Microsoft Entra 工作负载 ID 常见问题解答

Microsoft Entra 工作负载 ID 现在提供两个版本:免费版Microsoft Entra 工作负载 ID 高级版。 工作负载标识的免费版本包含在 AzurePower Platform 等商业在线服务订阅中。 工作负载 ID 高级版产品/服务通过 Microsoft 代表、开放批量许可证计划云解决方案提供商计划提供。 Azure 和 Microsoft 365 订阅者可以在线购买工作负载 ID 高级版。

有关详细信息,请参阅什么是工作负载标识?

注意

工作负载 ID 高级版是独立的产品,不包含在其他高级产品计划中。 所有订阅者都需要许可证才能使用工作负载 ID 高级版功能。

深入了解工作负载 ID 定价

本文档解决了 Microsoft Entra 工作负载 ID 最常见的客户问题。

Microsoft Entra 工作负载 ID(工作负载 ID 高级版)通常通过 Microsoft 代表、开放批量许可证计划和云解决方案提供商计划提供。 Azure 和 Office 365 订阅者可以在线购买。 工作负载 ID 高级版是一个独立的库存单位 (SKU),每月每个工作负载标识 3 美元,不属于另一个 SKU。

免费功能附带商业在线服务(如 Azure、Power Platform 等)的订阅。 示例包括托管标识和工作负载标识联合。

哪些是工作负载 ID 高级版功能?哪些是免费的?

Capabilities 描述 Free 高级
身份验证和授权
创建、读取、更新和删除工作负载标识 创建和更新标识以保护服务到服务的访问
对工作负载标识和令牌进行身份验证以访问资源 使用 Microsoft Entra ID 保护资源访问
工作负载标识登录活动和审核线索 监视和跟踪工作负载标识行为
托管标识 在不处理凭据的情况下,在 Azure 中使用 Microsoft Entra 标识
工作负荷联合身份验证 要访问受 Microsoft Entra 保护的资源,请使用经过外部标识提供者 (IdP) 测试的工作负载
Microsoft Entra 条件访问
用于工作负载标识的条件访问策略 定义工作负载可以访问资源的条件,例如 IP 范围
生命周期管理
针对由服务提供者分配的特权角色的访问评审 使用有影响力的权限密切监视工作负载标识
应用程序身份验证方法 API IT 管理员可以强制实施有关应用程序如何使用应用程序身份验证方法的最佳做法
应用健康状况建议 确定未使用或非活动工作负荷标识及其风险级别。 获取修正指南。

工作负载 ID 高级版计划有多少?

Microsoft Entra 工作负载 ID 高级版为 $3/工作负载标识/月。

我需要多少个许可证? 是否需要许可所有工作负载标识,包括 Microsoft 应用和托管标识?

只有符合高级功能条件的工作负载标识才需要许可。 列出的许可证企业应用和服务主体显示在 Microsoft Entra 管理中心的工作负载 ID 登录页面上的第一个类别中。 要为企业应用和服务主体的子集使用高级功能,请根据你的要求获取所需的许可证。 如果对托管标识使用访问评审,则会出现异常。 根据图中托管标识的数量获取许可证。

可以将条件访问用于单租户应用程序的工作负载标识。 Microsoft 应用和托管标识没有使用条件访问的资格。 访问评审适用于分配给特权角色的服务主体,包括托管标识。 此功能要求评审者使用 Microsoft Entra ID P2 许可证,访问评审服务原则使用工作负载 ID 高级版许可证。

如何购买工作负载 ID 高级版计划?

你需要当前或新的 Azure 或 Microsoft 365 订阅。 使用凭据登录到 Microsoft Entra 管理中心,然后购买工作负载 ID 许可证。

这些许可证是否需要单独的工作负载标识分配?

否,不需要许可证分配。 租户中的一个许可证可解锁所有工作负载标识的所有功能。

如何跟踪分配给工作负载标识的许可证?

遗憾的是,我们不提供用于跟踪该信息的仪表板。 你可以在见解和报告区域中跟踪针对工作负载标识的已启用条件访问策略。

服务主体登录下的影响摘要的屏幕截图。

是否可以在一个租户中拥有 Microsoft Entra ID P1、P2 和工作负载 ID 高级版许可证?

可以,客户可以在一个租户中混合使用许可证。

后续步骤

详细了解工作负载标识