Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
概述
本文讨论Microsoft Entra产品系列的许可选项。 它适用于安全决策者、标识和网络访问管理员以及正在考虑为其组织Microsoft Entra解决方案的 IT 专业人员。
注意
如果要排查许可分配问题,请查看 在 Microsoft 365 管理员门户中识别并解决组的许可证分配问题。
Microsoft Entra许可选项
Microsoft Entra有多种许可选项提供,可用于选择最适合你的需求的程序包。
注意
此页上的许可选项并不全面。 可以在 Microsoft Entra 定价页以及 Compare Microsoft 365 企业版 计划和定价页获取有关各种选项的详细信息。
Microsoft Entra ID Free - 包含在 Azure 云订阅(如 Azure、Microsoft 365 等)中。
Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户的 Microsoft 365 E3、F1、F3 和 企业移动性 + 安全性 E3 中。 Entra ID P1 也包含在中小企业的Microsoft 365 商业高级版中。
Microsoft Entra ID P2 - Microsoft Entra ID P2 可用作独立产品。 它还包含在企业客户的以下产品/服务中:
- Microsoft 365 E5
- Microsoft Defender 套件(前Microsoft 365 E5 安全性)
- Microsoft Defender 套件 FLW
- Microsoft Defender + Purview 套件 FLW
- 企业移动性 + 安全性 E5
Entra ID P2 也包括在适用于中小企业的 Microsoft 365 商业高级版 的 Microsoft Defender 套件和 Purview 套件中。
Microsoft Entra 套件 - 该套件结合了Microsoft Entra产品来保护员工的访问权限。 它使管理员可以提供从任意位置到任何应用或资源(无论是云还是本地)的安全访问,同时确保最低权限访问。 需要 Microsoft Entra ID P1 订阅。 Microsoft Entra套件包括以下产品:
- Microsoft Entra 专用访问
- Microsoft Entra Internet 访问
- Microsoft Entra ID 治理
重要
用户和组许可证分配通过Microsoft 365 管理中心进行管理。 有关如何为用户和组分配或取消分配许可证的详细信息,请参阅本文: -
应用预配
Microsoft Entra应用程序代理需要Microsoft Entra ID P1 或 P2 许可证。 有关许可的详细信息,请参阅 Microsoft Entra 定价。
身份验证
下表列出了可在各种版本的Microsoft Entra ID中进行身份验证的功能。 规划你对于保护用户登录的需求,然后确定哪些方法可以满足这些要求。 例如,尽管 Microsoft Entra ID Free 为多重身份验证提供了安全默认值,但只能将Microsoft Authenticator用于身份验证提示,包括文本和语音呼叫。 如果你无法确保 Authenticator 安装在用户的个人设备上,则此方法可能是一个限制。
| 功能 | Microsoft Entra ID 免费:安全默认值(为所有用户启用) | 免费Microsoft Entra ID - 仅限全局管理员 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保护Microsoft Entra租户管理员帐户 | ✅ | ✅(仅限Microsoft Entra 全局管理员帐户使用) | ✅ | ✅ | ✅ |
| 将移动应用用作第二个因素 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 将电话呼叫用作第二个验证要素 | ✅ | ✅ | ✅ | ||
| 将短信用作第二个因素 | ✅ | ✅ | ✅ | ✅ | |
| 管理员控制验证方法 | ✅ | ✅ | ✅ | ✅ | |
| MFA 报告 | ✅ | ✅ | |||
| 受信任的 IP | ✅ | ✅ | |||
| 记住受信任的设备的 MFA | ✅ | ✅ | ✅ | ✅ | |
| 适用于本地应用程序的 MFA | ✅ | ✅ | |||
| 条件性访问 | ✅ | ✅ | |||
| 自助式密码重置 (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR,带写回 | ✅ | ✅ |
托管身份
对Azure资源使用托管标识没有许可要求。 用于 Azure 资源的托管标识为应用程序提供了一种自动化管理的标识,以便在连接到支持 Microsoft Entra 认证的资源时使用。 使用托管标识的好处之一是无需管理凭据,并且无需额外付费即可使用它们。 有关详细信息,请参阅 Azure 资源的托管标识是什么?。
Microsoft Entra ID 治理
下表显示了成员用户的Microsoft Entra ID 治理功能的许可要求。 Microsoft Entra 套件包括Microsoft Entra ID 治理的所有功能。 下表提供了针对权利管理、访问评审和生命周期工作流的许可信息和示例许可方案。
按许可证列出的功能
下表显示了与标识治理关联的功能可用于每个许可证。 并非所有功能在所有云中都可用。
| 功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
|---|---|---|---|---|---|
| 预配 | |||||
| API 驱动的预配 | ✅ | ✅ | ✅ | ✅ | |
| HR 驱动的预配 | ✅ | ✅ | ✅ | ✅ | |
| 自动预配到本地应用 | ✅ | ✅ | ✅ | ✅ | |
| 生命周期工作流 (LCW) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| 生命周期工作流 | ✅ | ✅ | |||
| LCW + 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| 访问审核 (AR) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| AR - 以前在 Microsoft Entra ID P2 中普遍可用的功能 | ✅ | ✅ | ✅ | ||
| AR - 群组 PIM (预览版) | ✅ | ✅ | |||
| AR - 审阅范围限定为非活动用户,且审阅中没有活动用户 | ✅ | ✅ | |||
| AR - 评审范围包括活跃和非活跃用户,为评审者提供非活跃用户的决策帮助程序 | ✅ | ✅ | ✅ | ||
| AR - 机器学习辅助访问认证和评审 | ✅ | ✅ | |||
| AR - 目录访问审核(预览版) | ✅ | ✅ | |||
| AR - 自定义数据提供的资源(预览版) | ✅ | ✅ | |||
| 权利管理 (EM) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| EM - 以前在 Microsoft Entra ID P2 中普遍可用的功能 | ✅ | ✅ | ✅ | ||
| EM - 被分配访问软件包的用户 | ✅ | ✅ | ✅ | ||
| EM - 用户自行请求访问权限 | ✅ | ✅ | ✅ | ||
| EM - 管理员直接分配用户 - 选择目录中的现有用户(包括来宾) | ✅ | ✅ | ✅ | ||
| EM - 管理员直接指定任何用户(预览)- 通过电子邮件地址指定尚未在您目录中的用户 | ✅ | ✅ | |||
| EM - 管理者代表员工提出请求 | ✅ | ✅ | |||
| EM - 支持的资源 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| EM - 访问包内的组和团队 | ✅ | ✅ | ✅ | ||
| EM - 访问包中符合条件的群组所有权和成员资格(用于群组的 PIM) | ✅ | ✅ | |||
| EM - 访问包中的应用程序 | ✅ | ✅ | ✅ | ||
| EM - 访问包中的SharePoint站点 | ✅ | ✅ | ✅ | ||
| EM - Microsoft Entra 角色(预览) | ✅ | ✅ | |||
| EM - SAP 标识访问治理(IAG)业务角色(预览版) | ✅ | ✅ | |||
| EM - 审批选项 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| EM - 如果没有采取任何动作,则由替代审批者进行多阶段审批 | ✅ | ✅ | ✅ | ||
| EM - 特定审批者 | ✅ | ✅ | ✅ | ||
| EM - 经理作为审批者 | ✅ | ✅ | ✅ | ||
| EM - 内部赞助商作为审批人(来自任务分配者的已连接组织) | ✅ | ✅ | ✅ | ||
| EM - 外部赞助方担任审批者(来自被分配者的关联组织) | ✅ | ✅ | ✅ | ||
| EM - 赞助人作为审批者(来自被分配者的用户配置文件) | ✅ | ✅ | |||
| EM - 外部使用自定义扩展确定审批要求 | ✅ | ✅ | |||
| EM - 收集其他请求者信息以供审批 | ✅ | ✅ | ✅ | ||
| EM - 生命周期 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| EM - 访问包分配过期 | ✅ | ✅ | ✅ | ||
| EM - 管理外部用户的生命周期 | ✅ | ✅ | ✅ | ||
| EM - 将来宾标记为受管理 | ✅ | ✅ | |||
| EM - 其他功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| EM - 职责分离 | ✅ | ✅ | ✅ | ||
| EM - 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| EM - 自动分配策略 | ✅ | ✅ | |||
| EM - 条件访问范围 | ✅ | ✅ | ✅ | ||
| 我的访问 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| “我的访问权限”门户 | ✅ | ✅ | ✅ | ||
| EM - 我的访问搜索 | ✅ | ✅ | ✅ | ||
| EM - 我的访问权限中的推荐访问包 | ✅ | ✅ | |||
| EM - 配置请求者是否可以在“我的访问”中查看审批者详细信息(预览版) | ✅ | ✅ | |||
| EM - 在“我的访问”中委托审批(预览版) | ✅ | ✅ | |||
| Privileged Identity Management (PIM) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| Privileged Identity Management (PIM) | ✅ | ✅ | ✅ | ||
| 组的 PIM | ✅ | ✅ | ✅ | ||
| PIM 条件访问控制 | ✅ | ✅ | ✅ | ||
| 其他 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 治理 | Microsoft Entra 套件 |
| 身份治理仪表板 | ✅ | ✅ | ✅ | ✅ | |
| 分析和报告 - 非活跃访客帐户 | ✅ | ✅ | |||
| 条件访问 - 使用条款证明 | ✅ | ✅ | ✅ | ✅ |
权利管理
使用此功能需要组织成员用户订阅Microsoft Entra ID 治理。 此功能中的某些功能可以使用 Microsoft Entra ID P2 订阅进行操作。 此功能中的某些功能需要来宾计费。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 可以请求访问包的 2000 名员工 | 二千 |
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 他们需要创建一个自动分配策略,向销售部门的所有成员(350 名员工)授予对一组特定访问包的访问权限。 350 名员工自动被分配到访问包。 | 350 名员工需要许可证。 | 351 |
访问审查
使用此功能需要Microsoft Entra ID 治理的成员用户订阅,包括评审或被评审访问权限的所有员工。 此功能中的某些功能可能与 Microsoft Entra ID P2 订阅一起运行。 此功能中的某些功能需要来宾计费。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| 管理员创建包含 75 个成员用户和 1 个组所有者的组 A 的访问评审,并将组所有者分配为审阅者。 | 1 个许可证适用于作为审阅者的组所有者,75 个许可证适用于 75 个用户。 | 76 |
| 管理员创建包含 500 个成员用户和 3 个组所有者的组 B 的访问评审,并将 3 个组所有者分配为审阅者。 | 500 个许可证适用于用户,3 个许可证适用于每个作为审阅者的组所有者。 | 503 |
| 管理员对包含 500 名用户的组 B 进行访问评审。 使其成为自我审查。 | 每位用户作为自我评审员拥有 500 个许可证 | 500 |
| 管理员创建了对包含 50 名成员用户的组 C 的访问评审。 使其成为自我审查。 | 如果每位用户都是自我评审者,则需要 50 个许可证。 | 50 |
| 管理员为包含 6 名成员用户的组 D 开展访问评审。 使其成为自我审查。 | 每个用户作为自我评审者拥有 6 个许可证。 不需要其他许可证。 | 6 |
生命周期工作流
借助 Microsoft Entra ID 治理 的生命周期工作流许可证,您可以:
- 创建、管理和删除工作流(最多 50 个工作流)。
- 触发按需的和计划的工作流执行。
- 管理和配置现有任务,以创建特定于你的需求的工作流。
- 创建最多 100 个用在工作流中的自定义任务扩展。
使用此功能需要组织成员用户订阅Microsoft Entra ID 治理。 此功能中的某些功能需要来宾计费。
许可证场景示例
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| 生命周期工作流管理员创建了一个工作流,用于将营销部门中的新员工添加到“营销团队”组。 通过此工作流,一次性将 250 名新员工成员用户被分配至营销团队组。 其他 150 名新员工成员用户将在同年晚些时候通过此工作流分配给营销团队组。 | 1 个许可证将用于生命周期工作流管理员,400 个许可证将用于用户。 | 401 |
| 生命周期工作流管理员创建了一个工作流,用于在员工在职的最后一天前将一组员工预离职。 一次可执行预离职的用户范围是 40 人。 我们让 40 个许可用户离职。 现在,我们可以重新分配这 40 个许可证,并在今年晚些时候再分配 10 个许可证以预离职另外 50 个用户。 | 50 个许可证用于用户,1 个许可证用于生命周期工作流管理员。 | 51 |
Microsoft Entra Connect
使用此功能是免费的,并包含在Azure订阅中。
Microsoft Entra 条件访问
使用此功能需要Microsoft Entra ID P1 许可证。 若要查找适合你需求的许可证,请参阅 Microsoft Entra ID 的常规可用功能比较。
具有 Microsoft 365 商业高级版 许可证的客户还可以访问条件访问功能。
Microsoft Entra 套件包括所有Microsoft Entra 条件访问功能。
可能与条件访问策略交互的其他产品和功能需要这些产品和功能的相应许可。
条件访问所需的许可证过期时,不会自动禁用或删除策略。 这样,客户就能够从条件访问策略迁移出来,同时防止其安全状况突然发生变化。 可以查看和删除剩余的策略,但不能再对其进行更新。
安全默认值有助于防范与标识相关的攻击,并且适用于所有客户。
Microsoft Entra 域服务
Microsoft Entra Domain Services的费用根据租户所有者所选择的 SKU按小时计算。
Microsoft外部 ID
Microsoft Entra External ID核心功能对前 50,000 名每月活跃用户免费提供。
Microsoft Entra监控和健康
所需的许可证因监视和健康能力而异。
| 能力 | Microsoft Entra ID 免费 | Microsoft Entra ID P1 或 P2 / Microsoft Entra 套件 |
|---|---|---|
| 审核日志 | 是 | 是 |
| 登录日志 | 是 | 是 |
| 自定义安全属性 | 是 | 是 |
| 健康 | 否 | 是 |
| Microsoft Graph活动日志 | 否 | 是 |
| 使用情况和见解 | 否 | 是 |
Microsoft Entra Privileged Identity Management
若要使用Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 本文介绍使用Privileged Identity Management的许可证要求。 若要使用Privileged Identity Management,必须具有以下许可证之一:
用于 PIM 的有效许可证
你需要Microsoft Entra ID 治理许可证或Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,可以将访问评审的范围限定为有权访问 Microsoft Entra ID 的服务主体账号、具有 Microsoft Entra ID P2 级别权限的资源角色,或在租户中启用了 Microsoft Entra ID 治理 版的用户。
你必须拥有的用于 PIM 的许可证
确保您的目录中,以下类别的用户具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理 许可证:
- 使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的用户,其分配是合格的和/或有时间限制的
- 适用于组的 PIM 中有资格或附时间限制任务的成员或所有者用户
- 在 PIM 中能够批准或拒绝激活请求的用户
- 被分配参与访问评审的用户
- 执行访问评审的用户
用于 PIM 的许可证方案示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个特权角色管理员。 他们使五个管理员符合条件。 | 符合条件的管理员可获得五个许可证 | 5 |
| Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 | 14 个许可证用于符合条件的角色 + 三个审批人 | 十七 |
| Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 | 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 | 53 |
当用于 PIM 的许可证过期时
如果Microsoft Entra ID P2、Microsoft Entra ID 治理或试用许可证过期,Privileged Identity Management功能不再在你的目录中可用:
- Microsoft Entra 角色的永久性角色分配不受影响。
- Microsoft Entra 管理中心中的Privileged Identity Management服务,以及Privileged Identity Management的 图形 API cmdlet 和 PowerShell 接口,将不再可供用户激活特权角色、管理特权访问权限或对特权角色执行访问评审。
- 用户无法再激活特权角色,因此删除了 Microsoft Entra 角色的合格角色分配。
- 对 Microsoft Entra 角色的任何持续访问评审都将结束,并删除特权身份管理配置设置。
- Privileged Identity Management不再发送有关角色分配更改的电子邮件。
Microsoft Entra 工作负载识别码
Microsoft Entra Workload ID 支持 Azure 中的应用程序身份和服务主体,每个工作负荷身份每月需要一个许可证。
多租户组织
在源租户中:使用此功能需要Microsoft Entra ID P1 许可证。 使用跨租户同步功能同步的每个用户必须在其主/源租户中拥有 P1 许可证。 若要查找适合你的要求的许可证,请参阅
在目标租户中:跨租户同步依赖于Microsoft Entra 外部 ID计费模型。 还需要目标租户中至少有一个Microsoft Entra ID P1 许可证才能启用自动删除。
所有多租户组织功能都包含在Microsoft Entra套件中。
基于角色的访问控制
在Microsoft Entra ID中使用内置角色是免费的。 对于具有自定义角色分配的每个用户,使用自定义角色需要Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的通用可用功能。
角色
管理单元
使用管理单元需要为每个管理单元管理员分配目录角色的Microsoft Entra ID P1 许可证,并为每个管理单元成员分配Microsoft Entra ID免费许可证。 可以使用Microsoft Entra ID免费许可证创建管理单元。 如果对管理单元使用动态成员组的规则,则每个管理单元成员都需要 Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的通用可用功能。
受限管理行政单位
受限管理的管理单元需要为每个管理单元管理员提供 Microsoft Entra ID P1 许可证,并为管理单元成员提供 Microsoft Entra ID 免费许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的通用可用功能。