Licenciamento do Microsoft Entra ID
Este artigo discute o licenciamento dos serviços do Microsoft Entra. Destina-se a tomadores de decisão de TI, administradores de TI e profissionais de TI que estão considerando os serviços Microsoft Entra para suas organizações. Este artigo não se destina a utilizadores finais.
Importante
Para obter informações sobre licenciamento de serviços não listados aqui, consulte a documentação do serviço ou a página de preços do Microsoft Entra ID.
Provisionamento de aplicativos
O proxy de aplicativo Microsoft Entra requer licenças Microsoft Entra ID P1 ou P2. Para obter mais informações sobre licenciamento, consulte Preços do Microsoft Entra.
Autenticação
A tabela a seguir lista os recursos que estão disponíveis para autenticação nas várias versões do Microsoft Entra ID. Planeje suas necessidades para proteger o login do usuário e determine qual abordagem atende a esses requisitos. Por exemplo, embora o Microsoft Entra ID Free forneça padrões de segurança com autenticação multifator, somente o Microsoft Authenticator pode ser usado para o prompt de autenticação, incluindo chamadas de texto e voz. Essa abordagem pode ser uma limitação se você não puder garantir que o Authenticator esteja instalado no dispositivo pessoal de um usuário.
| Caraterística | Microsoft Entra ID Free - Padrões de segurança (habilitado para todos os usuários) | Microsoft Entra ID Free - Apenas Administradores Globais | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Proteja as contas de administrador de locatários do Microsoft Entra com MFA | ✅ | ✅ (Apenas contas de Administrador Global do Microsoft Entra) | ✅ | ✅ | ✅ |
| Aplicação móvel como segundo fator | ✅ | ✅ | ✅ | ✅ | ✅ |
| Chamada telefónica como segundo fator | ✅ | ✅ | ✅ | ||
| SMS como segundo fator | ✅ | ✅ | ✅ | ✅ | |
| Controle do administrador sobre os métodos de verificação | ✅ | ✅ | ✅ | ✅ | |
| Alerta de fraudes | ✅ | ✅ | |||
| Relatórios do MFA | ✅ | ✅ | |||
| Saudações personalizadas para chamadas telefónicas | ✅ | ✅ | |||
| ID de chamada personalizada para chamadas telefónicas | ✅ | ✅ | |||
| IPs Fidedignos | ✅ | ✅ | |||
| Memorizar MFA para dispositivos fidedignos | ✅ | ✅ | ✅ | ✅ | |
| MFA para aplicativos locais | ✅ | ✅ | |||
| Acesso Condicional | ✅ | ✅ | |||
| Acesso Condicional baseado no risco | ✅ | ||||
| Reposição Personalizada de Palavra-passe (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR com write-back | ✅ | ✅ |
Identidades geridas
Não há requisitos de licenciamento para usar identidades gerenciadas para recursos do Azure. As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente para os aplicativos usarem ao se conectarem a recursos que dão suporte à autenticação do Microsoft Entra. Um dos benefícios de usar identidades gerenciadas é que você não precisa gerenciar credenciais e elas podem ser usadas sem custo extra. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?.
Governação do Microsoft Entra ID
A tabela a seguir mostra os requisitos de licenciamento para os recursos de Governança de ID do Microsoft Entra. Informações de licenciamento e cenários de licença de exemplo para gerenciamento de direitos, revisões de acesso e fluxos de trabalho de ciclo de vida são fornecidos seguindo a tabela.
Funcionalidades por licença
A tabela a seguir mostra quais recursos estão disponíveis com cada licença. Nem todos os recursos estão disponíveis em todas as nuvens; consulte Disponibilidade de recursos do Microsoft Entra para o Azure Government.
Gestão de Direitos
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.
Exemplos de cenários de licença
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2.000 funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2.000 funcionários que podem solicitar os pacotes de acesso | 2.000 |
| Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2.000 funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2.000 funcionários precisam de licenças. | 2.000 |
| Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Eles criam uma política de atribuição automática que concede a todos os membros do departamento de vendas (350 funcionários) acesso a um conjunto específico de pacotes de acesso. 350 funcionários são atribuídos automaticamente aos pacotes de acesso. | 350 funcionários precisam de licenças. | 351 |
Revisões de acesso
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização, inclusive para todos os funcionários que estão revisando o acesso ou tendo seu acesso revisado. Alguns recursos desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.
Exemplos de cenários de licença
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um administrador cria uma revisão de acesso do Grupo A com 75 usuários e 1 proprietário do grupo e atribui o proprietário do grupo como o revisor. | 1 licença para o proprietário do grupo como revisor e 75 licenças para os 75 usuários. | 76 |
| Um administrador cria uma revisão de acesso do Grupo B com 500 usuários e 3 proprietários de grupo e atribui os 3 proprietários do grupo como revisores. | 500 licenças para usuários e 3 licenças para cada proprietário do grupo como revisores. | 503 |
| Um administrador cria uma revisão de acesso do Grupo B com 500 usuários. Faz com que seja uma auto-revisão. | 500 licenças para cada usuário como auto-revisores | 500 |
| Um administrador cria uma revisão de acesso do Grupo C com 50 usuários membros. Faz com que seja uma auto-revisão. | 50 licenças para cada usuário como auto-revisores. | 50 |
| Um administrador cria uma revisão de acesso do Grupo D com 6 usuários membros. Faz com que seja uma auto-revisão. | 6 licenças para cada usuário como auto-revisores. Não são necessárias licenças adicionais. | 6 |
Fluxos de trabalho do ciclo de vida
Com as licenças do Microsoft Entra ID Governance para fluxos de trabalho do ciclo de vida, você pode:
- Crie, gerencie e exclua fluxos de trabalho até o limite total de 50 fluxos de trabalho.
- Acione a execução de fluxo de trabalho sob demanda e agendada.
- Gerencie e configure tarefas existentes para criar fluxos de trabalho específicos para suas necessidades.
- Crie até 100 extensões de tarefas personalizadas para serem usadas em seus fluxos de trabalho.
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização.
Exemplos de cenários de licença
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um Administrador de Fluxos de Trabalho de Ciclo de Vida cria um fluxo de trabalho para adicionar novas contratações no departamento de Marketing ao grupo de equipes de Marketing. 250 novas contratações são atribuídas ao grupo de equipes de Marketing por meio deste fluxo de trabalho. | 1 licença para o Lifecycle Workflows Administrator e 250 licenças para os utilizadores. | 251 |
| Um Administrador de Fluxos de Trabalho de Ciclo de Vida cria um fluxo de trabalho para pré-desligar um grupo de funcionários antes do último dia de trabalho. O escopo de usuários que serão pré-offboarded é de 40 usuários. | 40 licenças para usuários e 1 licença para o Lifecycle Workflows Administrator. | 41 |
Microsoft Entra Connect
O uso desse recurso é gratuito e está incluído em sua assinatura do Azure.
Microsoft Entra Connect Health
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.
Acesso condicional do Microsoft Entra
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.
Os clientes com Licenças do Microsoft 365 Empresas Premium, também têm acesso às funcionalidades de Acesso Condicional.
As políticas baseadas em risco exigem acesso à Proteção de Identidade, que é um recurso P2 do Microsoft Entra ID.
Outros produtos e recursos que podem interagir com as políticas de Acesso Condicional exigem licenciamento apropriado para esses produtos e recursos.
Quando as licenças necessárias para o Acesso Condicional expiram, as políticas não são automaticamente desativadas ou excluídas. Isso concede aos clientes a capacidade de migrar das políticas de Acesso Condicional sem uma mudança repentina em sua postura de segurança. As políticas restantes podem ser visualizadas e excluídas, mas não mais atualizadas.
Os padrões de segurança ajudam a proteger contra ataques relacionados à identidade e estão disponíveis para todos os clientes.
Proteção do Microsoft Entra ID
O uso desse recurso requer licenças do Microsoft Entra ID P2. Para encontrar a licença certa para os requisitos, veja Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.
| Capacidade | Informações | Microsoft Entra ID Grátis / Aplicativos Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Políticas de risco | Políticas de início de sessão e de risco do utilizador (através da Proteção de Identidade ou Acesso Condicional) | No | No | Sim |
| Relatórios de segurança | Descrição geral | No | No | Sim |
| Relatórios de segurança | Utilizadores de risco | Informações limitadas. Apenas usuários com risco médio e alto são mostrados. Sem detalhes de gaveta ou histórico de risco. | Informações limitadas. Apenas usuários com risco médio e alto são mostrados. Sem detalhes de gaveta ou histórico de risco. | Acesso total |
| Relatórios de segurança | Inícios de sessão de risco | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Acesso total |
| Relatórios de segurança | Deteções de risco | Não | Informações limitadas. Sem gaveta de detalhes. | Acesso total |
| Notifications | Alertas detetados de utilizadores em risco | No | No | Sim |
| Notifications | Resumo semanal | No | No | Sim |
| Política de registo na MFA | No | No | Sim |
Monitoramento e integridade do Microsoft Entra
As funções e licenças necessárias variam de acordo com o relatório. São necessárias permissões separadas para aceder a dados de monitorização e estado de funcionamento no Microsoft Graph. Recomendamos o uso de uma função com acesso com privilégios mínimos para alinhar com as diretrizes do Zero Trust.
| Registo / Relatório | Funções | Licenças |
|---|---|---|
| Audit | Leitor de relatórios Leitor de Segurança Administrador de Segurança Leitor Global |
Todas as edições do Microsoft Entra ID |
| Inícios de sessão | Leitor de relatórios Leitor de Segurança Administrador de Segurança Leitor Global |
Todas as edições do Microsoft Entra ID |
| Aprovisionamento | Leitor de relatórios Leitor de Segurança Administrador de Segurança Leitor Global Operador de Segurança Administrador de Aplicações Administrador de aplicativos na nuvem |
Microsoft Entra ID P1 ou P2 |
| Logs de auditoria de atributos de segurança personalizados* | Administrador de log de atributos Leitor de log de atributos |
Todas as edições do Microsoft Entra ID |
| Utilização e informações | Leitor de relatórios Leitor de Segurança Administrador de Segurança |
Microsoft Entra ID P1 ou P2 |
| Proteção de identidade** | Administrador de Segurança Operador de Segurança Leitor de Segurança Leitor Global |
Microsoft Entra ID Gratuito Microsoft 365 Apps Microsoft Entra ID P1 ou P2 |
| Logs de atividades do Microsoft Graph | Administrador de Segurança Permissões para acessar dados no destino do log correspondente |
Microsoft Entra ID P1 ou P2 |
*A visualização dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados requer uma das funções de Log de Atributos. Você também precisa da função apropriada para exibir os logs de auditoria padrão.
**O nível de acesso e os recursos do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença para Proteção de identidade.
Gerenciamento de identidades privilegiadas do Microsoft Entra
Para usar o Microsoft Entra Privileged Identity Management, um locatário deve ter uma licença válida. As licenças também devem ser atribuídas aos administradores e usuários relevantes. Este artigo descreve os requisitos de licença para utilizar o Privileged Identity Management. Para usar o Privileged Identity Management, você deve ter uma das seguintes licenças:
Licenças válidas para PIM
Você precisa de licenças do Microsoft Entra ID Governance ou licenças do Microsoft Entra ID P2 para usar o PIM e todas as suas configurações. Atualmente, você pode definir o escopo de uma revisão de acesso para entidades de serviço com acesso ao Microsoft Entra ID, funções de recursos com um Microsoft Entra ID P2 ou usuários com a edição Microsoft Entra ID Governance ativa em seu locatário. O modelo de licenciamento para entidades de serviço será finalizado para disponibilidade geral desse recurso e mais licenças podem ser necessárias.
Licenças que você deve ter para PIM
Certifique-se de que seu diretório tenha licenças do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance para as seguintes categorias de usuários:
- Usuários com atribuições qualificadas e/ou limitadas no tempo para o Microsoft Entra ID ou funções do Azure gerenciadas usando o PIM
- Usuários com atribuições qualificadas e/ou limitadas no tempo como membros ou proprietários do PIM for Groups
- Usuários capazes de aprovar ou rejeitar solicitações de ativação no PIM
- Usuários atribuídos a uma revisão de acesso
- Usuários que realizam revisões de acesso
Exemplos de cenários de licença para PIM
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| O Woodgrove Bank tem 10 administradores para diferentes departamentos e 2 administradores de função privilegiada que configuram e gerenciam o PIM. Tornam elegíveis cinco administradores. | Cinco licenças para os administradores elegíveis | 5 |
| O Instituto de Design Gráfico tem 25 administradores, dos quais 14 são geridos através do PIM. A ativação de função requer aprovação e há três usuários diferentes na organização que podem aprovar ativações. | 14 licenças para as funções elegíveis + três aprovadores | 17 |
| A Contoso tem 50 administradores, dos quais 42 são gerenciados por meio do PIM. A ativação de função requer aprovação e há cinco usuários diferentes na organização que podem aprovar ativações. A Contoso também faz revisões mensais de usuários atribuídos a funções de administrador e os revisores são os gerentes dos usuários, dos quais seis não estão em funções de administrador gerenciadas pelo PIM. | 42 licenças para as funções elegíveis + cinco aprovadores + seis revisores | 53 |
Quando uma licença expira para PIM
Se uma licença do Microsoft Entra ID P2, Microsoft Entra ID Governance ou de avaliação expirar, os recursos do Privileged Identity Management não estarão mais disponíveis no seu diretório:
- As atribuições de funções permanentes para funções do Microsoft Entra não serão afetadas.
- O serviço Privileged Identity Management no centro de administração do Microsoft Entra e os cmdlets da Graph API e as interfaces do PowerShell do Privileged Identity Management não estarão mais disponíveis para que os usuários ativem funções privilegiadas, gerenciem acesso privilegiado ou realizem revisões de acesso de funções privilegiadas.
- As atribuições de função qualificadas de funções do Microsoft Entra são removidas, pois os usuários não podem mais ativar funções privilegiadas.
- Todas as revisões de acesso em andamento das funções do Microsoft Entra terminam e as definições de configuração do Privileged Identity Management são removidas.
- O Privileged Identity Management não envia mais e-mails sobre alterações de atribuição de função.
ID Verificado do Microsoft Entra
O Microsoft Entra Verified ID está atualmente incluído em qualquer assinatura do Microsoft Entra, incluindo o Microsoft Entra ID Free, sem custo extra. Para obter informações sobre a ID verificada e como habilitá-la, consulte Visão geral da ID verificada.
Organizações multilocatárias
No locatário de origem: o uso desse recurso requer licenças do Microsoft Entra ID P1. Cada usuário sincronizado com a sincronização entre locatários deve ter uma licença P1 em seu locatário de origem/origem. Para encontrar a licença certa para seus requisitos, consulte Planos de ID do Microsoft Entra & Preços.
No locatário de destino: a sincronização entre locatários depende do modelo de cobrança de ID Externa do Microsoft Entra. Para entender o modelo de licenciamento de identidades externas, consulte Modelo de cobrança MAU para ID Externa do Microsoft Entra. Você também precisa de pelo menos uma licença do Microsoft Entra ID P1 no locatário de destino para habilitar o resgate automático.
Controlo de acesso baseado em funções
O uso de funções internas no Microsoft Entra ID é gratuito. O uso de funções personalizadas requer uma licença P1 do Microsoft Entra ID para cada usuário com uma atribuição de função personalizada. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.
Funções
Unidades administrativas
O uso de unidades administrativas requer uma licença do Microsoft Entra ID P1 para cada administrador de unidade administrativa ao qual são atribuídas funções de diretório no escopo da unidade administrativa e uma licença do Microsoft Entra ID Free para cada membro da unidade administrativa. A criação de unidades administrativas está disponível com uma licença Microsoft Entra ID Free. Se você estiver usando regras de associação dinâmica para unidades administrativas, cada membro da unidade administrativa exigirá uma licença do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.
Unidades administrativas de gestão restritas
As unidades administrativas de gerenciamento restrito exigem uma licença do Microsoft Entra ID P1 para cada administrador de unidade administrativa e licenças do Microsoft Entra ID Free para membros da unidade administrativa. Para encontrar a licença certa para seus requisitos, consulte Comparando recursos geralmente disponíveis das edições Free e Premium.
Funcionalidades em pré-visualização
As informações de licenciamento para quaisquer funcionalidades atualmente em pré-visualização estão incluídas aqui, quando aplicável. Para obter mais informações sobre recursos de visualização, consulte Recursos de visualização do Microsoft Entra ID.