以下文档讨论了 Microsoft Entra ID 治理许可。 它适用于考虑为组织应用 Microsoft Entra ID 治理服务的 IT 决策者、IT 管理员和 IT 专业人员。
许可证类型
以下许可证可用于商业云和政府云中的 Microsoft Entra ID 治理。 租户中你需要选择的许可证将取决于你在该租户中所使用的功能。
- 免费 - 包含在 Azure 云订阅中(如 Azure、Microsoft 365 等)。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 作为独立产品提供,或包含在企业客户的 Microsoft 365 E3 中、中小型企业的 Microsoft 365 商业高级版中。
- Microsoft Entra ID P2 - Microsoft Entra ID P2(即将成为 Microsoft Entra ID P2)作为独立产品提供,或包含在企业客户的 Microsoft 365 E5 中。
- Microsoft Entra ID 治理 - Microsoft Entra ID 是一组高级标识治理功能,适用于 Microsoft Entra ID P1 和 P2 客户。 Microsoft Entra ID 治理以六个产品的方式提供:Microsoft Entra ID 治理、适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理设置、Entra ID 治理一线工作人员、适用于 Microsoft Entra ID F2 的 Microsoft Entra ID 治理设置、面向政府的 Microsoft Entra ID 治理以及面向政府的适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理加载项。 这六种产品仅在先决条件方面有所不同:它们包含权利管理、特权标识管理和访问评审功能,这些功能位于 Microsoft Entra ID P2 中,以及其他高级标识治理功能。
- Microsoft Entra 套件 - Microsoft Entra 套件是一个用于劳动力访问的基于云的完整解决方案,适用于 Microsoft Entra ID P1 和 P2 客户。 Microsoft Entra 套件汇集了 Microsoft Entra 专用访问、Microsoft Entra Internet 访问、Microsoft Entra ID 治理、Microsoft Entra ID 保护和 Microsoft Entra 验证 ID。 Microsoft Entra ID Governance 部分提供与 Microsoft Entra ID Governance 产品相同的标识治理功能。 区别在于它们具有不同的先决条件。
注意
可将某些 Microsoft Entra ID 治理方案配置为依赖于 Microsoft Entra ID 治理未涵盖的其他功能。 这些功能可能具有其他许可要求。 有关使用其他功能的治理方案的详细信息,请参阅 “标识治理概述 ”页。
治理产品和先决条件
Microsoft Entra ID 治理功能目前在六款独立产品中提供。 这六种产品提供相同的标识治理功能。 这六种产品之间的差异在于它们具有不同的先决条件。
-
Microsoft Entra ID 治理或面向政府的 Microsoft Entra ID 治理的订阅(在产品条款中列为 Microsoft Entra ID 治理(用户 SL)产品)要求租户还拥有另一个产品的有效订阅,其中包含
AAD_PREMIUM
或AAD_PREMIUM_P2
服务计划。 满足此先决条件的产品示例包括 Microsoft Entra ID P1、 Microsoft 365 E3/E5/A3/A5/G3/G5 或 企业移动性 + 安全性 E3/E5。 -
适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理设置或面向政府的适用于 Microsoft Entra ID P2 的 Microsoft Entra ID 治理加载项的订阅(在产品条款中列为 Microsoft Entra ID 治理 P2 产品)要求租户还拥有另一个产品的有效订阅,其中包含
AAD_PREMIUM_P2
服务计划。 满足此先决条件的产品示例包括 Microsoft Entra ID P2、Microsoft 365 E5/A5/G5、企业移动性 + 安全性 E5、Microsoft 365 E5/F5 安全或 Microsoft 365 F5 安全 + 合规性。 -
Entra ID 治理一线员工(用户 SL)的订阅要求租户还拥有另一个产品的有效订阅,其中包含
AAD_PREMIUM
或AAD_PREMIUM_P2
服务计划。 满足此先决条件的产品示例包括 Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、企业移动性 + 安全性 E3/E5 或 Microsoft 365 F1/F3。 -
适用于 Microsoft Entra ID F2 的 Microsoft Entra ID 治理设置的订阅(在产品条款中列为 Microsoft Entra ID 治理 F2 或面向一线员工的适用于 Microsoft Entra ID F2 的 Microsoft Entra ID 治理设置(用户 SL) 产品)要求租户还拥有另一个产品的有效订阅,其中包含
AAD_PREMIUM_P2
服务计划。 满足此先决条件的产品示例包括 Microsoft Entra ID F2。
Microsoft Entra ID 治理功能也包含在 Microsoft Entra Suite 中。 可用的 Microsoft Entra 套件产品包括 Microsoft Entra 套件(用户 SL)、面向 FLW 的适用于 Microsoft Entra ID F2 的 Microsoft Entra 套件加载项(用户 SL)、适用于 Microsoft Entra ID P2 的 Microsoft Entra 套件加载项(用户 SL)、适用于 Microsoft Entra ID P2 EDU 的 Microsoft Entra 套件加载项(用户 SL)/Microsoft Entra 套件 FLW(用户 SL)以及适用于 EDU 的 Microsoft Entra 套件(用户 SL)。
许可的产品名称和服务计划标识符列出了包含先决服务计划的其他产品。
注意
必须在租户中具有有效的 Microsoft Entra ID 治理产品的先决订阅。 如果先决条件不存在,或者订阅过期,则Microsoft Entra ID 治理方案可能无法按预期工作。
若要检查租户中是否存在 Microsoft Entra ID 治理产品的先决产品,可以使用 Microsoft Entra 管理中心或 Microsoft 365 管理中心查看产品列表。
以许可证管理员身份登录到 Microsoft Entra 管理中心。
在“标识”菜单中,展开“计费”,然后选择“许可证”。
在“管理”菜单中,选择“许可的功能”。 信息栏将指示当前的 Microsoft Entra ID 许可计划。
若要查看租户中的现有产品,请在“管理”菜单中选择“所有产品”。
Privileged Identity Management
要使用 Microsoft Entra Privileged Identity Management,租户必须具有有效的许可证。 本文介绍使用 Privileged Identity Management 所要满足的许可证要求。 若要使用 Privileged Identity Management,则必须具有以下许可证之一:
用于 PIM 的有效许可证
需要 Microsoft Entra ID 治理许可证或 Microsoft Entra ID P2 许可证才能使用 PIM 及其所有设置。 目前,可以将访问评审的范围限定为具有 Microsoft Entra ID 访问权限的服务主体、具有 Microsoft Entra ID P2 的资源角色,或者在租户中具有有效 Microsoft Entra ID 治理版本的用户。
你必须拥有的用于 PIM 的许可证
对于以下类别的用户,确保目录具有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理许可证:
- 已分配和/或限时分配到使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色的合格用户
- 已分配或限时分配为适用于组的 PIM 的成员或所有者的合格用户
- 能够在 PIM 中批准或拒绝请求的用户
- 已分配到访问评审的用户
- 执行访问评审的用户
用于 PIM 的许可证方案示例
下面是一些许可证场景示例,可帮助你确定必须拥有的许可证数量。
方案 | 计算 | 许可证数量 |
---|---|---|
Woodgrove Bank 有用于不同部门的 10 个管理员和用于配置和管理 PIM 的 2 个特权角色管理员。 他们使五个管理员符合条件。 | 五个许可证用于符合条件的管理员 | 5 |
Graphic Design Institute 有 25 个管理员,其中 14 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有三个不同的用户可以批准激活。 | 14 个许可证用于符合条件的角色 + 三个审批者 | 十七 |
Contoso 有 50 个管理员,其中 42 个是通过 PIM 管理的。 角色激活需要批准,并且组织中有五个不同的用户可以批准激活。 Contoso 还每月对分配给管理员角色的用户进行一次审阅,审阅者是用户的经理,其中有六个不在 PIM 管理的管理员角色中。 | 42 个许可证用于符合条件的角色 + 五个审批者 + 六个审阅者 | 53 |
当用于 PIM 的许可证过期时
如果Microsoft Entra ID P2、Microsoft Entra ID Governance 或试用许可证过期,则目录中不再提供 Privileged Identity Management 功能:
- 对 Microsoft Entra 角色的永久角色分配不会受到影响。
- 用户无法再使用 Microsoft Entra 管理中心中的 Privileged Identity Management 服务、图形 API cmdlet 和 Privileged Identity Management 的 PowerShell 接口来激活特权角色、管理特权访问或执行特权角色的访问评审。
- 会删除 Microsoft Entra 角色符合条件的角色分配,因为用户不再能够激活特权角色。
- Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
- 角色分配更改时,Privileged Identity Management 不再发送电子邮件。
API 驱动的预配
此功能适用于 Microsoft Entra ID P1、P2 和 Microsoft Entra ID 治理订阅。 使用 /bulkUpload API 溯源的每个标识都需要订阅许可证,并预配到本地 Active Directory 或 Microsoft Entra ID。
许可证方案
客户许可证 | 在租户级别针对 API 驱动的预配强制实施的使用限制 |
---|---|
Microsoft Entra ID P1 或 P2 | 每日使用配额(在 24 小时内可上传的用户记录数):10 万条用户记录( 每次 bulkUpload API 调用可以包含 2000 条,每个请求最多包含 50 条记录)。 每个流的 API 驱动预配作业的最大数目:2 o 最多可以使用 2 个应用向本地 Active Directory 进行 API 驱动的预配。 o 最多可以使用 2 个应用向 Microsoft Entra ID 进行 API 驱动的预配。 |
Microsoft Entra ID 治理以及 Microsoft Entra ID P1 或 P2 | 每日使用配额(在 24 小时内可上传的用户记录数):30 万条用户记录( 每次 bulkUpload API 调用可以包含 6000 条,每个请求最多包含 50 条记录)。 每个流的 API 驱动预配作业的最大数目:20 o 最多可以使用 20 个应用向本地 Active Directory 进行 API 驱动的预配。 o 最多可以使用 20 个应用向 Microsoft Entra ID 进行 API 驱动的预配。 |
许可常见问题解答
是否需要向用户分配许可证才能使用 Identity Governance 功能?
用户无需分配 Microsoft Entra ID Governance 许可证,但需要有足够数量的许可证,以包含所有在标识治理功能范围内的用户或负责配置功能的用户。
如何许可企业来宾使用 Microsoft Entra ID Governance 功能?
Microsoft Entra ID 治理对来宾用户使用与员工不同的月度活跃用户 (MAU) 许可,并且此功能需要 Azure 订阅。
在来宾计费模型中,来宾由 Guest 的 userType 标识,无论用户进行身份验证的位置如何。 Guest 的 userType 是所有 B2B 邀请方法的默认 userType,也可以由身份管理员设置。 每个月的账单包括每个来宾用户的记录,该月包含一个或多个治理作。 有关定价详细信息,请参阅 Azure 定价页。
如果许可证过期,PIM 会发生什么情况?
如果 Microsoft Entra ID P2 或 Microsoft Entra ID Governance 试用许可证过期,则无法再在目录中使用 Privileged Identity Management 功能: 以下列出的更改适用于 Microsoft Entra 角色的 PIM、Azure 资源的 PIM 和组的 PIM。
- 活动永久分配不受影响。
- 活动时限分配变为活动永久分配,这意味着它们将不再在指定时间过期。
- 符合条件的角色分配会被移除,因为用户不再能够激活特权角色。
- Microsoft Entra 管理中心或 Azure 门户中的 Privileged Identity Management 边栏选项卡,以及 Privileged Identity Management 的 API 和 PowerShell 界面将不再可供用户用来激活角色、管理分配或执行特权角色的访问评审。
- Microsoft Entra 角色所有正在进行的访问评审都会结束,Privileged Identity Management 配置设置会被移除。
- 角色分配更改时,Privileged Identity Management 将不再发送电子邮件以及 PIM 警报。
是否会在 Microsoft Entra ID P2 许可证下添加任何 IGA 特性和功能?
Microsoft Entra ID P2 中当前所有正式发布的功能将保持不变,但 Microsoft Entra ID P2 SKU 将不会新增任何 IGA 特性或功能。