Microsoft Entra ID 许可
本文讨论 Microsoft Entra 服务的许可。 它适用于考虑为组织应用 Microsoft Entra 服务的 IT 决策者、IT 管理员和 IT 专业人员。 本文不适用于最终用户。
重要
有关此处未列出的服务的许可信息,请参阅该服务的文档或 Microsoft Entra ID 定价页。
应用预配
Microsoft Entra 应用程序代理需要 Microsoft Entra ID P1 或 P2 许可证。 有关许可的详细信息,请参阅 Microsoft Entra 定价。
身份验证
下表列出了可在各种版本的 Microsoft Entra ID 中用于身份验证的功能。 规划你对于保护用户登录的需求,然后确定哪些方法可以满足这些要求。 例如,尽管 Microsoft Entra ID Free 提供安全默认值来实现多重身份验证,但只有 Microsoft Authenticator 可用于身份验证提示,包括短信和语音呼叫。 如果你无法确保 Authenticator 安装在用户的个人设备上,则此方法可能是一个限制。
| 功能 | Microsoft Entra ID Free - 安全默认值(已为所有用户启用) | Microsoft Entra ID Free - 仅限全局管理员 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保护 Microsoft Entra 租户管理员帐户 | ✅ | ✅(仅限 Microsoft Entra 全局管理员帐户) | ✅ | ✅ | ✅ |
| 将移动应用用作第二个因素 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 将电话呼叫用作第二个因素 | ✅ | ✅ | ✅ | ||
| 将短信用作第二个因素 | ✅ | ✅ | ✅ | ✅ | |
| 管理员控制验证方法 | ✅ | ✅ | ✅ | ✅ | |
| 欺诈警报 | ✅ | ✅ | |||
| MFA 报告 | ✅ | ✅ | |||
| 通话的自定义问候语 | ✅ | ✅ | |||
| 通话的自定义呼叫方 ID | ✅ | ✅ | |||
| 受信任的 IP | ✅ | ✅ | |||
| 记住受信任的设备的 MFA | ✅ | ✅ | ✅ | ✅ | |
| 适用于本地应用程序的 MFA | ✅ | ✅ | |||
| 条件性访问 | ✅ | ✅ | |||
| 基于风险的条件访问 | ✅ | ||||
| 自助式密码重置 (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR,带写回 | ✅ | ✅ |
托管标识
使用 Azure 资源托管标识没有许可要求。 Azure 资源的托管标识会为应用程序提供一个自动托管标识,可以在连接到支持 Microsoft Entra 身份验证的资源时使用。 使用托管标识的好处之一是无需管理凭据,并且无需额外付费即可使用它们。 有关详细信息,请参阅什么是 Azure 资源的托管标识?。
Microsoft Entra ID 治理
下表展示了 Microsoft Entra ID 治理功能的许可要求。 下表提供了针对权利管理、访问评审和生命周期工作流的许可信息和示例许可方案。
按许可证列出的功能
下表显示了每种许可证可用的功能。 并非所有功能都在所有云中可用;请参阅 Microsoft Entra 功能可用性的“Azure 政府”部分。
| 功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 |
|---|---|---|---|---|
| API 驱动的预配 | ✅ | ✅ | ✅ | |
| HR 驱动的预配 | ✅ | ✅ | ✅ | |
| 自动将用户预配到 SaaS 应用 | ✅ | ✅ | ✅ | ✅ |
| 自动将组预配到 SaaS 应用 | ✅ | ✅ | ✅ | |
| 自动预配到本地应用 | ✅ | ✅ | ✅ | |
| 条件访问 - 使用条款证明 | ✅ | ✅ | ✅ | |
| 权利管理 - 基本权利管理 | ✅ | ✅ | ||
| 权利管理 - 条件访问范围 | ✅ | ✅ | ||
| 权利管理 MyAccess 搜索 | ✅ | ✅ | ||
| 使用验证 ID 的权利管理 | ✅ | |||
| 权利管理 + 自定义扩展(逻辑应用) | ✅ | |||
| 权利管理 + 自动分配策略 | ✅ | |||
| 权利管理 - 直接分配任何用户(预览版) | ✅ | |||
| 权利管理 - 来宾转换 API | ✅ | |||
| 权利管理 - 宽限期(预览版) | ✅ | ✅ | ||
| “我的访问权限”门户 | ✅ | ✅ | ||
| 权利管理 - Microsoft Entra 角色(预览版) | ✅ | |||
| 权利管理 - 发起人策略 | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ||
| 适用于组的 PIM | ✅ | ✅ | ||
| PIM CA 控制 | ✅ | ✅ | ||
| 访问评审 - 基本访问认证和评审 | ✅ | ✅ | ||
| 访问评审 - 适用于组的 PIM(预览版) | ✅ | |||
| 访问评审 - 非活动用户评审 | ✅ | |||
| 访问评审 - 非活动用户建议 | ✅ | ✅ | ||
| 访问评审 - 机器学习辅助访问认证和评审 | ✅ | |||
| 生命周期工作流 (LCW) | ✅ | |||
| LCW + 自定义扩展(逻辑应用) | ✅ | |||
| Identity Governance 仪表板(预览版) | ✅ | ✅ | ✅ | |
| 见解和报告–非活动来宾帐户(预览版) | ✅ |
权利管理
使用此功能需要组织用户具有 Microsoft Entra ID 治理订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 可以请求访问包的 2000 名员工 | 2,000 |
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 2,000 名员工需要许可证。 | 2,000 |
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 他们需要创建一个自动分配策略,向销售部门的所有成员(350 名员工)授予对一组特定访问包的访问权限。 350 名员工自动被分配到访问包。 | 350 名员工需要许可证。 | 351 |
访问评审
使用此功能需要组织用户的 Microsoft Entra ID Governance 订阅,包括评审访问权限或其访问权限接受评审的所有员工。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅才能运行。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| 管理员创建组 A 的访问评审,该组包含 75 个用户和 1 个组所有者,并将该组所有者指定为审阅者。 | 1 个许可证适用于作为审阅者的组所有者,75 个许可证适用于 75 个用户。 | 76 |
| 管理员创建组 B 的访问评审,该组包含 500 个用户和 3 个组所有者,并将这 3 个组所有者指定为审阅者。 | 500 个许可证适用于用户,3 个许可证适用于每个作为审阅者的组所有者。 | 503 |
| 管理员创建具有 500 个用户的组 B 的访问评审。 并使其成为自我评审。 | 各个用户进行自我评审共需 500 个许可证 | 500 |
| 管理员对组 C(包含 50 名成员用户)创建访问评审。 并使其成为自我评审。 | 如果每位用户都是自我评审者,则需要 50 个许可证。 | 50 |
| 管理员对组 D(包含 6 名成员用户)创建访问评审。 并使其成为自我评审。 | 6 名作为自我审阅者的用户各需 1 个证书。 不需要其他许可证。 | 6 |
生命周期工作流
使用生命周期工作流的 Microsoft Entra ID 治理许可证可以:
- 创建、管理和删除工作流(最多 50 个工作流)。
- 触发按需的和计划的工作流执行。
- 管理和配置现有任务,以创建特定于你的需求的工作流。
- 创建最多 100 个用在工作流中的自定义任务扩展。
使用此功能需要组织用户具有 Microsoft Entra ID 治理订阅。
许可证场景示例
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| 生命周期工作流管理员创建了一个工作流,用于将营销部门中的新员工添加到“营销团队”组。 通过此工作流将 250 名新员工分配到“营销团队”组。 | 1 个许可证将用于生命周期工作流管理员,250 个许可证将用于用户。 | 251 |
| 生命周期工作流管理员创建了一个工作流,用于在员工在职的最后一天前将一组员工预离职。 可执行预离职的用户范围是 40 人。 | 40 个许可证将用于用户,1 个许可证将用于生命周期工作流管理员。 | 41 |
Microsoft Entra Connect
此功能免费使用,并且包括在你的 Azure 订阅中。
Microsoft Entra Connect Health
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
Microsoft Entra 条件访问
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
拥有 Microsoft 365 商业高级版许可证的客户也可以访问条件访问功能。
基于风险的策略需要访问标识保护,这是一项 Microsoft Entra ID P2 功能。
可能与条件访问策略交互的其他产品和功能需要这些产品和功能的相应许可。
条件访问所需的许可证过期时,不会自动禁用或删除策略。 这样,客户就能够从条件访问策略迁移出来,同时防止其安全状况突然发生变化。 可以查看和删除剩余的策略,但不能再对其进行更新。
安全默认值有助于防范与标识相关的攻击,并且适用于所有客户。
Microsoft Entra ID 保护
使用此功能需要 Microsoft Entra ID P2 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
| 功能 | 详细信息 | Microsoft Entra ID 免费版/ Microsoft 365 应用版 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| 风险策略 | 登录风险策略和用户风险策略(通过标识保护或条件访问实现) | 否 | No | 是 |
| 安全报表 | 概述 | 否 | No | 是 |
| 安全报表 | 有风险用户 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 有限信息。 仅显示中等风险和高风险用户。 无详细信息抽屉或风险历史记录。 | 完全访问权限 |
| 安全报表 | 有风险的登录 | 有限信息。 未显示任何风险详细信息或风险级别。 | 有限信息。 未显示任何风险详细信息或风险级别。 | 完全访问权限 |
| 安全报表 | 风险检测 | 否 | 有限信息。 无详细信息抽屉。 | 完全访问权限 |
| 通知 | 检测到用户存在风险的警报 | 否 | No | 是 |
| 通知 | 每周摘要 | 否 | No | 是 |
| MFA 注册策略 | 否 | No | 是 |
Microsoft Entra 监视和运行状况
所需的角色和许可证因报告而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指南。
| 日志/报表 | 角色 | 许可证 |
|---|---|---|
| 审核 | 报告读取者 安全读取者 安全管理员 全局读取者 |
在所有版本的 Microsoft Entra ID |
| 登录 | 报告读取者 安全读取者 安全管理员 全局读取者 |
在所有版本的 Microsoft Entra ID |
| 预配 | 报告读取者 安全读取者 安全管理员 全局读取者 安全操作员 应用程序管理员 云应用管理员 |
Microsoft Entra ID P1 或 P2 |
| 自定义安全属性审核日志* | 属性日志管理员 属性日志读取器 |
在所有版本的 Microsoft Entra ID |
| 使用情况和见解 | 报告读取者 安全读取者 安全管理员 |
Microsoft Entra ID P1 或 P2 |
| 标识保护** | 安全管理员 安全操作员 安全读取者 全局读取者 |
Microsoft Entra ID Free Microsoft 365 应用 Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活动日志 | 安全管理员 访问相应日志目标中数据的权限 |
Microsoft Entra ID P1 或 P2 |
*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。
**标识保护的访问级别和功能因角色和许可证而异。 有关详细信息,请参阅标识保护许可证要求。
Microsoft Entra Privileged Identity Management
要使用 Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 还必须将许可证分配给管理员和相关用户。 本文介绍使用 Privileged Identity Management 所要满足的许可证要求。 若要使用 Privileged Identity Management,则必须具有以下许可证之一:
用于 PIM 的有效许可证
需要 Microsoft Entra ID 治理许可证或 Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,可以将访问评审的范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色,或者在租户中具有有效 Microsoft Entra ID 治理版本的用户。 服务主体的许可模型将会在此功能的正式版中最终确定,可能需要更多许可证。
你必须拥有的用于 PIM 的许可证
对于以下类别的用户,确保目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证:
- 已分配和/或限时分配到使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的合格用户
- 已分配或限时分配为适用于组的 PIM 的成员或所有者的合格用户
- 能够在 PIM 中批准或拒绝请求的用户
- 已分配到访问评审的用户
- 执行访问评审的用户
用于 PIM 的许可证方案示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 方案 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个全局管理员。 他们使五个管理员符合条件。 | 五个许可证用于符合条件的管理员 | 5 |
| Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 | 14 个许可证用于符合条件的角色 + 三个审批者 | 17 |
| Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 | 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 | 53 |
当用于 PIM 的许可证过期时
如果 Microsoft Entra ID P2、Microsoft Entra ID Governance 或试用许可证过期,则无法再在目录中使用 Privileged Identity Management 功能:
- 对 Microsoft Entra 角色的永久角色分配将不受影响。
- 用户无法再使用 Microsoft Entra 管理中心中的 Privileged Identity Management 服务、图形 API cmdlet 和 Privileged Identity Management 的 PowerShell 接口来激活特权角色、管理特权访问或执行特权角色的访问评审。
- 会删除 Microsoft Entra 角色符合条件的角色分配,因为用户不再能够激活特权角色。
- Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
- 角色分配更改时,Privileged Identity Management 不再发送电子邮件。
Microsoft Entra 验证 ID
Microsoft Entra 验证 ID 当前随附任何 Microsoft Entra 订阅(包括 Microsoft Entra ID 免费版)一起提供,无额外费用。 有关已验证 ID 以及如何启用它的信息,请参阅“已验证 ID 概述”。
多租户组织
在源租户中:使用此功能需要 Microsoft Entra ID Premium P1 许可证。 使用跨租户同步功能同步的每个用户必须在其主/源租户中拥有 P1 许可证。 若要根据需要查找合适的许可证,请参阅 Microsoft Entra ID 计划和定价。
在目标租户中:跨租户同步依赖于 Microsoft Entra 外部 ID 计费模型。 要了解外部标识许可模型,请参阅Microsoft Entra 外部 ID 的 MAU 计费模型。 还需要在目标租户中至少有一个 Microsoft Entra ID Premium P1 许可证才能启用自动兑换。
基于角色的访问控制
在 Microsoft Entra ID 中使用内置角色是免费的。 使用自定义角色要求每个分配有自定义角色的用户都具有 Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
角色
管理单元
使用管理单元时,要求在管理单元范围分配了目录角色的每位管理单元管理员具有 Microsoft Entra ID P1 许可证,要求每位管理单元成员具有 Microsoft Entra ID Free 许可证。 可以使用 Microsoft Entra ID Free 许可证创建管理单元。 如果对管理单元使用动态成员身份规则,则每个管理单元成员都需要 Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
受限管理单元
受限管理单元要求每个管理单元管理员都有一个 Microsoft Entra ID P1 许可证,管理单元成员都有 Microsoft Entra ID 免费许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
预览版功能
如果适用,此处将包含当前处于预览状态的任何功能的许可信息。 有关预览功能的详细信息,请参阅 Microsoft Entra ID 预览功能。