Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文讨论Microsoft Entra产品系列的许可选项。 它适用于安全决策者、标识和网络访问管理员以及正在考虑为其组织Microsoft Entra解决方案的 IT 专业人员。
注意
如果要排查许可分配问题,请查看 在 Microsoft 365 管理门户中识别并解决组的许可证分配问题。
Microsoft Entra许可选项
Microsoft Entra有多种许可选项提供,可用于选择最适合你的需求的程序包。
注意
此页上的许可选项并不全面。 可以在 Microsoft Entra 定价页以及 Compare Microsoft 365 企业计划和定价页获取有关各种选项的详细信息。
Microsoft Entra ID Free - 包含在 Azure 云订阅(如 Azure、Microsoft 365 等)中。
Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户的 Microsoft 365 E3、F1、F3 和 Enterprise Mobility + Security E3 中。 Entra ID P1 也包含在 Microsoft 365 商业高级版中,适用于中小企业。
Microsoft Entra ID P2 - Microsoft Entra ID P2 可用作独立产品。 它还包含在企业客户的以下产品/服务中:
- Microsoft 365 E5
- Microsoft Defender套件(之前称为Microsoft 365 E5 安全)
- Microsoft Defender Suite FLW
- Microsoft Defender + Purview 套件 FLW
- Enterprise Mobility + Security E5
entra ID P2 也包含在适用于 Microsoft 365 商业高级版的 Microsoft Defender 套件,以及适用于 Microsoft 365 商业高级版中小型企业的 Microsoft Defender 和 Purview 套件中。
Microsoft Entra Suite - 该套件结合了Microsoft Entra产品来保护员工的访问权限。 它使管理员可以提供从任意位置到任何应用或资源(无论是云还是本地)的安全访问,同时确保最低权限访问。 需要 Microsoft Entra ID P1 订阅。 Microsoft Entra套件包括以下产品:
- Microsoft Entra Private Access
- Microsoft Entra Internet Access
- Microsoft Entra ID 管理
重要
用户和组许可证分配通过Microsoft 365 Admin Center进行管理。 有关如何为用户和组分配或取消分配许可证的详细信息,请参阅本文: - 为Microsoft 365管理中心中的用户分配或取消分配许可证
身份验证
下表列出了可在各种版本的Microsoft Entra ID中进行身份验证的功能。 规划你对于保护用户登录的需求,然后确定哪些方法可以满足这些要求。 例如,尽管 Microsoft Entra ID Free 为多重身份验证提供了安全默认值,但只能将Microsoft Authenticator用于身份验证提示,包括文本和语音呼叫。 如果你无法确保 Authenticator 安装在用户的个人设备上,则此方法可能是一个限制。
| 功能 | Microsoft Entra ID Free - 安全默认值(为所有用户启用) | 免费Microsoft Entra ID - 仅限全局管理员 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保护Microsoft Entra租户管理员帐户 | ✅ | ✅ (仅限Microsoft Entra 全局管理员帐户) | ✅ | ✅ | ✅ |
| 将移动应用用作第二个因素 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 将电话呼叫用作第二个验证要素 | ✅ | ✅ | ✅ | ||
| 将短信用作第二个因素 | ✅ | ✅ | ✅ | ✅ | |
| 管理员控制验证方法 | ✅ | ✅ | ✅ | ✅ | |
| MFA 报告 | ✅ | ✅ | |||
| 受信任的 IP | ✅ | ✅ | |||
| 记住受信任的设备的 MFA | ✅ | ✅ | ✅ | ✅ | |
| 适用于本地应用程序的 MFA | ✅ | ✅ | |||
| 条件性访问 | ✅ | ✅ | |||
| 自助式密码重置 (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR,带写回 | ✅ | ✅ |
托管身份
对Azure资源使用托管标识没有许可要求。 Azure 资源的托管标识为应用程序提供了一种自动管理的身份,以便在连接到支持 Microsoft Entra 身份验证的资源时使用。 使用托管标识的好处之一是无需管理凭据,并且无需额外付费即可使用它们。 有关详细信息,请参阅 Azure 资源的托管标识是什么?。
Microsoft Entra ID 管理
下表显示了成员用户的Microsoft Entra ID Governance功能的许可要求。 Microsoft Entra Suite 包括Microsoft Entra ID Governance的所有功能。 下表提供了针对权利管理、访问评审和生命周期工作流的许可信息和示例许可方案。
按许可证列出的功能
下表显示了与标识治理关联的功能可用于每个许可证。 并非所有功能在所有云中都可用。
| 功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 管理 | Microsoft Entra套件 |
|---|---|---|---|---|---|
| 生命周期工作流 (LCW) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| 生命周期工作流 | ✅ | ✅ | |||
| LCW + 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| 访问审核 (AR) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| AR - 以前在 Microsoft Entra ID P2 中普遍可用的功能 | ✅ | ✅ | ✅ | ||
| AR - 群组 PIM (预览版) | ✅ | ✅ | |||
| AR - 审阅范围限定为非活动用户,且审阅中没有活动用户 | ✅ | ✅ | |||
| AR - 评审范围包括活跃和非活跃用户,为评审者提供非活跃用户的决策帮助程序 | ✅ | ✅ | ✅ | ||
| AR - 机器学习辅助访问认证和评审 | ✅ | ✅ | |||
| AR - 目录访问审核(预览版) | ✅ | ✅ | |||
| AR - 自定义数据提供的资源(预览版) | ✅ | ✅ | |||
| 权利管理 (EM) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 曾经在 Microsoft Entra ID P2 中普遍可用的功能 | ✅ | ✅ | ✅ | ||
| EM - 被分配访问软件包的用户 | ✅ | ✅ | ✅ | ||
| EM - 用户自行请求访问权限 | ✅ | ✅ | ✅ | ||
| EM - 管理员直接分配用户 - 选择目录中的现有用户(包括来宾) | ✅ | ✅ | ✅ | ||
| EM - 管理员直接指定任何用户(预览)- 通过电子邮件地址指定尚未在您目录中的用户 | ✅ | ✅ | |||
| EM - 管理者代表员工提出请求 | ✅ | ✅ | |||
| EM - 支持的资源 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 访问包内的组和团队 | ✅ | ✅ | ✅ | ||
| EM - 访问包中符合条件的群组所有权和成员资格(用于群组的 PIM) | ✅ | ✅ | |||
| EM - 访问包中的应用程序 | ✅ | ✅ | ✅ | ||
| EM - 访问包中的SharePoint站点 | ✅ | ✅ | ✅ | ||
| EM - Microsoft Entra角色(预览版) | ✅ | ✅ | |||
| EM - SAP 标识访问治理(IAG)业务角色(预览版) | ✅ | ✅ | |||
| EM - 审批选项 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 如果没有采取任何动作,则由替代审批者进行多阶段审批 | ✅ | ✅ | ✅ | ||
| EM - 特定审批者 | ✅ | ✅ | ✅ | ||
| EM - 经理作为审批者 | ✅ | ✅ | ✅ | ||
| EM - 内部赞助商作为审批人(来自任务分配者的已连接组织) | ✅ | ✅ | ✅ | ||
| EM - 外部赞助方担任审批者(来自被分配者的关联组织) | ✅ | ✅ | ✅ | ||
| EM - 赞助人作为审批者(来自被分配者的用户配置文件) | ✅ | ✅ | |||
| EM - 外部使用自定义扩展确定审批要求 | ✅ | ✅ | |||
| EM - 收集其他请求者信息以供审批 | ✅ | ✅ | ✅ | ||
| EM - 生命周期 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 访问包分配过期 | ✅ | ✅ | ✅ | ||
| EM - 管理外部用户的生命周期 | ✅ | ✅ | ✅ | ||
| EM - 将来宾标记为受管理 | ✅ | ✅ | |||
| EM - 其他功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 职责分离 | ✅ | ✅ | ✅ | ||
| EM - 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| EM - 自动分配策略 | ✅ | ✅ | |||
| EM - 条件访问范围 | ✅ | ✅ | ✅ | ||
| 我的访问 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| “我的访问权限”门户 | ✅ | ✅ | ✅ | ||
| EM - 我的访问搜索 | ✅ | ✅ | ✅ | ||
| EM - 我的访问权限中的推荐访问包 | ✅ | ✅ | |||
| EM - 配置请求者是否可以在“我的访问”中查看审批者详细信息(预览版) | ✅ | ✅ | |||
| EM - 在“我的访问”中委托审批(预览版) | ✅ | ✅ | |||
| Privileged Identity Management (PIM) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| Privileged Identity Management (PIM) | ✅ | ✅ | ✅ | ||
| 组的 PIM | ✅ | ✅ | ✅ | ||
| PIM 条件访问控制 | ✅ | ✅ | ✅ | ||
| 其他 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| 身份治理仪表板 | ✅ | ✅ | ✅ | ✅ | |
| 分析和报告 - 非活跃访客帐户 | ✅ | ✅ | |||
| 条件访问 - 使用条款证明 | ✅ | ✅ | ✅ | ✅ |
权利管理
使用此功能需要组织成员用户的 Microsoft Entra ID Governance 订阅。 此功能中的某些功能可以使用 Microsoft Entra ID P2 订阅进行作。 此功能中的某些功能需要来宾计费。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 可以请求访问包的 2000 名员工 | 二千 |
| Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 他们需要创建一个自动分配策略,向销售部门的所有成员(350 名员工)授予对一组特定访问包的访问权限。 350 名员工自动被分配到访问包。 | 350 名员工需要许可证。 | 351 |
访问审查
使用此功能需要贵组织的成员用户拥有Microsoft Entra ID Governance订阅,包括负责评审访问权限或其访问权限被评审的所有员工。 此功能中的某些功能可能与 Microsoft Entra ID P2 订阅一起运行。 此功能中的某些功能需要来宾计费。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| 管理员创建包含 75 个成员用户和 1 个组所有者的组 A 的访问评审,并将组所有者分配为审阅者。 | 1 个许可证适用于作为审阅者的组所有者,75 个许可证适用于 75 个用户。 | 76 |
| 管理员创建包含 500 个成员用户和 3 个组所有者的组 B 的访问评审,并将 3 个组所有者分配为审阅者。 | 500 个许可证适用于用户,3 个许可证适用于每个作为审阅者的组所有者。 | 503 |
| 管理员对包含 500 名用户的组 B 进行访问评审。 使其成为自我审查。 | 每位用户作为自我评审员拥有 500 个许可证 | 500 |
| 管理员创建了对包含 50 名成员用户的组 C 的访问评审。 使其成为自我审查。 | 如果每位用户都是自我评审者,则需要 50 个许可证。 | 50 |
| 管理员为包含 6 名成员用户的组 D 开展访问评审。 使其成为自我审查。 | 每个用户作为自我评审者拥有 6 个许可证。 不需要其他许可证。 | 6 |
生命周期工作流
通过 Microsoft Entra ID Governance 许可证的生命周期工作流,您可以:
- 创建、管理和删除工作流(最多 50 个工作流)。
- 触发按需的和计划的工作流执行。
- 管理和配置现有任务,以创建特定于你的需求的工作流。
- 创建最多 100 个用在工作流中的自定义任务扩展。
使用此功能需要您的组织成员用户拥有 Microsoft Entra ID Governance 订阅。 此功能中的某些功能需要来宾计费。
许可证场景示例
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| 生命周期工作流管理员创建了一个工作流,用于将营销部门中的新员工添加到“营销团队”组。 通过此工作流,一次性将 250 名新员工成员用户被分配至营销团队组。 其他 150 名新员工成员用户将在同年晚些时候通过此工作流分配给营销团队组。 | 1 个许可证将用于生命周期工作流管理员,400 个许可证将用于用户。 | 401 |
| 生命周期工作流管理员创建了一个工作流,用于在员工在职的最后一天前将一组员工预离职。 一次可执行预离职的用户范围是 40 人。 我们让 40 个许可用户离职。 现在,我们可以重新分配这 40 个许可证,并在今年晚些时候再分配 10 个许可证以预离职另外 50 个用户。 | 50 个许可证用于用户,1 个许可证用于生命周期工作流管理员。 | 51 |
Microsoft Entra Connect
使用此功能是免费的,并包含在Azure订阅中。
Microsoft Entra条件访问
使用此功能需要Microsoft Entra ID P1 许可证。 若要查找适合你的要求的许可证,请参阅 Microsoft Entra ID 的一般可用功能比较。
具有 Microsoft 365 Business Premium 许可证的客户还可以访问条件访问功能。
Microsoft Entra Suite 包括所有Microsoft Entra条件访问功能。
可能与条件访问策略交互的其他产品和功能需要这些产品和功能的相应许可。
条件访问所需的许可证过期时,不会自动禁用或删除策略。 这样,客户就能够从条件访问策略迁移出来,同时防止其安全状况突然发生变化。 可以查看和删除剩余的策略,但不能再对其进行更新。
安全默认值有助于防范与标识相关的攻击,并且适用于所有客户。
Microsoft Entra 域服务
Microsoft Entra Domain Services使用量按小时收费,具体取决于租户所有者选择的 SKU。
Microsoft 外部 ID
Microsoft Entra External ID 核心功能对前 50,000 名每月活跃用户免费使用。
Microsoft Entra监控和健康状态
所需的许可证因监视和健康能力而异。
| 能力 | Microsoft Entra ID 免费 | Microsoft Entra ID P1 或 P2/Microsoft Entra 套件 |
|---|---|---|
| 审核日志 | 是 | 是 |
| 登录日志 | 是 | 是 |
| 自定义安全属性 | 是 | 是 |
| 健康 | 否 | 是 |
| Microsoft Graph活动日志 | 否 | 是 |
| 使用情况和见解 | 否 | 是 |
Microsoft Entra Privileged Identity Management
若要使用Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 本文介绍使用Privileged Identity Management的许可证要求。 若要使用Privileged Identity Management,必须具有以下许可证之一:
用于 PIM 的有效许可证
你需要Microsoft Entra ID Governance许可证或Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,您可以将访问评审范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色或租户内活跃的 Microsoft Entra ID 治理版用户。
你必须拥有的用于 PIM 的许可证
确保您的目录对以下类别的用户具备 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 许可证:
- 具有适用条件和/或时间限制分配到通过 PIM 管理的 Microsoft Entra ID 或 Azure 角色的用户
- 适用于组的 PIM 中有资格或附时间限制任务的成员或所有者用户
- 在 PIM 中能够批准或拒绝激活请求的用户
- 被分配参与访问评审的用户
- 执行访问评审的用户
用于 PIM 的许可证方案示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个特权角色管理员。 他们使五个管理员符合条件。 | 符合条件的管理员可获得五个许可证 | 5 |
| Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 | 14 个许可证用于符合条件的角色 + 三个审批人 | 十七 |
| Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 | 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 | 53 |
当用于 PIM 的许可证过期时
如果Microsoft Entra ID P2、Microsoft Entra ID Governance或试用许可证过期,Privileged Identity Management功能不再在你的目录中可用:
- 对Microsoft Entra角色的永久角色分配不受影响。
- Microsoft Entra管理中心中的Privileged Identity Management服务,以及Privileged Identity Management的 Graph API cmdlet 和 PowerShell 接口,将不再可供用户激活特权角色、管理特权访问权限或对特权角色执行访问评审。
- 删除了 Microsoft Entra 角色中的合格角色分配,因为用户将无法再激活特权角色。
- 对 Microsoft Entra 角色的任何持续访问评审都将结束,并删除特权标识管理的配置设置。
- Privileged Identity Management不再发送有关角色分配更改的电子邮件。
Microsoft Entra 工作负载 ID
Microsoft Entra Workload ID支持Azure中的应用程序标识和服务原则,每月需要每个工作负荷标识的许可证。
多租户组织
在源租户中:使用此功能需要Microsoft Entra ID P1 许可证。 使用跨租户同步功能同步的每个用户必须在其主/源租户中拥有 P1 许可证。 若要查找适合你的要求的许可证,请参阅
在目标租户中,跨租户同步依赖于 Microsoft Entra External ID 计费模型。 您还需要在目标租户中至少拥有一个 Microsoft Entra ID P1 许可证,以启用自动兑换功能。
所有多租户组织功能都包含在Microsoft Entra套件中。
基于角色的访问控制
在Microsoft Entra ID中使用内置角色是免费的。 对于具有自定义角色分配的每个用户,使用自定义角色需要Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的通用可用功能。
角色
管理单元
使用管理单元时,对于每位被分配了该管理单元范围内目录角色的管理单元管理员,需要 Microsoft Entra ID P1 许可证,而对于每位管理单元成员,则需要 Microsoft Entra ID 免费许可证。 可以使用Microsoft Entra ID免费许可证创建管理单元。 如果您对管理单元的动态成员组使用规则,则每个管理单元成员都需要 Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的通用可用功能。
受限管理行政单位
受限管理单元需要每个管理单元管理员持有 Microsoft Entra ID P1 许可证,以及管理单元成员持有 Microsoft Entra ID 免费许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的通用可用功能。