Fundamentos de licenciamento do Microsoft Entra ID Governance
Este documento a seguir discute o licenciamento do Microsoft Entra ID Governance. Destina-se a tomadores de decisão de TI, administradores de TI e profissionais de TI que estão considerando os serviços de Governança de ID do Microsoft Entra para suas organizações.
Tipos de licenças
As licenças a seguir estão disponíveis para uso com o Microsoft Entra ID Governance na nuvem comercial. A escolha das licenças de que necessita num inquilino depende das funcionalidades que está a utilizar nesse inquilino.
- Gratuito - Incluído com assinaturas de nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e outros.
- Microsoft Entra ID P1 - O Microsoft Entra ID P1 está disponível como um produto autônomo ou incluído no Microsoft 365 E3 para clientes corporativos e no Microsoft 365 Business Premium para pequenas e médias empresas.
- Microsoft Entra ID P2 - O Microsoft Entra ID P2 está disponível como um produto autónomo ou incluído no Microsoft 365 E5 para clientes empresariais.
- Governança de ID do Microsoft Entra - A Governança de ID do Microsoft Entra é um conjunto avançado de recursos de governança de identidade disponível para clientes do Microsoft Entra ID P1 e P2. O Microsoft Entra ID Governance está disponível em três produtos : Microsoft Entra ID Governance, Microsoft Entra ID Governance Step Up para Microsoft Entra ID P2 e Microsoft Entra ID Governance Step up para Microsoft Entra ID F2. Estes três produtos diferem apenas nos seus pré-requisitos; eles contêm os recursos básicos de governança de identidade que estavam no Microsoft Entra ID P2 e recursos avançados adicionais de governança de identidade.
Nota
Alguns cenários de Governança de ID do Microsoft Entra podem ser configurados para depender de outros recursos que não são cobertos pela Governança de ID do Microsoft Entra. Esses recursos podem ter requisitos de licenciamento adicionais. Consulte a visão geral da Governança de Identidade para obter mais informações sobre cenários de governança que dependem de recursos adicionais.
Os produtos Microsoft Entra ID Governance ainda não estão disponíveis no governo dos EUA ou nas nuvens nacionais dos EUA.
Produtos e pré-requisitos de governança
Os recursos de Governança de ID do Microsoft Entra estão atualmente disponíveis em três produtos na nuvem comercial. Esses três produtos fornecem os mesmos recursos de governança de identidade. A diferença entre os três produtos é que eles têm pré-requisitos diferentes.
- Uma assinatura do Microsoft Entra ID Governance, listada nos termos do produto como a licença Microsoft Entra ID Governance (User SL), requer que o locatário também tenha uma assinatura ativa de outro produto, que contenha o
AAD_PREMIUMplano ouAAD_PREMIUM_P2serviço. Exemplos de produtos que atendem a esse pré-requisito incluem Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 ou Microsoft 365 F1/F3. - Uma assinatura do Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2, listada nos termos do produto como a licença Microsoft Entra ID Governance P2 , requer que o locatário também tenha uma assinatura ativa de outro produto, que contenha o
AAD_PREMIUM_P2plano de serviço. Exemplos de produtos que atendem a esse pré-requisito incluem Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security ou Microsoft 365 F5 Security + Compliance. - Uma assinatura do Microsoft Entra ID Governance O Step up para o Microsoft Entra ID F2, listado nos termos do produto como a licença Microsoft Entra ID Governance F2 , exige que o locatário também tenha uma assinatura ativa de outro produto, que contenha o
AAD_PREMIUM_P2plano de serviço. Exemplos de produtos que atendem a esse pré-requisito incluem o Microsoft Entra ID F2.
Os nomes de produtos e identificadores de plano de serviço para licenciamento listam produtos adicionais que incluem os planos de serviço de pré-requisito.
Nota
Uma assinatura de um pré-requisito para um produto Microsoft Entra ID Governance deve estar ativa no locatário. Se um pré-requisito não estiver presente ou a assinatura expirar, os cenários de Governança do Microsoft Entra ID podem não funcionar conforme o esperado.
Para verificar se os produtos de pré-requisito para um produto Microsoft Entra ID Governance estão presentes em um locatário, você pode usar o centro de administração do Microsoft Entra ou o centro de administração do Microsoft 365 para exibir a lista de produtos.
Entre no centro de administração do Microsoft Entra como Administrador Global.
No menu Identidade, expanda Faturamento e selecione Licenças.
No menu Gerenciar, selecione Recursos licenciados. A barra de informações indica o plano de licença atual do Microsoft Entra ID.
Para exibir os produtos existentes no locatário, no menu Gerenciar , selecione Todos os produtos.
Iniciar uma avaliação
Um Administrador Global em um locatário que tenha um produto de pré-requisito apropriado, como o Microsoft Entra ID P1, já comprado, e ainda não esteja usando ou tenha testado anteriormente a Governança de ID do Microsoft Entra, pode solicitar uma avaliação da Governança de ID do Microsoft Entra em seu locatário.
Entre no Centro de administração do Microsoft 365 como Administrador Global
No menu Faturação, selecione Comprar serviços.
Na caixa Pesquisar todas as categorias de produtos, digite
"Microsoft Entra ID Governance".Selecione Detalhes abaixo de Governança de ID do Microsoft Entra para exibir as informações de avaliação e compra do produto. Se o seu locatário tiver o Microsoft Entra ID P2, selecione Detalhes abaixo do Microsoft Entra ID Governance Step-Up for Microsoft Entra ID P2.
Na página de detalhes do produto, selecione Iniciar avaliação gratuita.
A tabela a seguir mostra os requisitos de licenciamento para os recursos de Governança de ID do Microsoft Entra. Informações de licenciamento e cenários de licença de exemplo para gerenciamento de direitos, revisões de acesso e fluxos de trabalho de ciclo de vida são fornecidos seguindo a tabela.
Funcionalidades por licença
A tabela a seguir mostra quais recursos estão disponíveis com cada licença. Nem todos os recursos estão disponíveis em todas as nuvens; consulte Disponibilidade de recursos do Microsoft Entra para o Azure Government.
Gestão de Direitos
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.
Exemplos de cenários de licença
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2.000 funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2.000 funcionários que podem solicitar os pacotes de acesso | 2.000 |
| Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2.000 funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2.000 funcionários precisam de licenças. | 2.000 |
| Um administrador de governança de identidade no Woodgrove Bank cria catálogos iniciais. Eles criam uma política de atribuição automática que concede a todos os membros do departamento de vendas (350 funcionários) acesso a um conjunto específico de pacotes de acesso. 350 funcionários são atribuídos automaticamente aos pacotes de acesso. | 350 funcionários precisam de licenças. | 351 |
Revisões de acesso
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização, inclusive para todos os funcionários que estão revisando o acesso ou tendo seu acesso revisado. Alguns recursos desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.
Exemplos de cenários de licença
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um administrador cria uma revisão de acesso do Grupo A com 75 usuários e 1 proprietário do grupo e atribui o proprietário do grupo como o revisor. | 1 licença para o proprietário do grupo como revisor e 75 licenças para os 75 usuários. | 76 |
| Um administrador cria uma revisão de acesso do Grupo B com 500 usuários e 3 proprietários de grupo e atribui os 3 proprietários do grupo como revisores. | 500 licenças para usuários e 3 licenças para cada proprietário do grupo como revisores. | 503 |
| Um administrador cria uma revisão de acesso do Grupo B com 500 usuários. Faz com que seja uma auto-revisão. | 500 licenças para cada usuário como auto-revisores | 500 |
| Um administrador cria uma revisão de acesso do Grupo C com 50 usuários membros. Faz com que seja uma auto-revisão. | 50 licenças para cada usuário como auto-revisores. | 50 |
| Um administrador cria uma revisão de acesso do Grupo D com 6 usuários membros. Faz com que seja uma auto-revisão. | 6 licenças para cada usuário como auto-revisores. Não são necessárias licenças adicionais. | 6 |
Fluxos de trabalho do ciclo de vida
Com as licenças do Microsoft Entra ID Governance para fluxos de trabalho do ciclo de vida, você pode:
- Crie, gerencie e exclua fluxos de trabalho até o limite total de 50 fluxos de trabalho.
- Acione a execução de fluxo de trabalho sob demanda e agendada.
- Gerencie e configure tarefas existentes para criar fluxos de trabalho específicos para suas necessidades.
- Crie até 100 extensões de tarefas personalizadas para serem usadas em seus fluxos de trabalho.
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização.
Exemplos de cenários de licença
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um Administrador de Fluxos de Trabalho de Ciclo de Vida cria um fluxo de trabalho para adicionar novas contratações no departamento de Marketing ao grupo de equipes de Marketing. 250 novas contratações são atribuídas ao grupo de equipes de Marketing por meio deste fluxo de trabalho. | 1 licença para o Lifecycle Workflows Administrator e 250 licenças para os utilizadores. | 251 |
| Um Administrador de Fluxos de Trabalho de Ciclo de Vida cria um fluxo de trabalho para pré-desligar um grupo de funcionários antes do último dia de trabalho. O escopo de usuários que serão pré-offboarded é de 40 usuários. | 40 licenças para usuários e 1 licença para o Lifecycle Workflows Administrator. | 41 |
Privileged Identity Management
Para usar o Microsoft Entra Privileged Identity Management, um locatário deve ter uma licença válida. As licenças também devem ser atribuídas aos administradores e usuários relevantes. Este artigo descreve os requisitos de licença para utilizar o Privileged Identity Management. Para usar o Privileged Identity Management, você deve ter uma das seguintes licenças:
Licenças válidas para PIM
Você precisa de licenças do Microsoft Entra ID Governance ou licenças do Microsoft Entra ID P2 para usar o PIM e todas as suas configurações. Atualmente, você pode definir o escopo de uma revisão de acesso para entidades de serviço com acesso ao Microsoft Entra ID, funções de recursos com um Microsoft Entra ID P2 ou usuários com a edição Microsoft Entra ID Governance ativa em seu locatário. O modelo de licenciamento para entidades de serviço será finalizado para disponibilidade geral desse recurso e mais licenças podem ser necessárias.
Licenças que você deve ter para PIM
Certifique-se de que seu diretório tenha licenças do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance para as seguintes categorias de usuários:
- Usuários com atribuições qualificadas e/ou limitadas no tempo para o Microsoft Entra ID ou funções do Azure gerenciadas usando o PIM
- Usuários com atribuições qualificadas e/ou limitadas no tempo como membros ou proprietários do PIM for Groups
- Usuários capazes de aprovar ou rejeitar solicitações de ativação no PIM
- Usuários atribuídos a uma revisão de acesso
- Usuários que realizam revisões de acesso
Exemplos de cenários de licença para PIM
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você deve ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| O Woodgrove Bank tem 10 administradores para diferentes departamentos e 2 administradores de função privilegiada que configuram e gerenciam o PIM. Tornam elegíveis cinco administradores. | Cinco licenças para os administradores elegíveis | 5 |
| O Instituto de Design Gráfico tem 25 administradores, dos quais 14 são geridos através do PIM. A ativação de função requer aprovação e há três usuários diferentes na organização que podem aprovar ativações. | 14 licenças para as funções elegíveis + três aprovadores | 17 |
| A Contoso tem 50 administradores, dos quais 42 são gerenciados por meio do PIM. A ativação de função requer aprovação e há cinco usuários diferentes na organização que podem aprovar ativações. A Contoso também faz revisões mensais de usuários atribuídos a funções de administrador e os revisores são os gerentes dos usuários, dos quais seis não estão em funções de administrador gerenciadas pelo PIM. | 42 licenças para as funções elegíveis + cinco aprovadores + seis revisores | 53 |
Quando uma licença expira para PIM
Se uma licença do Microsoft Entra ID P2, Microsoft Entra ID Governance ou de avaliação expirar, os recursos do Privileged Identity Management não estarão mais disponíveis no seu diretório:
- As atribuições de funções permanentes para funções do Microsoft Entra não serão afetadas.
- O serviço Privileged Identity Management no centro de administração do Microsoft Entra e os cmdlets da Graph API e as interfaces do PowerShell do Privileged Identity Management não estarão mais disponíveis para que os usuários ativem funções privilegiadas, gerenciem acesso privilegiado ou realizem revisões de acesso de funções privilegiadas.
- As atribuições de função qualificadas de funções do Microsoft Entra são removidas, pois os usuários não podem mais ativar funções privilegiadas.
- Todas as revisões de acesso em andamento das funções do Microsoft Entra terminam e as definições de configuração do Privileged Identity Management são removidas.
- O Privileged Identity Management não envia mais e-mails sobre alterações de atribuição de função.
Provisionamento orientado por API
Esse recurso está disponível com as assinaturas Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. Uma licença de assinatura é necessária para cada identidade originada usando a API /bulkUpload e provisionada para o Ative Directory local ou para a ID do Microsoft Entra.
Cenários de licença
| Licença de Cliente | Limites de uso impostos no nível do locatário para provisionamento controlado por API |
|---|---|
| Microsoft Entra ID P1 ou P2 | Quota de utilização diária (número de registos de utilizador que podem ser carregados durante um período de 24 horas): 100 mil registos de utilizador (2000 /bulkUpload de chamadas de API com cada pedido contendo um máximo de 50 registos). Número máximo de trabalhos de provisionamento orientados por API para cada fluxo: 2 o Máximo de 2 aplicativos para provisionamento controlado por API para o Ative Directory local. o Max 2 aplicativos para provisionamento orientado por API para Microsoft Entra ID. |
| Governança do Microsoft Entra ID ao lado do Microsoft Entra ID P1 ou P2 | Quota de utilização diária (número de registos de utilizador que podem ser carregados durante um período de 24 horas): 300 mil registos de utilizador (6000 /bulkUpload de chamadas de API com cada pedido contendo um máximo de 50 registos). Número máximo de trabalhos de provisionamento orientados por API para cada fluxo: 20 o Máximo de 20 aplicativos para provisionamento controlado por API para o Ative Directory local. o Máximo de 20 aplicativos para provisionamento orientado por API para Microsoft Entra ID. |
FAQs de Licenciamento
As licenças precisam ser atribuídas aos usuários para usar os recursos de Governança de Identidade?
Os usuários não precisam receber uma licença de Governança de ID do Microsoft Entra, mas precisa haver tantas licenças para incluir todos os usuários no escopo de, ou quem configura, os recursos de Governança de Identidade.
Como posso licenciar o uso dos recursos de Governança do Microsoft Entra ID para hóspedes a negócios?
Todos os usuários que estão no escopo dos recursos de Governança do Microsoft Entra ID, incluindo convidados de negócios, como contratados, parceiros e colaboradores externos, precisam de uma licença. Estamos criando uma nova licença do Microsoft Entra ID Governance para hóspedes empresariais. Esta licença opera em um modelo de uso ativo mensal (MAU). Os clientes podem adquirir licenças correspondentes ao seu MAU.
Prevemos disponibilizar essas licenças no final de 2024. Nesse ínterim, as organizações que governam as identidades de seus funcionários com o Microsoft Entra ID Governance podem governar as identidades de seus hóspedes de negócios sem custo adicional. No momento, os clientes existentes do Microsoft Entra ID P1 ou P2 com ID Externa do Microsoft Entra podem continuar usando o subconjunto de recursos incluídos no P1 ou P2 com seus convidados de negócios por meio de sua licença de ID Externa do Microsoft Entra.
Para obter mais informações, consulte: Licenciamento do Microsoft Entra ID Governance para hóspedes empresariais.
O que acontece com o PIM quando uma licença expira?
Se uma licença do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance expirar ou a avaliação terminar, os recursos do Privileged Identity Management não estarão mais disponíveis no diretório. As alterações discutidas abaixo são aplicáveis ao PIM para funções do Microsoft Entra, aos recursos do PIM para Azure e ao PIM para Grupos.
- As atribuições permanentes ativas não são afetadas.
- As atribuições ativas com limite de tempo tornam-se permanentes ativas, o que significa que não expirarão mais em um horário designado.
- As atribuições de função qualificadas são removidas, pois os usuários não poderão mais ativar funções privilegiadas.
- As folhas do Gerenciamento de Identidades Privilegiadas no centro de administração do Microsoft Entra ou no portal do Azure, na API e nas interfaces do PowerShell do Gerenciamento de Identidades Privilegiadas não estarão mais disponíveis para que os usuários ativem funções, gerenciem atribuições ou realizem revisões de acesso de funções privilegiadas.
- Todas as revisões de acesso contínuas das funções do Microsoft Entra terminam e as definições de configuração do Privileged Identity Management são removidas.
- O Privileged Identity Management não enviará mais e-mails sobre alterações de atribuição de função e alertas PIM.
Quaisquer recursos e capacidades do IGA serão adicionados sob a Licença P2 do Microsoft Entra ID?
Todos os recursos atualmente disponíveis no Microsoft Entra ID P2 permanecerão, mas nenhum novo recurso ou recurso IGA será adicionado ao Microsoft Entra ID P2 SKU.
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários