Microsoft Entra 授權
本文討論 Microsoft Entra 產品系列的授權選項。 它適用於安全性決策者、身分識別和網路存取系統管理員,以及正在考慮為其組織Microsoft Entra 解決方案的IT專業人員。
Entra 授權選項
Microsoft Entra 提供數個授權選項,可讓您選擇最符合您需求的套件。
注意
此頁面上的授權選項並不全面。 您可以在 Microsoft Entra 定價頁面和 [比較 Microsoft 365 企業版 方案和定價] 頁面上取得各種選項的詳細資訊。
免費 Microsoft Entra 標識符 - 隨附於 Microsoft 雲端訂用帳戶,例如 Microsoft Azure、Microsoft 365 和其他訂用帳戶。
Microsoft Entra ID P1 - Microsoft Entra ID P1 以獨立產品的形式提供,或隨附於企業客戶 Microsoft 365 E3,Microsoft 365 商務進階版中小企業。
Microsoft Entra ID P2 - Microsoft Entra ID P2 可作為獨立產品,或隨附於企業客戶的 Microsoft 365 E5。
Microsoft Entra Suite - 套件結合了 Microsoft Entra 產品,以保護員工存取。 它可讓系統管理員從任何地方安全地存取雲端或內部部署的任何應用程式或資源,同時確保最低許可權存取。 需要Microsoft Entra ID P1 訂用帳戶。 Microsoft Entra 套件包含五個產品:
- Microsoft Entra 私人存取
- Microsoft Entra 網際網路存取
- Microsoft Entra ID 控管
- Microsoft Entra ID Protection
- Microsoft Entra 驗證識別碼 (進階功能)
應用程式佈建
Microsoft Entra 應用程式 Proxy 需要 Microsoft Entra ID P1 或 P2 授權。 如需授權的詳細資訊,請參閱 Microsoft Entra 價格。
驗證
下表列出 Microsoft Entra ID 各種版本中可用於驗證的功能。 規劃保護使用者登入的需求,然後判斷哪一種方法符合這些需求。 例如,雖然 Microsoft Entra ID Free 提供安全性預設值搭配多重要素驗證,只有 Microsoft Authenticator 可用於驗證提示,包括文字和語音電話。 如果您無法確保 Authenticator 是安裝在使用者的個人裝置上,這種方法可能會是一項限制。
| 功能 | Microsoft Entra ID Free - 安全性預設值 (已針對所有使用者啟用) | Microsoft Entra ID Free - 僅限全域管理員 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保護 Microsoft Entra 租用戶系統管理員帳戶 | ✅ | ✅ (僅限 Microsoft Entra 全域管理員 帳戶) | ✅ | ✅ | ✅ |
| 以行動應用程式做為第二個因素 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 以撥打電話做為第二個因素 | ✅ | ✅ | ✅ | ||
| 以 SMS 做為第二個因素 | ✅ | ✅ | ✅ | ✅ | |
| 系統管理員控制驗證方法 | ✅ | ✅ | ✅ | ✅ | |
| 詐騙警示 | ✅ | ✅ | |||
| MFA 報告 | ✅ | ✅ | |||
| 通話的自訂問候語 | ✅ | ✅ | |||
| 自訂的通話來電者 ID | ✅ | ✅ | |||
| 可信任 IP | ✅ | ✅ | |||
| 記住受信任裝置的 MFA | ✅ | ✅ | ✅ | ✅ | |
| 內部部署應用程式的 MFA | ✅ | ✅ | |||
| 條件式存取 | ✅ | ✅ | |||
| 依據風險的條件式存取 | ✅ | ||||
| 自助式密碼重設 (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| 具有回寫的 SSPR | ✅ | ✅ |
受控識別
沒有針對 Azure 資源使用受控識別的授權需求。 Azure 資源受控識別為應用程式提供自動受控識別,以便在連線至支援 Microsoft Entra 驗證的資源時使用。 使用受控識別的其中一個優點是,您不需要管理認證,並且無需額外費用即可使用。 如需詳細資訊,請參閱什麼是適用於 Azure 資源的受控識別?。
Microsoft Entra ID 控管
下列資料表顯示 Microsoft Entra ID 控管功能的授權需求。 Microsoft Entra Suite 包含 Microsoft Entra ID 控管 的所有功能。 下表提供權利管理、存取權檢閱和生命週期工作流程的授權資訊和範例授權案例。
依授權排列的功能
下表顯示每個授權可用的功能。 並非所有功能都可在所有雲端中使用;請參閱 Azure Government Microsoft Entra 功能可用性。
| 功能 | 免費 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra 識別碼治理 | Microsoft Entra Suite |
|---|---|---|---|---|---|
| API 驅動的佈建 (部分機器翻譯) | ✅ | ✅ | ✅ | ✅ | |
| HR 驅動的佈建 | ✅ | ✅ | ✅ | ✅ | |
| 自動將使用者佈建到 SaaS 應用程式 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 自動將群組佈建到 SaaS 應用程式 (部分機器翻譯) | ✅ | ✅ | ✅ | ✅ | |
| 自動佈建至內部部署應用程式 (部分機器翻譯) | ✅ | ✅ | ✅ | ✅ | |
| 條件式存取 - 使用規定證明 | ✅ | ✅ | ✅ | ✅ | |
| 權利管理 - 基礎權利管理 (部分機器翻譯) | ✅ | ✅ | ✅ | ||
| 權利管理 - 條件式存取範圍 | ✅ | ✅ | ✅ | ||
| 權利管理 MyAccess 搜尋 | ✅ | ✅ | ✅ | ||
| 使用已驗證識別碼權利管理 | ✅ | ✅ | |||
| 權利管理 + 自訂延伸模組 (Logic Apps) | ✅ | ✅ | |||
| 權利管理 + 自動指派原則 | ✅ | ✅ | |||
| 權利管理 - 直接指派任何使用者 (預覽) | ✅ | ✅ | |||
| 權利管理 - 來賓轉換 API | ✅ | ✅ | |||
| 權利管理 - 寬限期 (預覽) | ✅ | ✅ | ✅ | ||
| 我的存取權入口網站 | ✅ | ✅ | ✅ | ||
| 權利管理 - Microsoft Entra 角色 (預覽) | ✅ | ✅ | |||
| 管理權利管理 - 贊助者原則 | ✅ | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ✅ | ||
| 群組的 PIM | ✅ | ✅ | ✅ | ||
| PIM CA 控制 | ✅ | ✅ | ✅ | ||
| 存取權檢閱 - 基本存取認證和檢閱 | ✅ | ✅ | ✅ | ||
| 存取權檢閱 - 群組的 PIM (部分機器翻譯) | ✅ | ✅ | |||
| 存取權檢閱 - 非作用中使用者檢閱 (部分機器翻譯) | ✅ | ✅ | |||
| 存取權檢閱 - 非作用中使用者建議 (部分機器翻譯) | ✅ | ✅ | ✅ | ||
| 存取權檢閱 - 機器學習輔助存取認證和檢閱 (部分機器翻譯) | ✅ | ✅ | |||
| 生命週期工作流程 (LCW) | ✅ | ✅ | |||
| LCW + 自訂延伸模組 (Logic Apps) | ✅ | ✅ | |||
| 身分識別控管儀表板 | ✅ | ✅ | ✅ | ✅ | |
| 深入解析和報告 - 非作用中的來賓帳戶 | ✅ | ✅ |
權利管理
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 其中一個原則指定所有員工 (2,000 名員工) 都可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工可以要求存取套件 | 2,000 |
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 其中一個原則指定所有員工 (2,000 名員工) 都可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工需要授權。 | 2,000 |
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 他們會建立自動指派原則,授與銷售部門的所有成員 (350 名員工 ) 存取權一組特定存取套件。 自動指派 350 名員工給存取套件。 | 350 名員工需要授權。 | 351 |
存取權檢閱
使用此功能需要貴組織的使用者 Microsoft Entra ID 控管訂用帳戶,包括檢閱存取權或檢閱其存取權的所有員工。 這項功能中的某些功能可能使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 管理員會建立群組 A (其中包含 75 個使用者和 1 個群組擁有者) 的存取權檢閱,並將群組擁有者指派為檢閱者。 | 1 個群組擁有者的授權作為檢閱者,以及 75 位使用者的 75 個授權。 | 76 |
| 管理員會建立群組 B (其中包含 500 個使用者和 3 個群組擁有者) 的存取權檢閱,並將 3 個群組擁有者指派為檢閱者。 | 使用者的 500 個授權,每個做為檢閱者的群組擁有者 3 個授權。 | 503 |
| 管理員會建立群組 B (其中包含 500 個使用者) 的存取權檢閱。 讓其成為自我檢閱。 | 每個做為自我檢閱者的使用者 500 個授權 | 500 |
| 管理員會建立群組 C (其中包含 50 個成員使用者) 的存取權檢閱。 讓其成為自我檢閱。 | 每個做為自我檢閱者的使用者 50 個授權。 | 50 |
| 管理員會建立群組 D (其中包含 6 個成員使用者) 的存取權檢閱。 讓其成為自我檢閱。 | 每個作為自我檢閱者的使用者 6 個授權。 不需要其他授權。 | 6 |
生命週期工作流程
使用生命週期工作流程的 Microsoft Entra ID 控管授權,您可以:
- 建立、管理及刪除工作流程,最多可達 50 個工作流程的總限制。
- 觸發隨選和已排程的工作流程執行。
- 管理和設定現有的工作,以建立您需求特定的工作流程。
- 建立最多 100 個自訂工作擴充功能,以用於您的工作流程。
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。
範例授權案例
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 生命週期工作流程系統管理員會建立工作流程,將行銷部門中的新員工新增至行銷小組群組。 250 名新進員工會透過此工作流程指派給行銷小組群組。 | 生命週期工作流程管理員的 1 個授權,以及使用者的 250 個授權。 | 251 |
| 生命週期工作流程管理員會建立工作流程,以在員工最後一天僱用前預先上線一組員工。 將預先下線的使用者範圍是 40 位使用者。 | 使用者的 40 個授權,以及生命週期工作流程管理員的 1 個授權。 | 41 |
Microsoft Entra Connect
這項功能可免費使用,且包含在您的 Azure 訂用帳戶中。
Microsoft Entra Connect Health
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
Microsoft Entra 條件式存取
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
擁有 Microsoft 365 商務進階版授權的客戶也有條件式存取功能的存取權。
風險型原則需要存取身分識別保護,這是 Microsoft Entra ID P2 功能。
Microsoft Entra Suite 包含所有Microsoft Entra 條件式存取功能。
其他可能會與條件式存取原則互動的產品和功能,需要這些產品和功能的適當授權。
條件式存取所需的授權到期時,不會自動停用或刪除原則。 這可讓客戶擺脫條件式存取原則,而不會突然變更其安全性態勢。 剩餘的原則可加以檢視和刪除,但不再更新。
安全性預設值可協助防禦身分識別相關攻擊並適用於所有客戶。
Microsoft Entra 網域服務
Microsoft根據租用戶擁有者所選取的 SKU,每小時收取 Entra Domain Services 使用量的費用。
Microsoft外部標識碼
Microsoft Entra 外部標識碼 核心功能適用於您前 50,000 位每月作用中的使用者。 如需更多授權資訊,請參閱 外部標識碼常見問題
Microsoft Entra ID Protection
使用此功能需要 Microsoft Entra ID P2 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
| 功能 | 詳細資料 | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra Suite |
|---|---|---|---|---|---|
| 風險原則 | 登入和使用者風險原則 (透過 Identity Protection 或條件式存取) | No | 無 | .是 | Yes |
| 安全性報告 | 概觀 | 否 | 無 | .是 | Yes |
| 安全性報告 | 具風險使用者 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料選單,也沒有風險歷程記錄。 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料選單,也沒有風險歷程記錄。 | 完整存取 | Yes |
| 安全性報告 | 有風險的登入 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 完整存取 | Yes |
| 安全性報告 | 風險偵測 | 否 | 有限資訊。 沒有詳細資料選單。 | 完整存取 | Yes |
| 通知 | 偵測到具風險使用者的警示 | 否 | 無 | .是 | Yes |
| 通知 | 每週摘要 | 否 | 無 | .是 | Yes |
| MFA 註冊原則 | 否 | 無 | .是 | Yes |
Microsoft Entra 網際網路存取
Microsoft Entra 網際網路存取 可自行或作為Microsoft Entra Suite 的一部分使用。
Microsoft Entra 監視和健康情況
所需的角色和授權會根據報告而有所不同。 需要個別權限才能存取 Microsoft Graph 中的監視和健康情況資料。 建議您使用具有最低權限存取權的角色,以符合零信任指導。
| 記錄/報告 | 角色 | 授權 |
|---|---|---|
| Audit | 報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者 |
所有版本的 Microsoft Entra ID |
| 登入 | 報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者 |
所有版本的 Microsoft Entra ID |
| 佈建 | 報告讀取者 安全性讀取者 安全性系統管理員 全域讀取者 安全性操作員 應用程式系統管理員 雲端應用程式管理員 |
Microsoft Entra ID P1 或 P2 |
| 自訂安全性屬性稽核記錄* | 屬性記錄管理員 屬性記錄讀取者 |
所有版本的 Microsoft Entra ID |
| 使用量和深入解析 | 報告讀取者 安全性讀取者 安全性系統管理員 |
Microsoft Entra ID P1 或 P2 |
| 身分識別保護** | 安全性系統管理員 安全性操作員 安全性讀取者 全域讀取者 |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活動記錄 | 安全性系統管理員 存取對應記錄目的地中的資料的權限 |
Microsoft Entra ID P1 或 P2 |
*檢視稽核記錄中的自訂安全性屬性或為自訂安全性屬性建立診斷設定需要其中一個「屬性記錄」角色。 您也需要適當的角色才能檢視標準稽核記錄。
**「身分識別保護」的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱身分識別保護的授權需求。
Microsoft Entra 許可權管理
許可權管理支援 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform 的所有資源,但只需要可計費資源的授權。
Microsoft Entra 私人存取
Microsoft Entra Private access 可自行取得,或作為 Microsoft Entra Suite 的一部分。
Microsoft Entra Privileged Identity Management
若要使用 Microsoft Entra Privileged Identity Management,租用戶必須具有有效的授權。 此外,也必須指派授權給管理員和相關的使用者。 本文說明使用 Privileged Identity Management 的授權需求。 若要使用 Privileged Identity Management,您必須具有下列其中一個授權:
PIM 有效的授權
您需要 Microsoft Entra ID 控管授權或 Microsoft Entra ID P2 授權,才能使用 PIM 及其所有設定。 目前,您可以將存取權範圍限定為可存取 Microsoft Entra ID 的服務主體、具有 Microsoft Entra ID P2 的資源角色,或租用戶中具有 Microsoft Entra ID 控管版本的使用者。 服務主體的授權模式將會在正式發行時定案,並且可能需要更多的授權。
您必須擁有 PIM 的授權
請確定您的目錄具有下列使用者類別的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權:
- 使用者經合格和/或時間界限指派為使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色
- 使用者經合格和/或時間界限指派為成員或擁有者,且屬於具有群組的 PIM
- 能夠在 PIM 中核准或拒絕啟用要求的使用者
- 指派給存取權檢閱的使用者
- 執行存取權檢閱的使用者
範例 PIM 授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 有 10 位不同部門的管理員,以及 2 位設定和管理 PIM 的特殊權限管理員 (部分機器翻譯)。 他們讓五位管理員符合資格。 | 合格管理員的五個授權 | 5 |
| Graphic Design Institute 有 25 位管理員,其中 14 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有三個不同的使用者可核准啟用。 | 14 個適用於合格角色的授權 + 3 位核准者 | 17 |
| Contoso 有 50 位管理員,其中 42 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有五個不同的使用者可核准啟用。 Contoso 也會對指派給管理員角色的使用者進行每月審核,審核者是使用者的主管,其中有六位不是 PIM 所管理的管理員角色。 | 42 個適用於合格角色的授權 + 5 位核准者 + 6 位審核者 | 53 |
PIM 授權到期時
如果 Microsoft Entra ID P2, Microsoft Entra ID 控管,或試用版授權過期,在您的目錄中便再也無法使用 Privileged Identity Management 功能:
- Microsoft Entra 角色的永久角色指派不會受到影響。
- 使用者再也無法利用 Microsoft Entra 系統管理中心的 Privileged Identity Management 服務,以及 Privileged Identity Management 的圖形 API Cmdlet 和 PowerShell 介面,來啟動特殊權限角色、管理特殊權限存取權,或執行特殊權限角色的存取權檢閱。
- Microsoft Entra 角色的合格角色指派將會遭到移除,因為使用者將無法再啟動特殊權限的角色。
- Microsoft Entra 角色的任何進行中存取權檢閱會結束,而且 Privileged Identity Management 組態設定將會遭到移除。
- Privileged Identity Management 不再傳送有關角色指派變更的電子郵件。
Microsoft Entra 驗證識別碼
Microsoft Entra 驗證識別碼 隨附於任何Microsoft Entra 標識符訂用帳戶,包括免費Microsoft Entra 標識符。 核心已驗證的識別碼功能可協助組織:
- 驗證併發出任何唯一身分識別屬性的組織認證。
- 讓用戶擁有其數字認證擁有權,並提升可見度
- 降低組織風險並簡化稽核程式
- 建立以使用者為中心的無伺服器應用程式,以使用已驗證的標識碼認證。
Microsoft Entra 驗證識別碼 也提供臉部檢查作為進階功能,作為附加元件提供,並包含在Microsoft Entra Suite 中(每個月限制為 8 個臉部檢查)。
Microsoft Entra 工作負載 ID (部分機器翻譯)
Microsoft Entra 工作負載 ID 支援 Azure 中的應用程式身分識別和服務原則,每個工作負載身分識別每個月都需要授權。
多租用戶組織
在來源租用戶中:使用此功能需要 Microsoft Entra ID P1 授權。 與跨租用戶同步處理同步處理的每位用戶都必須在其主/來源租用戶中擁有 P1 授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 規劃和價格。
在目標租用戶中:跨租用戶同步會依賴 Microsoft Entra External ID 計費模型。 若要了解外部身分識別授權模型,請參閱 Microsoft Entra 外部 ID MAU 計費模型。 您也需要目標租用戶中至少一個 Microsoft Entra ID P1 授權,才能啟用自動刪除。
所有多租用戶組織功能都會包含在 Microsoft Entra 套件中。
角色型存取控制
在 Microsoft Entra ID 中使用內建角色為免費功能。 針對具有自訂角色指派的每個使用者,使用自訂角色需要 Microsoft Entra ID P1 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能。
角色
管理單位
使用管理單位需要為每個在管理單為範圍內指派目錄角色的管理單位系統管理員提供 Microsoft Entra ID P1 授權,並為每個管理單位成員提供 Microsoft Entra ID Free 授權。 可以使用 Microsoft Entra ID Free 授權建立管理單位。 如果您使用管理單位的動態成員資格規則,則每個管理單位成員都需要 Microsoft Entra ID P1 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能。
受限管理的管理單位
受限管理的管理單位需要每個管理單位管理員的 Microsoft Entra ID P1 授權,以及管理單位成員的 Microsoft Entra ID Free 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能。
預覽中的功能
適用時,這裡會包含目前處於預覽狀態之任何功能的授權資訊。 如需預覽功能的詳細資訊,請參閱 Microsoft Entra ID 預覽功能。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應