Microsoft Entra 工作负载 ID 常见问题解答
Microsoft Entra 工作负载 ID 现在提供两个版本:免费版和 Microsoft Entra 工作负载 ID 高级版。 工作负载标识的免费版本包含在 Azure 和 Power Platform 等商业在线服务订阅中。 工作负载 ID 高级版产品/服务通过 Microsoft 代表、开放批量许可证计划和云解决方案提供商计划提供。 Azure 和 Microsoft 365 订阅者还可以在线购买工作负载 ID 高级版。
有关详细信息,请参阅什么是工作负载标识?
注意
工作负载 ID 高级版是独立的产品,不包含在其他高级产品计划中。 所有订阅者都需要许可证才能使用工作负载 ID 高级版功能。
深入了解工作负载 ID 定价。
本文档解决了 Microsoft Entra 工作负载 ID 最常见的客户问题。
Microsoft Entra 工作负载 ID(SKU 名称:工作负载 ID 高级版)已正式发布。 可通过 Microsoft 代表、开放批量许可证计划和云解决方案提供商计划获取它。 Azure 和 Office 365 订阅者还可以在线购买 SKU。 工作负载 ID 高级版是独立的 SKU(每月每个工作负载标识 3 美元),不属于其他现有 SKU(例如 E5)。
Azure、Power Platform 等商业联机服务的订阅中包含免费功能,例如托管标识和工作负载标识联合。
工作负载 ID 高级版包含哪些功能,哪些功能是免费的?
| Capabilities | 描述 | Free | 高级 |
|---|---|---|---|
| 身份验证和授权 | |||
| 创建、读取、更新和删除工作负载标识 | 创建和更新标识以保护服务到服务的访问 | 是 | 是 |
| 对工作负载标识和令牌进行身份验证以访问资源 | 使用 Microsoft Entra ID 保护资源访问 | 是 | 是 |
| 工作负载标识登录活动和审核线索 | 监视和跟踪工作负载标识行为 | 是 | 是 |
| 托管标识 | 在不处理凭据的情况下,在 Azure 中使用 Microsoft Entra 标识 | 是 | 是 |
| 工作负荷联合身份验证 | 使用经外部标识提供者 (IdP) 测试的工作负载来访问受 Microsoft Entra ID 保护的资源 | 是 | 是 |
| Microsoft Entra 条件访问 | |||
| 用于工作负载标识的条件访问策略 | 定义工作负载可以访问资源的条件,例如 IP 范围 | 是 | |
| 生命周期管理 | |||
| 针对由服务提供者分配的特权角色的访问评审 | 使用有影响力的权限密切监视工作负载标识 | 是 | |
| 应用程序身份验证方法 API | 允许 IT 管理员强制执行有关组织中的应用如何使用应用程序身份验证方法的最佳做法。 | 是 | |
| 应用健康状况建议 | 确定未使用或非活动工作负荷标识及其风险级别。 获取修正指南。 | 是 |
工作负载 ID 高级版计划的费用是多少?
Microsoft Entra 工作负载 ID 高级版的定价为 3 美元/工作负载标识/月。 潜在顾客状态 SKU(工作负载 ID P1)为 2 美元/工作负载标识/月,它仅供销售人员进行折扣,但对客户不可见。
注意
潜在顾客状态 SKU 只能提供“条件访问”功能。
我需要购买多少个许可证? 是否需要许可所有工作负载标识,包括 Microsoft 应用和托管标识?
只有符合高级功能的工作负载标识才需要许可。 具体而言,需要为 Microsoft Entra 管理中心的“工作负载 ID 登陆”页的以下屏幕截图中的第一个类别下列出的企业应用和服务主体分配许可证。 如果想要为一部分企业应用和服务主体使用高级功能,则必须根据特定要求相应地购买许可证。 如果打算对托管标识使用访问评审,则会出现异常。 在这种情况下,必须基于图中描述的托管标识数获取许可证。
下面是有关哪些工作负载标识符合特定功能的更多详细信息。 目前,条件访问适用于单租户应用程序的工作负载标识。 Microsoft 应用和托管标识没有使用条件访问的资格。 访问评审适用于分配给特权角色的服务主体,包括托管标识。 此功能要求审阅者使用 Entra ID P2 许可证,以及他们想要为其设置访问评审的服务原则的工作负载 ID 高级版许可证。
如何购买工作负载 ID 高级版计划?
需要 Azure 或 Microsoft 365 订阅。 你可以使用当前订阅或设置新订阅。 然后,使用凭据登录到 Microsoft Entra 管理中心,购买工作负载 ID 许可证。
这些许可证是否需要单独的工作负载标识分配?
否,不需要许可证分配。 租户中的一个许可证可解锁所有工作负载标识的所有功能。
如何跟踪为哪些工作负载标识分配了哪些许可证?
遗憾的是,我们不提供用于跟踪该信息的仪表板。 你只能在见解和报告区域中跟踪针对工作负载标识的已启用的条件访问策略。
- 总计:过去 24 小时内的服务主体数。
- 成功:所选策略允许访问且所需的控制措施已满足的服务主体数。
- 失败:所选策略拒绝访问且所需的控制措施未满足的服务主体数。
- 未应用:由于登录与至少一个分配或条件不匹配而绕过所选策略的服务主体数。
是否可以在一个租户中混合使用 Microsoft Entra ID P1、P2 和工作负载 ID 高级版许可证?
可以,客户可以在一个租户中混合使用 SKU。
后续步骤
详细了解工作负载标识。