Microsoft Entra 授权
本文讨论 Microsoft Entra 产品系列的许可选项。 它适用于考虑为组织应用 Microsoft Entra 解决方案的安全决策者、标识和网络访问管理员,以及 IT 专业人员。
Entra 许可选项
Microsoft Entra 在多个许可选项中提供,你可以在这些选项中选择最适合你的需求的套餐。
注意
此页上的许可选项并非详尽无遗。 可以在 Microsoft Entra 定价页和比较 Microsoft 365 企业版计划和定价页获取有关各种选项的详细信息。
Microsoft Entra ID 免费版 - 包含在 Microsoft 云订阅中(如 Microsoft Azure、Microsoft 365 等)。
Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户的 Microsoft 365 E3 中、中小型企业的 Microsoft 365 商业高级版中。
Microsoft Entra ID P2 - Microsoft Entra ID P2 作为独立产品提供,或包含在企业客户的 Microsoft 365 E5 中。
Microsoft Entra 套件 - 该套件结合了 Microsoft Entra 产品来保护员工的访问安全。 它使管理员可以提供从任意位置到任何应用或资源(无论是云还是本地)的安全访问,同时确保最低权限访问。 需要 Microsoft Entra ID P1 订阅。 Microsoft Entra 套件包括五种产品:
- Microsoft Entra 专用访问
- Microsoft Entra Internet 访问
- Microsoft Entra ID 治理
- Microsoft Entra ID 保护
- Microsoft Entra 验证 ID(高级功能)
应用预配
Microsoft Entra 应用程序代理需要 Microsoft Entra ID P1 或 P2 许可证。 有关许可的详细信息,请参阅 Microsoft Entra 定价。
身份验证
下表列出了可在各种版本的 Microsoft Entra ID 中用于身份验证的功能。 规划你对于保护用户登录的需求,然后确定哪些方法可以满足这些要求。 例如,尽管 Microsoft Entra ID 免费版提供安全默认值来实现多重身份验证,但只有 Microsoft Authenticator 可用于身份验证提示,包括短信和语音呼叫。 如果你无法确保 Authenticator 安装在用户的个人设备上,则此方法可能是一个限制。
| 功能 | Microsoft Entra ID 免费版 - 安全默认值(已为所有用户启用) | Microsoft Entra ID 免费版 - 只限全局管理员 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保护 Microsoft Entra 租户管理员帐户 | ✅ | ✅(只限 Microsoft Entra 全局管理员帐户) | ✅ | ✅ | ✅ |
| 将移动应用用作第二个因素 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 将电话呼叫用作第二个因素 | ✅ | ✅ | ✅ | ||
| 将短信用作第二个因素 | ✅ | ✅ | ✅ | ✅ | |
| 管理员控制验证方法 | ✅ | ✅ | ✅ | ✅ | |
| 欺诈警报 | ✅ | ✅ | |||
| MFA 报告 | ✅ | ✅ | |||
| 通话的自定义问候语 | ✅ | ✅ | |||
| 通话的自定义呼叫方 ID | ✅ | ✅ | |||
| 受信任的 IP | ✅ | ✅ | |||
| 记住受信任的设备的 MFA | ✅ | ✅ | ✅ | ✅ | |
| 适用于本地应用程序的 MFA | ✅ | ✅ | |||
| 条件访问 | ✅ | ✅ | |||
| 基于风险的条件访问 | ✅ | ||||
| 自助式密码重置 (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR,带写回 | ✅ | ✅ |
托管标识
使用 Azure 资源托管标识没有许可要求。 Azure 资源的托管标识会为应用程序提供一个自动托管标识,可以在连接到支持 Microsoft Entra 身份验证的资源时使用。 使用托管标识的好处之一是无需管理凭据,并且无需额外付费即可使用它们。 有关详细信息,请参阅什么是 Azure 资源的托管标识?。
Microsoft Entra ID 治理
下表展示了 Microsoft Entra ID 治理功能的许可要求。 Microsoft Entra 套件包括 Microsoft Entra ID 治理的所有功能。 下表提供了针对权利管理、访问评审和生命周期工作流的许可信息和示例许可应用场景。
按许可证列出的功能
下表显示了每种许可证可用的功能。 并非所有功能都在所有云中可用;请参阅 Microsoft Entra 功能可用性的“Azure 政府”部分。
| 功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
|---|---|---|---|---|---|
| API 驱动的预配 | ✅ | ✅ | ✅ | ✅ | |
| HR 驱动的预配 | ✅ | ✅ | ✅ | ✅ | |
| 自动将用户预配到 SaaS 应用 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 自动将组预配到 SaaS 应用 | ✅ | ✅ | ✅ | ✅ | |
| 自动预配到本地应用 | ✅ | ✅ | ✅ | ✅ | |
| 条件访问 - 使用条款证明 | ✅ | ✅ | ✅ | ✅ | |
| 权利管理 - 基本权利管理 | ✅ | ✅ | ✅ | ||
| 权利管理 - 条件访问范围 | ✅ | ✅ | ✅ | ||
| 权利管理 MyAccess 搜索 | ✅ | ✅ | ✅ | ||
| 使用验证 ID 的权利管理 | ✅ | ✅ | |||
| 权利管理 + 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| 权利管理 + 自动分配策略 | ✅ | ✅ | |||
| 权利管理 - 直接分配任何用户(预览版) | ✅ | ✅ | |||
| 权利管理 - 来宾转换 API | ✅ | ✅ | |||
| 权利管理 - 宽限期(预览版) | ✅ | ✅ | ✅ | ||
| “我的访问权限”门户 | ✅ | ✅ | ✅ | ||
| 权利管理 - Microsoft Entra 角色(预览版) | ✅ | ✅ | |||
| 权利管理 - 发起人策略 | ✅ | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ✅ | ||
| 适用于组的 PIM | ✅ | ✅ | ✅ | ||
| PIM CA 控制 | ✅ | ✅ | ✅ | ||
| 访问评审 - 基本访问认证和评审 | ✅ | ✅ | ✅ | ||
| 访问评审 - 适用于组的 PIM | ✅ | ✅ | |||
| 访问评审 - 非活动用户评审 | ✅ | ✅ | |||
| 访问评审 - 非活动用户建议 | ✅ | ✅ | ✅ | ||
| 访问评审 - 机器学习辅助访问认证和评审 | ✅ | ✅ | |||
| 生命周期工作流 (LCW) | ✅ | ✅ | |||
| LCW + 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| 标识治理仪表板 | ✅ | ✅ | ✅ | ✅ | |
| 见解和报告 – 非活动来宾帐户 | ✅ | ✅ |
权利管理
使用此功能需要组织用户具有 Microsoft Entra ID 治理订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。
许可证应用场景示例
下面是一些许可证应用场景示例,可帮助确定必须拥有的许可证数量。
| 应用场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 的标识治理管理员创建初始目录。 其中一个策略指定,所有员工(2,000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 可以请求访问包的 2,000 名员工 | 2,000 |
| Woodgrove Bank 的标识治理管理员创建初始目录。 其中一个策略指定,所有员工(2,000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 2,000 名员工需要许可证。 | 2,000 |
| Woodgrove Bank 的标识治理管理员创建初始目录。 他们需要创建一个自动分配策略,向销售部门的所有成员(350 名员工)授予对一组特定访问包的访问权限。 350 名员工自动被分配到访问包。 | 350 名员工需要许可证。 | 351 |
访问评审
使用此功能需要组织用户的 Microsoft Entra ID 治理订阅,包括评审访问权限或其访问权限接受评审的所有员工。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅才能运行。
许可证应用场景示例
下面是一些许可证应用场景示例,可帮助确定必须拥有的许可证数量。
| 应用场景 | 计算 | 许可证数量 |
|---|---|---|
| 管理员创建组 A 的访问评审,该组包含 75 个用户和 1 个组所有者,并将该组所有者指定为审阅者。 | 1 个许可证适用于作为审阅者的组所有者,75 个许可证适用于 75 个用户。 | 76 |
| 管理员创建组 B 的访问评审,该组包含 500 个用户和 3 个组所有者,并将这 3 个组所有者指定为审阅者。 | 500 个许可证适用于用户,3 个许可证适用于每个作为审阅者的组所有者。 | 503 |
| 管理员创建具有 500 个用户的组 B 的访问评审。 并使其成为自我评审。 | 如果每位用户都是自我评审者,则需要 500 个许可证 | 500 |
| 管理员对组 C(包含 50 名成员用户)创建访问评审。 并使其成为自我评审。 | 如果每位用户都是自我评审者,则需要 50 个许可证。 | 50 |
| 管理员对组 D(包含 6 名成员用户)创建访问评审。 并使其成为自我评审。 | 如果每位用户都是自我评审者,则需要 6 个许可证。 不需要其他许可证。 | 6 |
生命周期工作流
使用生命周期工作流的 Microsoft Entra ID 治理许可证可以:
- 创建、管理和删除工作流(最多 50 个工作流)。
- 触发按需的和计划的工作流执行。
- 管理和配置现有任务,以创建特定于你的需求的工作流。
- 创建最多 100 个用在工作流中的自定义任务扩展。
使用此功能需要组织用户具有 Microsoft Entra ID 治理订阅。
许可证应用场景示例
| 应用场景 | 计算 | 许可证数量 |
|---|---|---|
| 生命周期工作流管理员创建了一个工作流,用于将营销部门中的新员工添加到营销团队组。 通过此工作流将 250 名新员工一次性分配到营销团队组。 同年晚些时候,通过此工作流将另外 150 名新员工分配到营销团队组。 | 1 个许可证将用于生命周期工作流管理员,400 个许可证将用于用户。 | 401 |
| 生命周期工作流管理员创建了一个工作流,用于在员工在职的最后一天前将一组员工预离职。 一次可执行预离职的用户范围是 40 人。 我们让 40 个许可用户离职。 现在,我们可以重新分配这 40 个许可证,并在今年晚些时候再分配 10 个许可证以预离职另外 50 个用户。 | 50 个许可证用于用户,1 个许可证用于生命周期工作流管理员。 | 51 |
Microsoft Entra Connect
此功能免费使用,并且包括在你的 Azure 订阅中。
Microsoft Entra Connect Health
使用此功能需要 Microsoft Entra ID P1 许可证。 如果要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
Microsoft Entra 条件访问
使用此功能需要 Microsoft Entra ID P1 许可证。 如果要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
拥有 Microsoft 365 商业高级版许可证的客户也可以访问条件访问功能。
基于风险的策略需要访问 Microsoft Entra ID 保护,这是一项 Microsoft Entra ID P2 功能。
Microsoft Entra 套件包括所有 Microsoft Entra 条件访问功能。
可能与条件访问策略交互的其他产品和功能需要这些产品和功能的相应许可。
条件访问所需的许可证过期时,不会自动禁用或删除策略。 这样,客户就能够从条件访问策略迁移出来,同时防止其安全状况突然发生变化。 可以查看和删除剩余的策略,但不能再对其进行更新。
安全默认值有助于防范与标识相关的攻击,并且适用于所有客户。
Microsoft Entra 域服务
Microsoft Entra 域服务使用量按小时收费,具体取决于租户所有者选择的 SKU。
Microsoft 外部 ID
Microsoft Entra 外部 ID 核心功能对前 50,000 名月度活跃用户免费。 外部 ID 常见问题解答中提供了更多许可信息
Microsoft Entra ID 保护
使用此功能需要 Microsoft Entra ID P2 许可证。 如果要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
| 功能 | 详细信息 | Microsoft Entra ID 免费版/ Microsoft 365 应用版 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra 套件 |
|---|---|---|---|---|---|
| 风险策略 | 登录和用户风险策略(通过条件访问) | 否 | 否 | 是 | 是 |
| 安全报表 | 概述 | 否 | 否 | 是 | 是 |
| 安全报表 | 有风险用户 | 有限信息。 只显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 有限信息。 只显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 完全访问权限 | 是 |
| 安全报表 | 有风险的登录 | 有限信息。 未显示任何风险详细信息或风险级别。 | 有限信息。 未显示任何风险详细信息或风险级别。 | 完全访问权限 | 是 |
| 安全报表 | 风险检测 | 否 | 有限信息。 无详细信息抽屉。 | 完全访问权限 | 是 |
| 通知 | 检测到用户存在风险的警报 | 否 | 否 | 是 | 是 |
| 通知 | 每周摘要 | 否 | 否 | 是 | 是 |
| MFA 注册策略 | 否 | 否 | 是 | 是 |
Microsoft Entra Internet 访问
Microsoft Entra Internet 访问可以单独提供,也可以作为 Microsoft Entra 套件的一部分提供。
Microsoft Entra 监视和运行状况
所需的角色和许可因报表而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指导。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| 日志/报表 | 角色 | 许可证 |
|---|---|---|
| 审核日志 | 报告读取者 安全信息读取者 安全管理员 |
所有版本的 Microsoft Entra ID |
| 登录日志 | 报告读取者 安全信息读取者 安全管理员 |
所有版本的 Microsoft Entra ID |
| 预配日志 | 报告读取者 安全信息读取者 应用程序管理员 云应用管理员 |
Microsoft Entra ID P1 或 P2 |
| 自定义安全属性审核日志* | 属性日志管理员 属性日志读取器 |
所有版本的 Microsoft Entra ID |
| 运行状况 | 报告读取者 安全信息读取者 帮助台管理员 |
Microsoft Entra ID P1 或 P2 |
| Microsoft Entra ID 保护** | 安全管理员 安全操作员 安全信息读取者 全局读取者 |
Microsoft Entra ID 免费版 Microsoft 365 应用 Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活动日志 | 安全管理员 访问相应日志目标中数据的权限 |
Microsoft Entra ID P1 或 P2 |
| 使用情况和见解 | 报告读取者 安全信息读取者 安全管理员 |
Microsoft Entra ID P1 或 P2 |
*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。
**Microsoft Entra ID 保护的访问级别和功能因角色和许可证而异。 有关详细信息,请参阅 ID 保护许可证要求。
Microsoft Entra 权限管理
权限管理支持 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform 上的所有资源,但只需要计费资源的许可证。
Microsoft Entra 专用访问
Microsoft Entra 专用访问可以单独提供,也可以作为 Microsoft Entra 套件的一部分提供。
Microsoft Entra Privileged Identity Management
如果要使用 Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 还必须将许可证分配给管理员和相关用户。 本文介绍使用 Privileged Identity Management 所要满足的许可证要求。 如果要使用 Privileged Identity Management,则必须具有以下许可证之一:
用于 PIM 的有效许可证
需要 Microsoft Entra ID 治理许可证或 Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,可以将访问评审的范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色,或者在租户中具有有效 Microsoft Entra ID 治理版本的用户。 服务主体的许可模型将会在此功能的正式版中最终确定,可能需要更多许可证。
必须拥有的用于 PIM 的许可证
对于以下类别的用户,确保目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证:
- 已分配和/或限时分配到使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的合格用户
- 已分配或限时分配为适用于组的 PIM 的成员或所有者的合格用户
- 能够在 PIM 中批准或拒绝请求的用户
- 已分配到访问评审的用户
- 执行访问评审的用户
用于 PIM 的许可证应用场景示例
下面是一些许可证应用场景示例,可帮助确定必须拥有的许可证数量。
| 应用场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个特权角色管理员。 他们使五个管理员符合条件。 | 五个许可证用于符合条件的管理员 | 5 |
| Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 | 14 个许可证用于符合条件的角色 + 三个审批者 | 17 |
| Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 | 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 | 53 |
当用于 PIM 的许可证过期时
如果 Microsoft Entra ID P2、Microsoft Entra ID 治理或试用许可证过期,则无法再在目录中使用 Privileged Identity Management 功能:
- 对 Microsoft Entra 角色的永久角色分配将不受影响。
- 用户无法再使用 Microsoft Entra 管理中心中的 Privileged Identity Management 服务、图形 API cmdlet 和 Privileged Identity Management 的 PowerShell 接口来激活特权角色、管理特权访问或执行特权角色的访问评审。
- 会删除 Microsoft Entra 角色符合条件的角色分配,因为用户不再能够激活特权角色。
- Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
- 角色分配更改时,Privileged Identity Management 不再发送电子邮件。
Microsoft Entra 验证 ID
Microsoft Entra 验证 ID 随附任何 Microsoft Entra ID 订阅(包括 Microsoft Entra ID 免费版)一起提供,无额外费用。 核心验证 ID 功能可帮助组织执行以下操作:
- 针对任何唯一标识属性验证并颁发组织凭据。
- 授权最终用户拥有他们自己的数字凭据并提高可见性
- 降低组织风险并简化审核流程
- 创建以用户为中心的无服务器应用,这些应用使用已验证的 ID 凭据。
Microsoft Entra 验证 ID 还提供人脸核验这项高级功能,可作为附加产品提供并包含在 Microsoft Entra 套件中(每位用户每月只限 8 次人脸核验)。
Microsoft Entra 工作负载 ID
Microsoft Entra 工作负载 ID 支持 Azure 中的应用程序标识和服务原则,对于每个工作负载标识,每月都需要许可证。
多租户组织
在源租户中:使用此功能需要 Microsoft Entra ID Premium P1 许可证。 使用跨租户同步功能同步的每个用户必须在其主/源租户中拥有 P1 许可证。 如果要根据需要查找合适的许可证,请参阅 Microsoft Entra ID 计划和定价。
在目标租户中:跨租户同步依赖于 Microsoft Entra 外部 ID 计费模型。 要了解外部标识许可模型,请参阅Microsoft Entra 外部 ID 的 MAU 计费模型。 还需要在目标租户中至少有一个 Microsoft Entra ID Premium P1 许可证才能启用自动兑换。
所有多租户组织功能都包含在 Microsoft Entra 套件中。
基于角色的访问控制
在 Microsoft Entra ID 中使用内置角色是免费的。 使用自定义角色要求每个分配有自定义角色的用户都具有 Microsoft Entra ID P1 许可证。 如果要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
角色
管理单元
使用管理单元时,要求在管理单元范围分配了目录角色的每位管理单元管理员具有 Microsoft Entra ID P1 许可证,要求每位管理单元成员具有 Microsoft Entra ID 免费版许可证。 可以使用 Microsoft Entra ID 免费版许可证创建管理单元。 如果对管理单元使用动态成员身份组规则,则每个管理单元成员都需要 Microsoft Entra ID P1 许可证。 如果要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
受限管理单元
受限管理单元要求每个管理单元管理员都有一个 Microsoft Entra ID P1 许可证,管理单元成员都有 Microsoft Entra ID 免费许可证。 如果要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
预览版功能
如果适用,此处将包含当前处于预览状态的任何功能的许可信息。 有关预览功能的详细信息,请参阅 Microsoft Entra ID 预览功能。