Microsoft Entra ID-licensiering
I den här artikeln beskrivs Licensiering av Microsoft Entra-tjänster. Det är avsett för IT-beslutsfattare, IT-administratörer och IT-proffs som överväger Microsoft Entra-tjänster för sina organisationer. Den här artikeln är inte avsedd för slutanvändare.
Viktigt!
Information om licensiering för tjänster som inte anges här finns i tjänstens dokumentation eller sidan för Microsoft Entra-ID:ts prissättning.
Appetablering
Microsoft Entra-programproxy kräver Microsoft Entra ID P1- eller P2-licenser. Mer information om licensiering finns i Microsoft Entra-priser.
Autentisering
I följande tabell visas funktioner som är tillgängliga för autentisering i de olika versionerna av Microsoft Entra ID. Planera dina behov för att skydda användarinloggning och bestäm sedan vilken metod som uppfyller dessa krav. Även om Microsoft Entra ID Free till exempel tillhandahåller säkerhetsstandarder med multifaktorautentisering kan endast Microsoft Authenticator användas för autentiseringsprompten, inklusive text- och röstsamtal. Den här metoden kan vara en begränsning om du inte kan se till att Authenticator är installerat på en användares personliga enhet.
| Funktion | Kostnadsfritt Microsoft Entra-ID – standardinställningar för säkerhet (aktiverade för alla användare) | Kostnadsfritt Microsoft Entra-ID – endast globala administratörer | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Skydda administratörskonton för Microsoft Entra-klientorganisationen med MFA | ✅ | ✅ (Endast Microsoft Entra Global Administrator-konton ) | ✅ | ✅ | ✅ |
| Mobilapp som en andra faktor | ✅ | ✅ | ✅ | ✅ | ✅ |
| Telefon anropa som en andra faktor | ✅ | ✅ | ✅ | ||
| SMS som en andra faktor | ✅ | ✅ | ✅ | ✅ | |
| Administratörskontroll över verifieringsmetoder | ✅ | ✅ | ✅ | ✅ | |
| Bedrägerivarning | ✅ | ✅ | |||
| MFA-rapporter | ✅ | ✅ | |||
| Anpassade hälsningar för telefonsamtal | ✅ | ✅ | |||
| Anpassat nummerpresentation för telefonsamtal | ✅ | ✅ | |||
| Tillförlitliga IP-adresser | ✅ | ✅ | |||
| MFA sparas för betrodda enheter | ✅ | ✅ | ✅ | ✅ | |
| MFA för lokala program | ✅ | ✅ | |||
| Villkorlig åtkomst | ✅ | ✅ | |||
| Risk- och villkorsbaserad åtkomst | ✅ | ||||
| Lösenordsåterställning via självbetjäning (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR med tillbakaskrivning | ✅ | ✅ |
Hanterade identiteter
Det finns inga licenskrav för att använda hanterade identiteter för Azure-resurser. Hanterade identiteter för Azure-resurser tillhandahåller en automatiskt hanterad identitet för program som ska användas vid anslutning till resurser som stöder Microsoft Entra-autentisering. En av fördelarna med att använda hanterade identiteter är att du inte behöver hantera autentiseringsuppgifter och att de kan användas utan extra kostnad. Mer information finns i Vad är hanterade identiteter för Azure-resurser?.
Microsoft Entra ID Governance
I följande tabell visas licenskraven för Microsoft Entra ID-styrningsfunktioner. Licensinformation och exempel på licensscenarier för berättigandehantering, åtkomstgranskningar och livscykelarbetsflöden finns i tabellen.
Funktioner efter licens
I följande tabell visas vilka funktioner som är tillgängliga för varje licens. Alla funktioner är inte tillgängliga i alla moln. se Microsoft Entra-funktionstillgänglighet för Azure Government.
Berättigandehantering
För att kunna använda den här funktionen krävs Microsoft Entra ID Governance-prenumerationer för organisationens användare. Vissa funktioner i den här funktionen kan fungera med en Microsoft Entra ID P2-prenumeration.
Exempel på licensscenarier
Här följer några exempel på licensscenarier som hjälper dig att avgöra hur många licenser du måste ha.
| Scenario | Beräkning | Antal licenser |
|---|---|---|
| En identitetsstyrningsadministratör på Woodgrove Bank skapar inledande kataloger. En av principerna anger att Alla anställda (2 000 anställda) kan begära en specifik uppsättning åtkomstpaket. 150 anställda begär åtkomstpaketen. | 2 000 anställda som kan begära åtkomstpaketen | 2 000 |
| En identitetsstyrningsadministratör på Woodgrove Bank skapar inledande kataloger. En av principerna anger att Alla anställda (2 000 anställda) kan begära en specifik uppsättning åtkomstpaket. 150 anställda begär åtkomstpaketen. | 2 000 anställda behöver licenser. | 2 000 |
| En identitetsstyrningsadministratör på Woodgrove Bank skapar inledande kataloger. De skapar en princip för automatisk tilldelning som ger Alla medlemmar i försäljningsavdelningen (350 anställda) åtkomst till en specifik uppsättning åtkomstpaket. 350 anställda tilldelas automatiskt till åtkomstpaketen. | 350 anställda behöver licenser. | 351 |
Åtkomstgranskningar
Med den här funktionen krävs Microsoft Entra ID Governance-prenumerationer för organisationens användare, inklusive för alla anställda som granskar åtkomsten eller får sin åtkomst granskad. Vissa funktioner i den här funktionen kan fungera med en Microsoft Entra ID P2-prenumeration.
Exempel på licensscenarier
Här följer några exempel på licensscenarier som hjälper dig att avgöra hur många licenser du måste ha.
| Scenario | Beräkning | Antal licenser |
|---|---|---|
| En administratör skapar en åtkomstgranskning av grupp A med 75 användare och 1 gruppägare och tilldelar gruppägaren som granskare. | 1 licens för gruppägaren som granskare och 75 licenser för de 75 användarna. | 76 |
| En administratör skapar en åtkomstgranskning av grupp B med 500 användare och 3 gruppägare och tilldelar de tre gruppägarna som granskare. | 500 licenser för användare och 3 licenser för varje gruppägare som granskare. | 503 |
| En administratör skapar en åtkomstgranskning av grupp B med 500 användare. Gör det till en självgranskning. | 500 licenser för varje användare som självgranskare | 500 |
| En administratör skapar en åtkomstgranskning av grupp C med 50 medlemsanvändare. Gör det till en självgranskning. | 50 licenser för varje användare som självgranskare. | 50 |
| En administratör skapar en åtkomstgranskning av grupp D med 6 medlemsanvändare. Gör det till en självgranskning. | 6 licenser för varje användare som självgranskare. Inga ytterligare licenser krävs. | 6 |
Arbetsflöden för livscykel
Med Microsoft Entra ID-styrningslicenser för livscykelarbetsflöden kan du:
- Skapa, hantera och ta bort arbetsflöden upp till den totala gränsen på 50 arbetsflöden.
- Utlös körning på begäran och schemalagt arbetsflöde.
- Hantera och konfigurera befintliga uppgifter för att skapa arbetsflöden som är specifika för dina behov.
- Skapa upp till 100 anpassade uppgiftstillägg som ska användas i dina arbetsflöden.
För att kunna använda den här funktionen krävs Microsoft Entra ID Governance-prenumerationer för organisationens användare.
Exempel på licensscenarier
| Scenario | Beräkning | Antal licenser |
|---|---|---|
| En administratör för livscykelarbetsflöden skapar ett arbetsflöde för att lägga till nya anställningar på marknadsföringsavdelningen i gruppen Marknadsföringsteam. 250 nyanställda tilldelas gruppen Marknadsföringsteam via det här arbetsflödet. | 1 licens för administratören för livscykelarbetsflöden och 250 licenser för användarna. | 251 |
| En administratör för livscykelarbetsflöden skapar ett arbetsflöde för att avregistrera en grupp anställda före sin sista anställningsdag. Omfånget för användare som kommer att förinstalleras är 40 användare. | 40 licenser för användare och 1 licens för livscykelarbetsflödesadministratören. | 41 |
Microsoft Entra Connect
Den här funktionen är kostnadsfri och ingår i din Azure-prenumeration.
Microsoft Entra Connect Health
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Villkorsstyrd åtkomst för Microsoft Entra
För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
Kunder med Microsoft 365 Business Premium-licenser har också tillgång till funktioner för villkorsstyrd åtkomst.
Riskbaserade principer kräver åtkomst till Identity Protection, som är en Microsoft Entra ID P2-funktion.
Andra produkter och funktioner som kan interagera med principer för villkorsstyrd åtkomst kräver lämplig licensiering för dessa produkter och funktioner.
När licenser som krävs för villkorsstyrd åtkomst upphör att gälla inaktiveras eller tas inte principer bort automatiskt. Detta ger kunderna möjlighet att migrera bort från principer för villkorsstyrd åtkomst utan att plötsligt ändra sin säkerhetsstatus. Återstående principer kan visas och tas bort, men uppdateras inte längre.
Säkerhetsstandarder hjälper till att skydda mot identitetsrelaterade attacker och är tillgängliga för alla kunder.
Microsoft Entra ID Protection
För att använda den här funktionen krävs Microsoft Entra ID P2-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.
| Funktion | Information | Kostnadsfritt Microsoft Entra-ID/Microsoft 365-applikationer | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Riskprinciper | Principer för inloggning och användarrisk (via identitetsskydd eller villkorsstyrd åtkomst) | Nej | Nej | Ja |
| Säkerhetsrapporter | Översikt | Nej | Nej | Ja |
| Säkerhetsrapporter | Riskfyllda användare | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Begränsad information. Endast användare med medelhög och hög risk visas. Ingen informationslåda eller riskhistorik. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskfyllda inloggningar | Begränsad information. Ingen riskinformation eller risknivå visas. | Begränsad information. Ingen riskinformation eller risknivå visas. | Fullständig åtkomst |
| Säkerhetsrapporter | Riskidentifieringar | Nej | Begränsad information. Ingen informationslåda. | Fullständig åtkomst |
| Meddelanden | Användare i farozonen identifierade aviseringar | Nej | Nej | Ja |
| Meddelanden | Veckosammandrag | Nej | Nej | Ja |
| Registreringsprincip för multifaktorautentisering | Nej | Nej | Ja |
Microsoft Entra-övervakning och -hälsa
De roller och licenser som krävs varierar beroende på rapporten. Separata behörigheter krävs för åtkomst till övervaknings- och hälsodata i Microsoft Graph. Vi rekommenderar att du använder en roll med minst behörighet för att anpassa till Nolltillit vägledning.
| Logg/rapport | Roller | Licenser |
|---|---|---|
| Audit | Rapportläsare Säkerhetsläsare Säkerhetsadministratör Global läsare |
Alla utgåvor av Microsoft Entra ID |
| Inloggningar | Rapportläsare Säkerhetsläsare Säkerhetsadministratör Global läsare |
Alla utgåvor av Microsoft Entra ID |
| Etablerar | Rapportläsare Säkerhetsläsare Säkerhetsadministratör Global läsare Säkerhetsoperator Programadministratör Molnappadministratör |
Microsoft Entra ID P1 eller P2 |
| Granskningsloggar för anpassade säkerhetsattribut* | Administratör för attributlogg Attributloggläsare |
Alla utgåvor av Microsoft Entra ID |
| Användning och insikter | Rapportläsare Säkerhetsläsare Säkerhetsadministratör |
Microsoft Entra ID P1 eller P2 |
| Identitetsskydd** | Säkerhetsadministratör Säkerhetsoperator Säkerhetsläsare Global läsare |
Microsoft Entra ID Free Microsoft 365-appar Microsoft Entra ID P1 eller P2 |
| Microsoft Graph-aktivitetsloggar | Säkerhetsadministratör Behörigheter för åtkomst till data i motsvarande loggmål |
Microsoft Entra ID P1 eller P2 |
*Om du vill visa anpassade säkerhetsattribut i granskningsloggarna eller skapa diagnostikinställningar för anpassade säkerhetsattribut krävs en av rollerna i attributloggen. Du behöver också rätt roll för att visa standardgranskningsloggarna.
**Åtkomstnivån och funktionerna för Identity Protection varierar med rollen och licensen. Mer information finns i licenskraven för Identity Protection.
Microsoft Entra Privileged Identity Management
Om du vill använda Microsoft Entra Privileged Identity Management måste en klientorganisation ha en giltig licens. Licenser måste också tilldelas administratörer och relevanta användare. I den här artikeln beskrivs licenskraven för att använda Privileged Identity Management. Om du vill använda Privileged Identity Management måste du ha någon av följande licenser:
Giltiga licenser för PIM
Du behöver antingen Microsoft Entra ID Governance-licenser eller Microsoft Entra ID P2-licenser för att använda PIM och alla dess inställningar. För närvarande kan du begränsa en åtkomstgranskning till tjänstens huvudnamn med åtkomst till Microsoft Entra-ID, resursroller med en Microsoft Entra ID P2 eller användare med Microsoft Entra ID Governance Edition som är aktiv i din klientorganisation. Licensieringsmodellen för tjänstens huvudnamn kommer att slutföras för allmän tillgänglighet för den här funktionen och fler licenser kan krävas.
Licenser som du måste ha för PIM
Kontrollera att din katalog har Microsoft Entra ID P2- eller Microsoft Entra ID-styrningslicenser för följande användarkategorier:
- Användare med berättigade och/eller tidsbundna tilldelningar till Microsoft Entra-ID eller Azure-roller som hanteras med PIM
- Användare med berättigade och/eller tidsbundna tilldelningar som medlemmar eller ägare av PIM för grupper
- Användare kan godkänna eller avvisa aktiveringsbegäranden i PIM
- Användare som har tilldelats en åtkomstgranskning
- Användare som utför åtkomstgranskningar
Exempel på licensscenarier för PIM
Här följer några exempel på licensscenarier som hjälper dig att avgöra hur många licenser du måste ha.
| Scenario | Beräkning | Antal licenser |
|---|---|---|
| Woodgrove Bank har 10 administratörer för olika avdelningar och 2 privilegierade rolladministratörer som konfigurerar och hanterar PIM. De gör fem administratörer berättigade. | Fem licenser för de administratörer som är berättigade | 5 |
| Graphic Design Institute har 25 administratörer varav 14 hanteras via PIM. Rollaktivering kräver godkännande och det finns tre olika användare i organisationen som kan godkänna aktiveringar. | 14 licenser för de berättigade rollerna + tre godkännare | 17 |
| Contoso har 50 administratörer varav 42 hanteras via PIM. Rollaktivering kräver godkännande och det finns fem olika användare i organisationen som kan godkänna aktiveringar. Contoso gör också månatliga granskningar av användare som tilldelats administratörsroller och granskare är användarnas chefer som sex inte har administratörsroller som hanteras av PIM. | 42 licenser för de berättigade rollerna + fem godkännare + sex granskare | 53 |
När en licens upphör att gälla för PIM
Om en Microsoft Entra-ID P2, Microsoft Entra ID-styrning eller utvärderingslicens upphör att gälla kommer funktioner för privileged Identity Management inte längre att vara tillgängliga i din katalog:
- Permanenta rolltilldelningar till Microsoft Entra-roller påverkas inte.
- Tjänsten Privileged Identity Management i administrationscentret för Microsoft Entra och Graph API-cmdletar och PowerShell-gränssnitt för Privileged Identity Management är inte längre tillgängliga för användare för att aktivera privilegierade roller, hantera privilegierad åtkomst eller utföra åtkomstgranskningar av privilegierade roller.
- Berättigade rolltilldelningar av Microsoft Entra-roller tas bort eftersom användarna inte längre kan aktivera privilegierade roller.
- Alla pågående åtkomstgranskningar av Microsoft Entra-roller upphör och konfigurationsinställningarna för privileged Identity Management tas bort.
- Privileged Identity Management skickar inte längre e-postmeddelanden om rolltilldelningsändringar.
Microsoft Entra – verifierat ID
Microsoft Entra – verifierat ID ingår för närvarande i alla Microsoft Entra-prenumerationer, inklusive Microsoft Entra ID Free, utan extra kostnad. Information om verifierat ID och hur du aktiverar det finns i Översikt över verifierat ID.
Organisationer med flera klientorganisationer
I källklientorganisationen: Användning av den här funktionen kräver Microsoft Entra ID P1-licenser. Varje användare som synkroniseras med synkronisering mellan klientorganisationer måste ha en P1-licens i sin klientorganisation för hem/källa. Information om hur du hittar rätt licens för dina krav finns i Microsoft Entra ID-planer och priser.
I målklientorganisationen: Synkronisering mellan klientorganisationer förlitar sig på faktureringsmodellen för externt ID för Microsoft Entra. Information om licensieringsmodellen för externa identiteter finns i MAU-faktureringsmodellen för Microsoft Entra External ID. Du behöver också minst en Microsoft Entra ID P1-licens i målklientorganisationen för att aktivera automatisk återdempering.
Rollbaserad åtkomstkontroll
Det är kostnadsfritt att använda inbyggda roller i Microsoft Entra-ID. Om du använder anpassade roller krävs en Microsoft Entra ID P1-licens för varje användare med en anpassad rolltilldelning. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.
Roller
Administrativa enheter
Användning av administrativa enheter kräver en Microsoft Entra ID P1-licens för varje administratör för administrativa enheter som har tilldelats katalogroller över omfånget för den administrativa enheten och en kostnadsfri licens för Microsoft Entra-ID för varje administrativ enhetsmedlem. Det är tillgängligt att skapa administrativa enheter med en kostnadsfri licens för Microsoft Entra ID. Om du använder regler för dynamiskt medlemskap för administrativa enheter kräver varje administrativ enhetsmedlem en Microsoft Entra ID P1-licens. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.
Begränsade administrativa hanteringsenheter
Begränsade administrativa hanteringsenheter kräver en Microsoft Entra ID P1-licens för varje administratör för administrativa enheter och kostnadsfria Licenser för Microsoft Entra-ID för administrativa enhetsmedlemmar. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.
Funktioner i förhandsgranskningen
Licensieringsinformation för alla funktioner som för närvarande finns i förhandsversionen ingår här när det är tillämpligt. Mer information om förhandsversionsfunktioner finns i Förhandsversionsfunktioner för Microsoft Entra ID.