Microsoft Entra ID 治理许可基础知识

项目
04/04/2024

以下文档讨论了 Microsoft Entra ID 治理许可。它适用于考虑为组织应用 Microsoft Entra ID 治理服务的 IT 决策者、IT 管理员和 IT 专业人员。

许可证类型

以下许可证可与商业云中的 Microsoft Entra ID Governance 一起使用。租户中你需要选择的许可证将取决于你在该租户中所使用的功能。

免费 - 包含在 Azure 云订阅中（如 Azure、Microsoft 365 等）。
Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供，或包含在企业客户的 Microsoft 365 E3 中、中小型企业的 Microsoft 365 商业高级版中。
Microsoft Entra ID P2 - Microsoft Entra ID P2（即将成为 Microsoft Entra ID P2）作为独立产品提供，或包含在企业客户的 Microsoft 365 E5 中。
Microsoft Entra ID 治理 - Microsoft Entra ID 治理是一套高级标识治理功能，适用于 Microsoft Entra ID P1 和 P2 客户，分为两款产品：Microsoft Entra ID 治理和适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级版。这些产品包含 Microsoft Entra ID P2 中的基本身份治理功能以及其他高级身份治理功能。

注意

可将某些 Microsoft Entra ID 治理方案配置为依赖于 Microsoft Entra ID 治理未涵盖的其他功能。这些功能可能具有其他许可要求。有关依赖于其他功能的治理方案的详细信息，请参阅标识治理概述。

治理产品和先决条件

Microsoft Entra ID 治理功能目前在商业云中的两种产品中可用。这两款产品提供相同的标识治理功能。这两款产品的区别在于它们具有不同的先决条件。

Microsoft Entra ID 治理的订阅（在产品条款中作为 Microsoft Entra ID 治理（用户 SL）许可证列出）要求租户还具有另一个产品（包含 AAD_PREMIUM 或 AAD_PREMIUM_P2 服务计划的产品）的有效订阅。满足此先决条件的产品示例包括 Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、企业移动性 + 安全性 E3/E5 或 Microsoft 365 F1/F3。
Microsoft Entra ID P2 的 Microsoft Entra ID 治理升级版的订阅（在产品条款中作为 Microsoft Entra ID 治理 P2 许可证列出）要求租户还具有另一个产品（包含 AAD_PREMIUM_P2 服务计划的产品）的有效订阅。满足此先决条件的产品示例包括 Microsoft Entra ID P2、Microsoft 365 E5/A5/G5、企业移动性 + 安全性 E5、Microsoft 365 E5/F5 安全或 Microsoft 365 F5 安全 + 合规性。

许可的产品名称和服务计划标识符列出了包含先决服务计划的其他产品。

注意

必须在租户中具有有效的 Microsoft Entra ID 治理产品的先决订阅。如果先决条件不存在或订阅过期，则 Microsoft Entra ID 治理方案可能无法按预期运行。

若要检查租户中是否存在 Microsoft Entra ID 治理产品的先决产品，可以使用 Microsoft Entra 管理中心或 Microsoft 365 管理中心查看产品列表。

以全局管理员身份登录到 Microsoft Entra 管理中心。
在“标识”菜单中，展开“计费”，然后选择“许可证”。
在“管理”菜单中，选择“许可的功能”。信息栏将指示当前的 Microsoft Entra ID 许可计划。
若要查看租户中的现有产品，请在“管理”菜单中选择“所有产品”。

Privileged Identity Management

要使用 Microsoft Entra Privileged Identity Management，租户必须具有有效的许可证。还必须将许可证分配给管理员和相关用户。本文介绍使用 Privileged Identity Management 所要满足的许可证要求。若要使用 Privileged Identity Management，则必须具有以下许可证之一：

用于 PIM 的有效许可证

需要 Microsoft Entra ID 治理许可证或 Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。目前，可以将访问评审的范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色，或者在租户中具有有效 Microsoft Entra ID 治理版本的用户。服务主体的许可模型将会在此功能的正式版中最终确定，可能需要更多许可证。

你必须拥有的用于 PIM 的许可证

对于以下类别的用户，确保目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证：

已分配和/或限时分配到使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的合格用户
已分配或限时分配为适用于组的 PIM 的成员或所有者的合格用户
能够在 PIM 中批准或拒绝请求的用户
已分配到访问评审的用户
执行访问评审的用户

用于 PIM 的许可证方案示例

下面是一些许可证场景示例，可帮助你确定必须拥有的许可证数量。

方案	计算	许可证数量
Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个全局管理员。他们使五个管理员符合条件。	五个许可证用于符合条件的管理员	5
Graphic Design Institute 有 25 个管理员，其中 14 个是通过 PIM 管理的。角色激活需要批准，并且组织中有三个不同的用户可以批准激活。	14 个许可证用于符合条件的角色 + 三个审批者	17
Contoso 有 50 个管理员，其中 42 个是通过 PIM 管理的。角色激活需要批准，并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅，审阅者是用户的经理，其中有六个不在 PIM 管理的管理员角色中。	42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者	53

当用于 PIM 的许可证过期时

如果 Microsoft Entra ID P2、Microsoft Entra ID Governance 或试用许可证过期，则无法再在目录中使用 Privileged Identity Management 功能：

对 Microsoft Entra 角色的永久角色分配将不受影响。
用户无法再使用 Microsoft Entra 管理中心中的 Privileged Identity Management 服务、图形 API cmdlet 和 Privileged Identity Management 的 PowerShell 接口来激活特权角色、管理特权访问或执行特权角色的访问评审。
会删除 Microsoft Entra 角色符合条件的角色分配，因为用户不再能够激活特权角色。
Microsoft Entra 角色所有正在进行的访问评审都会结束，Privileged Identity Management 配置设置会被移除。
角色分配更改时，Privileged Identity Management 不再发送电子邮件。

API 驱动的预配

此功能适用于 Microsoft Entra ID P1、P2 和 Microsoft Entra ID 治理订阅。使用 /bulkUpload API 溯源的每个标识都需要订阅许可证，并预配到本地 Active Directory 或 Microsoft Entra ID。

许可证方案

客户许可证	在租户级别针对 API 驱动的预配强制实施的使用限制
Microsoft Entra ID P1 或 P2	每日使用配额（在 24 小时内可上传的用户记录数）：10 万条用户记录（每次 bulkUpload API 调用可以包含 2000 条，每个请求最多包含 50 条记录）。每个流的 API 驱动预配作业的最大数目：2 o 最多可以使用 2 个应用向本地 Active Directory 进行 API 驱动的预配。 o 最多可以使用 2 个应用向 Microsoft Entra ID 进行 API 驱动的预配。
Microsoft Entra ID 治理以及 Microsoft Entra ID P1 或 P2	每日使用配额（在 24 小时内可上传的用户记录数）：30 万条用户记录（每次 bulkUpload API 调用可以包含 6000 条，每个请求最多包含 50 条记录）。每个流的 API 驱动预配作业的最大数目：20 o 最多可以使用 20 个应用向本地 Active Directory 进行 API 驱动的预配。 o 最多可以使用 20 个应用向 Microsoft Entra ID 进行 API 驱动的预配。

客户许可证

在租户级别针对 API 驱动的预配强制实施的使用限制

Microsoft Entra ID P1 或 P2

每日使用配额（在 24 小时内可上传的用户记录数）：10 万条用户记录（每次 bulkUpload API 调用可以包含 2000 条，每个请求最多包含 50 条记录）。

每个流的 API 驱动预配作业的最大数目：2
o 最多可以使用 2 个应用向本地 Active Directory 进行 API 驱动的预配。
o 最多可以使用 2 个应用向 Microsoft Entra ID 进行 API 驱动的预配。

Microsoft Entra ID 治理以及 Microsoft Entra ID P1 或 P2

每日使用配额（在 24 小时内可上传的用户记录数）：30 万条用户记录（每次 bulkUpload API 调用可以包含 6000 条，每个请求最多包含 50 条记录）。

每个流的 API 驱动预配作业的最大数目：20
o 最多可以使用 20 个应用向本地 Active Directory 进行 API 驱动的预配。
o 最多可以使用 20 个应用向 Microsoft Entra ID 进行 API 驱动的预配。

许可常见问题解答

是否需要向用户分配许可证才能使用 Identity Governance 功能？

无需为用户分配 Microsoft Entra ID Governance 许可证，但需要有尽可能多的许可证席位，以包含 Identity Governance 功能范围内的所有用户或配置了 Identity Governance 功能的用户。

如何许可企业来宾使用 Microsoft Entra ID Governance 功能？

Microsoft Entra ID Governance 功能范围内的所有用户（包括承包商、合作伙伴和外部协作者等企业来宾）都需要许可证。我们正在为企业来宾创建新的 Microsoft Entra ID Governance 许可证。此许可证使用的是每月活跃使用量 (MAU) 模型。客户可以获取与其预期业务来客 MAU 匹配的许可证。

我们预计在 2024 年春季提供这些许可证。在此期间，使用 Microsoft Entra ID Governance 管理其员工标识的组织可以免费管理其企业来宾的标识。目前，具有 Microsoft Entra 外部 ID 的现有 Microsoft Entra ID P1 或 P2 客户可以通过其 Microsoft Entra 外部 ID 许可证继续对其企业来宾使用 P1 或 P2 中包含的功能子集。

有关详细信息，请参阅：针对企业来宾的 Microsoft Entra ID Governance 许可。

许可证过期后会发生什么情况？

如果 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 试用许可证过期，则无法再在目录中使用 Privileged Identity Management 功能：下面介绍的更改适用于 Microsoft Entra 角色、Azure 资源以及组的 PM。

活动永久分配不受影响。
活动时限分配变为活动永久分配，这意味着它们将不再在指定时间过期。
符合条件的角色分配会被移除，因为用户不再能够激活特权角色。
Microsoft Entra 管理中心或 Azure 门户中的 Privileged Identity Management 边栏选项卡，以及 Privileged Identity Management 的 API 和 PowerShell 界面将不再可供用户用来激活角色、管理分配或执行特权角色的访问评审。
Microsoft Entra 角色所有正在进行的访问评审都会结束，Privileged Identity Management 配置设置会被移除。
角色分配更改时，Privileged Identity Management 将不再发送电子邮件以及 PIM 警报。

是否会在 Microsoft Entra ID P2 许可证下添加任何 IGA 特性和功能？

Microsoft Entra ID P2 中当前所有正式发布的功能将保持不变，但 Microsoft Entra ID P2 SKU 将不会新增任何 IGA 特性或功能。

后续步骤

什么是 Microsoft Entra ID 治理？