Лицензирование Microsoft Entra
В этой статье рассматриваются варианты лицензирования для семейства продуктов Microsoft Entra. Он предназначен для лиц, принимающих решения по безопасности, администраторов удостоверений и сетевых доступа, и ИТ-специалистов, которые рассматривают решения Microsoft Entra для своих организаций.
Параметры лицензирования Entra
Microsoft Entra доступна в нескольких вариантах лицензирования, позволяющих выбрать пакет, подходящий для ваших потребностей.
Примечание.
Параметры лицензирования на этой странице не являются исчерпывающими. Вы можете получить подробные сведения о различных вариантах на странице цен Microsoft Entra и на странице "Сравнение Microsoft 365 корпоративный планов и цен".
Бесплатный идентификатор Microsoft Entra — входит в состав облачных подписок Майкрософт, таких как Microsoft Azure, Microsoft 365 и другие.
Идентификатор Microsoft Entra ID P1 — Microsoft Entra ID P1 доступен как автономный продукт или входит в состав Microsoft 365 E3 для корпоративных клиентов и Microsoft 365 бизнес премиум для малого и среднего бизнеса.
Идентификатор Microsoft Entra ID P2 — Идентификатор Microsoft Entra ID P2 доступен как автономный продукт или входит в состав Microsoft 365 E5 для корпоративных клиентов.
Microsoft Entra Suite — набор объединяет продукты Microsoft Entra для защиты доступа к сотрудникам. Это позволяет администраторам предоставлять безопасный доступ из любого приложения или ресурса в облако или локальную среду, обеспечивая минимальный доступ к привилегиям. Требуется подписка Microsoft Entra ID P1. Набор Microsoft Entra включает пять продуктов:
- Частный доступ Microsoft Entra
- Интернет-доступ Microsoft Entra
- Управление идентификацией Microsoft Entra
- Защита идентификации Microsoft Entra
- Проверенные учетные данные Microsoft Entra (возможности уровня "Премиум")
Подготовка приложений
Для прокси приложения Microsoft Entra требуются лицензии Microsoft Entra ID P1 или P2. Дополнительные сведения о лицензировании см. в разделе о ценах на Microsoft Entra.
Проверка подлинности
В следующей таблице перечислены функции, доступные для проверки подлинности в различных версиях идентификатора Microsoft Entra. Спланируйте свои потребности в защите входа пользователя, а затем определите, какой подход соответствует этим требованиям. Например, хотя microsoft Entra ID Free предоставляет значения безопасности по умолчанию с многофакторной проверкой подлинности, для запроса проверки подлинности можно использовать только Microsoft Authenticator, включая текстовые и голосовые вызовы. Этот подход может быть ограничением, если вы не можете убедиться, что Authenticator установлен на личном устройстве пользователя.
| Функция | Бесплатный идентификатор Microsoft Entra — значения по умолчанию безопасности (включены для всех пользователей) | Бесплатный идентификатор Microsoft Entra — только глобальные администраторы | Office 365 | Microsoft Entra ID, лицензия P1 | Microsoft Entra ID, лицензия P2 |
|---|---|---|---|---|---|
| Защита учетных записей администратора клиента Microsoft Entra с помощью MFA | ✅ | ✅ (Только учетные записи глобального администратора Microsoft Entra) | ✅ | ✅ | ✅ |
| Мобильное приложение в качестве второго фактора | ✅ | ✅ | ✅ | ✅ | ✅ |
| Телефонный вызов в качестве второго фактора | ✅ | ✅ | ✅ | ||
| SMS в качестве второго фактора | ✅ | ✅ | ✅ | ✅ | |
| Администраторский контроль над методами проверки | ✅ | ✅ | ✅ | ✅ | |
| Предупреждение о мошенничестве | ✅ | ✅ | |||
| Отчеты службы "Многофакторная идентификация Azure" | ✅ | ✅ | |||
| Настраиваемые приветствия для телефонных вызовов | ✅ | ✅ | |||
| Настраиваемый идентификатор вызывающей стороны для телефонных звонков | ✅ | ✅ | |||
| Надежные IP-адреса | ✅ | ✅ | |||
| Запоминание данных MFA для доверенных устройств | ✅ | ✅ | ✅ | ✅ | |
| MFA для локальных приложений | ✅ | ✅ | |||
| Условный доступ | ✅ | ✅ | |||
| Условный доступ на основе рисков | ✅ | ||||
| Самостоятельный сброс пароля (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR с обратной записью | ✅ | ✅ |
Управляемые удостоверения
Для использования управляемых удостоверений для ресурсов Azure нет требований к лицензированию. Управляемые удостоверения для ресурсов Azure предоставляют автоматически управляемое удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Одним из преимуществ использования управляемых удостоверений является то, что вам не нужно управлять учетными данными, и их можно использовать без дополнительных затрат. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure.
Управление идентификацией Microsoft Entra
В следующей таблице показаны требования к лицензированию для функций Управление идентификацией Microsoft Entra. Microsoft Entra Suite включает все функции Управление идентификацией Microsoft Entra. Сведения о лицензировании и примеры сценариев лицензий для управления правами, проверки доступа и рабочих процессов жизненного цикла приведены в таблице.
Функции по лицензии
В следующей таблице показано, какие функции доступны для каждой лицензии. Не все функции доступны во всех облаках; См. сведения о доступности компонентов Microsoft Entra для Azure для государственных организаций.
Управление правами
Для использования этой функции требуются Управление идентификацией Microsoft Entra подписки для пользователей вашей организации. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.
Примеры сценариев лицензирования
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Администратор управления удостоверениями в Woodgrove Bank создает начальные каталоги. Одна из политик указывает, что Все сотрудники (2 000 сотрудников) могут запросить определенный набор пакетов для доступа. 150 сотрудников запрашивают пакеты для доступа. | 2000 сотрудников, которые могут запрашивать пакеты для доступа | 2 000 |
| Администратор управления удостоверениями в Woodgrove Bank создает начальные каталоги. Одна из политик указывает, что Все сотрудники (2 000 сотрудников) могут запросить определенный набор пакетов для доступа. 150 сотрудников запрашивают пакеты для доступа. | 2000 сотрудников нуждаются в лицензиях. | 2 000 |
| Администратор управления удостоверениями в Woodgrove Bank создает начальные каталоги. Они создают политику автоматического назначения, которая предоставляет всем членам отдела продаж (350 сотрудников) доступ к определенному набору пакетов доступа. 350 сотрудников назначаются пакетам доступа автоматически. | 350 сотрудников нуждаются в лицензиях. | 351 |
Проверки доступа
Использование этой функции требует Управление идентификацией Microsoft Entra подписок для пользователей вашей организации, включая всех сотрудников, которые просматривают доступ или проверяют доступ. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.
Примеры сценариев лицензирования
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Администратор создает проверку доступа для группы A с 75 пользователями и одним владельцем группы, а этого владельца группы назначает в качестве рецензента. | 1 лицензия для владельца группы в качестве рецензента и 75 лицензий для 75 пользователей. | 76 |
| Администратор создает проверку доступа для группы B с 500 пользователями и тремя владельцами группы, а всех владельцев группы назначает в качестве рецензентов. | 500 лицензий для пользователей и 3 лицензии для каждого владельца группы в качестве рецензентов. | 503 |
| Администратор создает проверку доступа для группы B с 500 пользователями. Для этой группы он включает самостоятельную проверку. | 500 лицензий для каждого пользователя в роли самостоятельного рецензента | 500 |
| Администратор создает проверку доступа группы C с 50 пользователями-участниками. Для этой группы он включает самостоятельную проверку. | 50 лицензий для каждого пользователя в роли самостоятельного рецензента. | 50 |
| Администратор создает проверку доступа группы D с 6 пользователями-участниками. Для этой группы он включает самостоятельную проверку. | 6 лицензий для каждого пользователя в роли самостоятельного рецензента. Дополнительные лицензии не требуются. | 6 |
Рабочие процессы жизненного цикла
С помощью лицензий Управление идентификацией Microsoft Entra для рабочих процессов жизненного цикла можно:
- Создание, управление и удаление рабочих процессов до общей суммы в 50 рабочих процессов.
- Триггер по запросу и запланированное выполнение рабочего процесса.
- Управление и настройка существующих задач для создания рабочих процессов, относящихся к вашим потребностям.
- Создайте до 100 пользовательских расширений задач, которые будут использоваться в рабочих процессах.
Для использования этой функции требуются Управление идентификацией Microsoft Entra подписки для пользователей вашей организации.
Примеры сценариев лицензирования
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Администратор рабочих процессов жизненного цикла создает рабочий процесс для добавления новых сотрудников в отдел маркетинга в группу команд маркетинга. 250 новых сотрудников назначаются группе маркетинговых групп с помощью этого рабочего процесса. | 1 лицензия администратора рабочих процессов жизненного цикла и 250 лицензий для пользователей. | 251 |
| Администратор рабочих процессов жизненного цикла создает рабочий процесс для предварительного подключения группы сотрудников до последнего дня работы. Область действия пользователей, которые будут предварительно подключены, — 40 пользователей. | 40 лицензий для пользователей и 1 лицензии администратора рабочих процессов жизненного цикла. | 41 |
Microsoft Entra Connect
Эта функция бесплатна и доступна в вашей подписке Azure.
Microsoft Entra Connect Health
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
Условный доступ Microsoft Entra
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей Microsoft Entra ID.
Клиенты с лицензиями Microsoft 365 бизнес премиум также имеют доступ к функциям условного доступа.
Политики на основе рисков требуют доступа к защите идентификации, которая является функцией Microsoft Entra ID P2.
Microsoft Entra Suite включает все функции условного доступа Microsoft Entra.
Для других продуктов и функций, которые могут взаимодействовать с политиками условного доступа, требуется соответствующее лицензирование для этих продуктов и функций.
Если срок действия лицензий, необходимых для условного доступа, политики не будут автоматически отключены или удалены. Это дает клиентам возможность переходить от политик условного доступа без внезапного изменения состояния безопасности. Остальные политики можно просматривать и удалять, но больше не обновлять.
Параметры безопасности по умолчанию помогают защитить от атак, связанных с удостоверениями, и доступны для всех клиентов.
Доменные службы Microsoft Entra
Использование доменных служб Microsoft Entra взимается в час на основе номера SKU, выбранного владельцем клиента.
Внешний идентификатор Майкрософт
Основные функции внешнего идентификатора Microsoft Entra бесплатны для первых 50 000 ежемесячных активных пользователей. Дополнительные сведения о лицензировании доступны на странице "Вопросы и ответы о внешнем идентификаторе "
Защита идентификации Microsoft Entra
Для использования этой функции требуются лицензии Microsoft Entra ID P2. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
| Возможность | Подробно | Бесплатный и Приложения Microsoft 365 идентификатора Microsoft Entra | Microsoft Entra ID, лицензия P1 | Microsoft Entra ID, лицензия P2 | Microsoft Entra Suite |
|---|---|---|---|---|---|
| Политики в отношении рисков | Политики риска входа и пользователя (с помощью защиты идентификации или условного доступа) | No | No | Да | Да |
| Отчеты о безопасности | Обзор | No | No | Да | Да |
| Отчеты о безопасности | Пользователи, выполняющие рискованные действия | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Полный доступ | Да |
| Отчеты о безопасности | Вход, представляющий риск | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Полный доступ | Да |
| Отчеты о безопасности | Обнаружения рисков | No | Ограниченные сведения. Панель с подробными сведениями отсутствует. | Полный доступ | Да |
| Notifications | Предупреждения об обнаружении пользователей под угрозой | No | No | Да | Да |
| Notifications | Еженедельный дайджест | No | No | Да | Да |
| Политика регистрации с MFA | No | No | Да | Да |
Интернет-доступ Microsoft Entra
Интернет-доступ Microsoft Entra доступна самостоятельно или в составе Microsoft Entra Suite.
Мониторинг и работоспособности Microsoft Entra
Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.
*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.
**Уровень доступа и возможностей защиты идентификации зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификации.
Управление разрешениями Microsoft Entra
Управление разрешениями поддерживает все ресурсы в Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform, но требует только лицензий для оплачиваемых ресурсов.
Частный доступ Microsoft Entra
Частный доступ Microsoft Entra доступен самостоятельно или в составе Microsoft Entra Suite.
Microsoft Entra управление привилегированными пользователями
Чтобы использовать управление привилегированными пользователями Microsoft Entra, клиент должен иметь действительную лицензию. Лицензии также должны быть назначены администраторам и соответствующим пользователям. В этой статье описываются требования к лицензиям для использования средств управления привилегированными пользователями. Для работы со средствами управления привилегированными пользователями необходима одна из следующих лицензий:
Допустимые лицензии для PIM
Для использования PIM и всех его параметров требуется Управление идентификацией Microsoft Entra лицензии или лицензии Microsoft Entra ID P2. В настоящее время можно ограничить доступ к субъектам-службам с доступом к идентификатору Microsoft Entra, ролям ресурсов с идентификатором Microsoft Entra ID P2 или пользователями с Управление идентификацией Microsoft Entra выпуском, активным в клиенте. Модель лицензирования для субъектов-служб будет завершена для общедоступной доступности этой функции, и могут потребоваться дополнительные лицензии.
Лицензии, необходимые для PIM
Убедитесь, что в каталоге есть лицензии Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra для следующих категорий пользователей:
- Пользователи с соответствующими назначениями с привязкой к времени идентификатору Microsoft Entra или ролям Azure, управляемым с помощью PIM
- Пользователи с соответствующими назначениями по времени и (или) в качестве членов или владельцев PIM для групп
- Пользователи имеют возможность утверждать или отклонять запросы на активацию в PIM
- Пользователи, которые назначены для проверки доступа.
- Пользователи, которые выполняют проверки доступа.
Примеры сценариев лицензии для PIM
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Woodgrove Bank имеет 10 администраторов для различных отделов и 2 привилегированных администраторов ролей, которые настраивают PIM и управляют ими. Настройка разрешена пяти администраторам. | Пять лицензий для администраторов, имеющих право настройки | 5 |
| В институте графического дизайна имеется 25 администраторов, 14 из которых управляются посредством PIM. Для активации роли требуется утверждение, а в организации есть три разных пользователя, которые могут утверждать активацию. | 14 лицензий для соответствующих ролей + три для утверждающих сотрудников | 17 |
| В компании Contoso 50 администраторов, управление 42 из которых осуществляется через PIM. Для активации роли требуется утверждение, а в организации есть пять разных пользователей, которые могут утверждать активацию. Компания Contoso также выполняет ежемесячные проверки пользователей, назначенных ролям администратора и рецензентам, являются руководителями пользователей, из которых шесть не находятся в ролях администратора, управляемых PIM. | 42. лицензии для соответствующих ролей + пять для утверждающих сотрудников + шесть рецензентов | 53 |
Срок действия лицензии для PIM
Если срок действия лицензии microsoft Entra ID P2, Управление идентификацией Microsoft Entra или пробной версии истекает, управление привилегированными пользователями функции больше не будут доступны в каталоге:
- Постоянные назначения ролей для ролей Microsoft Entra не будут затронуты.
- Служба управление привилегированными пользователями в Центре администрирования Microsoft Entra и командлеты API Graph и интерфейсы PowerShell управление привилегированными пользователями, больше не будет доступен для пользователей для активации привилегированных ролей, управления привилегированным доступом или выполнения проверок доступа привилегированных ролей.
- Допустимые назначения ролей Microsoft Entra удаляются, так как пользователи больше не смогут активировать привилегированные роли.
- Все текущие проверки доступа ролей Microsoft Entra заканчиваются и управление привилегированными пользователями параметры конфигурации удаляются.
- управление привилегированными пользователями больше не отправляет сообщения электронной почты при изменении назначения ролей.
Проверенные учетные данные Microsoft Entra
Проверенные учетные данные Microsoft Entra включается в любую подписку На идентификатор Microsoft Entra ID, включая идентификатор Microsoft Entra ID бесплатно, без дополнительной платы. Основные функции проверенных идентификаторов помогают организациям:
- Проверка и выдача учетных данных организации для любых уникальных атрибутов удостоверений.
- Предоставление пользователям прав владения своими цифровыми учетными данными и большей видимости
- Уменьшение риска организации и упрощение процесса аудита
- Создайте пользовательские приложения без сервера, использующие проверенные учетные данные идентификатора.
Проверенные учетные данные Microsoft Entra также предоставляет функцию "Проверка лиц как премиум", доступную как надстройку и включенную в Microsoft Entra Suite (не более 8 проверок лиц на пользователя в месяц).
Идентификация рабочей нагрузки Microsoft Entra
Microsoft Entra Идентификация рабочей нагрузки поддерживает удостоверения приложений и принципы службы в Azure, требуя лицензий на удостоверение рабочей нагрузки в месяц.
Мультитенантные организации
В исходном клиенте: для использования этой функции требуются лицензии Microsoft Entra ID P1. Каждый пользователь, синхронизированный с синхронизацией между клиентами, должен иметь лицензию P1 в своем домашнем или исходном клиенте. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с планами и ценами на идентификаторы Microsoft Entra.
В целевом клиенте синхронизация между клиентами зависит от модели выставления счетов Внешняя идентификация Microsoft Entra. Чтобы понять модель лицензирования внешних удостоверений, ознакомьтесь с моделью выставления счетов MAU для Внешняя идентификация Microsoft Entra. Кроме того, в целевом клиенте требуется по крайней мере одна лицензия Microsoft Entra ID P1 для включения авторедемпции.
Все функции мультитенантных организаций включены в состав набора Microsoft Entra Suite.
Управление доступом на основе ролей
Использование встроенных ролей в идентификаторе Microsoft Entra является бесплатным. Использование пользовательских ролей требует лицензии Microsoft Entra ID P1 для каждого пользователя с пользовательским назначением ролей. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Роли
Административные единицы
Для использования административных единиц требуется лицензия Microsoft Entra ID P1 для каждого администратора административной единицы, которому назначены роли каталога по области административной единицы, а также бесплатная лицензия Microsoft Entra ID для каждого члена административной единицы. Создание административных единиц доступно с бесплатной лицензией Microsoft Entra ID. Если вы используете правила динамического членства для административных единиц, для каждого члена административной единицы требуется лицензия Microsoft Entra ID P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Административные единицы ограниченного управления
Ограниченные административные единицы управления требуют лицензии Microsoft Entra ID P1 для каждого администратора административной единицы и бесплатных лицензий Microsoft Entra ID для членов административной единицы. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Возможности предварительной версии
Сведения о лицензировании для всех функций, которые в настоящее время находятся в предварительной версии, включаются здесь, если это применимо. Дополнительные сведения о предварительных версиях функций см. в предварительной версии функций Microsoft Entra ID.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по