Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
以下文档讨论有关员工的 Microsoft Entra ID Governance 许可证。 它适用于正在考虑为其组织提供Microsoft Entra ID Governance服务的 IT 决策者、IT 管理员和 IT 专业人员。
关于来宾用户的许可治理,请参阅Microsoft Entra ID Governance 来宾用户许可。
许可证类型
以下许可证可用于商业云和政府云中的Microsoft Entra ID Governance。 租户中你需要选择的许可证将取决于你在该租户中所使用的功能。
- Free - 包含在 Azure 云订阅(如 Azure、Microsoft 365 等)中。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户Microsoft 365 E3 中,适用于中小企业Microsoft 365 Business Premium。
- Microsoft Entra ID P2 - Microsoft Entra ID P2 作为独立产品提供,或包含在企业客户的 Microsoft 365 E5 中。
- Microsoft Entra ID Governance - Microsoft Entra ID Governance是一组高级标识治理功能,可用于Microsoft Entra ID P1 和 P2 客户。 Microsoft Entra ID Governance 有六种产品分别为:Microsoft Entra ID Governance、Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2、Entra ID 治理一线工作人员、Microsoft Entra ID Governance Step up for Microsoft Entra ID F2、Microsoft Entra ID 政府版治理和适用于政府版 Microsoft Entra ID P2 的 Microsoft Entra ID Governance 加载项。 这六种产品仅在先决条件方面有所不同:它们包含权利管理、特权标识管理和访问评审功能(Microsoft Entra ID P2 中)以及其他高级标识治理功能。 以下部分更详细地介绍了这些产品的不同先决条件。
- Microsoft Entra Suite - Microsoft Entra Suite 是一个完整的基于云的员工访问解决方案,适用于 Microsoft Entra ID P1 和 P2 客户。 Microsoft Entra Suite 汇集了 Microsoft Entra Private Access、Microsoft Entra Internet Access、Microsoft Entra ID Governance、Microsoft Entra ID Protection 和 Microsoft Entra Verified ID。 Microsoft Entra ID Governance部分提供与 Microsoft Entra ID Governance 产品相同的标识治理功能。 区别在于它们具有不同的先决条件。
注意事项
某些 Microsoft Entra ID Governance 方案可以配置为依赖于 Microsoft Entra ID Governance 未涵盖的其他功能。 这些功能可能具有其他许可要求。 有关使用其他功能的治理方案的详细信息,请参阅 “标识治理概述 ”页。
治理产品和先决条件
Microsoft Entra ID Governance功能目前在六款独立产品中提供。 这六种产品提供相同的标识治理功能。 这六种产品之间的差异在于它们具有不同的先决条件。
-
Microsoft Entra ID Governance 或 Microsoft Entra ID Governance for Government 订阅,在产品条款中列为 Microsoft Entra ID Governance(User SL) 产品,要求租户还需具有对另一个产品的有效订阅,该产品包含
AAD_PREMIUM或AAD_PREMIUM_P2服务计划。 满足此先决条件的产品示例包括 Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G5/G5 或 Enterprise Mobility + Security E3/E5。 Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2 或Microsoft Entra ID Governance Add-on for Microsoft Entra ID P2 for Government 的订阅,在产品条款中列为Microsoft Entra ID Governance P2 产品,要求租户还需对包含服务计划的另一产品拥有有效订阅。 满足此先决条件的产品示例包括 Microsoft Entra ID P2, Microsoft 365 E5/A5/G5、Enterprise Mobility + Security E5、Microsoft 365 E5/F5 Security或 Microsoft 365 F5 安全性 + 合规性。 -
Entra ID 治理一线员工(用户 SL)的订阅要求租户还拥有另一个产品的有效订阅,其中包含
AAD_PREMIUM或AAD_PREMIUM_P2服务计划。 满足此先决条件的产品示例包括 Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5、Enterprise Mobility + Security E3/E5 或 Microsoft 365 F1/F3. - 订阅 Microsoft Entra ID Governance Step Up for Microsoft Entra ID F2,在产品术语中列为 Microsoft Entra ID Governance F2 或 Microsoft Entra ID Governance Step-Up for Microsoft Entra ID F2 for Frontline Worker(用户 SL) 产品,要求租户也需对另一个包含
AAD_PREMIUM_P2服务计划的产品具有活动订阅。 满足此先决条件的产品示例包括 Microsoft Entra ID F2。
Microsoft Entra ID Governance功能也包含在 Microsoft Entra Suite 中。 可用的 Microsoft Entra Suite 产品包括 Microsoft Entra Suite (User SL)、Microsoft Entra Suite 加载项适用于 Microsoft Entra ID F2 的 FLW(用户 SL)、Microsoft Entra Suite 加载项适用于 Microsoft Entra ID P2(用户 SL)、Microsoft Entra Suite 加载项适用于 Microsoft Entra ID P2 EDU(用户 SL)、Microsoft Entra Suite FLW(用户 SL) 和 Microsoft Entra Suite 加载项适用于 EDU(用户 SL)。
许可的产品名称和服务计划标识符列出了包含先决服务计划的其他产品。
注意事项
对Microsoft Entra ID Governance产品的先决条件的订阅必须在租户中处于活动状态。 如果先决条件不存在,或者订阅过期,则Microsoft Entra ID Governance方案可能无法按预期工作。
若要检查租户中是否存在Microsoft Entra ID Governance产品的先决条件产品,可以使用Microsoft Entra管理中心或Microsoft 365管理中心查看产品列表。
以许可证管理员身份登录到Microsoft Entra 管理中心。
浏览到计费>许可证。
在“管理”菜单中,选择“许可的功能”。 信息栏指示当前Microsoft Entra ID许可证计划。
若要查看租户中的现有产品,请在“管理”菜单中选择“所有产品”。
管理来宾用户需要选择一个Azure订阅用于来宾计费。 有关详细信息,请参阅:针对来宾用户的Microsoft Entra ID治理许可。
Microsoft Entra ID Governance 功能
下表显示了成员用户的Microsoft Entra ID Governance功能的许可要求。 Microsoft Entra Suite 包括Microsoft Entra ID Governance的所有功能。 下表提供了针对权利管理、访问评审和生命周期工作流的许可信息和示例许可方案。
按许可证列出的功能
下表显示了与标识治理关联的功能可用于每个许可证。 并非所有功能在所有云中都可用。
| 功能 / 特点 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 管理 | Microsoft Entra套件 |
|---|---|---|---|---|---|
| 生命周期工作流 (LCW) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| 生命周期工作流 | ✅ | ✅ | |||
| LCW + 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| 访问审核 (AR) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| AR - 以前在 Microsoft Entra ID P2 中普遍可用的功能 | ✅ | ✅ | ✅ | ||
| AR - 群组 PIM (预览版) | ✅ | ✅ | |||
| AR - 审阅范围限定为非活动用户,且审阅中没有活动用户 | ✅ | ✅ | |||
| AR - 评审范围包括活跃和非活跃用户,为评审者提供非活跃用户的决策帮助程序 | ✅ | ✅ | ✅ | ||
| AR - 机器学习辅助访问认证和评审 | ✅ | ✅ | |||
| AR - 目录访问审核(预览版) | ✅ | ✅ | |||
| AR - 自定义数据提供的资源(预览版) | ✅ | ✅ | |||
| 权利管理 (EM) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 曾经在 Microsoft Entra ID P2 中普遍可用的功能 | ✅ | ✅ | ✅ | ||
| EM - 被分配访问软件包的用户 | ✅ | ✅ | ✅ | ||
| EM - 用户自行请求访问权限 | ✅ | ✅ | ✅ | ||
| EM - 管理员直接分配用户 - 选择目录中的现有用户(包括来宾) | ✅ | ✅ | ✅ | ||
| EM - 管理员直接指定任何用户(预览)- 通过电子邮件地址指定尚未在您目录中的用户 | ✅ | ✅ | |||
| EM - 管理者代表员工提出请求 | ✅ | ✅ | |||
| EM - 支持的资源 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 访问包内的组和团队 | ✅ | ✅ | ✅ | ||
| EM - 访问包中符合条件的群组所有权和成员资格(用于群组的 PIM) | ✅ | ✅ | |||
| EM - 访问包中的应用程序 | ✅ | ✅ | ✅ | ||
| EM - 访问包中的SharePoint站点 | ✅ | ✅ | ✅ | ||
| EM - Microsoft Entra角色(预览版) | ✅ | ✅ | |||
| EM - SAP 标识访问治理(IAG)业务角色(预览版) | ✅ | ✅ | |||
| EM - 审批选项 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 如果没有采取任何动作,则由替代审批者进行多阶段审批 | ✅ | ✅ | ✅ | ||
| EM - 特定审批者 | ✅ | ✅ | ✅ | ||
| EM - 经理作为审批者 | ✅ | ✅ | ✅ | ||
| EM - 内部赞助商作为审批人(来自任务分配者的已连接组织) | ✅ | ✅ | ✅ | ||
| EM - 外部赞助方担任审批者(来自被分配者的关联组织) | ✅ | ✅ | ✅ | ||
| EM - 赞助人作为审批者(来自被分配者的用户配置文件) | ✅ | ✅ | |||
| EM - 外部使用自定义扩展确定审批要求 | ✅ | ✅ | |||
| EM - 收集其他请求者信息以供审批 | ✅ | ✅ | ✅ | ||
| EM - 生命周期 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 访问包分配过期 | ✅ | ✅ | ✅ | ||
| EM - 管理外部用户的生命周期 | ✅ | ✅ | ✅ | ||
| EM - 将来宾标记为受管理 | ✅ | ✅ | |||
| EM - 其他功能 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| EM - 职责分离 | ✅ | ✅ | ✅ | ||
| EM - 自定义扩展(逻辑应用) | ✅ | ✅ | |||
| EM - 自动分配策略 | ✅ | ✅ | |||
| EM - 条件访问范围 | ✅ | ✅ | ✅ | ||
| 我的访问 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| “我的访问权限”门户 | ✅ | ✅ | ✅ | ||
| EM - 我的访问搜索 | ✅ | ✅ | ✅ | ||
| EM - 我的访问权限中的推荐访问包 | ✅ | ✅ | |||
| EM - 配置请求者是否可以在“我的访问”中查看审批者详细信息(预览版) | ✅ | ✅ | |||
| EM - 在“我的访问”中委托审批(预览版) | ✅ | ✅ | |||
| Privileged Identity Management (PIM) | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| Privileged Identity Management (PIM) | ✅ | ✅ | ✅ | ||
| 组的 PIM | ✅ | ✅ | ✅ | ||
| PIM 条件访问控制 | ✅ | ✅ | ✅ | ||
| 其他 | 免费 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID Governance | Microsoft Entra Suite |
| 身份治理仪表板 | ✅ | ✅ | ✅ | ✅ | |
| 分析和报告 - 非活跃访客帐户 | ✅ | ✅ | |||
| 条件访问 - 使用条款证明 | ✅ | ✅ | ✅ | ✅ |
权利管理
使用此功能需要您的组织成员用户拥有 Microsoft Entra ID Governance 订阅。 此功能中的某些功能可以使用 Microsoft Entra ID P2 订阅进行作。 此功能中的某些功能需要来宾计费。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove银行的身份治理管理员负责创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 | 可以请求访问包的 2000 名员工 | 2,000 |
| Woodgrove银行的身份治理管理员负责创建初始目录。 他们需要创建一个自动分配策略,向销售部门的所有成员(350 名员工)授予对一组特定访问包的访问权限。 系统会自动向 350 名员工分配访问包。 | 350 名员工需要许可证。 | 351 |
访问权限审查
使用此功能需要贵组织的成员用户拥有Microsoft Entra ID Governance订阅,包括负责评审访问权限或其访问权限被评审的所有员工。 此功能中的某些功能可能与 Microsoft Entra ID P2 订阅一起运行。 此功能中的某些功能需要来宾计费。
许可证场景示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| 管理员创建包含 75 个成员用户和 1 个组所有者的组 A 的访问评审,并将组所有者分配为审阅者。 | 1 个许可证适用于作为审阅者的组所有者,75 个许可证适用于 75 个用户。 | 76 |
| 管理员创建包含 500 个成员用户和 3 个组所有者的组 B 的访问评审,并将 3 个组所有者分配为审阅者。 | 500 个许可证适用于用户,3 个许可证适用于每个作为审阅者的组所有者。 | 503 |
| 管理员对包含 500 名用户的组 B 进行访问评审。 将其设为自我评审。 | 每个用户作为自我审查者可获得 500 个许可证 | 500 |
| 管理员创建包含 50 个成员用户的组 C 的访问评审。 将其设为自我评审。 | 如果每位用户都是自我评审者,则需要 50 个许可证。 | 50 |
| 管理员创建包含 6 个成员用户的组 D 的访问评审。 将其设为自我评审。 | 每个用户作为自我审阅者可获得 6 个许可证。 不需要其他许可证。 | 6 |
生命周期工作流
通过 Microsoft Entra ID Governance 许可证的生命周期工作流,您可以:
- 创建、管理和删除工作流(最多 50 个工作流)。
- 触发按需的和计划的工作流执行。
- 管理和配置现有任务,以创建特定于你的需求的工作流。
- 创建最多 100 个用在工作流中的自定义任务扩展。
使用此功能需要您的组织成员用户拥有 Microsoft Entra ID Governance 订阅。 此功能中的某些功能需要来宾计费。
许可证场景示例
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| 生命周期工作流管理员创建了一个工作流,用于将营销部门中的新员工添加到“营销团队”组。 通过此工作流,一次性将 250 名新员工成员用户被分配至营销团队组。 其他 150 名新员工成员用户将在同年晚些时候通过此工作流分配给营销团队组。 | 1 个许可证将用于生命周期工作流管理员,400 个许可证将用于用户。 | 401 |
| 生命周期工作流管理员创建了一个工作流,用于在员工在职的最后一天前将一组员工预离职。 一次可执行预离职的用户范围是 40 人。 我们让 40 个许可用户离职。 现在,我们可以重新分配这 40 个许可证,并在今年晚些时候再分配 10 个许可证以预离职另外 50 个用户。 | 50 个许可证用于用户,1 个许可证用于生命周期工作流管理员。 | 51 |
特权身份管理
若要使用Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 本文介绍使用Privileged Identity Management的许可证要求。 若要使用Privileged Identity Management,必须具有以下许可证之一:
用于 PIM 的有效许可证
你需要Microsoft Entra ID Governance许可证或Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,您可以将访问评审范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色或租户内活跃的 Microsoft Entra ID 治理版用户。
你必须拥有的用于 PIM 的许可证
确保您的目录对以下类别的用户具备 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 许可证:
- 具有适用条件和/或时间限制分配到通过 PIM 管理的 Microsoft Entra ID 或 Azure 角色的用户
- 具有合格和/或限时分配的组的 PIM 成员或所有者用户
- 能够在 PIM 中批准或拒绝激活请求的用户
- 已分配到访问评审的用户
- 执行访问评审的用户
用于 PIM 的许可证方案示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
| 场景 | 计算 | 许可证数量 |
|---|---|---|
| Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个特权角色管理员。 他们使五个管理员符合条件。 | 符合条件的管理员可以获得五个许可证 | 5 |
| Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 | 14 个许可证用于符合条件的角色 + 三个审批者 | 十七 |
| Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 | 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 | 53 |
当用于 PIM 的许可证过期时
如果Microsoft Entra ID P2、Microsoft Entra ID Governance或试用许可证过期,Privileged Identity Management功能不再在你的目录中可用:
- 对Microsoft Entra角色的永久角色分配不受影响。
- Microsoft Entra管理中心中的Privileged Identity Management服务,以及Privileged Identity Management的 Graph API cmdlet 和 PowerShell 接口,将不再可供用户激活特权角色、管理特权访问权限或对特权角色执行访问评审。
- 删除了 Microsoft Entra 角色中的合格角色分配,因为用户将无法再激活特权角色。
- 对 Microsoft Entra 角色的任何持续访问评审都将结束,并删除特权标识管理的配置设置。
- Privileged Identity Management不再发送有关角色分配更改的电子邮件。
API 驱动的预配
此功能适用于 Microsoft Entra ID P1、P2 和 Microsoft Entra ID Governance 订阅。 对于通过 /bulkUpload API 获取的每个标识,并预配到本地 Active Directory 或 Microsoft Entra ID 的情况,都需要拥有数量足够的订阅许可证。
许可证方案
| 客户许可证 | 在租户级别针对 API 驱动的预配强制实施的使用限制 |
|---|---|
| Microsoft Entra ID P1 或 P2 | 每日使用配额(在 24 小时内可上传的用户记录数):10 万条用户记录( 每次 bulkUpload API 调用可以包含 2000 条,每个请求最多包含 50 条记录)。 每个流的 API 驱动预配作业的最大数目:2 o 最多 2 个应用用于 API 驱动的预配到本地 Active Directory。 o 最多 2 个应用用于 API 驱动的预配到Microsoft Entra ID。 |
| 与 Microsoft Entra ID P1 或 P2 一起使用 Microsoft Entra ID Governance | 每日使用配额(在 24 小时内可上传的用户记录数):30 万条用户记录( 每次 bulkUpload API 调用可以包含 6000 条,每个请求最多包含 50 条记录)。 每个流的 API 驱动预配作业的最大数目:20 o 最多 20 个应用用于 API 驱动的预配至本地 Active Directory。 o 最多 20 个应用用于 API 驱动的预配到Microsoft Entra ID。 |
许可常见问题解答
是否需要向用户分配许可证才能使用 Identity Governance 功能?
用户不需要被分配 Microsoft Entra ID Governance 许可证,但需要拥有足够的许可证,以便将所有成员用户纳入标识治理功能的范围内,或负责配置这些功能。 此外,如果要管理来宾用户,则必须启用来宾计费模型,具体情况将在接下来的回答中进行描述。
如何为业务来宾许可使用Microsoft Entra ID Governance功能?
Microsoft Entra ID Governance 为来宾用户使用每月活跃用户(MAU)许可,这种许可方式不同于员工的许可,并需要 Azure 订阅。
在来宾计费模型中,来宾由 Guest 的 userType 标识,无论用户进行身份验证的位置如何。 Guest 的 userType 是所有 B2B 邀请方法的默认 userType,也可以由身份管理员设置。 每个月的账单包含每个来宾用户的记录,其中包括当月执行的一次或多次治理操作。 有关定价详细信息,请参阅Azure定价页。
有关详细信息,请参阅:Microsoft Entra ID Governance来宾用户许可。
如果许可证过期,PIM 会发生什么情况?
如果Microsoft Entra ID P2 或Microsoft Entra ID Governance许可证过期或试用版结束,Privileged Identity Management功能将不再在你的目录中可用。 以下列出的更改适用于 Microsoft Entra 角色的 PIM、Azure 资源的 PIM 和组的 PIM。
- 活动永久分配不受影响。
- 活跃的时限分配变为永久分配,因此它们将不再在指定时间过期。
- 符合条件的角色分配会被移除,因为用户不再能够激活特权角色。
- 在 Microsoft Entra 管理中心或 Azure 门户的特权身份管理(Privileged Identity Management)边栏、API 和 PowerShell 界面上,特权身份管理功能将不再可供用户用于激活角色、管理分配或执行特权角色的访问审查。
- 正在进行的Microsoft Entra角色访问评审将被终止,并且Privileged Identity Management配置设置将被移除。
- Privileged Identity Management将不再发送有关角色分配更改和 PIM 警报的电子邮件。
是否会在 Microsoft Entra ID P2 许可证下添加任何 IGA 特性和功能?
Microsoft Entra ID P2 中的所有当前正式版功能都将保留,但不会将新的 IGA 特性或功能添加到 Microsoft Entra ID P2 SKU。