основы лицензирования Управление идентификацией Microsoft Entra

В следующем документе рассматривается Управление идентификацией Microsoft Entra лицензирование. Он предназначен для ит-руководителей, ИТ-администраторов и ИТ-специалистов, которые рассматривают Управление идентификацией Microsoft Entra услуги для своих организаций.

Типы лицензий

Следующие лицензии доступны для использования с Управление идентификацией Microsoft Entra в коммерческом облаке. Выбор лицензий, необходимых в клиенте, зависит от функций, которые вы используете в этом клиенте.

  • Бесплатный — включен в облачные подписки Майкрософт, такие как Microsoft Azure, Microsoft 365 и другие.
  • Идентификатор Microsoft Entra ID P1 — Microsoft Entra ID P1 доступен как автономный продукт или входит в состав Microsoft 365 E3 для корпоративных клиентов и Microsoft 365 бизнес премиум для малого и среднего бизнеса.
  • Идентификатор Microsoft Entra ID P2 — Идентификатор Microsoft Entra ID P2 доступен как автономный продукт или входит в состав Microsoft 365 E5 для корпоративных клиентов.
  • Управление идентификацией Microsoft Entra . Управление идентификацией Microsoft Entra — это расширенный набор возможностей управления удостоверениями, доступных для клиентов Microsoft Entra ID P1 и P2 в качестве двух продуктов. Управление идентификацией Microsoft Entra и Управление идентификацией Microsoft Entra шаг для идентификатора Microsoft Entra ID P2. Эти продукты содержат основные возможности управления удостоверениями, которые находились в Microsoft Entra ID P2 и дополнительных расширенных возможностях управления удостоверениями.

Примечание.

Некоторые сценарии Управление идентификацией Microsoft Entra можно настроить для зависимости от других функций, которые не охватываются Управление идентификацией Microsoft Entra. Эти функции могут иметь дополнительные требования к лицензированию. Дополнительные сведения о сценариях управления удостоверениями, основанных на дополнительных функциях, см. в разделе "Управление удостоверениями".

Управление идентификацией Microsoft Entra продукты пока недоступны в государственных учреждениях США или национальных облаках США.

Продукты управления и предварительные требования

Возможности Управление идентификацией Microsoft Entra в настоящее время доступны в двух продуктах в коммерческом облаке. Эти два продукта предоставляют одинаковые возможности управления удостоверениями. Разница между двумя продуктами заключается в том, что они имеют разные предварительные требования.

  • Подписка на Управление идентификацией Microsoft Entra, указанная в условиях продукта в качестве лицензии Управление идентификацией Microsoft Entra (User SL), требует, чтобы клиент также был активной подпиской на другой продукт, который содержит AAD_PREMIUM план обслуживания или AAD_PREMIUM_P2 план обслуживания. Примеры продуктов с этим предварительным требованием: Microsoft Entra ID P1, Microsoft 365 E3/E5/A5/A3/G3/G5, Enterprise Mobility + Security E3/E5 или Microsoft 365 F3/F3.
  • Подписка на Управление идентификацией Microsoft Entra шаг для идентификатора Microsoft Entra ID P2, указанная в условиях продукта в качестве лицензии Управление идентификацией Microsoft Entra P2, требует, чтобы клиент также был активной подпиской на другой продукт, который содержит AAD_PREMIUM_P2 план обслуживания. Примеры продуктов, которые соответствуют требованиям, включают Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security или Microsoft 365 F5 Security + Compliance.

Имена продуктов и идентификаторы плана обслуживания для лицензирования содержат дополнительные продукты, которые включают необходимые планы обслуживания.

Примечание.

Подписка на необходимые условия для продукта Управление идентификацией Microsoft Entra должна быть активной в клиенте. Если предварительные требования отсутствуют или срок действия подписки истекает, Управление идентификацией Microsoft Entra сценарии могут не функционировать должным образом.

Чтобы проверка, если необходимые продукты для продукта Управление идентификацией Microsoft Entra присутствуют в клиенте, можно использовать Центр администрирования Microsoft Entra или Центр администрирования Microsoft 365 для просмотра списка продуктов.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

  2. В меню "Удостоверение" разверните узел "Выставление счетов" и выберите "Лицензии".

  3. В меню "Управление" выберите лицензированные функции. Информационная панель указывает текущий план лицензии идентификатора Microsoft Entra ID.

  4. Чтобы просмотреть существующие продукты в клиенте, в меню "Управление " выберите " Все продукты".

Запуск пробной версии

Глобальный администратор в клиенте, имеющий соответствующий необходимый продукт, например Microsoft Entra ID P1, уже приобретенный и не использующий или ранее пробный Управление идентификацией Microsoft Entra, может запросить пробную версию Управление идентификацией Microsoft Entra в своем клиенте.

  1. Войдите в Центр администрирования Microsoft 365 как глобальный Администратор istrator

  2. В меню "Выставление счетов" выберите "Покупки служб".

  3. В поле "Поиск всех категорий продуктов" введите "Microsoft Entra ID Governance".

  4. Выберите сведения ниже Управление идентификацией Microsoft Entra, чтобы просмотреть сведения о пробной версии и покупке продукта. Если у вашего клиента есть идентификатор Microsoft Entra ID P2, выберите "Сведения" ниже Управление идентификацией Microsoft Entra шаг "Шаг" для идентификатора Microsoft Entra ID P2.

  5. На странице сведений о продукте выберите "Начать бесплатную пробную версию".

В следующей таблице показаны требования к лицензированию для функций Управление идентификацией Microsoft Entra. Сведения о лицензировании и примеры сценариев лицензий для управления правами, проверки доступа и рабочих процессов жизненного цикла приведены в таблице.

Функции по лицензии

В следующей таблице показано, какие функции доступны для каждой лицензии. Не все функции доступны во всех облаках; См. сведения о доступности компонентов Microsoft Entra для Azure для государственных организаций.

Функция Бесплатно Microsoft Entra ID, лицензия P1 Microsoft Entra ID, лицензия P2 Управление идентификацией Microsoft Entra
Подготовка на основе API
Подготовка на основе управления персоналом
Автоматическая подготовка пользователей к приложениям SaaS
Автоматическая подготовка групп в приложениях SaaS
Автоматическая подготовка локальных приложений
Условный доступ — условия аттестации использования
Управление правами — базовое управление правами
Управление правами — определение области условного доступа
Поиск MyAccess для управления правами
Управление правами с проверенным идентификатором
Управление правами и пользовательские расширения (Logic Apps)
Управление правами и политики автоматического назначения
Управление правами — непосредственно назначьте любого пользователя (предварительная версия)
Управление правами — API преобразования гостей
Управление правами — льготный период (предварительная версия)
Портал "Мой доступ"
Управление правами — роли Microsoft Entra (предварительная версия)
Управление правами — политика спонсоров
Управление привилегированными пользователями (PIM).
PIM для групп
Элементы управления ЦС PIM
Проверки доступа — базовые сертификаты и проверки доступа
Проверки доступа — PIM для групп (предварительная версия)
Проверки доступа — неактивные проверки пользователей
Проверки доступа — рекомендации неактивных пользователей
Проверки доступа— сертификации и проверки доступа с помощью машинного обучения
Рабочие процессы жизненного цикла (LCW)
LCW + пользовательские расширения (Logic Apps)
Панель мониторинга управления удостоверениями (предварительная версия)
Аналитика и отчеты — неактивные гостевые учетные записи (предварительная версия)

Управление правами

Для использования этой функции требуются Управление идентификацией Microsoft Entra подписки для пользователей вашей организации. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.

Примеры сценариев лицензирования

Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.

Сценарий Расчет Количество лицензий
Управление удостоверениями Администратор istrator в Woodgrove Bank создает начальные каталоги. Одна из политик указывает, что Все сотрудники (2 000 сотрудников) могут запросить определенный набор пакетов для доступа. 150 сотрудников запрашивают пакеты для доступа. 2000 сотрудников, которые могут запрашивать пакеты для доступа 2 000
Управление удостоверениями Администратор istrator в Woodgrove Bank создает начальные каталоги. Одна из политик указывает, что Все сотрудники (2 000 сотрудников) могут запросить определенный набор пакетов для доступа. 150 сотрудников запрашивают пакеты для доступа. 2000 сотрудников нуждаются в лицензиях. 2 000
Управление удостоверениями Администратор istrator в Woodgrove Bank создает начальные каталоги. Они создают политику автоматического назначения, которая предоставляет всем членам отдела продаж (350 сотрудников) доступ к определенному набору пакетов доступа. 350 сотрудников назначаются пакетам доступа автоматически. 350 сотрудников нуждаются в лицензиях. 351

Проверки доступа

Использование этой функции требует Управление идентификацией Microsoft Entra подписок для пользователей вашей организации, включая всех сотрудников, которые просматривают доступ или проверяют доступ. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.

Примеры сценариев лицензирования

Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.

Сценарий Расчет Количество лицензий
Администратор создает проверку доступа для группы A с 75 пользователями и одним владельцем группы, а этого владельца группы назначает в качестве рецензента. 1 лицензия для владельца группы в качестве рецензента и 75 лицензий для 75 пользователей. 76
Администратор создает проверку доступа для группы B с 500 пользователями и тремя владельцами группы, а всех владельцев группы назначает в качестве рецензентов. 500 лицензий для пользователей и 3 лицензии для каждого владельца группы в качестве рецензентов. 503
Администратор создает проверку доступа для группы B с 500 пользователями. Для этой группы он включает самостоятельную проверку. 500 лицензий для каждого пользователя в роли самостоятельного рецензента 500
Администратор создает проверку доступа группы C с 50 пользователями-участниками. Для этой группы он включает самостоятельную проверку. 50 лицензий для каждого пользователя в роли самостоятельного рецензента. 50
Администратор создает проверку доступа группы D с 6 пользователями-участниками. Для этой группы он включает самостоятельную проверку. 6 лицензий для каждого пользователя в роли самостоятельного рецензента. Дополнительные лицензии не требуются. 6

Рабочие процессы жизненного цикла

С помощью лицензий Управление идентификацией Microsoft Entra для рабочих процессов жизненного цикла можно:

  • Создание, управление и удаление рабочих процессов до общей суммы в 50 рабочих процессов.
  • Триггер по запросу и запланированное выполнение рабочего процесса.
  • Управление и настройка существующих задач для создания рабочих процессов, относящихся к вашим потребностям.
  • Создайте до 100 пользовательских расширений задач, которые будут использоваться в рабочих процессах.

Для использования этой функции требуются Управление идентификацией Microsoft Entra подписки для пользователей вашей организации.

Примеры сценариев лицензирования

Сценарий Расчет Количество лицензий
Рабочий процесс жизненного цикла Администратор istrator создает рабочий процесс для добавления новых сотрудников в отдел маркетинга в группу команд маркетинга. 250 новых сотрудников назначаются группе маркетинговых групп с помощью этого рабочего процесса. 1 лицензия для рабочих процессов жизненного цикла Администратор istrator и 250 лицензий для пользователей. 251
Рабочий процесс жизненного цикла Администратор istrator создает рабочий процесс для предварительного подключения группы сотрудников до последнего дня работы. Область пользователей, которые будут предварительно подключены, — 40 пользователей. 40 лицензий для пользователей и 1 лицензии для рабочих процессов жизненного цикла Администратор istrator. 41

Управление привилегированными пользователями

Чтобы использовать управление привилегированными пользователями Microsoft Entra, клиент должен иметь действительную лицензию. Лицензии также должны быть назначены администраторам и соответствующим пользователям. В этой статье описываются требования к лицензиям для использования средств управления привилегированными пользователями. Для работы со средствами управления привилегированными пользователями необходима одна из следующих лицензий:

Допустимые лицензии для PIM

Для использования PIM и всех его параметров требуется Управление идентификацией Microsoft Entra лицензии или лицензии Microsoft Entra ID P2. В настоящее время вы можете область проверку доступа к субъектам-службам с доступом к идентификатору Microsoft Entra ID, ролям ресурсов с идентификатором Microsoft Entra ID P2 или пользователями с Управление идентификацией Microsoft Entra выпуском, активным в клиенте. Модель лицензирования для субъектов-служб будет завершена для общедоступной доступности этой функции, и могут потребоваться дополнительные лицензии.

Лицензии, необходимые для PIM

Убедитесь, что в каталоге есть лицензии Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra для следующих категорий пользователей:

  • Пользователи с соответствующими назначениями с привязкой к времени идентификатору Microsoft Entra или ролям Azure, управляемым с помощью PIM
  • Пользователи с соответствующими назначениями по времени и (или) в качестве членов или владельцев PIM для групп
  • Пользователи имеют возможность утверждать или отклонять запросы на активацию в PIM
  • Пользователи, которые назначены для проверки доступа.
  • Пользователи, которые выполняют проверки доступа.

Примеры сценариев лицензии для PIM

Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.

Сценарий Расчет Количество лицензий
Woodgrove Bank имеет 10 администраторов для различных отделов и 2 привилегированных ролей Администратор istrator, которые настраивают PIM и управляют ими. Настройка разрешена пяти администраторам. Пять лицензий для администраторов, имеющих право настройки 5
В институте графического дизайна имеется 25 администраторов, 14 из которых управляются посредством PIM. Для активации роли требуется утверждение, а в организации есть три разных пользователя, которые могут утверждать активацию. 14 лицензий для соответствующих ролей + три для утверждающих сотрудников 17
В компании Contoso 50 администраторов, управление 42 из которых осуществляется через PIM. Для активации роли требуется утверждение, а в организации есть пять разных пользователей, которые могут утверждать активацию. Компания Contoso также выполняет ежемесячные проверки пользователей, назначенных ролям администратора и рецензентам, являются руководителями пользователей, из которых шесть не находятся в ролях администратора, управляемых PIM. 42. лицензии для соответствующих ролей + пять для утверждающих сотрудников + шесть рецензентов 53

Срок действия лицензии для PIM

Если срок действия лицензии microsoft Entra ID P2, Управление идентификацией Microsoft Entra или пробной версии истекает, управление привилегированными пользователями функции больше не будут доступны в каталоге:

  • Постоянные назначения ролей для ролей Microsoft Entra не будут затронуты.
  • Служба управление привилегированными пользователями в Центре администрирования Microsoft Entra и командлеты API Graph и интерфейсы PowerShell управление привилегированными пользователями, больше не будет доступен для пользователей для активации привилегированных ролей, управления привилегированным доступом или выполнения проверок доступа привилегированных ролей.
  • Допустимые назначения ролей Microsoft Entra удаляются, так как пользователи больше не смогут активировать привилегированные роли.
  • Все текущие проверки доступа ролей Microsoft Entra заканчиваются и управление привилегированными пользователями параметры конфигурации удаляются.
  • управление привилегированными пользователями больше не отправляет сообщения электронной почты при изменении назначения ролей.

Подготовка на основе API

Эта функция доступна с подписками Microsoft Entra ID P1, P2 и Управление идентификацией Microsoft Entra. Лицензия на подписку требуется для каждого удостоверения, исходного с помощью API /bulkUpload и подготовленного для локальная служба Active Directory или идентификатора Microsoft Entra.

Сценарии лицензии

Лицензия клиента Ограничения использования, применяемые на уровне клиента для подготовки на основе API
Microsoft Entra ID P1 или P2 Квота ежедневного использования (количество записей пользователей, которые могут быть отправлены в течение 24-часового периода): 100K пользовательских записей (2000 /bulkUpload API вызовов с каждым запросом, содержащим максимум 50 записей).

Максимальное количество заданий подготовки на основе API для каждого потока: 2
o Максимальное количество приложений для подготовки на основе API для локальная служба Active Directory.
o Максимальное количество приложений для подготовки на основе API в идентификатор Microsoft Entra.
Управление идентификацией Microsoft Entra вместе с идентификатором Microsoft Entra ID P1 или P2 Квота ежедневного использования (количество записей пользователей, которые могут быть отправлены более 24-часового периода): 300K пользовательских записей (6000 /bulkUpload API вызовов с каждым запросом, содержащим максимум 50 записей).

Максимальное количество заданий подготовки на основе API для каждого потока: 20
o Максимальное количество приложений для подготовки на основе API для локальная служба Active Directory.
o Макс. 20 приложений для подготовки на основе API в идентификатор Microsoft Entra.

Вопросы и ответы по лицензированию

Нужно ли назначать лицензии пользователям для использования функций управления удостоверениями?

Пользователям не нужно назначать лицензию Управление идентификацией Microsoft Entra, но для включения всех пользователей в область или настройки функций управления удостоверениями необходимо иметь столько лицензий.

Как лицензировать использование функций Управление идентификацией Microsoft Entra для бизнес-гостей?

Всем пользователям, которые находятся в область функций Управление идентификацией Microsoft Entra, включая бизнес-гостей, таких как подрядчики, партнеры и внешние сотрудники, требуется лицензия. Мы создадим новую лицензию Управление идентификацией Microsoft Entra для бизнес-гостей. Эта лицензия работает с моделью ежемесячного активного использования (MAU). Клиенты могут получить лицензии, соответствующие ожидаемому бизнес-гостею MAU.

Мы ожидаем, что эти лицензии доступны весной 2024 года. В то же время организации, которые управляют удостоверениями своих сотрудников с Управление идентификацией Microsoft Entra могут управлять удостоверениями своих деловых гостей без дополнительных затрат. В настоящее время существующие клиенты Microsoft Entra ID P1 или P2 с Внешняя идентификация Microsoft Entra могут продолжать использовать подмножество функций, включенных в P1 или P2 со своими бизнес-гостями через свою лицензию Внешняя идентификация Microsoft Entra.

Дополнительные сведения см. в статье Управление идентификацией Microsoft Entra лицензирование для бизнес-гостей.

Что происходит при истечении срока действия лицензии PIM?

Если срок действия лицензии microsoft Entra ID P2 или Управление идентификацией Microsoft Entra истекает или заканчивается пробная версия, управление привилегированными пользователями функции больше не будут доступны в каталоге. Приведенные ниже изменения применимы к PIM для ролей Microsoft Entra, PIM для ресурсов Azure и PIM для групп.

  • Активные постоянные назначения не затрагиваются.
  • Активные назначения, связанные с временем, становятся активными постоянными, что означает, что срок действия истекает в указанное время.
  • Допустимые назначения ролей удаляются, так как пользователи больше не смогут активировать привилегированные роли.
  • колонки управление привилегированными пользователями в Центре администрирования Microsoft Entra или портал Azure, API и Интерфейсах PowerShell управление привилегированными пользователями, больше не будет доступен пользователям для активации ролей, управления назначениями или проверки доступа привилегированных ролей.
  • Все текущие проверки доступа к ролям Microsoft Entra и управление привилегированными пользователями параметры конфигурации удаляются.
  • управление привилегированными пользователями больше не будет отправлять сообщения электронной почты по изменениям назначения ролей и оповещенияМ PIM.

Будут ли добавлены какие-либо функции и возможности IGA в рамках лицензии Microsoft Entra ID P2?

Все общедоступные функции в Microsoft Entra ID P2 останутся, но новые функции и возможности IGA не будут добавлены в номер SKU Microsoft Entra ID P2.

Следующие шаги