Microsoft Entra ID 控管授權基礎知識
下列文件討論 Microsoft Entra ID 控管授權。 這適用於考慮為其組織 Microsoft Entra ID 控管服務的 IT 決策者、IT 系統管理員和 IT 專業人員。
授權類型
下列授權可用於商業雲端中的 Microsoft Entra ID 控管。 租用戶中您需要的授權選擇取決於您在該租用戶中所使用的功能。
- 免費 - 隨附於 Microsoft 雲端訂用帳戶,例如 Microsoft Azure、Microsoft 365 和其他訂用帳戶。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 以獨立產品的形式提供,或隨附於企業客戶 Microsoft 365 E3,Microsoft 365 商務進階版中小企業。
- Microsoft Entra ID P2 - Microsoft Entra ID P2 可作為獨立產品,或隨附於企業客戶的 Microsoft 365 E5。
- Microsoft Entra ID 控管 - Microsoft Entra ID 控管 是一組進階的身分識別控管功能,可供Microsoft Entra ID P1 和 P2 客戶使用。 Microsoft Entra ID 控管 提供三個產品 Microsoft Entra ID 控管,Microsoft Entra ID 控管 Step Up for Microsoft Entra ID P2 和 Microsoft Entra ID 控管 Step up forMicrosoft Entra ID F2。 這三個產品只有在其必要條件中才不同;它們同時包含Microsoft Entra ID P2 中的基本身分識別治理功能,以及其他進階身分識別治理功能。
注意
某些 Microsoft Entra ID 控管案例可以設定為相依於 Microsoft Entra ID 控管未涵蓋的其他功能。 這些功能可能會有額外的授權需求。 如需依賴其他功能的治理案例詳細資訊,請參閱身分識別治理概觀。
美國政府或美國國家雲端尚未提供 Microsoft Entra ID 控管產品。
治理產品和必要條件
Microsoft Entra ID 控管 功能目前在商業雲端的三個產品中提供。 這三個產品提供相同的身分識別治理功能。 這三個產品之間的差異在於它們有不同的必要條件。
- Microsoft Entra ID 控管的訂用帳戶,列在產品條款中,作為 Microsoft Entra ID 控管 (User SL) 授權,要求租用戶也有另一個產品的作用中訂用帳戶,其中一個包含
AAD_PREMIUM或AAD_PREMIUM_P2服務方案。 符合此必要條件的產品範例包括 Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、Enterprise Mobility + Security E3/E5 或 Microsoft 365 F1/F3。 - Microsoft Entra ID P2 的 Microsoft Entra ID 控管設定訂用帳戶,列在產品條款中,作為 Microsoft Entra ID 控管 P2 授權,租用戶也需要另一個產品的作用中訂用帳戶,其中包含
AAD_PREMIUM_P2服務方案。 符合此必要條件的產品範例包括 Microsoft Entra ID P2、Microsoft 365 E5/A5/G5 Enterprise Mobility + Security E5、Microsoft 365 E5/F5 安全性 或 Microsoft 365 F5 安全性 + 合規性。 - Microsoft Entra ID F2 的 Microsoft Entra ID 控管設定訂用帳戶,列在產品條款中,作為 Microsoft Entra ID 控管 P2 授權,租用戶也需要另一個產品的作用中訂用帳戶,其中包含
AAD_PREMIUM_P2服務方案。 符合此必要條件的產品範例包括 Microsoft Entra ID F2。
授權的產品名稱和服務方案識別碼列出包含必要服務方案的其他產品。
注意
Microsoft Entra ID 控管產品的訂用帳戶必須在租用戶中作用中。 如果必要條件不存在,或訂用帳戶過期,則 Microsoft Entra ID 控管案例可能無法如預期般運作。
若要檢查中是否存在 Microsoft Entra ID 控管產品的必要條件產品,您可以使用 Microsoft Entra 系統管理中心或 Microsoft 365 系統管理中心來檢視產品清單。
以全域管理員的身分登入 Microsoft Entra 系統管理中心。
在 [身分識別] 功能表中,展開 [計費],然後選取 [授權]。
在 [管理] 功能表中,選取 [授權功能]。 資訊列表示目前 Microsoft Entra ID 授權方案。
若要檢視中的現有產品,請在 [管理] 功能表中,選取 [所有產品]。
開始試用
租使用者中具有適當必要條件產品的全域管理員,例如已購買的 Microsoft Entra ID P1,且尚未使用或先前已試用 Microsoft Entra ID 控管,可以要求其租使用者中的 Microsoft Entra ID 控管 試用版。
在 [計費] 功能表中,選取 [購買服務]。
在 [搜尋所有產品類別] 方塊中,輸入
"Microsoft Entra ID Governance"。選取 Microsoft Entra ID 控管下方詳細資料,以檢視產品的試用和購買資訊。 如果您的租用戶有 Microsoft Entra ID P2,請選取 Microsoft Entra ID P2 的 Microsoft Entra ID 控管設定下方詳細資料。
在產品詳細資料頁面中,選取 [開始免費試用]。
下列資料表顯示 Microsoft Entra ID 控管功能的授權需求。 下表提供權利管理、存取權檢閱和生命週期工作流程的授權資訊和範例授權案例。
依授權排列的功能
下表顯示每個授權可用的功能。 並非所有功能都可在所有雲端中使用;請參閱 Azure Government Microsoft Entra 功能可用性。
| 功能 | 免費 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 控管 |
|---|---|---|---|---|
| API 驅動的佈建 | ✅ | ✅ | ✅ | |
| HR 驅動的佈建 | ✅ | ✅ | ✅ | |
| 自動將使用者佈建到 SaaS 應用程式 | ✅ | ✅ | ✅ | ✅ |
| 自動將群組佈建到 SaaS 應用程式 | ✅ | ✅ | ✅ | |
| 自動佈建至內部部署應用程式 | ✅ | ✅ | ✅ | |
| 條件式存取 - 使用規定證明 | ✅ | ✅ | ✅ | |
| 權利管理 - 基礎權利管理 | ✅ | ✅ | ||
| 權利管理 - 條件式存取範圍 | ✅ | ✅ | ||
| 權利管理 MyAccess 搜尋 | ✅ | ✅ | ||
| 使用已驗證識別碼權利管理 | ✅ | |||
| 權利管理 + 自訂延伸模組 (Logic Apps) | ✅ | |||
| 權利管理 + 自動指派原則 | ✅ | |||
| 權利管理 - 直接指派任何使用者 (預覽) | ✅ | |||
| 權利管理 - 來賓轉換 API | ✅ | |||
| 權利管理 - 寬限期 (預覽) | ✅ | ✅ | ||
| 我的存取權入口網站 | ✅ | ✅ | ||
| 權利管理 - Microsoft Entra 角色 (預覽) | ✅ | |||
| 管理權利管理 - 贊助者原則 | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ||
| 群組的 PIM | ✅ | ✅ | ||
| PIM CA 控制 | ✅ | ✅ | ||
| 存取權檢閱 - 基本存取認證和檢閱 | ✅ | ✅ | ||
| 存取權檢閱 - 群組的 PIM | ✅ | |||
| 存取權檢閱 - 非作用中使用者檢閱 | ✅ | |||
| 存取權檢閱 - 非作用中使用者建議 | ✅ | ✅ | ||
| 存取權檢閱 - 機器學習輔助存取認證和檢閱 | ✅ | |||
| 生命週期工作流程 (LCW) | ✅ | |||
| LCW + 自訂延伸模組 (Logic Apps) | ✅ | |||
| 身分識別控管儀表板 | ✅ | ✅ | ✅ | |
| 深入解析和報告 - 非作用中的來賓帳戶 | ✅ |
權利管理
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 其中一個原則指定所有員工 (2,000 名員工) 都可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工可以要求存取套件 | 2,000 |
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 其中一個原則指定所有員工 (2,000 名員工) 都可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工需要授權。 | 2,000 |
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 他們會建立自動指派原則,授與銷售部門的所有成員 (350 名員工 ) 存取權一組特定存取套件。 自動指派 350 名員工給存取套件。 | 350 名員工需要授權。 | 351 |
存取權檢閱
使用此功能需要貴組織的使用者 Microsoft Entra ID 控管訂用帳戶,包括檢閱存取權或檢閱其存取權的所有員工。 這項功能中的某些功能可能使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 管理員會建立群組 A (其中包含 75 個使用者和 1 個群組擁有者) 的存取權檢閱,並將群組擁有者指派為檢閱者。 | 1 個群組擁有者的授權作為檢閱者,以及 75 位使用者的 75 個授權。 | 76 |
| 管理員會建立群組 B (其中包含 500 個使用者和 3 個群組擁有者) 的存取權檢閱,並將 3 個群組擁有者指派為檢閱者。 | 使用者的 500 個授權,每個做為檢閱者的群組擁有者 3 個授權。 | 503 |
| 管理員會建立群組 B (其中包含 500 個使用者) 的存取權檢閱。 讓其成為自我檢閱。 | 每個做為自我檢閱者的使用者 500 個授權 | 500 |
| 管理員會建立群組 C (其中包含 50 個成員使用者) 的存取權檢閱。 讓其成為自我檢閱。 | 每個做為自我檢閱者的使用者 50 個授權。 | 50 |
| 管理員會建立群組 D (其中包含 6 個成員使用者) 的存取權檢閱。 讓其成為自我檢閱。 | 每個作為自我檢閱者的使用者 6 個授權。 不需要其他授權。 | 6 |
生命週期工作流程
使用生命週期工作流程的 Microsoft Entra ID 控管授權,您可以:
- 建立、管理及刪除工作流程,最多可達 50 個工作流程的總限制。
- 觸發隨選和已排程的工作流程執行。
- 管理和設定現有的工作,以建立您需求特定的工作流程。
- 建立最多 100 個自訂工作擴充功能,以用於您的工作流程。
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。
範例授權案例
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 生命週期工作流程系統管理員會建立工作流程,將行銷部門中的新員工新增至行銷小組群組。 250 名新進員工會透過此工作流程指派給行銷小組群組。 | 生命週期工作流程管理員的 1 個授權,以及使用者的 250 個授權。 | 251 |
| 生命週期工作流程管理員會建立工作流程,以在員工最後一天僱用前預先上線一組員工。 將預先下線的使用者範圍是 40 位使用者。 | 使用者的 40 個授權,以及生命週期工作流程管理員的 1 個授權。 | 41 |
Privileged Identity Management
若要使用 Microsoft Entra Privileged Identity Management,租用戶必須具有有效的授權。 此外,也必須指派授權給管理員和相關的使用者。 本文說明使用 Privileged Identity Management 的授權需求。 若要使用 Privileged Identity Management,您必須具有下列其中一個授權:
PIM 有效的授權
您需要 Microsoft Entra ID 控管授權或 Microsoft Entra ID P2 授權,才能使用 PIM 及其所有設定。 目前,您可以將存取權範圍限定為可存取 Microsoft Entra ID 的服務主體、具有 Microsoft Entra ID P2 的資源角色,或租用戶中具有 Microsoft Entra ID 控管版本的使用者。 服務主體的授權模式將會在正式發行時定案,並且可能需要更多的授權。
您必須擁有 PIM 的授權
請確定您的目錄具有下列使用者類別的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權:
- 使用者經合格和/或時間界限指派為使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色
- 使用者經合格和/或時間界限指派為成員或擁有者,且屬於具有群組的 PIM
- 能夠在 PIM 中核准或拒絕啟用要求的使用者
- 指派給存取權檢閱的使用者
- 執行存取權檢閱的使用者
範例 PIM 授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 有 10 位不同部門的管理員,以及 2 位設定和管理 PIM 的特殊權限管理員。 他們讓五位管理員符合資格。 | 合格管理員的五個授權 | 5 |
| Graphic Design Institute 有 25 位管理員,其中 14 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有三個不同的使用者可核准啟用。 | 14 個適用於合格角色的授權 + 3 位核准者 | 17 |
| Contoso 有 50 位管理員,其中 42 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有五個不同的使用者可核准啟用。 Contoso 也會對指派給管理員角色的使用者進行每月審核,審核者是使用者的主管,其中有六位不是 PIM 所管理的管理員角色。 | 42 個適用於合格角色的授權 + 5 位核准者 + 6 位審核者 | 53 |
PIM 授權到期時
如果 Microsoft Entra ID P2, Microsoft Entra ID 控管,或試用版授權過期,在您的目錄中便再也無法使用 Privileged Identity Management 功能:
- Microsoft Entra 角色的永久角色指派不會受到影響。
- 使用者再也無法利用 Microsoft Entra 系統管理中心的 Privileged Identity Management 服務,以及 Privileged Identity Management 的圖形 API Cmdlet 和 PowerShell 介面,來啟動特殊權限角色、管理特殊權限存取權,或執行特殊權限角色的存取權檢閱。
- Microsoft Entra 角色的合格角色指派將會遭到移除,因為使用者將無法再啟動特殊權限的角色。
- Microsoft Entra 角色的任何進行中存取權檢閱會結束,而且 Privileged Identity Management 組態設定將會遭到移除。
- Privileged Identity Management 不再傳送有關角色指派變更的電子郵件。
API 驅動的佈建
此功能適用於 Microsoft Entra ID P1、P2 和 Microsoft Entra ID 控管訂用帳戶。 每個使用 /bulkUpload API 來源的身分識別都需要訂用帳戶授權,並佈建至內部部署 Active Directory 或 Microsoft Entra ID。
授權案例
| 客戶授權 | 針對 API 驅動佈建在租用戶層級強制執行的使用限制 |
|---|---|
| Microsoft Entra ID P1 或 P2 | 每日使用量配額 (可上傳超過 24 小時的使用者記錄數目):100K 筆使用者記錄 (2000 /bulkUpload API 呼叫,每個要求最多包含 50 筆記錄)。 每個流程的 API 驅動佈建作業數目上限:2 o 適用於 API 驅動佈建至內部部署 Active Directory 的最多 2 個應用程式。 o 最多 2 個應用程式用於 API 驅動佈建至 Microsoft Entra 識別碼。 |
| Microsoft Entra ID 控管和 Microsoft Entra ID P1 或 P2 | 每日使用量配額 (可上傳超過 24 小時的使用者記錄數目):300K 筆使用者記錄 (6000 /bulkUpload API 呼叫,每個要求最多包含 50 筆記錄)。 每個流程的 API 驅動佈建作業數目上限:20 o 適用於 API 驅動佈建至內部部署 Active Directory 的最多 20 個應用程式。 o 最多 20 個應用程式用於 API 驅動佈建,以Microsoft Entra ID。 |
授權常見問題
需要將授權指派給使用者才能使用身分識別控管功能嗎?
使用者不需要獲指派 Microsoft Entra ID 控管授權,但必須有多達數個授權基座,才能將所有使用者納入身分識別控管功能的範圍或設定者。
如何為商務來賓授權使用 Microsoft Entra ID 控管功能?
所有在 Microsoft Entra ID 控管功能範圍內的使用者,包括承包商、合作夥伴和外部共同作業者等商務來賓,都需要授權。 我們正在為商務來賓建立新的 Microsoft Entra ID 控管授權。 此授權會以每月使用中使用量 (MAU) 模型運作。 客戶能夠取得符合其預期商務來賓 MAU 的授權。
我們預計在 2024 年底提供這些授權。 在過渡期間,使用 Microsoft Entra ID 控管管理其員工身分識別的組織可以控管其商務來賓的身分識別,而不需要額外費用。 目前,具有 Microsoft Entra External ID 的 Microsoft Entra ID P1 或 P2 的現有客戶可以透過其Microsoft Entra External ID 授權,繼續使用 P1 或 P2 隨附的功能子集。
如需詳細資訊,請參閱:Microsoft 商務來賓的 Entra ID Governance 授權。
當授權到期時,PIM 會發生什麼事?
如果Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權到期或試用版結束,則您的目錄中將不再提供 Privileged Identity Management 功能。 以下討論的變更適用於適用於 Microsoft Entra 角色的 PIM、適用於 Azure 資源的 PIM,以及適用於群組的 PIM。
- 作用中永久指派不會受到影響。
- 作用中時間限制指派會變成作用中永久,這表示將不再在指定的時間到期。
- 合格角色指派將會遭到移除,因為使用者將無法再啟動特殊權限的角色。
- 使用者再也無法利用 Microsoft Entra 系統管理中心的 Privileged Identity Management 刀鋒視窗,或 Privileged Identity Management 的 Azure 入口網站、API 和 PowerShell 介面,來啟動角色、管理存取權,或執行特殊權限角色的指派檢閱。
- Microsoft Entra 角色的任何進行中存取權檢閱會結束,而且 Privileged Identity Management 組態設定將會遭到移除。
- Privileged Identity Management 將不再傳送有關角色指派變更和 PIM 警示的電子郵件。
是否會在 Microsoft Entra ID P2 授權下新增任何 IGA 特性和功能?
Microsoft Entra ID P2 中的所有目前正式推出功能都會保留,但不會將新的 IGA 特性或功能新增至 Microsoft Entra ID P2 SKU。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應