Microsoft Entra 授权

本文讨论 Microsoft Entra 产品系列的许可选项。 它适用于考虑为组织应用 Microsoft Entra 解决方案的安全决策者、标识和网络访问管理员,以及 IT 专业人员。

Entra 许可选项

Microsoft Entra 在多个许可选项中提供,你可以在这些选项中选择最适合你的需求的套餐。

注意

此页上的许可选项并非详尽无遗。 可以在 Microsoft Entra 定价页比较 Microsoft 365 企业版计划和定价页获取有关各种选项的详细信息。

Microsoft Entra ID Free - 包含在 Azure 云订阅中(如 Azure、Microsoft 365 等)。

Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户的 Microsoft 365 E3 中、中小型企业的 Microsoft 365 商业高级版中。

Microsoft Entra ID P2 - Microsoft Entra ID P2(即将成为 Microsoft Entra ID P2)作为独立产品提供,或包含在企业客户的 Microsoft 365 E5 中。

Microsoft Entra 套件 - 该套件结合了 Microsoft Entra 产品来保护员工的访问安全。 它使管理员可以提供从任意位置到任何应用或资源(无论是云还是本地)的安全访问,同时确保最低权限访问。 需要 Microsoft Entra ID P1 订阅。 Microsoft Entra 套件包含以下产品:

  • Microsoft Entra 专用访问
  • Microsoft Entra Internet 访问
  • Microsoft Entra ID 治理

托管标识

使用 Azure 资源托管标识没有许可要求。 Azure 资源的托管标识会为应用程序提供一个自动托管标识,可以在连接到支持 Microsoft Entra 身份验证的资源时使用。 使用托管标识的好处之一是无需管理凭据,并且无需额外付费即可使用它们。 有关详细信息,请参阅什么是 Azure 资源的托管标识?

Microsoft Entra ID 治理

下表展示了 Microsoft Entra ID 治理功能的许可要求。 Microsoft Entra 套件包括 Microsoft Entra ID 治理的所有功能。 下表提供了权利管理和访问评审的许可信息和示例许可证方案。

按许可证列出的功能

下表显示了每种许可证可用的功能。 并非所有功能在所有云中都可用。

功能 免费 Microsoft Entra ID P1 Microsoft Entra ID P2 Microsoft Entra ID 治理 Microsoft Entra 套件
条件访问 - 使用条款证明
权利管理 - 基本权利管理
权利管理 - 条件访问范围
权利管理 MyAccess 搜索
权利管理 – 自定义扩展(逻辑应用)
权利管理 – 自动分配策略
权利管理 – 直接分配任何用户(预览版)
权利管理 - 来宾转换 API
权利管理 – 管理外部用户的生命周期
“我的访问权限”门户
权利管理 - Microsoft Entra 角色(预览版)
权利管理 - 发起人策略
Privileged Identity Management (PIM)
适用于组的 PIM
PIM CA 控制
访问评审 - 基本访问认证和评审
访问评审 - 适用于组的 PIM(预览版)
访问评审 - 非活动用户评审
访问评审 - 非活动用户建议
访问评审 - 机器学习辅助访问认证和评审
Identity Governance 仪表板
见解和报告 – 非活动来宾帐户

权利管理

使用此功能需要组织用户具有 Microsoft Entra ID 治理订阅。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅进行操作。

许可证场景示例

下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。

方案 计算 许可证数量
Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 可以请求访问包的 2000 名员工 2,000
Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 其中一个策略指定,所有员工(2000 名员工)都可以请求一组特定的访问包。 150 名员工请求了访问包。 2,000 名员工需要许可证。 2,000
Woodgrove Bank 的 Identity Governance 管理员创建初始目录。 他们需要创建一个自动分配策略,向销售部门的所有成员(350 名员工)授予对一组特定访问包的访问权限。 350 名员工自动被分配到访问包。 350 名员工需要许可证。 351

访问评审

使用此功能需要组织用户的 Microsoft Entra ID Governance 订阅,包括评审访问权限或其访问权限接受评审的所有员工。 此功能中的某些功能可能需要使用 Microsoft Entra ID P2 订阅才能运行。

许可证场景示例

下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。

方案 计算 许可证数量
管理员创建组 A 的访问评审,该组包含 75 个用户和 1 个组所有者,并将该组所有者指定为审阅者。 1 个许可证适用于作为审阅者的组所有者,75 个许可证适用于 75 个用户。 76
管理员创建组 B 的访问评审,该组包含 500 个用户和 3 个组所有者,并将这 3 个组所有者指定为审阅者。 500 个许可证适用于用户,3 个许可证适用于每个作为审阅者的组所有者。 503
管理员创建具有 500 个用户的组 B 的访问评审。 并使其成为自我评审。 各个用户进行自我评审共需 500 个许可证 500
管理员对组 C(包含 50 名成员用户)创建访问评审。 并使其成为自我评审。 如果每位用户都是自我评审者,则需要 50 个许可证。 50
管理员对组 D(包含 6 名成员用户)创建访问评审。 并使其成为自我评审。 6 名作为自我审阅者的用户各需 1 个证书。 不需要其他许可证。 6

Microsoft Entra Connect

此功能免费使用,并且包括在你的 Azure 订阅中。

Microsoft Entra 条件访问

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

拥有 Microsoft 365 商业高级版许可证的客户也可以访问条件访问功能。

Microsoft Entra 套件包括所有 Microsoft Entra 条件访问功能。

可能与条件访问策略交互的其他产品和功能需要这些产品和功能的相应许可。

条件访问所需的许可证过期时,不会自动禁用或删除策略。 这样,客户就能够从条件访问策略迁移出来,同时防止其安全状况突然发生变化。 可以查看和删除剩余的策略,但不能再对其进行更新。

安全默认值有助于防范与标识相关的攻击,并且适用于所有客户。

Microsoft Entra 域服务

Microsoft Entra 域服务使用量按小时收费,具体取决于租户所有者选择的 SKU

Microsoft 外部 ID

Microsoft Entra 外部 ID 核心功能对前 50,000 名月度活跃用户免费。

Microsoft Entra 监视和运行状况

所需的角色和许可证因报告而异。 需要单独的权限才能访问 Microsoft Graph 中的监视和运行状况数据。 我们建议使用具有最低访问权限的角色,以符合零信任指导。 有关角色的完整列表,请参阅按任务列出的最低特权角色

日志/报表 角色 许可证
审核日志 报告读取者
安全读取者
安全管理员
所有版本的 Microsoft Entra ID
登录日志 报告读取者
安全读取者
安全管理员
在所有版本的 Microsoft Entra ID
自定义安全属性审核日志* 属性日志管理员
属性日志读取器
在所有版本的 Microsoft Entra ID
运行状况 报告读取者
安全信息读取者
帮助台管理员
Microsoft Entra ID P1 或 P2
Microsoft Graph 活动日志 安全管理员
访问相应日志目标中数据的权限
Microsoft Entra ID P1 或 P2
使用情况和见解 报告读取者
安全读取者
安全管理员
Microsoft Entra ID P1 或 P2

*查看审核日志中的自定义安全属性或为自定义安全属性创建诊断设置需要“属性日志”角色之一。 你还需要适当的角色才能查看标准审核日志。

Microsoft Entra Privileged Identity Management

要使用 Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 还必须将许可证分配给管理员和相关用户。 本文介绍使用 Privileged Identity Management 所要满足的许可证要求。 若要使用 Privileged Identity Management,则必须具有以下许可证之一:

用于 PIM 的有效许可证

需要 Microsoft Entra ID 治理许可证或 Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,可以将访问评审的范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色,或者在租户中具有有效 Microsoft Entra ID 治理版本的用户。 服务主体的许可模型将会在此功能的正式版中最终确定,可能需要更多许可证。

你必须拥有的用于 PIM 的许可证

对于以下类别的用户,确保目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证:

  • 已分配和/或限时分配到使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的合格用户
  • 已分配或限时分配为适用于组的 PIM 的成员或所有者的合格用户
  • 能够在 PIM 中批准或拒绝请求的用户
  • 已分配到访问评审的用户
  • 执行访问评审的用户

用于 PIM 的许可证方案示例

下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。

方案 计算 许可证数量
Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个特权角色管理员。 他们使五个管理员符合条件。 五个许可证用于符合条件的管理员 5
Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 14 个许可证用于符合条件的角色 + 三个审批者 17
Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 53

当用于 PIM 的许可证过期时

如果 Microsoft Entra ID P2、Microsoft Entra ID Governance 或试用许可证过期,则无法再在目录中使用 Privileged Identity Management 功能:

  • 对 Microsoft Entra 角色的永久角色分配将不受影响。
  • 用户无法再使用 Microsoft Entra 管理中心中的 Privileged Identity Management 服务、图形 API cmdlet 和 Privileged Identity Management 的 PowerShell 接口来激活特权角色、管理特权访问或执行特权角色的访问评审。
  • 会删除 Microsoft Entra 角色符合条件的角色分配,因为用户不再能够激活特权角色。
  • Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
  • 角色分配更改时,Privileged Identity Management 不再发送电子邮件。

Microsoft Entra 工作负荷 ID

Microsoft Entra 工作负荷 ID 支持 Azure 中的应用程序标识和服务原则,对于每个工作负荷标识,每月都需要许可证。

多租户组织

在源租户中:使用此功能需要 Microsoft Entra ID Premium P1 许可证。 使用跨租户同步功能同步的每个用户必须在其主/源租户中拥有 P1 许可证。 若要根据需要查找合适的许可证,请参阅 Microsoft Entra ID 计划和定价

在目标租户中:跨租户同步依赖于 Microsoft Entra 外部 ID 计费模型。 还需要在目标租户中至少有一个 Microsoft Entra ID Premium P1 许可证才能启用自动兑换。

所有多租户组织功能都包含在 Microsoft Entra 套件中。

基于角色的访问控制

在 Microsoft Entra ID 中使用内置角色是免费的。 使用自定义角色要求每个分配有自定义角色的用户都具有 Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能

角色

管理单元

使用管理单元时,要求在管理单元范围分配了目录角色的每位管理单元管理员具有 Microsoft Entra ID P1 许可证,要求每位管理单元成员具有 Microsoft Entra ID Free 许可证。 可以使用 Microsoft Entra ID 免费版许可证创建管理单元。 如果对管理单元使用动态成员身份组规则,则每个管理单元成员都需要 Microsoft Entra ID P1 许可证。 如果要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能

受限管理单元

受限管理单元要求每个管理单元管理员都有一个 Microsoft Entra ID P1 许可证,管理单元成员都有 Microsoft Entra ID 免费许可证。 若要根据需要查找合适的许可证,请参阅比较免费版和高级版的正式发布功能

后续步骤