Microsoft Entra ID 免费版 - 包含在 Microsoft 云订阅中(如 Microsoft Azure、Microsoft 365 等)。
Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户的 Microsoft 365 E3 中、中小型企业的 Microsoft 365 商业高级版中。
Microsoft Entra ID P2 - Microsoft Entra ID P2(即将成为 Microsoft Entra ID P2)作为独立产品提供,或包含在企业客户的 Microsoft 365 E5 中。
Microsoft Entra 套件 - 该套件结合了 Microsoft Entra 产品来保护员工的访问安全。 它使管理员可以提供从任意位置到任何应用或资源(无论是云还是本地)的安全访问,同时确保最低权限访问。 需要 Microsoft Entra ID P1 订阅。 Microsoft Entra 套件包括五种产品:
Microsoft Entra 专用访问
Microsoft Entra Internet 访问
Microsoft Entra ID 治理
Microsoft Entra ID 保护
Microsoft Entra 验证 ID(高级功能)
应用预配
Microsoft Entra 应用程序代理需要 Microsoft Entra ID P1 或 P2 许可证。 有关许可的详细信息,请参阅 Microsoft Entra 定价。
身份验证
下表列出了可在各种版本的 Microsoft Entra ID 中用于身份验证的功能。 规划你对于保护用户登录的需求,然后确定哪些方法可以满足这些要求。 例如,尽管 Microsoft Entra ID Free 提供安全默认值来实现多重身份验证,但只有 Microsoft Authenticator 可用于身份验证提示,包括短信和语音呼叫。 如果你无法确保 Authenticator 安装在用户的个人设备上,则此方法可能是一个限制。
需要 Microsoft Entra ID 治理许可证或 Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,可以将访问评审的范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色,或者在租户中具有有效 Microsoft Entra ID 治理版本的用户。 服务主体的许可模型将会在此功能的正式版中最终确定,可能需要更多许可证。
你必须拥有的用于 PIM 的许可证
对于以下类别的用户,确保目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证:
已分配和/或限时分配到使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的合格用户
已分配或限时分配为适用于组的 PIM 的成员或所有者的合格用户
能够在 PIM 中批准或拒绝请求的用户
已分配到访问评审的用户
执行访问评审的用户
用于 PIM 的许可证方案示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
方案
计算
许可证数量
Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个特权角色管理员。 他们使五个管理员符合条件。
如果 Microsoft Entra ID P2、Microsoft Entra ID Governance 或试用许可证过期,则无法再在目录中使用 Privileged Identity Management 功能:
对 Microsoft Entra 角色的永久角色分配将不受影响。
用户无法再使用 Microsoft Entra 管理中心中的 Privileged Identity Management 服务、图形 API cmdlet 和 Privileged Identity Management 的 PowerShell 接口来激活特权角色、管理特权访问或执行特权角色的访问评审。
会删除 Microsoft Entra 角色符合条件的角色分配,因为用户不再能够激活特权角色。
Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
角色分配更改时,Privileged Identity Management 不再发送电子邮件。
Microsoft Entra 验证 ID
Microsoft Entra 验证 ID 随附任何 Microsoft Entra ID 订阅(包括 Microsoft Entra ID 免费版)一起提供,无额外费用。 核心验证 ID 功能可帮助组织执行以下操作:
针对任何唯一标识属性验证并颁发组织凭据。
授权最终用户拥有他们自己的数字凭据并提高可见性
降低组织风险并简化审核流程
创建以用户为中心的无服务器应用,这些应用使用已验证的 ID 凭据。
Microsoft Entra 验证 ID 还提供人脸核验这项高级功能,可作为附加产品提供并包含在 Microsoft Entra 套件中(每位用户每月仅限 8 次人脸核验)。
Microsoft Entra 工作负载 ID
Microsoft Entra 工作负荷 ID 支持 Azure 中的应用程序标识和服务原则,对于每个工作负荷标识,每月都需要许可证。
多租户组织
在源租户中:使用此功能需要 Microsoft Entra ID Premium P1 许可证。 使用跨租户同步功能同步的每个用户必须在其主/源租户中拥有 P1 许可证。 若要根据需要查找合适的许可证,请参阅 Microsoft Entra ID 计划和定价。
在目标租户中:跨租户同步依赖于 Microsoft Entra 外部 ID 计费模型。 要了解外部标识许可模型,请参阅Microsoft Entra 外部 ID 的 MAU 计费模型。 还需要在目标租户中至少有一个 Microsoft Entra ID Premium P1 许可证才能启用自动兑换。
所有多租户组织功能都包含在 Microsoft Entra 套件中。
基于角色的访问控制
在 Microsoft Entra ID 中使用内置角色是免费的。 使用自定义角色要求每个分配有自定义角色的用户都具有 Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
角色
管理单元
使用管理单元时,要求在管理单元范围分配了目录角色的每位管理单元管理员具有 Microsoft Entra ID P1 许可证,要求每位管理单元成员具有 Microsoft Entra ID Free 许可证。 可以使用 Microsoft Entra ID 免费版许可证创建管理单元。 如果对管理单元使用动态成员身份组规则,则每个管理单元成员都需要 Microsoft Entra ID P1 许可证。 如果要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。
受限管理单元
受限管理单元要求每个管理单元管理员都有一个 Microsoft Entra ID P1 许可证,管理单元成员都有 Microsoft Entra ID 免费许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能。