Microsoft Entra ID 授權
本文討論 Microsoft Entra 服務的授權。 它適用於正在考慮其組織的 Microsoft Entra 服務的 IT 決策者、IT 系統管理員和 IT 專業人員。 本文不適用於使用者。
重要
如需此處未列出的服務授權資訊,請參閱服務的檔或 Microsoft Entra 標識符定價頁面。
應用程式佈建
Microsoft Entra 應用程式 Proxy 需要 Microsoft Entra ID P1 或 P2 授權。 如需授權的詳細資訊,請參閱 Microsoft Entra 定價。
驗證
下表列出可在各種版本的 Microsoft Entra ID 中驗證的功能。 規劃保護使用者登入的需求,然後判斷哪一種方法符合這些需求。 例如,雖然 Microsoft Entra ID Free 提供多重要素驗證的安全性預設值,但只有 Microsoft Authenticator 可用於驗證提示,包括文字和語音通話。 如果您無法確定 Authenticator 已安裝在使用者的個人裝置上,此方法可能是一項限制。
| 功能 | Microsoft Entra ID Free - 安全性預設值 (為所有使用者啟用) | Microsoft Entra ID Free - 僅限全域 管理員 istrators | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保護 Microsoft Entra 租用戶系統管理員帳戶 | ✅ | ✅(僅限 Microsoft Entra Global 管理員 istrator 帳戶) | ✅ | ✅ | ✅ |
| 行動應用程式作為第二個因素 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 電話呼叫作為第二個因素 | ✅ | ✅ | ✅ | ||
| SMS 作為第二個因素 | ✅ | ✅ | ✅ | ✅ | |
| 管理員 驗證方法的控制 | ✅ | ✅ | ✅ | ✅ | |
| 詐騙警示 | ✅ | ✅ | |||
| MFA 報告 | ✅ | ✅ | |||
| 通話的自定義問候語 | ✅ | ✅ | |||
| 通話的自定義來電者標識碼 | ✅ | ✅ | |||
| 可信任 IP | ✅ | ✅ | |||
| 記住受信任裝置的 MFA | ✅ | ✅ | ✅ | ✅ | |
| 內部部署應用程式的 MFA | ✅ | ✅ | |||
| 條件式存取 | ✅ | ✅ | |||
| 風險型條件式存取 | ✅ | ||||
| 自助式密碼重設 (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| 具有回寫的 SSPR | ✅ | ✅ |
受控識別
沒有針對 Azure 資源使用受控識別的授權需求。 Azure 資源的受控識別提供自動受控識別,讓應用程式在連線到支援 Microsoft Entra 驗證的資源時使用。 使用受控識別的其中一個優點是,您不需要管理認證,而且不需要額外費用使用認證。 如需詳細資訊,請參閱什麼是適用於 Azure 資源的受控識別?。
Microsoft Entra 識別碼治理
下表顯示 Microsoft Entra ID 控管 功能的授權需求。 下表提供權利管理、存取權檢閱和生命週期工作流程的授權資訊和範例授權案例。
依授權的功能
下表顯示每個授權可用的功能。 並非所有功能都可在所有雲端中使用;請參閱 Azure Government 的 Microsoft Entra 功能可用性 。
| 功能 | 免費 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra 識別碼治理 |
|---|---|---|---|---|
| API 驅動布建 | ✅ | ✅ | ✅ | |
| HR 驅動的佈建 | ✅ | ✅ | ✅ | |
| 將用戶自動布建至 SaaS 應用程式 | ✅ | ✅ | ✅ | ✅ |
| 自動化群組布建至 SaaS 應用程式 | ✅ | ✅ | ✅ | |
| 將自動化布建至內部部署應用程式 | ✅ | ✅ | ✅ | |
| 條件式存取 - 使用規定證明 | ✅ | ✅ | ✅ | |
| 權利管理 - 基本權利管理 | ✅ | ✅ | ||
| 權利管理 - 條件式存取範圍界定 | ✅ | ✅ | ||
| 權利管理 MyAccess 搜尋 | ✅ | ✅ | ||
| 具有已驗證標識碼的權利管理 | ✅ | |||
| 權利管理 + 自訂延伸模組 (Logic Apps) | ✅ | |||
| 權利管理 + 自動指派原則 | ✅ | |||
| 權利管理 - 直接指派任何使用者(預覽) | ✅ | |||
| 權利管理 - 來賓轉換 API | ✅ | |||
| 權利管理 - 寬限期(預覽) | ✅ | ✅ | ||
| 我的存取入口網站 | ✅ | ✅ | ||
| 權利管理 - Microsoft Entra 角色 (預覽) | ✅ | |||
| 權利管理 - 贊助者原則 | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ||
| 群組的 PIM | ✅ | ✅ | ||
| PIM CA 控制件 | ✅ | ✅ | ||
| 存取權檢閱 - 基本存取認證和檢閱 | ✅ | ✅ | ||
| 存取權檢閱 - 群組 PIM(預覽) | ✅ | |||
| 存取權檢閱 - 非使用中用戶檢閱 | ✅ | |||
| 存取權檢閱 - 非使用中用戶建議 | ✅ | ✅ | ||
| 存取權檢閱 - 機器學習輔助存取認證和檢閱 | ✅ | |||
| 生命週期工作流程 (LCW) | ✅ | |||
| LCW + 自訂延伸模組 (Logic Apps) | ✅ | |||
| 身分識別治理儀錶板 (預覽) | ✅ | ✅ | ✅ | |
| 深入解析和報告 - 非使用中來賓帳戶(預覽) | ✅ |
權利管理
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 的 Identity Governance 管理員 istrator 會建立初始目錄。 其中一個原則指定 所有員工 (2,000 名員工)可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工 可以 要求存取套件 | 2,000 |
| Woodgrove Bank 的 Identity Governance 管理員 istrator 會建立初始目錄。 其中一個原則指定 所有員工 (2,000 名員工)可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工需要授權。 | 2,000 |
| Woodgrove Bank 的 Identity Governance 管理員 istrator 會建立初始目錄。 他們會建立自動指派原則,授與 銷售部門 的所有成員 (350 名員工) 特定存取套件的存取權。 350 名員工會自動指派給存取套件。 | 350 名員工需要授權。 | 351 |
存取權檢閱
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管 訂用帳戶,包括檢閱存取權或檢閱其存取權的所有員工。 這項功能中的某些功能可能會使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 系統管理員會建立具有75個使用者和1個群組擁有者的群組 A 存取權檢閱,並將群組擁有者指派為檢閱者。 | 1 個群組擁有者的授權作為檢閱者,以及 75 位使用者的 75 個授權。 | 76 |
| 系統管理員會建立群組 B 的存取權檢閱,其中包含 500 個使用者和 3 個群組擁有者,並將 3 個群組擁有者指派為檢閱者。 | 500 個用戶授權,以及每個群組擁有者 3 個授權作為檢閱者。 | 503 |
| 系統管理員會建立群組 B 的存取權檢閱,其中包含 500 位使用者。 讓它成為自我檢閱。 | 每位用戶作為自我檢閱者的500個授權 | 500 |
| 系統管理員會建立具有50個成員使用者的群組 C 存取權檢閱。 讓它成為自我檢閱。 | 每位使用者以自我檢閱者身分的50個授權。 | 50 |
| 系統管理員會建立群組 D 與 6 個成員使用者的存取權檢閱。 讓它成為自我檢閱。 | 每個用戶作為自我檢閱者的6個授權。 不需要其他授權。 | 6 |
生命週期工作流程
使用生命週期工作流程的 Microsoft Entra ID 控管 授權,您可以:
- 建立、管理及刪除工作流程,最多可達 50 個工作流程的總限制。
- 觸發隨選和已排程的工作流程執行。
- 管理和設定現有的工作,以建立您需求特定的工作流程。
- 建立最多 100 個自訂工作擴充功能,以用於您的工作流程。
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。
範例授權案例
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 生命週期工作流程 管理員 istrator 會建立工作流程,以將行銷部門中的新進員工新增至行銷小組群組。 250名新進員工會透過此工作流程指派給行銷小組群組。 | 生命週期工作流程的1個授權 管理員 istrator,以及250個用戶的授權。 | 251 |
| 生命週期工作流程 管理員 istrator 會建立工作流程,以在員工最後一天僱用前預先卸除一組員工。 將預先下線的用戶範圍是40位使用者。 | 40 個用戶授權,以及 1 個生命週期工作流程的授權 管理員 istrator。 | 41 |
Microsoft Entra Connect
這項功能可免費使用,且包含在您的 Azure 訂用帳戶中。
Microsoft Entra Connect Health
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
Microsoft Entra 條件式存取
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
擁有 Microsoft 365 商務進階版授權的客戶也有條件式存取功能的存取權。
風險型原則需要存取 Identity Protection,這是 Microsoft Entra ID P2 功能。
其他可與條件式存取原則互動的產品和功能,需要對這些產品和功能進行適當的授權。
條件式存取所需的授權到期時,不會自動停用或刪除原則。 這可讓客戶移出條件式存取原則,而不會突然變更其安全性狀態。 您可以檢視和刪除其餘原則,但不再更新。
安全性預設值 可協助防範身分識別相關攻擊,而且適用於所有客戶。
Microsoft Entra 識別碼保護
使用此功能需要 Microsoft Entra ID P2 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
| 功能 | 詳細資料 | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| 風險原則 | 登入和使用者風險原則 (透過 Identity Protection 或條件式存取) | No | 無 | 是 |
| 安全性報告 | 概觀 | 否 | 無 | 是 |
| 安全性報告 | 具風險使用者 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料選單,也沒有風險歷程記錄。 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料選單,也沒有風險歷程記錄。 | 完整存取 |
| 安全性報告 | 有風險的登入 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 完整存取 |
| 安全性報告 | 風險偵測 | 否 | 有限資訊。 沒有詳細資料選單。 | 完整存取 |
| 通知 | 偵測到具風險使用者的警示 | 否 | 無 | 是 |
| 通知 | 每週摘要 | 否 | 無 | 是 |
| MFA 註冊原則 | 否 | 無 | Yes |
Microsoft Entra 監視和健康情況
所需的角色和授權會根據報表而有所不同。 需要個別許可權,才能存取 Microsoft Graph 中的監視和健康情況數據。 建議您使用具有最低許可權存取權的角色,以配合 零信任 指導方針。
| 記錄/ 報告 | 角色 | 授權 |
|---|---|---|
| Audit | 報表讀取者 安全性讀取者 安全性系統管理員 全域讀取者 |
Microsoft Entra ID 的所有版本 |
| 登入 | 報表讀取者 安全性讀取者 安全性系統管理員 全域讀取者 |
Microsoft Entra ID 的所有版本 |
| 佈建 | 報表讀取者 安全性讀取者 安全性系統管理員 全域讀取者 安全性操作員 應用程式系統管理員 Cloud App 管理員 istrator |
Microsoft Entra ID P1 或 P2 |
| 自訂安全性屬性稽核記錄* | 屬性記錄檔 管理員 istrator 屬性記錄讀取器 |
Microsoft Entra ID 的所有版本 |
| 使用方式和深入解析 | 報表讀取者 安全性讀取者 安全性系統管理員 |
Microsoft Entra ID P1 或 P2 |
| Identity Protection** | 安全性系統管理員 安全性操作員 安全性讀取者 全域讀取者 |
Microsoft Entra ID Free Microsoft 365 Apps Microsoft Entra ID P1 或 P2 |
| Microsoft Graph 活動記錄 | 安全性系統管理員 存取對應記錄目的地中數據的許可權 |
Microsoft Entra ID P1 或 P2 |
*在稽核記錄中檢視自定義安全性屬性,或建立自定義安全性屬性的診斷設定需要其中一個屬性記錄角色。 您也需要適當的角色來檢視標準稽核記錄。
**Identity Protection 的存取和功能層級會隨著角色和授權而有所不同。 如需詳細資訊,請參閱 Identity Protection 的授權需求。
Microsoft Entra Privileged Identity Management
若要使用 Microsoft Entra Privileged Identity Management,租用戶必須具有有效的授權。 授權也必須指派給系統管理員和相關使用者。 本文說明使用 Privileged Identity Management 的授權需求。 若要使用 Privileged Identity Management,您必須擁有下列其中一個授權:
PIM 的有效授權
您需要 Microsoft Entra ID 控管 授權或 Microsoft Entra ID P2 授權,才能使用 PIM 及其所有設定。 目前,您可以將存取權範圍限定為可存取 Microsoft Entra ID 的服務主體、具有 Microsoft Entra ID P2 的資源角色,或租使用者中具有 Microsoft Entra ID 控管 版的使用者。 服務主體的授權模型將會完成這項功能正式運作,而且可能需要更多授權。
PIM 必須擁有的授權
請確定您的目錄具有下列使用者類別的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權:
- 具有使用 PIM 管理之 Microsoft Entra ID 或 Azure 角色的合格和/或時間限制指派的使用者
- 具有合格和/或時間限制指派的使用者,作為群組 PIM 的成員或擁有者
- 能夠在 PIM 中核准或拒絕啟用要求的使用者
- 指派給存取權檢閱的使用者
- 執行存取權檢閱的使用者
PIM 的範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 擁有 10 名不同部門系統管理員,以及 2 個特殊許可權角色 管理員 管理 PIM 的系統管理員。 他們讓五個系統管理員符合資格。 | 符合資格的系統管理員有五個授權 | 5 |
| 圖形設計學院有 25 名系統管理員,其中 14 個是透過 PIM 管理。 角色啟用需要核准,而且組織中有三個不同的使用者可以核准啟用。 | 14 個合格角色的授權 + 3 個核准者 | 17 |
| Contoso 有 50 個系統管理員,其中 42 個是透過 PIM 管理。 角色啟用需要核准,且組織中有五個不同的使用者可以核准啟用。 Contoso 也會對指派給系統管理員角色的用戶進行每月檢閱,而檢閱者是用戶經理,其中 6 個不在 PIM 所管理的系統管理員角色中。 | 合格角色的 42 個授權 + 5 個核准者 + 6 個檢閱者 | 53 |
當 PIM 的授權到期時
如果 Microsoft Entra ID P2、Microsoft Entra ID 控管 或試用版授權到期,您的目錄中將不再提供 Privileged Identity Management 功能:
- Microsoft Entra 角色的永久角色指派將不會受到影響。
- Microsoft Entra 系統管理中心的 Privileged Identity Management 服務以及 Privileged Identity Management 的 Graph API Cmdlet 和 PowerShell 介面將不再可供使用者啟用特殊許可權角色、管理特殊許可權存取,或執行特殊許可權角色的存取權檢閱。
- 已移除 Microsoft Entra 角色的合格角色指派,因為使用者無法再啟用特殊許可權角色。
- Microsoft Entra 角色的任何持續存取權檢閱都會結束,並移除 Privileged Identity Management 組態設定。
- Privileged Identity Management 不再傳送角色指派變更的電子郵件。
Microsoft Entra 驗證識別碼
Microsoft Entra 驗證識別碼 目前隨附於任何 Microsoft Entra 訂用帳戶,包括免費 Microsoft Entra ID,不需額外費用。 如需已驗證標識碼以及如何啟用它的資訊,請參閱 已驗證的標識碼概觀。
多租用戶組織
在來源租使用者中:使用此功能需要 Microsoft Entra ID P1 授權。 與跨租使用者同步處理同步處理的每位用戶都必須在其主/來源租用戶中擁有 P1 授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID Plans & Pricing。
在目標租使用者中:跨租使用者同步會依賴 Microsoft Entra 外部 ID 計費模型。 若要瞭解外部身分識別授權模型,請參閱 Microsoft Entra 外部 ID 的MAU計費模型。 您也需要目標租使用者中至少一個 Microsoft Entra ID P1 授權,才能啟用自動刪除。
角色型存取控制
在 Microsoft Entra ID 中使用內建角色為免費功能。 針對具有自訂角色指派的每個使用者,使用自訂角色需要 Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權,請參閱比較免費和 進階版 版本的一般可用功能。
角色
管理單位
使用管理單位需要每個系統管理單位系統管理員的 Microsoft Entra ID P1 授權,而每個系統管理單位成員都會獲指派目錄角色,以及每個系統管理單位成員的 Microsoft Entra ID 免費授權。 使用 Microsoft Entra ID 免費授權來建立系統管理單位。 如果您使用系統管理單位的動態成員資格規則,則每個管理單位成員都需要 Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權,請參閱比較免費和 進階版 版本的正式推出功能。
受限制的管理管理單位
受限制的管理管理單位需要每個管理單位系統管理員的 Microsoft Entra ID P1 授權,以及系統管理單位成員的 Microsoft Entra ID 免費授權。 若要尋找您需求的正確授權,請參閱比較免費版和 進階版 版的一般可用功能。
預覽中的功能
適用時,這裡會包含目前處於預覽狀態之任何功能的授權資訊。 如需預覽功能的詳細資訊,請參閱 Microsoft Entra ID 預覽功能。