Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dokument ten omawia licencjonowanie Microsoft Entra ID Governance. Przeznaczona jest dla osób podejmujących decyzje IT, administratorów IT i specjalistów IT, którzy rozważają korzystanie z usług zarządzania tożsamością Microsoft Entra ID Governance w swoich organizacjach.
Typy licencji
Poniższe licencje są dostępne do zastosowania z Microsoft Entra ID Governance w chmurze komercyjnej i rządowej. Wybór licencji, które są potrzebne w dzierżawcy, zależy od funkcji, które są używane w tej dzierżawcy.
- Bezpłatnie — dostępne w przypadku subskrypcji w chmurze firmy Microsoft, takich jak Microsoft Azure, Microsoft 365 i inne.
- Microsoft Entra ID P1 — microsoft Entra ID P1 jest dostępny jako produkt autonomiczny lub dołączony do platformy Microsoft 365 E3 dla klientów korporacyjnych i platformy Microsoft 365 Business Premium dla małych i średnich firm.
- Microsoft Entra ID P2 — microsoft Entra ID P2 jest dostępny jako produkt autonomiczny lub dołączony do platformy Microsoft 365 E5 dla klientów korporacyjnych.
- Microsoft Entra ID Governance — Microsoft Entra ID Governance to zaawansowany zestaw funkcji zarządzania tożsamościami dostępnych dla klientów Microsoft Entra ID P1 i P2. Usługa Microsoft Entra ID Governance jest dostępna jako sześć produktów Microsoft Entra ID Governance, Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2, Entra ID Governance Frontline Worker, Microsoft Entra ID Governance Step up for Microsoft Entra ID F2, Microsoft Entra ID Governance for Government i Microsoft Entra ID Governance Add-on dla Microsoft Entra ID P2 dla Government. Te sześć produktów różni się tylko w ich wymaganiach wstępnych; zawierają zarówno funkcje zarządzania upoważnieniami, uprzywilejowanego zarządzania tożsamościami, jak i przeglądów dostępu, które znajdowały się w usłudze Microsoft Entra ID P2, oraz dodatkowe zaawansowane funkcje zarządzania tożsamościami.
- Microsoft Entra Suite — Microsoft Entra Suite to kompletne rozwiązanie oparte na chmurze umożliwiające dostęp pracowników, dostępne dla klientów firmy Microsoft Entra ID P1 i P2. Pakiet Microsoft Entra Suite łączy usługi Microsoft Entra Private Access, Microsoft Entra Internet Access, Microsoft Entra ID Governance, Microsoft Entra ID Protection i Microsoft Entra Verified ID ID. Część Ład identyfikatora entra firmy Microsoft zapewnia te same możliwości zapewniania ładu tożsamości co produkt Microsoft Entra ID Governance . Różnica polega na tym, że mają różne wymagania wstępne.
Uwaga
Niektóre scenariusze zarządzania tożsamościami Microsoft Entra można skonfigurować w taki sposób, aby zależały od innych funkcji, które nie są objęte przez zarządzanie tożsamościami Microsoft Entra. Te funkcje mogą mieć dodatkowe wymagania licencyjne. Aby uzyskać więcej informacji na temat scenariuszy zarządzania przy użyciu innych funkcji, przejdź do strony Omówienie zarządzania tożsamością.
Produkty Microsoft Entra ID Governance for Government i dodatek Microsoft Entra ID Governance do Microsoft Entra ID P2 for Government są dostępne w chmurze wspólnotowej rządu USA (GCC), GCC-High i środowiskach chmurowych Departamentu Obrony.
Produkty zarządzania i wymagania wstępne
Funkcje zarządzania Microsoft Entra ID są obecnie dostępne w sześciu autonomicznych produktach. Te sześć produktów oferuje te same możliwości zarządzania tożsamościami. Różnica między sześcioma produktami polega na tym, że mają różne wymagania wstępne.
- Subskrypcja produktu Microsoft Entra ID Governance lub Microsoft Entra ID Governance for Government, wymieniona w warunkach produktu jako produkt Microsoft Entra ID Governance (User SL), wymaga, aby najemca miał również aktywną subskrypcję dla innego produktu, który zawiera plan usługi
AAD_PREMIUM
lubAAD_PREMIUM_P2
. Przykłady produktów spełniających te wymagania wstępne obejmują microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5 lub Enterprise Mobility + Security E3/E5. - Subskrypcja dodatku Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 lub Microsoft Entra ID Governance Add-on for Microsoft Entra ID P2 for Government, wymienionego w warunkach produktu jako produkt Microsoft Entra ID Governance P2, wymaga, aby dzierżawa miała również aktywną subskrypcję innego produktu zawierającego plan usługi
AAD_PREMIUM_P2
. Przykłady produktów spełniających ten wymóg wstępny obejmują Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security lub Microsoft 365 F5 Security + Compliance. - Subskrypcja produktu Entra ID Governance Frontline Worker (User SL) wymaga, aby dzierżawca także miał aktywną subskrypcję innego produktu, który zawiera
AAD_PREMIUM
lubAAD_PREMIUM_P2
plan usługi. Przykłady produktów spełniających to wymaganie wstępne to Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 lub Microsoft 365 F1/F3. - Subskrypcja Microsoft Entra ID Governance Step up for Microsoft Entra ID F2, wymieniona w warunkach produktu jako Microsoft Entra ID Governance F2 lub Microsoft Entra ID Governance Step-Up dla Microsoft Entra ID F2 dla Frontline Worker (User SL), wymaga, aby dzierżawa miała również aktywną subskrypcję innego produktu, który zawiera plan usługi
AAD_PREMIUM_P2
. Przykłady produktów spełniających te wymagania wstępne obejmują microsoft Entra ID F2.
Funkcje zarządzania identyfikatorami Entra firmy Microsoft są również dostępne w pakiecie Microsoft Entra Suite. Dostępne produkty Microsoft Entra Suite obejmują Microsoft Entra Suite (User SL), Dodatek Microsoft Entra Suite dla firmy Microsoft Entra ID F2 for FLW (User SL), Dodatek Microsoft Entra Suite dla Microsoft Entra ID P2 (User SL), Dodatek Microsoft Entra Suite dla Microsoft Entra ID P2 EDU (User SL), Microsoft Entra Suite FLW (User SL), oraz Microsoft Entra Suite for EDU (User SL).
Nazwy produktów i identyfikatory planów usług licencyjnych zawierają dodatkowe produkty, które obejmują wymagane plany usług.
Uwaga
Aby produkt Microsoft Entra ID Governance działał w dzierżawie, wymagana jest aktywna subskrypcja. Jeśli warunek wstępny nie jest obecny lub subskrypcja wygaśnie, scenariusze zarządzania identyfikatorami entra firmy Microsoft mogą nie działać zgodnie z oczekiwaniami.
Aby sprawdzić, czy wymagane produkty dla produktu Microsoft Entra ID Governance są obecne w dzierżawie, możesz użyć centrum administracyjnego Microsoft Entra lub centrum administracyjnego Microsoft 365, aby wyświetlić listę produktów.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator licencji.
Przejdź do Rozliczenia>Licencje.
W menu Zarządzaj wybierz pozycję Licencjonowane funkcje. Pasek informacji wskazuje bieżący plan licencji Microsoft Entra ID.
Aby wyświetlić istniejące produkty w dzierżawie, w menu Zarządzaj wybierz pozycję Wszystkie produkty.
Uruchamianie wersji próbnej
Administrator globalny w dzierżawie komercyjnej, który posiada już zakupiony odpowiedni produkt wstępny, taki jak Microsoft Entra ID P1, i który nie używa ani wcześniej nie testował Microsoft Entra ID Governance, może zażądać wersji próbnej Microsoft Entra ID Governance w swojej dzierżawie.
Zaloguj się do centrum administracyjnego platformy Microsoft 365 jako administrator globalny
W menu Rozliczenia wybierz pozycję Kup usługi.
W polu Wyszukaj wszystkie kategorie produktów wpisz
"Microsoft Entra ID Governance"
.Wybierz pozycję Szczegóły poniżej usługi Microsoft Entra ID Governance , aby wyświetlić informacje o wersji próbnej i zakupie produktu. Jeśli Twój najemca ma Microsoft Entra ID P2, wybierz pozycję Szczegóły poniżej Microsoft Entra ID Governance Step-Up dla Microsoft Entra ID P2.
Na stronie szczegółów produktu wybierz pozycję Rozpocznij bezpłatną wersję próbną.
W poniższej tabeli przedstawiono wymagania licencyjne dotyczące funkcji Zarządzanie tożsamością Microsoft Entra. Pakiet Microsoft Entra Suite zawiera wszystkie funkcje Microsoft Entra ID Governance. Informacje o licencjonowaniu oraz przykładowe scenariusze użycia licencji dla zarządzania upoważnieniami, przeglądów dostępu i mechanizmów cyklu życia znajdują się poniżej tabeli.
Funkcje według licencji
W poniższej tabeli przedstawiono funkcje skojarzone z zarządzaniem tożsamościami dostępne dla każdej licencji. Aby uzyskać więcej informacji na temat innych funkcji, zobacz Plany i cennik firmy Microsoft Entra. Nie wszystkie funkcje są dostępne we wszystkich chmurach; zobacz Dostępność funkcji Entra firmy Microsoft dla Azure Government.
Zarządzanie upoważnieniami
Korzystanie z tej funkcji wymaga subskrypcji Microsoft Entra ID Governance dla użytkowników organizacji. Niektóre możliwości w ramach tej funkcji mogą działać z subskrypcją Microsoft Entra ID P2.
Przykładowe scenariusze licencji
Oto kilka przykładowych scenariuszy licencji, które ułatwiają określenie liczby potrzebnych licencji.
Scenariusz | Obliczenia | Liczba licencji |
---|---|---|
Administrator zarządzania tożsamością w Woodgrove Bank tworzy katalogi początkowe. Jedna z zasad określa, że wszyscy pracownicy (2000 pracowników) mogą zażądać określonego zestawu pakietów dostępu. 150 pracowników żąda pakietów dostępu. | 2000 pracowników, którzy mogą zażądać pakietów dostępu | 2000 |
Administrator zarządzania tożsamością w Woodgrove Bank tworzy katalogi początkowe. Tworzą zasady automatycznego przypisywania, które udzielają dostępu wszystkim członkom działu sprzedaży (350 pracowników) do określonego zestawu pakietów dostępu. 350 pracowników jest automatycznie przypisanych do pakietów dostępu. | 350 pracowników potrzebuje licencji. | 351 |
Przeglądy dostępu
Korzystanie z tej funkcji wymaga subskrypcji Microsoft Entra ID Governance dla użytkowników organizacji, w tym wszystkich pracowników, którzy przeglądają dostęp lub mają swój dostęp przeglądany. Niektóre możliwości tej funkcji mogą działać z subskrypcją Microsoft Entra ID P2.
Przykładowe scenariusze licencji
Oto kilka przykładowych scenariuszy licencji, które ułatwiają określenie liczby potrzebnych licencji.
Scenariusz | Obliczenia | Liczba licencji |
---|---|---|
Administrator tworzy przegląd dostępu grupy A z 75 użytkownikami i 1 właścicielem grupy i przypisuje właściciela grupy jako recenzenta. | 1 licencja właściciela grupy jako recenzenta i 75 licencji dla 75 użytkowników. | 76 |
Administrator tworzy przegląd dostępu grupy B z 500 użytkownikami i 3 właścicielami grup i przypisuje 3 właścicieli grup jako recenzentów. | 500 licencji dla użytkowników i 3 licencje dla każdego właściciela grupy jako recenzentów. | 503 |
Administrator tworzy przegląd dostępu grupy B z 500 użytkownikami. Umożliwia dokonanie przeglądu własnego. | 500 licencji dla każdego użytkownika jako samodzielnych recenzentów | 500 |
Administrator tworzy przegląd dostępu grupy C z 50 użytkownikami członkowskimi. Umożliwia dokonanie przeglądu własnego. | 50 licencji dla każdego użytkownika jako samodzielnych recenzentów. | 50 |
Administrator tworzy przegląd dostępu grupy D z 6 użytkownikami członkowskimi. Umożliwia dokonanie przeglądu własnego. | 6 licencji dla każdego użytkownika jako autorecenzentów. Żadne dodatkowe licencje nie są wymagane. | 6 |
Przepływy cyklu życia
W przypadku licencji Microsoft Entra ID Governance na procesy cyklu życia możesz wykonywać następujące czynności:
- Tworzenie przepływów pracy, zarządzanie nimi i usuwanie ich do całkowitego limitu 50 przepływów pracy.
- Uruchamianie przepływu pracy na żądanie lub według harmonogramu.
- Zarządzanie istniejącymi zadaniami i konfigurowanie ich w celu tworzenia przepływów pracy specyficznych dla Twoich potrzeb.
- Utwórz maksymalnie 100 niestandardowych rozszerzeń zadań do użycia w przepływach pracy.
Korzystanie z tej funkcji wymaga subskrypcji Microsoft Entra ID Governance dla użytkowników organizacji.
Przykładowe scenariusze licencji
Scenariusz | Obliczenia | Liczba licencji |
---|---|---|
Administrator przepływów roboczych cyklu życia tworzy przepływ pracy, aby dodać nowych pracowników działu Marketing do grupy zespołów marketingowych. 250 nowych pracowników zostaje jednorazowo przypisanych do grupy Zespołów Marketingowych za pośrednictwem tego przepływu pracy. 150 nowych pracowników zostaje przypisanych do Grupy Zespołów Marketingowych za pośrednictwem tego przepływu pracy jeszcze w tym samym roku. | 1 licencja dla administratora przepływów pracy cyklu życia i 400 licencji dla użytkowników. | 401 |
Administrator przepływów pracy w cyklu życia tworzy przepływ pracy, aby przygotować grupę pracowników do zakończenia współpracy przed ostatnim dniem ich zatrudnienia. Liczba użytkowników, którzy zostaną wstępnie odłączeni, wynosi jednorazowo 40 osób. Odłączamy 40 licencjonowanych użytkowników. Teraz możemy ponownie przypisać te 40 licencji i przypisać 10 kolejnych licencji jeszcze w ciągu roku, aby wstępnie dołączyć 50 kolejnych użytkowników. | 50 licencji dla użytkowników i 1 licencja dla Administratora Procesów Cyklu Życia. | 51 |
Zarządzanie Tożsamościami Uprzywilejowanymi
Aby móc korzystać z usługi Microsoft Entra Privileged Identity Management, klient musi mieć ważną licencję. Licencje muszą być również przypisane do administratorów i odpowiednich użytkowników. W tym artykule opisano wymagania licencyjne dotyczące korzystania z usługi Privileged Identity Management. Aby korzystać z usługi Privileged Identity Management, musisz mieć jedną z następujących licencji:
Prawidłowe licencje dla usługi PIM
Potrzebujesz licencji Microsoft Entra ID Governance lub licencji Microsoft Entra ID P2 do korzystania z usługi PIM i wszystkich jej ustawień. Obecnie można określić zakres przeglądu dostępu do zasadniczych usług z dostępem do Microsoft Entra ID, ról zasobów z Microsoft Entra ID P2 lub użytkowników z aktywną edycją Microsoft Entra ID Governance w dzierżawie.
Licencje, które musisz mieć dla usługi PIM
Upewnij się, że katalog ma licencje Microsoft Entra ID P2 lub Microsoft Entra ID Governance dla następujących kategorii użytkowników:
- Użytkownicy ze spełniającymi wymagania i/lub czasowo ograniczonymi przypisaniami do Microsoft Entra ID lub ról platformy Azure zarządzanych przy użyciu funkcji PIM
- Użytkownicy z kwalifikującymi się i/lub czasowymi przypisaniami jako członkowie lub właściciele PIM dla grup
- Użytkownicy mogą zatwierdzać lub odrzucać żądania aktywacji w usłudze PIM
- Użytkownicy przypisani do przeglądu dostępu
- Użytkownicy, którzy wykonują przeglądy dostępu
Przykładowe scenariusze licencji dla usługi PIM
Oto kilka przykładowych scenariuszy licencji, które ułatwiają określenie liczby potrzebnych licencji.
Scenariusz | Obliczenia | Liczba licencji |
---|---|---|
Firma Woodgrove Bank ma 10 administratorów dla różnych działów i 2 administratorów ról uprzywilejowanych , którzy konfigurują usługę PIM i zarządzają nimi. Oni czynią pięciu administratorów uprawnionymi. | Pięć licencji dla administratorów, którzy kwalifikują się | 5 |
Program Graphic Design Institute ma 25 administratorów, z których 14 jest zarządzanych za pośrednictwem usługi PIM. Aktywacja roli wymaga zatwierdzenia i istnieje trzech różnych użytkowników w organizacji, którzy mogą zatwierdzać aktywacje. | 14 licencji na role uprawnione oraz na trzy osoby zatwierdzające | 17 |
Firma Contoso ma 50 administratorów, z których 42 jest zarządzanych za pośrednictwem usługi PIM. Aktywacja roli wymaga zatwierdzenia i istnieje pięciu różnych użytkowników w organizacji, którzy mogą zatwierdzać aktywacje. Firma Contoso wykonuje również miesięczne przeglądy użytkowników przypisanych do ról administratorów, a osób dokonujących przeglądów to menedżerowie tych użytkowników, spośród których sześciu nie jest w rolach administratora, które nie są zarządzane przez PIM. | 42 licencje dla kwalifikujących się ról + pięć osób zatwierdzających + sześć recenzentów | 53 |
Po wygaśnięciu licencji dla usługi PIM
Jeśli wygasa licencja Microsoft Entra ID P2, Microsoft Entra ID Governance lub wersja próbna, funkcje Privileged Identity Management nie są już dostępne w katalogu.
- Stałe przypisania ról w usłudze Microsoft Entra pozostają bez zmian.
- Usługa Privileged Identity Management w ramach centrum administracyjnego Microsoft Entra oraz polecenia cmdlet, interfejsy API Graph i PowerShell dla Privileged Identity Management nie będą już dostępne dla użytkowników do aktywacji ról uprzywilejowanych, zarządzania uprzywilejowanym dostępem ani przeprowadzania przeglądów dostępu ról uprzywilejowanych.
- Uprawnienia do ról usługi Microsoft Entra są usuwane, ponieważ użytkownicy nie mogą już aktywować ról uprzywilejowanych.
- Wszystkie bieżące przeglądy dostępu ról Microsoft Entra zostają zakończone, a ustawienia konfiguracji usługi Privileged Identity Management zostaną usunięte.
- Usługa Privileged Identity Management nie wysyła już wiadomości e-mail dotyczących zmian przypisania roli.
Aprowizowanie oparte na interfejsie API
Ta funkcja jest dostępna w przypadku subskrypcji Microsoft Entra ID P1, P2 i Microsoft Entra ID Governance. Licencja subskrypcji jest wymagana dla każdej tożsamości, która jest źródłowa przy użyciu interfejsu API /bulkUpload i aprowizowana do lokalnej usługi Active Directory lub identyfikatora Entra firmy Microsoft.
Scenariusze licencji
Licencja klienta | Limity użycia wymuszane na poziomie dzierżawy dla udostępniania opartego na interfejsie API |
---|---|
Microsoft Entra ID P1 lub P2 | Dzienny limit użycia (liczba rekordów użytkownika, które można przekazać w ciągu 24 godzin): 100 000 rekordów użytkownika (2000 wywołań API bulkUpload, z każdym żądaniem zawierającym maksymalnie 50 rekordów). Maksymalna liczba zadań aprowizacji opartych na interfejsie API dla każdego przepływu: 2 o Maksymalnie 2 aplikacje do aprowizacji opartej na interfejsie API do lokalnego Active Directory. Maksymalnie 2 aplikacje do aprowizacji sterowanej interfejsem API w usłudze Microsoft Entra ID. |
Zarządzanie Microsoft Entra ID w połączeniu z Microsoft Entra ID P1 lub P2 | Dzienny limit użycia (liczba rekordów użytkownika, które mogą być przesłane w ciągu 24 godzin): 300 000 rekordów użytkownika (6000 wywołań interfejsu API /bulkUpload, z każdym żądaniem zawierającym maksymalnie 50 rekordów). Maksymalna liczba zadań aprowizacji opartych na interfejsie API dla każdego przepływu: 20 o Maksymalnie 20 aplikacji na potrzeby udostępniania opartego na interfejsie API do lokalnej usługi Active Directory. o Maksymalnie 20 aplikacji na potrzeby aprowizacji opartej na interfejsie API do identyfikatora Entra firmy Microsoft. |
Licencjonowanie — często zadawane pytania
Czy licencje muszą być przypisane do użytkowników w celu korzystania z funkcji zarządzania tożsamościami?
Użytkownicy nie muszą mieć przypisanej licencji Microsoft Entra ID Governance, ale powinno być wystarczająco dużo licencji, aby uwzględnić wszystkich użytkowników objętych zakresem lub tych, którzy konfigurują funkcje zarządzania tożsamościami.
Jak mogę licencjonować korzystanie z funkcji Zarządzanie tożsamością Microsoft Entra dla gości biznesowych?
Microsoft Entra ID Governance korzysta z licencjonowania Miesięcznego Aktywnego Użytkownika (MAU) dla użytkowników gości, co różni się od licencjonowania dla pracowników i wymaga subskrypcji platformy Azure.
W modelu rozliczeń gościa, goście są identyfikowani z userType równym Guest, niezależnie od miejsca uwierzytelnienia użytkownika. Typ użytkownika gościa jest domyślnym parametrem userType dla wszystkich metod zaproszeń B2B, a także może być ustawiany przez administratora tożsamości. Rachunek za każdy miesiąc zawiera rekord dla każdego użytkownika-gościa z co najmniej jedną akcją nadzoru w tym miesiącu. Aby uzyskać szczegółowe informacje o cenach, zobacz stronę cennika platformy Azure.
Aby uzyskać więcej informacji, zobacz: Licencjonowanie zarządzania tożsamością w usłudze Microsoft Entra ID dla użytkowników gości.
Co się stanie z usługą PIM po wygaśnięciu licencji?
Jeśli licencja Microsoft Entra ID P2 lub Microsoft Entra ID Governance wygaśnie lub skończy się wersja próbna, funkcje usługi Privileged Identity Management nie będą już dostępne w Twoim katalogu. Wymienione poniżej zmiany dotyczą usługi PIM dla ról firmy Microsoft Entra, usługi PIM dla zasobów platformy Azure i usługi PIM dla grup.
- Aktywne stałe zadania nie są w żaden sposób wpływane.
- Aktywne przypisania związane z czasem stają się aktywne jako trwałe, co oznacza, że nie wygasną już w wyznaczonym czasie.
- Przypisania ról objętych uprawnieniami są usuwane, ponieważ użytkownicy nie będą już mogli aktywować ról uprzywilejowanych.
- Bloki Privileged Identity Management w centrum administracyjnym Microsoft Entra lub w Azure Portal, oraz interfejsy API i PowerShell dla usługi Privileged Identity Management nie będą już dostępne dla użytkowników do aktywowania ról, zarządzania przypisaniami ani przeprowadzania przeglądów dostępu do uprzywilejowanych ról.
- Wszystkie bieżące przeglądy dostępu do ról Microsoft Entra kończą się, a ustawienia konfiguracji Privileged Identity Management są usuwane.
- Usługa Privileged Identity Management nie będzie już wysyłać wiadomości e-mail dotyczących zmian przypisań ról i alertów usługi PIM.
Czy wszelkie funkcje i możliwości IGA zostaną dodane w ramach licencji Microsoft Entra ID P2?
Wszystkie obecnie ogólnie dostępne funkcje w usłudze Microsoft Entra ID P2 pozostaną, ale do jednostki SKU microsoft Entra ID P2 nie zostaną dodane żadne nowe funkcje lub możliwości IGA.