opartej na interfejsie API do identyfikatora Entra firmy Microsoft. |
Licencjonowanie — często zadawane pytania
Czy licencje muszą być przypisane do użytkowników w celu korzystania z funkcji zarządzania tożsamościami?
Użytkownicy nie muszą mieć przypisanej licencji Zarządzanie tożsamością Microsoft Entra, ale musi istnieć tyle miejsc licencji, aby uwzględnić wszystkich użytkowników w zakresie lub kto konfiguruje funkcje zarządzania tożsamościami.
Jak mogę licencjonować korzystanie z funkcji Zarządzanie tożsamością Microsoft Entra dla gości biznesowych?
Wszyscy użytkownicy, którzy mają zakres funkcji Zarządzanie tożsamością Microsoft Entra, w tym gości biznesowych, takich jak wykonawcy, partnerzy i współpracownicy zewnętrzni, potrzebują licencji. Tworzymy nową licencję Zarządzanie tożsamością Microsoft Entra dla gości biznesowych. Ta licencja działa na modelu miesięcznego aktywnego użycia (MAU). Klienci mogą uzyskać licencje zgodne z oczekiwanym gościem biznesowym MAU.
Przewidujemy udostępnienie tych licencji wiosną 2024 r. W międzyczasie organizacje, które zarządzają tożsamościami swoich pracowników, Zarządzanie tożsamością Microsoft Entra mogą zarządzać tożsamościami swoich gości biznesowych bez dodatkowych kosztów. W tej chwili istniejący klienci microsoft Entra ID P1 lub P2 z Tożsamość zewnętrzna Microsoft Entra mogą nadal korzystać z podzbioru funkcji, które są zawarte w P1 lub P2 z gośćmi biznesowymi za pośrednictwem licencji Tożsamość zewnętrzna Microsoft Entra.
Aby uzyskać więcej informacji, zobacz: Zarządzanie tożsamością Microsoft Entra licencjonowania dla gości biznesowych.
Co się stanie po wygaśnięciu licencji PIM?
Jeśli licencja microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra wygaśnie lub zakończy się wersja próbna, funkcje usługi Privileged Identity Management nie będą już dostępne w twoim katalogu. Opisane poniżej zmiany dotyczą usługi PIM dla ról firmy Microsoft Entra, usługi PIM dla zasobów platformy Azure i usługi PIM dla grup.
- Nie ma to wpływu na aktywne stałe przypisania.
- Aktywne przypisania związane z czasem stają się aktywne jako trwałe, co oznacza, że nie wygasną już w wyznaczonym czasie.
- Kwalifikujące się przypisania ról są usuwane, ponieważ użytkownicy nie będą już mogli aktywować ról uprzywilejowanych.
- Bloki Privileged Identity Management w centrum administracyjnym firmy Microsoft lub w witrynie Azure Portal, interfejsie API i programie PowerShell usługi Privileged Identity Management nie będą już dostępne dla użytkowników w celu aktywowania ról, zarządzania przypisaniami ani przeprowadzania przeglądów dostępu uprzywilejowanych ról.
- Wszystkie bieżące przeglądy dostępu dotyczące ról entra firmy Microsoft kończą się, a ustawienia konfiguracji usługi Privileged Identity Management są usuwane.
- Usługa Privileged Identity Management nie będzie już wysyłać wiadomości e-mail dotyczących zmian przypisań ról i alertów usługi PIM.
Czy wszelkie funkcje i możliwości IGA zostaną dodane w ramach licencji Microsoft Entra ID P2?
Wszystkie obecnie ogólnie dostępne funkcje w usłudze Microsoft Entra ID P2 pozostaną, ale do jednostki SKU microsoft Entra ID P2 nie zostaną dodane żadne nowe funkcje lub możliwości IGA.