Fundamentos de licenciamento do Microsoft Entra ID Governance
O documento a seguir discute o licenciamento do Microsoft Entra ID Governance. Destina-se a tomadores de decisões de TI, administradores de TI e profissionais de TI que estão considerando serviços de Governança do Microsoft Entra ID para suas organizações.
Tipos de licenças
As licenças a seguir estão disponíveis para serem usadas com o Microsoft Entra ID Governance na nuvem comercial. A escolha das licenças necessárias em um locatário depende dos recursos que você está usando nesse locatário.
- Gratuito - Incluído nas assinaturas de nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e outros.
- Microsoft Entra ID P1 – o Microsoft Entra ID P1 está disponível como autônomo ou incluído no Microsoft 365 E3 para clientes corporativos e no Microsoft 365 Business Premium para pequenas e médias empresas.
- Microsoft Entra ID P2 – o Microsoft Entra ID P2 está disponível como autônomo ou incluído no Microsoft 365 E5 para clientes corporativos.
- Microsoft Entra ID Governance - O Microsoft Entra ID Governance é um conjunto avançado de funcionalidades de governança de identidade disponível para clientes P1 e P2 do Microsoft Entra ID. O Microsoft Entra ID Governance está disponível como três produtos: Microsoft Entra ID Governance, Fazer upgrade do Microsoft Entra ID Governance para Microsoft Entra ID P2 e Fazer upgrade do Microsoft Entra ID Governance para Microsoft Entra ID F2. Esses produtos diferem somente nos pré-requisitos. Ambos contêm os recursos básicos de governança de identidade que estavam no Microsoft Entra ID P2, além de outros recursos avançados de governança de identidade.
Observação
Alguns cenários do Microsoft Entra ID Governance podem ser configurados para depender de outros recursos que não são cobertos pelo Microsoft Entra ID Governance. Esses recursos podem ter requisitos de licenciamento adicionais. Consulte a Visão geral da Governança de Identidade para obter mais informações sobre cenários de governança que dependem de outros recursos.
Os produtos do Microsoft Entra ID Governance ainda não estão disponíveis nas nuvens nacionais dos EUA.
Produtos e pré-requisitos de governança
Os recursos de Microsoft Entra ID Governance estão disponíveis atualmente em três produtos na nuvem comercial. Esses três produtos fornecem os mesmos recursos de governança de identidade. A diferença entre os três produtos é que eles têm pré-requisitos diferentes.
- Uma assinatura do Microsoft Entra ID Governance, listada nos termos do produto como a licença Microsoft Entra ID Governance (SL do usuário), exige que o locatário também tenha uma assinatura ativa para outro produto, um que contenha o plano de serviço
AAD_PREMIUMouAAD_PREMIUM_P2. Exemplos de produtos que atendem a esse pré-requisito incluem Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 ou Microsoft 365 F1/F3. - Uma assinatura de Fazer upgrade do Microsoft Entra ID Governance para o Microsoft Entra ID P2 listada nos termos do produto como a licença Microsoft Entra ID Governance P2, exige que o locatário também tenha uma assinatura ativa para outro produto, um que contenha o plano de serviço
AAD_PREMIUM_P2. Exemplos de produtos que atendem a esse pré-requisito incluem Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security ou Microsoft 365 F5 Security + Compliance. - Uma assinatura de Fazer upgrade do Microsoft Entra ID Governance para o Microsoft Entra ID F2 listada nos termos do produto como a licença Microsoft Entra ID Governance F2, exige que o locatário também tenha uma assinatura ativa para outro produto, um que contenha o plano de serviço
AAD_PREMIUM_P2. Exemplos de produtos que atendem a esse pré-requisito incluem o Microsoft Entra ID F2.
Os nomes dos produtos e os identificadores do plano de serviço para licenciamento listam produtos adicionais que incluem os planos de serviço de pré-requisito.
Observação
Uma assinatura de um pré-requisito para um produto Microsoft Entra ID Governance deve estar ativa no locatário. Se um pré-requisito não estiver presente ou a assinatura expirar, os cenários do Microsoft Entra ID Governance poderão não funcionar conforme o esperado.
Para verificar se os produtos do pré-requisito de um produto do Microsoft Entra ID Governance estão presentes em um locatário, use o Centro de administração do Microsoft Entra ou o Centro de administração do Microsoft 365 para exibir a lista de produtos.
Entre no centro de administração do Microsoft Entra como administrador de licenças.
No menu Identidade, expanda Cobrança e selecione Licenças.
No menu Gerenciar, selecione Recursos licenciados. A barra de informações indica o plano de licença atual do Microsoft Entra ID.
Para exibir os produtos existentes no locatário, no menu Gerenciar, selecione Todos os produtos.
Iniciar uma avaliação
Um administrador global em um locatário comercial que tem um produto de pré-requisito apropriado já comprado, como o Microsoft Entra ID P1, ou que ainda não tenha testado ou utilizado uma avaliação gratuita do Microsoft Entra ID Governance, pode solicitar uma avaliação gratuita do Microsoft Entra ID Governance em seu locatário.
Entre no Centro de administração do Microsoft 365 como Administrador Global
No menu Cobrança, selecione Comprar serviços.
Na caixa Pesquisar todas as categorias de produto, digite
"Microsoft Entra ID Governance".Selecione Detalhes abaixo do Microsoft Entra ID Governance para exibir as informações de avaliação e compra do produto. Se o locatário tiver o Microsoft Entra ID P2 selecione Detalhes abaixo do Microsoft Entra ID Governance Step-Up para Microsoft Entra ID P2.
Na página de detalhes do produto, selecione Iniciar avaliação gratuita.
A tabela a seguir mostra os requisitos de licenciamento para os recursos do Microsoft Entra ID Governance. O Suíte do Microsoft Entra inclui todos os recursos do Microsoft Entra ID Governance. As informações de licenciamento e os exemplos de cenários de licença para gerenciamento de direitos, revisões de acesso e fluxos de trabalho do ciclo de vida são fornecidos após a tabela.
Recursos por licença
A tabela a seguir mostra quais recursos estão disponíveis com cada licença. Nem todos os recursos estão disponíveis em todas as nuvens. Consulte Disponibilidade de recursos do Microsoft Entra para o Azure Governamental.
Gerenciamento de direitos
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos dentro desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.
Cenários de licença de exemplo
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2 mil funcionários que podem solicitar os pacotes de acesso | 2\.000 |
| Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2.000 funcionários precisam de licenças. | 2\.000 |
| Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Eles criam uma política de atribuição automática que concede a Todos os membros do departamento de vendas (350 funcionários) acesso a um conjunto específico de pacotes de acesso. 350 funcionários são atribuídos automaticamente aos pacotes de acesso. | 350 funcionários precisam de licenças. | 351 |
Análises de acesso
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização, inclusive para todos os funcionários que estão revisando o acesso ou tendo seu acesso revisado. Algumas funcionalidades desse recurso podem funcionar com uma assinatura do Microsoft Entra ID P2.
Cenários de licença de exemplo
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um administrador cria uma revisão de acesso do grupo A com 75 usuários e um proprietário do grupo e atribui o proprietário do grupo como o revisor. | 1 licença para o proprietário do grupo como revisor e 75 licenças para os 75 usuários. | 76 |
| Um administrador cria uma revisão de acesso do grupo A com 500 usuários e três proprietários do grupo e atribui os três como revisores. | 500 licenças para usuários e 3 licenças para cada proprietário do grupo como revisores. | 503 |
| Um administrador cria uma revisão de acesso do grupo B com 500 usuários. Ele a torna uma autorrevisão. | 500 licenças para cada usuário como autorrevisores | 500 |
| Um administrador cria uma revisão de acesso do grupo C com 50 usuários membros e 25 usuários convidados. Ele a torna uma autorrevisão. | 50 licenças para cada usuário como autorrevisores. | 50 |
| Um administrador cria uma revisão de acesso do grupo D com seis usuários membros e 108 usuários convidados. Ele a torna uma autorrevisão. | 6 licenças para cada usuário como autorrevisores. Não há licenças adicionais necessárias. | 6 |
Fluxos de trabalho do ciclo de vida
Com as licenças do Microsoft Entra ID Governance para Fluxos de Trabalho do Ciclo de Vida, você pode:
- Criar, gerenciar e excluir fluxos de trabalho até o limite total de 50 fluxos de trabalho.
- Disparar a execução de fluxo de trabalho sob demanda e agendada.
- Gerencie e configure tarefas existentes para criar fluxos de trabalho específicos para suas necessidades.
- Crie até 100 extensões de tarefa personalizadas a serem usadas nos fluxos de trabalho.
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização.
Cenários de licença de exemplo
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um Administrador de Fluxos de Trabalho do Ciclo de Vida cria um fluxo de trabalho para adicionar novas contratações no departamento de Marketing ao grupo de equipes de marketing. 250 novas contratações são atribuídas ao grupo Equipes de marketing por meio desse fluxo de trabalho. Outras 150 novas contratações são atribuídas ao grupo Equipes de marketing por meio desse fluxo de trabalho no final do mesmo ano. | 1 licença para o Administrador de Fluxos de Trabalho do Ciclo de Vida e 400 licenças para os usuários. | 401 |
| Um Administrador de Fluxos de Trabalho do Ciclo de Vida cria um fluxo de trabalho para remover antecipadamente um grupo de funcionários antes do último dia de trabalho. O escopo dos usuários que serão removidos antecipadamente chega a 40 usuários. Removemos 40 usuários licenciados. Agora, podemos reatribuir essas 40 licenças e atribuir mais 10 licenças no final do ano para pré-remover mais 50 usuários. | 50 licenças para usuários e 1 licença para o Administrador de Fluxos de Trabalho do Ciclo de Vida. | 51 |
Privileged Identity Management
Para usar o Microsoft Entra Privileged Identity Management, um locatário deve ter uma licença válida. As licenças precisam ser atribuídas aos administradores e aos usuários relevantes. Este artigo descreve os requisitos de licença para usar o Privileged Identity Management. Para usar o Privileged Identity Management, é necessário ter uma das seguintes licenças:
Licenças válidas para o PIM
Você precisa de licenças P2 do Microsoft Entra ID Governance ou do Microsoft Entra ID para usar o PIM e todas as respectivas configurações. Atualmente, você pode definir o escopo de uma revisão de acesso a entidades de serviço com acesso ao Microsoft Entra ID, funções de recurso com um Microsoft Entra ID P2 ou usuários com a edição do Microsoft Entra ID Governance ativa em seu locatário. O modelo de licenciamento para entidades de serviço será finalizado para a disponibilidade geral desse recurso e talvez mais licenças sejam necessárias.
Licenças que você precisa ter para o PIM
Verifique se o diretório tem licenças do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance para as seguintes categorias de usuários:
- Usuários com atribuições qualificadas e/ou prazo definido para funções do Microsoft Entra ID ou do Azure gerenciadas usando o PIM
- Usuários com atribuições qualificadas e/ou com limite de tempo como membros ou proprietários de PIM para Grupos
- Usuários capazes de aprovar ou rejeitar solicitações de ativação no PIM
- Usuários atribuídos a uma revisão de acesso
- Usuários que executam revisões de acesso
Exemplos de cenários de licenças para o PIM
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| O Woodgrove Bank tem 10 administradores para diferentes departamentos e 2 Administradores de Função Com Privilégios que configuram e gerenciam o PIM. Eles tornam cinco administradores qualificados. | Cinco licenças para os administradores que estão qualificados | 5 |
| O Graphic Design Institute tem 25 administradores dos quais 14 são gerenciados por meio do PIM. A ativação de função requer aprovação e há três usuários diferentes na organização que podem aprovar ativações. | 14 licenças para as funções qualificadas + três aprovadores | 17 |
| A Contoso tem 50 administradores dos quais a 42 é gerenciada por meio do PIM. A ativação de função requer aprovação e há cinco usuários diferentes na organização que podem aprovar ativações. A Contoso também faz revisões mensais dos usuários aos quais foram atribuídas funções de administrador e os revisores são os gerentes dos usuários, dos quais seis não estão em funções de administrador gerenciadas pelo PIM. | 42 licenças para as funções qualificadas + cinco aprovadores + seis revisores | 53 |
Quando uma licença expira para o PIM
Se uma licença do Microsoft Entra ID P2, do Microsoft Entra ID Governance ou de avaliação expirar, os recursos do Privileged Identity Management não estarão mais disponíveis no seu diretório:
- As atribuições de função permanentes para funções do Microsoft Entra não serão afetadas.
- O serviço Privileged Identity Management no Centro de administração do Microsoft Entra e os cmdlets da API do Graph e as interfaces do PowerShell do Privileged Identity Management não estarão mais disponíveis para os usuários ativarem funções privilegiadas, gerenciarem acesso privilegiado ou executarem revisões de acesso de funções privilegiadas.
- As atribuições de função qualificadas das funções do Microsoft Entra são removidas, pois os usuários não podem mais ativar funções privilegiadas.
- Todas as revisões de acesso contínuas das funções do Microsoft Entra terminam e as definições de configuração do Gerenciamento de Privileged Identity Management são removidas.
- O Privileged Identity Management não enviará mais emails sobre alterações na atribuição de funções.
Provisionamento controlado por API
Esse recurso está disponível com assinaturas Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. Uma licença de assinatura é necessária para cada identidade que é originada usando a API /bulkUpload e provisionada para o Active Directory local ou o Microsoft Entra ID.
Cenários de licença
| Licença do cliente | Limites de uso impostos no nível do locatário para provisionamento controlado por API |
|---|---|
| Microsoft Entra ID P1 ou P2 | Cota de uso diário (número de registros de usuário que podem ser carregados durante o período de 24 horas): 100 mil registros de usuário (2000 chamadas de API /bulkUpload com cada solicitação contendo no máximo 50 registros). Número máximo de trabalhos de provisionamento controlados por API para cada fluxo: 2 o Máximo de 2 aplicativos para provisionamento controlado por API para o Active Directory local. o Máximo de 2 aplicativos para provisionamento controlado por API para o Microsoft Entra ID. |
| Microsoft Entra ID Governance ao lado do Microsoft Entra ID P1 ou P2 | Cota de uso diário (número de registros de usuário que podem ser carregados durante o período de 24 horas): 300 mil registros de usuário (6.000 chamadas à API /bulkUpload com cada solicitação contendo no máximo 50 registros). Número máximo de trabalhos de provisionamento controlados por API para cada fluxo: 20 o Máximo de 20 aplicativos para provisionamento controlado por API para o Active Directory local. o Máximo de 20 aplicativos para provisionamento controlado por API para o Microsoft Entra ID. |
Perguntas frequentes sobre licenciamento
As licenças precisam ser atribuídas aos usuários para usar os recursos de Governança de Identidade?
Os usuários não precisam receber uma licença do Microsoft Entra ID Governance, mas é necessário ter tantos estações de licença para incluir todos os usuários no escopo ou quem configura os recursos de Governança de Identidade.
Como posso licenciar o uso dos recursos do Microsoft Entra ID Governance para convidados comerciais?
Todos os usuários que estão no escopo dos recursos do Microsoft Entra ID Governance, incluindo convidados comerciais, como empreiteiros, parceiros e colaboradores externos, precisam de uma licença. Estamos criando uma nova licença do Microsoft Entra ID Governance para convidados comerciais. Essa licença opera em um modelo de uso ativo mensal (MAU). Os clientes podem adquirir licenças correspondentes à MAU de convidado comercial prevista.
Nossa previsão é disponibilizar essas licenças no final de 2024. Nesse ínterim, as organizações que governam as identidades de seus funcionários com o Microsoft Entra ID Governance podem controlar as identidades de seus convidados comerciais sem custo adicional. Neste momento, os clientes existentes do Microsoft Entra ID P1 ou P2 com a ID externa do Microsoft Entra podem continuar usando o subconjunto de recursos incluídos em P1 ou P2 com seus convidados comerciais por meio de sua licença da ID externa do Microsoft Entra.
Para obter mais informações, confira: Licenciamento do Microsoft Entra ID Governance para convidados comerciais.
O que acontece quando uma licença PIM expira?
Se uma licença do Microsoft Entra ID P2, Microsoft Entra ID Governance ou de avaliação expirar, os recursos do Privileged Identity Management não estarão mais disponíveis no diretório. As alterações discutidas abaixo são aplicáveis ao PIM para funções do Microsoft Entra, PIM para recursos do Azure e PIM para grupos.
- As atribuições permanentes ativas não são afetadas.
- As atribuições ativas com limite de tempo tornam-se ativas permanentes, o que significa que não expirarão mais em um horário designado.
- As atribuições de funções qualificadas são removidas, pois os usuários não poderão mais ativar funções privilegiadas.
- Os blades de gerenciamento de identidade privilegiada no centro de administração do Microsoft Entra ou no portal do Azure, na API e nas interfaces do PowerShell do gerenciamento de identidade privilegiada não estarão mais disponíveis para os usuários ativarem funções, gerenciarem atribuições ou realizarem análises de acesso de funções privilegiadas.
- Quaisquer revisões de acesso contínuas das funções do Microsoft Entra terminam e as definições de configuração do Privileged Identity Management são removidas.
- O Privileged Identity Management não enviará e-mails sobre alterações de atribuição de função e alertas do PIM.
Algum recurso ou funcionalidade de IGA será adicionado na licença do Microsoft Entra ID P2?
Todos os recursos em disponibilidade geral no momento no Microsoft Entra ID P2 permanecerão, mas nenhum novo recurso ou funcionalidade de IGA será adicionado ao SKU do Microsoft Entra ID P2.