Partilhar via


Fundamentos de licenciamento do Microsoft Entra ID Governance

Este documento a seguir discute o licenciamento do Microsoft Entra ID Governance. Destina-se a tomadores de decisão de TI, administradores de TI e profissionais de TI que estão considerando os serviços de Governança de ID do Microsoft Entra para suas organizações.

Tipos de licenças

As licenças a seguir estão disponíveis para uso com o Microsoft Entra ID Governance na nuvem comercial. A escolha das licenças de que necessita num inquilino depende das funcionalidades que está a utilizar nesse inquilino.

  • Gratuito - Incluído com assinaturas de nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e outros.
  • Microsoft Entra ID P1 - O Microsoft Entra ID P1 está disponível como um produto autônomo ou incluído no Microsoft 365 E3 para clientes corporativos e no Microsoft 365 Business Premium para pequenas e médias empresas.
  • Microsoft Entra ID P2 - O Microsoft Entra ID P2 está disponível como um produto autónomo ou incluído no Microsoft 365 E5 para clientes empresariais.
  • Governança de ID do Microsoft Entra - A Governança de ID do Microsoft Entra é um conjunto avançado de recursos de governança de identidade disponível para clientes do Microsoft Entra ID P1 e P2. O Microsoft Entra ID Governance está disponível em três produtos : Microsoft Entra ID Governance, Microsoft Entra ID Governance Step Up para Microsoft Entra ID P2 e Microsoft Entra ID Governance Step up para Microsoft Entra ID F2. Estes três produtos diferem apenas nos seus pré-requisitos; eles contêm os recursos básicos de governança de identidade que estavam no Microsoft Entra ID P2 e recursos avançados adicionais de governança de identidade.

Nota

Alguns cenários de Governança de ID do Microsoft Entra podem ser configurados para depender de outros recursos que não são cobertos pela Governança de ID do Microsoft Entra. Esses recursos podem ter requisitos de licenciamento adicionais. Consulte a visão geral da Governança de Identidade para obter mais informações sobre cenários de governança que dependem de recursos adicionais.

Os produtos Microsoft Entra ID Governance ainda não estão disponíveis no governo dos EUA ou nas nuvens nacionais dos EUA.

Produtos e pré-requisitos de governança

Os recursos de Governança de ID do Microsoft Entra estão atualmente disponíveis em três produtos na nuvem comercial. Esses três produtos fornecem os mesmos recursos de governança de identidade. A diferença entre os três produtos é que eles têm pré-requisitos diferentes.

  • Uma assinatura do Microsoft Entra ID Governance, listada nos termos do produto como a licença Microsoft Entra ID Governance (User SL), requer que o locatário também tenha uma assinatura ativa de outro produto, que contenha o AAD_PREMIUM plano ou AAD_PREMIUM_P2 serviço. Exemplos de produtos que atendem a esse pré-requisito incluem Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 ou Microsoft 365 F1/F3.
  • Uma assinatura do Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2, listada nos termos do produto como a licença Microsoft Entra ID Governance P2 , requer que o locatário também tenha uma assinatura ativa de outro produto, que contenha o AAD_PREMIUM_P2 plano de serviço. Exemplos de produtos que atendem a esse pré-requisito incluem Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security ou Microsoft 365 F5 Security + Compliance.
  • Uma assinatura do Microsoft Entra ID Governance O Step up para o Microsoft Entra ID F2, listado nos termos do produto como a licença Microsoft Entra ID Governance F2 , exige que o locatário também tenha uma assinatura ativa de outro produto, que contenha o AAD_PREMIUM_P2 plano de serviço. Exemplos de produtos que atendem a esse pré-requisito incluem o Microsoft Entra ID F2.

Os nomes de produtos e identificadores de plano de serviço para licenciamento listam produtos adicionais que incluem os planos de serviço de pré-requisito.

Nota

Uma assinatura de um pré-requisito para um produto Microsoft Entra ID Governance deve estar ativa no locatário. Se um pré-requisito não estiver presente ou a assinatura expirar, os cenários de Governança do Microsoft Entra ID podem não funcionar conforme o esperado.

Para verificar se os produtos de pré-requisito para um produto Microsoft Entra ID Governance estão presentes em um locatário, você pode usar o centro de administração do Microsoft Entra ou o centro de administração do Microsoft 365 para exibir a lista de produtos.

  1. Entre no centro de administração do Microsoft Entra como Administrador Global.

  2. No menu Identidade, expanda Faturamento e selecione Licenças.

  3. No menu Gerenciar, selecione Recursos licenciados. A barra de informações indica o plano de licença atual do Microsoft Entra ID.

  4. Para exibir os produtos existentes no locatário, no menu Gerenciar , selecione Todos os produtos.

Iniciar uma avaliação

Um Administrador Global em um locatário que tenha um produto de pré-requisito apropriado, como o Microsoft Entra ID P1, já comprado, e ainda não esteja usando ou tenha testado anteriormente a Governança de ID do Microsoft Entra, pode solicitar uma avaliação da Governança de ID do Microsoft Entra em seu locatário.

  1. Entre no Centro de administração do Microsoft 365 como Administrador Global

  2. No menu Faturação, selecione Comprar serviços.

  3. Na caixa Pesquisar todas as categorias de produtos, digite "Microsoft Entra ID Governance".

  4. Selecione Detalhes abaixo de Governança de ID do Microsoft Entra para exibir as informações de avaliação e compra do produto. Se o seu locatário tiver o Microsoft Entra ID P2, selecione Detalhes abaixo do Microsoft Entra ID Governance Step-Up for Microsoft Entra ID P2.

  5. Na página de detalhes do produto, selecione Iniciar avaliação gratuita.

A tabela a seguir mostra os requisitos de licenciamento para os recursos de Governança de ID do Microsoft Entra. Informações de licenciamento e cenários de licença de exemplo para gerenciamento de direitos, revisões de acesso e fluxos de trabalho de ciclo de vida são fornecidos seguindo a tabela.

Funcionalidades por licença

A tabela a seguir mostra quais recursos estão disponíveis com cada licença. Nem todos os recursos estão disponíveis em todas as nuvens; consulte Disponibilidade de recursos do Microsoft Entra para o Azure Government.

Caraterística Gratuito Microsoft Entra ID P1 Microsoft Entra ID P2 Governação do Microsoft Entra ID
Provisionamento orientado por API
Provisionamento orientado por RH
Provisionamento automatizado de usuários para aplicativos SaaS
Provisionamento de grupo automatizado para aplicativos SaaS
Provisionamento automatizado para aplicativos locais
Acesso Condicional - Atestado de Termos de Utilização
Gestão de direitos - Gestão básica de direitos
Gestão de direitos - Âmbito do acesso condicional
Gestão de direitos MyAccess Search
Gestão de direitos com ID verificada
Gerenciamento de direitos + extensões personalizadas (aplicativos lógicos)
Gestão de direitos + Políticas de atribuição automática
Gerenciamento de direitos - Atribua diretamente qualquer usuário (visualização)
Gerenciamento de direitos - API de conversão de convidado
Gestão de direitos - Período de carência(Pré-visualização)
Portal O Meu Acesso
Gerenciamento de direitos - Funções do Microsoft Entra (Visualização)
Gestão de direitos - Política de Patrocinadores
Gerenciamento privilegiado de identidades (PIM)
PIM para grupos
Controles PIM CA
Access Reviews - Certificações e avaliações básicas de acesso
Avaliações de acesso - PIM For Groups
Acessar avaliações - Avaliações de usuários inativos
Acessar Avaliações - Recomendações de Usuários Inativos
Avaliações de acesso - Certificações e revisões de acesso assistido por aprendizado de máquina
Fluxos de trabalho do ciclo de vida (LCW)
LCW + Extensões personalizadas (aplicativos lógicos)
Painel de governança de identidade
Informações e relatórios - Contas de hóspedes inativas

Gestão de Direitos

O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.

Exemplos de cenários de licença

Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.

Cenário Cálculo Número de licenças
Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2.000 funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. 2.000 funcionários que podem solicitar os pacotes de acesso 2.000
Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2.000 funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. 2.000 funcionários precisam de licenças. 2.000
Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Eles criam uma política de atribuição automática que concede a todos os membros do departamento de vendas (350 funcionários) acesso a um conjunto específico de pacotes de acesso. 350 funcionários são atribuídos automaticamente aos pacotes de acesso. 350 funcionários precisam de licenças. 351

Revisões de acesso

O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização, inclusive para todos os funcionários que estão revisando o acesso ou tendo seu acesso revisado. Alguns recursos desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.

Exemplos de cenários de licença

Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.

Cenário Cálculo Número de licenças
Um administrador cria uma revisão de acesso do Grupo A com 75 usuários e 1 proprietário do grupo e atribui o proprietário do grupo como o revisor. 1 licença para o proprietário do grupo como revisor e 75 licenças para os 75 usuários. 76
Um administrador cria uma revisão de acesso do Grupo B com 500 usuários e 3 proprietários de grupo e atribui os 3 proprietários do grupo como revisores. 500 licenças para usuários e 3 licenças para cada proprietário do grupo como revisores. 503
Um administrador cria uma revisão de acesso do Grupo B com 500 usuários. Faz com que seja uma auto-revisão. 500 licenças para cada usuário como auto-revisores 500
Um administrador cria uma revisão de acesso do Grupo C com 50 usuários membros. Faz com que seja uma auto-revisão. 50 licenças para cada usuário como auto-revisores. 50
Um administrador cria uma revisão de acesso do Grupo D com 6 usuários membros. Faz com que seja uma auto-revisão. 6 licenças para cada usuário como auto-revisores. Não são necessárias licenças adicionais. 6

Fluxos de trabalho do ciclo de vida

Com as licenças do Microsoft Entra ID Governance para fluxos de trabalho do ciclo de vida, você pode:

  • Crie, gerencie e exclua fluxos de trabalho até o limite total de 50 fluxos de trabalho.
  • Acione a execução de fluxo de trabalho sob demanda e agendada.
  • Gerencie e configure tarefas existentes para criar fluxos de trabalho específicos para suas necessidades.
  • Crie até 100 extensões de tarefas personalizadas para serem usadas em seus fluxos de trabalho.

O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização.

Exemplos de cenários de licença

Cenário Cálculo Número de licenças
Um Administrador de Fluxos de Trabalho de Ciclo de Vida cria um fluxo de trabalho para adicionar novas contratações no departamento de Marketing ao grupo de equipes de Marketing. 250 novas contratações são atribuídas ao grupo de equipes de Marketing por meio deste fluxo de trabalho. 1 licença para o Lifecycle Workflows Administrator e 250 licenças para os utilizadores. 251
Um Administrador de Fluxos de Trabalho de Ciclo de Vida cria um fluxo de trabalho para pré-desligar um grupo de funcionários antes do último dia de trabalho. O escopo de usuários que serão pré-offboarded é de 40 usuários. 40 licenças para usuários e 1 licença para o Lifecycle Workflows Administrator. 41

Privileged Identity Management

Para usar o Microsoft Entra Privileged Identity Management, um locatário deve ter uma licença válida. As licenças também devem ser atribuídas aos administradores e usuários relevantes. Este artigo descreve os requisitos de licença para utilizar o Privileged Identity Management. Para usar o Privileged Identity Management, você deve ter uma das seguintes licenças:

Licenças válidas para PIM

Você precisa de licenças do Microsoft Entra ID Governance ou licenças do Microsoft Entra ID P2 para usar o PIM e todas as suas configurações. Atualmente, você pode definir o escopo de uma revisão de acesso para entidades de serviço com acesso ao Microsoft Entra ID, funções de recursos com um Microsoft Entra ID P2 ou usuários com a edição Microsoft Entra ID Governance ativa em seu locatário. O modelo de licenciamento para entidades de serviço será finalizado para disponibilidade geral desse recurso e mais licenças podem ser necessárias.

Licenças que você deve ter para PIM

Certifique-se de que seu diretório tenha licenças do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance para as seguintes categorias de usuários:

  • Usuários com atribuições qualificadas e/ou limitadas no tempo para o Microsoft Entra ID ou funções do Azure gerenciadas usando o PIM
  • Usuários com atribuições qualificadas e/ou limitadas no tempo como membros ou proprietários do PIM for Groups
  • Usuários capazes de aprovar ou rejeitar solicitações de ativação no PIM
  • Usuários atribuídos a uma revisão de acesso
  • Usuários que realizam revisões de acesso

Exemplos de cenários de licença para PIM

Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.

Cenário Cálculo Número de licenças
O Woodgrove Bank tem 10 administradores para diferentes departamentos e 2 administradores de função privilegiada que configuram e gerenciam o PIM. Tornam elegíveis cinco administradores. Cinco licenças para os administradores elegíveis 5
O Instituto de Design Gráfico tem 25 administradores, dos quais 14 são geridos através do PIM. A ativação de função requer aprovação e há três usuários diferentes na organização que podem aprovar ativações. 14 licenças para as funções elegíveis + três aprovadores 17
A Contoso tem 50 administradores, dos quais 42 são gerenciados por meio do PIM. A ativação de função requer aprovação e há cinco usuários diferentes na organização que podem aprovar ativações. A Contoso também faz revisões mensais de usuários atribuídos a funções de administrador e os revisores são os gerentes dos usuários, dos quais seis não estão em funções de administrador gerenciadas pelo PIM. 42 licenças para as funções elegíveis + cinco aprovadores + seis revisores 53

Quando uma licença expira para PIM

Se uma licença do Microsoft Entra ID P2, Microsoft Entra ID Governance ou de avaliação expirar, os recursos do Privileged Identity Management não estarão mais disponíveis no seu diretório:

  • As atribuições de funções permanentes para funções do Microsoft Entra não serão afetadas.
  • O serviço Privileged Identity Management no centro de administração do Microsoft Entra e os cmdlets da Graph API e as interfaces do PowerShell do Privileged Identity Management não estarão mais disponíveis para que os usuários ativem funções privilegiadas, gerenciem acesso privilegiado ou realizem revisões de acesso de funções privilegiadas.
  • As atribuições de função qualificadas de funções do Microsoft Entra são removidas, pois os usuários não podem mais ativar funções privilegiadas.
  • Todas as revisões de acesso em andamento das funções do Microsoft Entra terminam e as definições de configuração do Privileged Identity Management são removidas.
  • O Privileged Identity Management não envia mais e-mails sobre alterações de atribuição de função.

Provisionamento orientado por API

Esse recurso está disponível com as assinaturas Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. Uma licença de assinatura é necessária para cada identidade originada usando a API /bulkUpload e provisionada para o Ative Directory local ou para a ID do Microsoft Entra.

Cenários de licença

Licença de Cliente Limites de uso impostos no nível do locatário para provisionamento controlado por API
Microsoft Entra ID P1 ou P2 Quota de utilização diária (número de registos de utilizador que podem ser carregados durante um período de 24 horas): 100 mil registos de utilizador (2000 /bulkUpload de chamadas de API com cada pedido contendo um máximo de 50 registos).

Número máximo de trabalhos de provisionamento orientados por API para cada fluxo: 2
o Máximo de 2 aplicativos para provisionamento controlado por API para o Ative Directory local.
o Max 2 aplicativos para provisionamento orientado por API para Microsoft Entra ID.
Governança do Microsoft Entra ID ao lado do Microsoft Entra ID P1 ou P2 Quota de utilização diária (número de registos de utilizador que podem ser carregados durante um período de 24 horas): 300 mil registos de utilizador (6000 /bulkUpload de chamadas de API com cada pedido contendo um máximo de 50 registos).

Número máximo de trabalhos de provisionamento orientados por API para cada fluxo: 20
o Máximo de 20 aplicativos para provisionamento controlado por API para o Ative Directory local.
o Máximo de 20 aplicativos para provisionamento orientado por API para Microsoft Entra ID.

FAQs de Licenciamento

As licenças precisam ser atribuídas aos usuários para usar os recursos de Governança de Identidade?

Os usuários não precisam receber uma licença de Governança de ID do Microsoft Entra, mas precisa haver tantas licenças para incluir todos os usuários no escopo de, ou quem configura, os recursos de Governança de Identidade.

Como posso licenciar o uso dos recursos de Governança do Microsoft Entra ID para hóspedes a negócios?

Todos os usuários que estão no escopo dos recursos de Governança do Microsoft Entra ID, incluindo convidados de negócios, como contratados, parceiros e colaboradores externos, precisam de uma licença. Estamos criando uma nova licença do Microsoft Entra ID Governance para hóspedes empresariais. Esta licença opera em um modelo de uso ativo mensal (MAU). Os clientes podem adquirir licenças correspondentes ao seu MAU.

Prevemos disponibilizar essas licenças no final de 2024. Nesse ínterim, as organizações que governam as identidades de seus funcionários com o Microsoft Entra ID Governance podem governar as identidades de seus hóspedes de negócios sem custo adicional. No momento, os clientes existentes do Microsoft Entra ID P1 ou P2 com ID Externa do Microsoft Entra podem continuar usando o subconjunto de recursos incluídos no P1 ou P2 com seus convidados de negócios por meio de sua licença de ID Externa do Microsoft Entra.

Para obter mais informações, consulte: Licenciamento do Microsoft Entra ID Governance para hóspedes empresariais.

O que acontece com o PIM quando uma licença expira?

Se uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance expirar ou a avaliação terminar, os recursos do Privileged Identity Management não estarão mais disponíveis no diretório. As alterações discutidas abaixo são aplicáveis ao PIM para funções do Microsoft Entra, aos recursos do PIM para Azure e ao PIM para Grupos.

  • As atribuições permanentes ativas não são afetadas.
  • As atribuições ativas com limite de tempo tornam-se permanentes ativas, o que significa que não expirarão mais em um horário designado.
  • As atribuições de função qualificadas são removidas, pois os usuários não poderão mais ativar funções privilegiadas.
  • As folhas do Gerenciamento de Identidades Privilegiadas no centro de administração do Microsoft Entra ou no portal do Azure, na API e nas interfaces do PowerShell do Gerenciamento de Identidades Privilegiadas não estarão mais disponíveis para que os usuários ativem funções, gerenciem atribuições ou realizem revisões de acesso de funções privilegiadas.
  • Todas as revisões de acesso contínuas das funções do Microsoft Entra terminam e as definições de configuração do Privileged Identity Management são removidas.
  • O Privileged Identity Management não enviará mais e-mails sobre alterações de atribuição de função e alertas PIM.

Quaisquer recursos e capacidades do IGA serão adicionados sob a Licença P2 do Microsoft Entra ID?

Todos os recursos atualmente disponíveis no Microsoft Entra ID P2 permanecerão, mas nenhum novo recurso ou recurso IGA será adicionado ao Microsoft Entra ID P2 SKU.

Próximos passos