Лицензирование идентификатора Microsoft Entra
В этой статье рассматривается лицензирование служб Microsoft Entra. Он предназначен для ит-руководителей, ИТ-администраторов и ИТ-специалистов, которые рассматривают службы Microsoft Entra для своих организаций. Эта статья не предназначена для конечных пользователей.
Внимание
Сведения о лицензировании служб, не перечисленных здесь, см. в документации службы или на странице цен на идентификатор Microsoft Entra ID.
Подготовка приложений
Для прокси приложения Microsoft Entra требуются лицензии Microsoft Entra ID P1 или P2. Дополнительные сведения о лицензировании см. в разделе о ценах на Microsoft Entra.
Проверка подлинности
В следующей таблице перечислены функции, доступные для проверки подлинности в различных версиях идентификатора Microsoft Entra. Спланируйте свои потребности в защите входа пользователя, а затем определите, какой подход соответствует этим требованиям. Например, хотя microsoft Entra ID Free предоставляет значения безопасности по умолчанию с многофакторной проверкой подлинности, для запроса проверки подлинности можно использовать только Microsoft Authenticator, включая текстовые и голосовые вызовы. Этот подход может быть ограничением, если вы не можете убедиться, что Authenticator установлен на личном устройстве пользователя.
| Функция | Бесплатный идентификатор Microsoft Entra — значения по умолчанию безопасности (включены для всех пользователей) | Бесплатный идентификатор Microsoft Entra — только глобальные Администратор istrators | Office 365 | Microsoft Entra ID, лицензия P1 | Microsoft Entra ID, лицензия P2 |
|---|---|---|---|---|---|
| Защита учетных записей администратора клиента Microsoft Entra с помощью MFA | ✅ | ✅(Только учетные записи Microsoft Entra Global Администратор istrator) | ✅ | ✅ | ✅ |
| Мобильное приложение в качестве второго фактора | ✅ | ✅ | ✅ | ✅ | ✅ |
| Телефонный вызов в качестве второго фактора | ✅ | ✅ | ✅ | ||
| SMS в качестве второго фактора | ✅ | ✅ | ✅ | ✅ | |
| Администраторский контроль над методами проверки | ✅ | ✅ | ✅ | ✅ | |
| Предупреждение о мошенничестве | ✅ | ✅ | |||
| Отчеты службы "Многофакторная идентификация Azure" | ✅ | ✅ | |||
| Настраиваемые приветствия для телефонных вызовов | ✅ | ✅ | |||
| Настраиваемый идентификатор вызывающей стороны для телефонных звонков | ✅ | ✅ | |||
| Надежные IP-адреса | ✅ | ✅ | |||
| Запоминание данных MFA для доверенных устройств | ✅ | ✅ | ✅ | ✅ | |
| MFA для локальных приложений | ✅ | ✅ | |||
| Условный доступ | ✅ | ✅ | |||
| Условный доступ на основе рисков | ✅ | ||||
| Самостоятельный сброс пароля (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR с обратной записью | ✅ | ✅ |
Управляемые удостоверения
Для использования управляемых удостоверений для ресурсов Azure нет требований к лицензированию. Управляемые удостоверения для ресурсов Azure предоставляют автоматически управляемое удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Одним из преимуществ использования управляемых удостоверений является то, что вам не нужно управлять учетными данными, и их можно использовать без дополнительных затрат. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure.
Управление идентификацией Microsoft Entra
В следующей таблице показаны требования к лицензированию для функций Управление идентификацией Microsoft Entra. Сведения о лицензировании и примеры сценариев лицензий для управления правами, проверки доступа и рабочих процессов жизненного цикла приведены в таблице.
Функции по лицензии
В следующей таблице показано, какие функции доступны для каждой лицензии. Не все функции доступны во всех облаках; См. сведения о доступности компонентов Microsoft Entra для Azure для государственных организаций.
Управление правами
Для использования этой функции требуются Управление идентификацией Microsoft Entra подписки для пользователей вашей организации. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.
Примеры сценариев лицензирования
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Управление удостоверениями Администратор istrator в Woodgrove Bank создает начальные каталоги. Одна из политик указывает, что Все сотрудники (2 000 сотрудников) могут запросить определенный набор пакетов для доступа. 150 сотрудников запрашивают пакеты для доступа. | 2000 сотрудников, которые могут запрашивать пакеты для доступа | 2 000 |
| Управление удостоверениями Администратор istrator в Woodgrove Bank создает начальные каталоги. Одна из политик указывает, что Все сотрудники (2 000 сотрудников) могут запросить определенный набор пакетов для доступа. 150 сотрудников запрашивают пакеты для доступа. | 2000 сотрудников нуждаются в лицензиях. | 2 000 |
| Управление удостоверениями Администратор istrator в Woodgrove Bank создает начальные каталоги. Они создают политику автоматического назначения, которая предоставляет всем членам отдела продаж (350 сотрудников) доступ к определенному набору пакетов доступа. 350 сотрудников назначаются пакетам доступа автоматически. | 350 сотрудников нуждаются в лицензиях. | 351 |
Проверки доступа
Использование этой функции требует Управление идентификацией Microsoft Entra подписок для пользователей вашей организации, включая всех сотрудников, которые просматривают доступ или проверяют доступ. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.
Примеры сценариев лицензирования
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Администратор создает проверку доступа для группы A с 75 пользователями и одним владельцем группы, а этого владельца группы назначает в качестве рецензента. | 1 лицензия для владельца группы в качестве рецензента и 75 лицензий для 75 пользователей. | 76 |
| Администратор создает проверку доступа для группы B с 500 пользователями и тремя владельцами группы, а всех владельцев группы назначает в качестве рецензентов. | 500 лицензий для пользователей и 3 лицензии для каждого владельца группы в качестве рецензентов. | 503 |
| Администратор создает проверку доступа для группы B с 500 пользователями. Для этой группы он включает самостоятельную проверку. | 500 лицензий для каждого пользователя в роли самостоятельного рецензента | 500 |
| Администратор создает проверку доступа группы C с 50 пользователями-участниками. Для этой группы он включает самостоятельную проверку. | 50 лицензий для каждого пользователя в роли самостоятельного рецензента. | 50 |
| Администратор создает проверку доступа группы D с 6 пользователями-участниками. Для этой группы он включает самостоятельную проверку. | 6 лицензий для каждого пользователя в роли самостоятельного рецензента. Дополнительные лицензии не требуются. | 6 |
Рабочие процессы жизненного цикла
С помощью лицензий Управление идентификацией Microsoft Entra для рабочих процессов жизненного цикла можно:
- Создание, управление и удаление рабочих процессов до общей суммы в 50 рабочих процессов.
- Триггер по запросу и запланированное выполнение рабочего процесса.
- Управление и настройка существующих задач для создания рабочих процессов, относящихся к вашим потребностям.
- Создайте до 100 пользовательских расширений задач, которые будут использоваться в рабочих процессах.
Для использования этой функции требуются Управление идентификацией Microsoft Entra подписки для пользователей вашей организации.
Примеры сценариев лицензирования
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Рабочий процесс жизненного цикла Администратор istrator создает рабочий процесс для добавления новых сотрудников в отдел маркетинга в группу команд маркетинга. 250 новых сотрудников назначаются группе маркетинговых групп с помощью этого рабочего процесса. | 1 лицензия для рабочих процессов жизненного цикла Администратор istrator и 250 лицензий для пользователей. | 251 |
| Рабочий процесс жизненного цикла Администратор istrator создает рабочий процесс для предварительного подключения группы сотрудников до последнего дня работы. Область пользователей, которые будут предварительно подключены, — 40 пользователей. | 40 лицензий для пользователей и 1 лицензии для рабочих процессов жизненного цикла Администратор istrator. | 41 |
Microsoft Entra Connect
Эта функция бесплатна и доступна в вашей подписке Azure.
Microsoft Entra Connect Health
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
Условный доступ Microsoft Entra
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей Microsoft Entra ID.
Клиенты с лицензиями Microsoft 365 бизнес премиум также имеют доступ к функциям условного доступа.
Политики на основе рисков требуют доступа к защите идентификации, которая является функцией Microsoft Entra ID P2.
Для других продуктов и функций, которые могут взаимодействовать с политиками условного доступа, требуется соответствующее лицензирование для этих продуктов и функций.
Если срок действия лицензий, необходимых для условного доступа, политики не будут автоматически отключены или удалены. Это дает клиентам возможность переходить от политик условного доступа без внезапного изменения состояния безопасности. Остальные политики можно просматривать и удалять, но больше не обновлять.
Параметры безопасности по умолчанию помогают защитить от атак, связанных с удостоверениями, и доступны для всех клиентов.
Защита идентификации Microsoft Entra
Для использования этой функции требуются лицензии Microsoft Entra ID P2. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
| Возможность | Подробно | Бесплатный и Приложения Microsoft 365 идентификатора Microsoft Entra | Microsoft Entra ID, лицензия P1 | Microsoft Entra ID, лицензия P2 |
|---|---|---|---|---|
| Политики в отношении рисков | Политики риска входа и пользователя (с помощью защиты идентификации или условного доступа) | No | No | Да |
| Отчеты о безопасности | Обзор | No | No | Да |
| Отчеты о безопасности | Пользователи, выполняющие рискованные действия | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Ограниченные сведения. Отображаются только пользователи, выполняющие действия со средним и высоким уровнем риска. Отсутствует панель с подробными сведениями или журнал рисков. | Полный доступ |
| Отчеты о безопасности | Вход, представляющий риск | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Ограниченные сведения. Панель с подробными сведениями или журнал рисков не отображается. | Полный доступ |
| Отчеты о безопасности | Обнаружения рисков | No | Ограниченные сведения. Панель с подробными сведениями отсутствует. | Полный доступ |
| Notifications | Предупреждения об обнаружении пользователей под угрозой | No | No | Да |
| Notifications | Еженедельный дайджест | No | No | Да |
| Политика регистрации с MFA | No | No | Да |
Мониторинг и работоспособности Microsoft Entra
Требуемые роли и лицензии зависят от отчета. Для доступа к данным мониторинга и работоспособности в Microsoft Graph требуются отдельные разрешения. Мы рекомендуем использовать роль с минимальными привилегиями для согласования с руководством по нулю доверия.
*Просмотр настраиваемых атрибутов безопасности в журналах аудита или создание параметров диагностики для настраиваемых атрибутов безопасности требует одной из ролей журнала атрибутов. Вам также нужна соответствующая роль для просмотра стандартных журналов аудита.
**Уровень доступа и возможностей защиты идентификации зависит от роли и лицензии. Дополнительные сведения см. в требованиях к лицензии для защиты идентификации.
Microsoft Entra управление привилегированными пользователями
Чтобы использовать управление привилегированными пользователями Microsoft Entra, клиент должен иметь действительную лицензию. Лицензии также должны быть назначены администраторам и соответствующим пользователям. В этой статье описываются требования к лицензиям для использования средств управления привилегированными пользователями. Для работы со средствами управления привилегированными пользователями необходима одна из следующих лицензий:
Допустимые лицензии для PIM
Для использования PIM и всех его параметров требуется Управление идентификацией Microsoft Entra лицензии или лицензии Microsoft Entra ID P2. В настоящее время вы можете область проверку доступа к субъектам-службам с доступом к идентификатору Microsoft Entra ID, ролям ресурсов с идентификатором Microsoft Entra ID P2 или пользователями с Управление идентификацией Microsoft Entra выпуском, активным в клиенте. Модель лицензирования для субъектов-служб будет завершена для общедоступной доступности этой функции, и могут потребоваться дополнительные лицензии.
Лицензии, необходимые для PIM
Убедитесь, что в каталоге есть лицензии Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra для следующих категорий пользователей:
- Пользователи с соответствующими назначениями с привязкой к времени идентификатору Microsoft Entra или ролям Azure, управляемым с помощью PIM
- Пользователи с соответствующими назначениями по времени и (или) в качестве членов или владельцев PIM для групп
- Пользователи имеют возможность утверждать или отклонять запросы на активацию в PIM
- Пользователи, которые назначены для проверки доступа.
- Пользователи, которые выполняют проверки доступа.
Примеры сценариев лицензии для PIM
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Woodgrove Bank имеет 10 администраторов для различных отделов и 2 привилегированных ролей Администратор istrator, которые настраивают PIM и управляют ими. Настройка разрешена пяти администраторам. | Пять лицензий для администраторов, имеющих право настройки | 5 |
| В институте графического дизайна имеется 25 администраторов, 14 из которых управляются посредством PIM. Для активации роли требуется утверждение, а в организации есть три разных пользователя, которые могут утверждать активацию. | 14 лицензий для соответствующих ролей + три для утверждающих сотрудников | 17 |
| В компании Contoso 50 администраторов, управление 42 из которых осуществляется через PIM. Для активации роли требуется утверждение, а в организации есть пять разных пользователей, которые могут утверждать активацию. Компания Contoso также выполняет ежемесячные проверки пользователей, назначенных ролям администратора и рецензентам, являются руководителями пользователей, из которых шесть не находятся в ролях администратора, управляемых PIM. | 42. лицензии для соответствующих ролей + пять для утверждающих сотрудников + шесть рецензентов | 53 |
Срок действия лицензии для PIM
Если срок действия лицензии microsoft Entra ID P2, Управление идентификацией Microsoft Entra или пробной версии истекает, управление привилегированными пользователями функции больше не будут доступны в каталоге:
- Постоянные назначения ролей для ролей Microsoft Entra не будут затронуты.
- Служба управление привилегированными пользователями в Центре администрирования Microsoft Entra и командлеты API Graph и интерфейсы PowerShell управление привилегированными пользователями, больше не будет доступен для пользователей для активации привилегированных ролей, управления привилегированным доступом или выполнения проверок доступа привилегированных ролей.
- Допустимые назначения ролей Microsoft Entra удаляются, так как пользователи больше не смогут активировать привилегированные роли.
- Все текущие проверки доступа ролей Microsoft Entra заканчиваются и управление привилегированными пользователями параметры конфигурации удаляются.
- управление привилегированными пользователями больше не отправляет сообщения электронной почты при изменении назначения ролей.
Проверенные учетные данные Microsoft Entra
Проверенные учетные данные Microsoft Entra в настоящее время включается в любую подписку Microsoft Entra, включая бесплатный идентификатор Microsoft Entra ID без дополнительной платы. Сведения о проверенной идентификации и его включении см. в обзоре проверенного идентификатора.
Мультитенантные организации
В исходном клиенте: для использования этой функции требуются лицензии Microsoft Entra ID P1. Каждый пользователь, синхронизированный с синхронизацией между клиентами, должен иметь лицензию P1 в своем домашнем или исходном клиенте. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с планами и ценами на идентификаторы Microsoft Entra.
В целевом клиенте синхронизация между клиентами зависит от модели выставления счетов Внешняя идентификация Microsoft Entra. Чтобы понять модель лицензирования внешних удостоверений, ознакомьтесь с моделью выставления счетов MAU для Внешняя идентификация Microsoft Entra. Кроме того, в целевом клиенте требуется по крайней мере одна лицензия Microsoft Entra ID P1 для включения авторедемпции.
Управление доступом на основе ролей
Использование встроенных ролей в идентификаторе Microsoft Entra является бесплатным. Использование пользовательских ролей требует лицензии Microsoft Entra ID P1 для каждого пользователя с пользовательским назначением ролей. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Роли
Административные единицы
Для каждого администратора административной единицы требуется лицензия Microsoft Entra ID P1 для каждого администратора административной единицы, которому назначены роли каталога по область административной единицы, а также бесплатная лицензия Microsoft Entra ID для каждого члена административной единицы. Создание административных единиц доступно с бесплатной лицензией Microsoft Entra ID. Если вы используете правила динамического членства для административных единиц, для каждого члена административной единицы требуется лицензия Microsoft Entra ID P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Административные единицы ограниченного управления
Ограниченные административные единицы управления требуют лицензии Microsoft Entra ID P1 для каждого администратора административной единицы и бесплатных лицензий Microsoft Entra ID для членов административной единицы. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.
Возможности предварительной версии
Сведения о лицензировании для всех функций, которые в настоящее время находятся в предварительной версии, включаются здесь, если это применимо. Дополнительные сведения о предварительных версиях функций см. в предварительной версии функций Microsoft Entra ID.