Microsoft Entra ID 治理许可基础知识
以下文档讨论了 Microsoft Entra ID 治理许可。 它适用于考虑为组织应用 Microsoft Entra ID 治理服务的 IT 决策者、IT 管理员和 IT 专业人员。
许可证类型
以下许可证可与商业云中的 Microsoft Entra ID Governance 一起使用。 租户中你需要选择的许可证将取决于你在该租户中所使用的功能。
- 免费 - 包含在 Microsoft 云订阅中(如 Microsoft Azure、Microsoft 365 等)。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户的 Microsoft 365 E3 中、中小型企业的 Microsoft 365 商业高级版中。
- Microsoft Entra ID P2 - Microsoft Entra ID P2(即将成为 Microsoft Entra ID P2)作为独立产品提供,或包含在企业客户的 Microsoft 365 E5 中。
- Microsoft Entra ID 治理 - Microsoft Entra ID 治理是一套高级标识治理功能,适用于 Microsoft Entra ID P1 和 P2 客户,分为两款产品:Microsoft Entra ID 治理和适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级版。 这些产品包含 Microsoft Entra ID P2 中的基本身份治理功能以及其他高级身份治理功能。
注意
可将某些 Microsoft Entra ID 治理方案配置为依赖于 Microsoft Entra ID 治理未涵盖的其他功能。 这些功能可能具有其他许可要求。 有关依赖于其他功能的治理方案的详细信息,请参阅标识治理概述。
Microsoft Entra ID Governance 产品尚未在美国政府或美国国家云中推出。
治理产品和先决条件
Microsoft Entra ID 治理功能目前在商业云中的两种产品中可用。 这两款产品提供相同的标识治理功能。 这两款产品的区别在于它们具有不同的先决条件。
- Microsoft Entra ID 治理的订阅(在产品条款中作为 Microsoft Entra ID 治理(用户 SL)许可证列出)要求租户还具有另一个产品(包含
AAD_PREMIUM或AAD_PREMIUM_P2服务计划的产品)的有效订阅。 满足此先决条件的产品示例包括 Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、企业移动性 + 安全性 E3/E5 或 Microsoft 365 F1/F3。 - Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级版的订阅(在产品条款中作为 Microsoft Entra ID 治理 P2 许可证列出)要求租户还具有另一个产品(包含
AAD_PREMIUM_P2服务计划的产品)的有效订阅。 满足此先决条件的产品示例包括 Microsoft Entra ID P2、Microsoft 365 E5/A5/G5、企业移动性 + 安全性 E5、Microsoft 365 E5/F5 安全或 Microsoft 365 F5 安全 + 合规性。
许可的产品名称和服务计划标识符列出了包含先决服务计划的其他产品。
注意
必须在租户中具有有效的 Microsoft Entra ID 治理产品的先决订阅。 如果先决条件不存在或订阅过期,则 Microsoft Entra ID 治理方案可能无法按预期运行。
若要检查租户中是否存在 Microsoft Entra ID 治理产品的先决产品,可以使用 Microsoft Entra 管理中心或 Microsoft 365 管理中心查看产品列表。
以全局管理员身份登录到 Microsoft Entra 管理中心。
在“标识”菜单中,展开“计费”,然后选择“许可证”。
在“管理”菜单中,选择“许可的功能”。 信息栏将指示当前的 Microsoft Entra ID 许可计划。
若要查看租户中的现有产品,请在“管理”菜单中选择“所有产品”。
开始试用
已购买相应先决产品(如 Microsoft Entra ID P1)且尚未使用或以前试用过 Microsoft Entra ID 治理的租户中的全局管理员可以请求在其租户中试用 Microsoft Entra ID 治理。
以全局管理员身份登录 Microsoft 365 管理中心。
在“计费”菜单中,选择“购买服务”。
在“搜索所有产品类别”框中,键入
"Microsoft Entra ID Governance"。选择 Microsoft Entra ID 治理下方的“详细信息”,查看产品的试用和购买信息。 如果你的租户有 Microsoft Entra ID P2,请选择“适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级版”下方的“详细信息”。
在产品详细信息页中,选择“开始免费试用”。
下表展示了 Microsoft Entra ID 治理功能的许可要求。 下表提供了针对权利管理、访问评审和生命周期工作流的许可信息和示例许可方案。
按许可证列出的功能
下表显示了每种许可证可用的功能。 并非所有功能都在所有云中可用;请参阅 Microsoft Entra 功能可用性的“Azure 政府”部分。
| 功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 |
|---|---|---|---|---|
| API 驱动的预配 | ✅ | ✅ | ✅ | |
| HR 驱动的预配 | ✅ | ✅ | ✅ | |
| 自动将用户预配到 SaaS 应用 | ✅ | ✅ | ✅ | ✅ |
| 自动将组预配到 SaaS 应用 | ✅ | ✅ | ✅ | |
| 自动预配到本地应用 | ✅ | ✅ | ✅ | |
| 条件访问 - 使用条款证明 | ✅ | ✅ | ✅ | |
| 权利管理 - 基本权利管理 | ✅ | ✅ | ||
| 权利管理 - 条件访问范围 | ✅ | ✅ | ||
| 权利管理 MyAccess 搜索 | ✅ | ✅ | ||
| 使用验证 ID 的权利管理 | ✅ | |||
| 权利管理 + 自定义扩展(逻辑应用) | ✅ | |||
| 权利管理 + 自动分配策略 | ✅ | |||
| 权利管理 - 直接分配任何用户(预览版) | ✅ | |||
| 权利管理 - 来宾转换 API | ✅ | |||
| 权利管理 - 宽限期(预览版) | ✅ | ✅ | ||
| “我的访问权限”门户 | ✅ | ✅ | ||
| 权利管理 - Microsoft Entra 角色(预览版) | ✅ | |||
| 权利管理 - 发起人策略 | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ||
| 适用于组的 PIM | ✅ | ✅ | ||
| PIM CA 控制 | ✅ | ✅ | ||
| 访问评审 - 基本访问认证和评审 | ✅ | ✅ | ||
| 访问评审 - 适用于组的 PIM(预览版) | ✅ | |||
| 访问评审 - 非活动用户评审 | ✅ | |||
| 访问评审 - 非活动用户建议 | ✅ | ✅ | ||
| 访问评审 - 机器学习辅助访问认证和评审 | ✅ | |||
| 生命周期工作流 (LCW) | ✅ | |||
| LCW + 自定义扩展(逻辑应用) | ✅ | |||
| Identity Governance 仪表板(预览版) | ✅ | ✅ | ✅ | |
| 见解和报告–非活动来宾帐户(预览版) | ✅ |
权利管理
使用此功能需要组织用户具有 Microsoft Entra ID 治理订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 可以请求访问包的 2000 名员工 | 2,000 |
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 2,000 名员工需要许可证。 | 2,000 |
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 他们需要创建一个自动分配策略,向销售部门的所有成员(350 名员工)授予对一组特定访问包的访问权限。 350 名员工自动被分配到访问包。 | 350 名员工需要许可证。 | 351 |
访问评审
使用此功能需要组织用户的 Microsoft Entra ID Governance 订阅,包括评审访问权限或其访问权限接受评审的所有员工。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅才能运行。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| 管理员创建组 A 的访问评审,该组包含 75 个用户和 1 个组所有者,并将该组所有者指定为审阅者。 | 1 个许可证适用于作为审阅者的组所有者,75 个许可证适用于 75 个用户。 | 76 |
| 管理员创建组 B 的访问评审,该组包含 500 个用户和 3 个组所有者,并将这 3 个组所有者指定为审阅者。 | 500 个许可证适用于用户,3 个许可证适用于每个作为审阅者的组所有者。 | 503 |
| 管理员创建具有 500 个用户的组 B 的访问评审。 并使其成为自我评审。 | 各个用户进行自我评审共需 500 个许可证 | 500 |
| 管理员对组 C(包含 50 名成员用户)创建访问评审。 并使其成为自我评审。 | 如果每位用户都是自我评审者,则需要 50 个许可证。 | 50 |
| 管理员对组 D(包含 6 名成员用户)创建访问评审。 并使其成为自我评审。 | 6 名作为自我审阅者的用户各需 1 个证书。 不需要其他许可证。 | 6 |
生命周期工作流
使用生命周期工作流的 Microsoft Entra ID 治理许可证可以:
- 创建、管理和删除工作流(最多 50 个工作流)。
- 触发按需的和计划的工作流执行。
- 管理和配置现有任务,以创建特定于你的需求的工作流。
- 创建最多 100 个用在工作流中的自定义任务扩展。
使用此功能需要组织用户具有 Microsoft Entra ID 治理订阅。
许可证场景示例
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| 生命周期工作流管理员创建了一个工作流,用于将营销部门中的新员工添加到“营销团队”组。 通过此工作流将 250 名新员工分配到“营销团队”组。 | 1 个许可证将用于生命周期工作流管理员,250 个许可证将用于用户。 | 251 |
| 生命周期工作流管理员创建了一个工作流,用于在员工在职的最后一天前将一组员工预离职。 可执行预离职的用户范围是 40 人。 | 40 个许可证将用于用户,1 个许可证将用于生命周期工作流管理员。 | 41 |
Privileged Identity Management
要使用 Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 还必须将许可证分配给管理员和相关用户。 本文介绍使用 Privileged Identity Management 所要满足的许可证要求。 若要使用 Privileged Identity Management,则必须具有以下许可证之一:
用于 PIM 的有效许可证
需要 Microsoft Entra ID 治理许可证或 Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,可以将访问评审的范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色,或者在租户中具有有效 Microsoft Entra ID 治理版本的用户。 服务主体的许可模型将会在此功能的正式版中最终确定,可能需要更多许可证。
你必须拥有的用于 PIM 的许可证
对于以下类别的用户,确保目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证:
- 已分配和/或限时分配到使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的合格用户
- 已分配或限时分配为适用于组的 PIM 的成员或所有者的合格用户
- 能够在 PIM 中批准或拒绝请求的用户
- 已分配到访问评审的用户
- 执行访问评审的用户
用于 PIM 的许可证方案示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个全局管理员。 他们使五个管理员符合条件。 | 五个许可证用于符合条件的管理员 | 5 |
| Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 | 14 个许可证用于符合条件的角色 + 三个审批者 | 17 |
| Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 | 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 | 53 |
当用于 PIM 的许可证过期时
如果 Microsoft Entra ID P2、Microsoft Entra ID Governance 或试用许可证过期,则无法再在目录中使用 Privileged Identity Management 功能:
- 对 Microsoft Entra 角色的永久角色分配将不受影响。
- 用户无法再使用 Microsoft Entra 管理中心中的 Privileged Identity Management 服务、图形 API cmdlet 和 Privileged Identity Management 的 PowerShell 接口来激活特权角色、管理特权访问或执行特权角色的访问评审。
- 会删除 Microsoft Entra 角色符合条件的角色分配,因为用户不再能够激活特权角色。
- Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
- 角色分配更改时,Privileged Identity Management 不再发送电子邮件。
API 驱动的预配
此功能适用于 Microsoft Entra ID P1、P2 和 Microsoft Entra ID 治理订阅。 使用 /bulkUpload API 溯源的每个标识都需要订阅许可证,并预配到本地 Active Directory 或 Microsoft Entra ID。
许可证方案
| 客户许可证 | 在租户级别针对 API 驱动的预配强制实施的使用限制 |
|---|---|
| Microsoft Entra ID P1 或 P2 | 每日使用配额(在 24 小时内可上传的用户记录数):10 万条用户记录( 每次 bulkUpload API 调用可以包含 2000 条,每个请求最多包含 50 条记录)。 每个流的 API 驱动预配作业的最大数目:2 o 最多可以使用 2 个应用向本地 Active Directory 进行 API 驱动的预配。 o 最多可以使用 2 个应用向 Microsoft Entra ID 进行 API 驱动的预配。 |
| Microsoft Entra ID 治理以及 Microsoft Entra ID P1 或 P2 | 每日使用配额(在 24 小时内可上传的用户记录数):30 万条用户记录( 每次 bulkUpload API 调用可以包含 6000 条,每个请求最多包含 50 条记录)。 每个流的 API 驱动预配作业的最大数目:20 o 最多可以使用 20 个应用向本地 Active Directory 进行 API 驱动的预配。 o 最多可以使用 20 个应用向 Microsoft Entra ID 进行 API 驱动的预配。 |
许可常见问题解答
是否需要向用户分配许可证才能使用 Identity Governance 功能?
无需为用户分配 Microsoft Entra ID Governance 许可证,但需要有尽可能多的许可证席位,以包含 Identity Governance 功能范围内的所有用户或配置了 Identity Governance 功能的用户。
如何许可企业来宾使用 Microsoft Entra ID Governance 功能?
Microsoft Entra ID Governance 功能范围内的所有用户(包括承包商、合作伙伴和外部协作者等企业来宾)都需要许可证。 我们正在为企业来宾创建新的 Microsoft Entra ID Governance 许可证。 此许可证使用的是每月活跃使用量 (MAU) 模型。 客户可以获取与其预期业务来客 MAU 匹配的许可证。
我们预计在 2024 年春季提供这些许可证。 在此期间,使用 Microsoft Entra ID Governance 管理其员工标识的组织可以免费管理其企业来宾的标识。 目前,具有 Microsoft Entra 外部 ID 的现有 Microsoft Entra ID P1 或 P2 客户可以通过其 Microsoft Entra 外部 ID 许可证继续对其企业来宾使用 P1 或 P2 中包含的功能子集。
有关详细信息,请参阅:针对企业来宾的 Microsoft Entra ID Governance 许可。
许可证过期后会发生什么情况?
如果 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 试用许可证过期,则无法再在目录中使用 Privileged Identity Management 功能: 下面介绍的更改适用于 Microsoft Entra 角色、Azure 资源以及组的 PM。
- 活动永久分配不受影响。
- 活动时限分配变为活动永久分配,这意味着它们将不再在指定时间过期。
- 符合条件的角色分配会被移除,因为用户不再能够激活特权角色。
- Microsoft Entra 管理中心或 Azure 门户中的 Privileged Identity Management 边栏选项卡,以及 Privileged Identity Management 的 API 和 PowerShell 界面将不再可供用户用来激活角色、管理分配或执行特权角色的访问评审。
- Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
- 角色分配更改时,Privileged Identity Management 将不再发送电子邮件以及 PIM 警报。
是否会在 Microsoft Entra ID P2 许可证下添加任何 IGA 特性和功能?
Microsoft Entra ID P2 中当前所有正式发布的功能将保持不变,但 Microsoft Entra ID P2 SKU 将不会新增任何 IGA 特性或功能。