共用方式為

Microsoft来宾用户的 Entra ID 治理许可

本文概述了来宾加载项Microsoft Entra ID Governance 的定价结构,并介绍了如何将租户链接到 Azure 订阅,以确保正确的计费和功能访问。

每月活跃用户 (MAU) 计费模型

Microsoft Entra ID Governance 为不同于员工许可的来宾用户利用每月活动用户(MAU)许可。 有关员工许可的完整详细信息,请参阅 Microsoft Entra ID Governance 许可基础知识

在来宾计费模型中,来宾由 Guest 的 userType 标识,无论用户进行身份验证的位置如何。 Guest 的 userType 是所有 B2B 邀请方法的默认 userType,也可以由标识管理员设置。 每个月的账单包括当月具有一个或多个治理操作的每个来宾用户的记录。 有关定价详细信息,请参阅 Azure 定价页。

计费治理功能

仅当来宾用户主动使用专用于Microsoft Entra ID 治理的功能时,才会计费。 Microsoft Entra P2 附带的功能不计费。 此外,如果来宾在一个月内未采取任何与治理相关的活动作,例如在上月自动分配访问权限的情况下,则不会为该月付费。

可以通过查看审核日志来识别将针对来宾加载项的 Microsoft Entra ID Governance 计费的作。 具体而言,每个计费作都包含以下属性:

  • TargetId:目标用户的对象 ID

  • TargetUserType:Guest

  • GovernanceLicenseFeatureUsed: True

下表包含 来宾用户当前可计费作的列表。 随着Microsoft Entra ID Governance 中添加更多功能,此列表可能会更改。

服务 Action 计费事件和 API 审计日志中,TargetUserType为访客,GovernanceLicenseFeatureUsed 为真
权利管理 代表其他用户请求访问包 针对成功创建请求进行计费。 用户请求或更新代表其他用户的访问包分配。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/entitlementManagement/assignmentRequests 当请求者(经理)从令牌中提取时,目标对象由接收访问权限的直接员工的 ID 确定。		 用户请求访问包分配、创建访问包分配用户更新请求、管理员直接将用户分配到访问包
权利管理 来宾分配到Microsoft Entra 角色分配 在访问包中包含 Microsoft Entra 角色时,请对成功创建请求进行计费。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/entitlementManagement/assignmentRequests 当访问包包含Microsoft Entra 角色时。		 用户请求访问包分配、创建访问包分配用户更新请求、管理员直接将用户分配到访问包
权利管理 发起人策略应用于分配 在访问包策略中将发起人作为审批者包含在内时,请根据成功创建请求进行计费。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/entitlementManagement/assignmentRequests 其中,发起人作为访问包策略中的审批者包含在其中。		 用户请求访问包分配、创建访问包分配用户更新请求、管理员直接将用户分配到访问包
权利管理 EM - 组的 PIM 在访问包中包含 PIM 组时,请对成功创建请求进行计费。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/entitlementManagement/assignmentRequests 当访问包包含 PIM 组时。		 用户请求访问包分配、创建访问包分配用户更新请求、管理员直接将用户分配到访问包
权利管理 使用自定义扩展分配的来宾策略 在分配策略中包含自定义扩展时,请根据成功创建请求进行计费。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/entitlementManagement/assignmentRequests 分配策略中包含自定义扩展时。		 用户请求访问包分配、创建访问包分配用户更新请求、管理员直接将用户分配到访问包
权利管理 来宾被授予自动分配策略 使用自动分配策略对成功创建请求进行计费。 权利管理为用户创建访问包分配请求。
权利管理 直接赋予任意身份 使用直接将访问包分配给目录中尚不存在的用户时,请对成功创建请求进行计费。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/entitlementManagement/assignmentRequests 对目录中不存在的用户使用 requestType“AdminAdd”时。		 权利管理邀请外部用户。
权利管理 将来宾标记为受管理 有关转换为受治理用户的帐单。

API
https://microsoftgraph.chinacloudapi.cn/beta/identityGovernance/entitlementManagement/subjects 其中 ,“subjectLifecycle” 设置为“governed”。		 更新访问包用户生命周期。
生命周期工作流 工作流针对来宾运行 对工作流执行进行计费。
API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/lifecycleWorkflows/workflows/{workflowId}/activate		 为用户启动工作流执行。
访问权限审查 访问评审 - 机器学习辅助访问评审 在评审中包含来宾用户时计费。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/accessReviews/definitions 在组评审中启用建议设置的位置。		 决策项摘要。
访问权限审查 访问评审 - 非活动用户 在评审中包含来宾用户时计费。

API
https://microsoftgraph.chinacloudapi.cn/v1.0/identityGovernance/accessReviews/definitions 其中,非活动来宾评审包含在组资源的策略中。		 决策项摘要。

多租户组织中的来宾计费

治理来宾计费仅适用于具有 guestType 的用户,因此,如果Microsoft Entra ID Governance 许可成员用户被引入具有 userType 成员的其他组织租户,则不会累算到计费计量。

如果这些用户带有其累积到计量的 guest 的 userType,则可以通过设置或加入多租户组织来避免收费。 如果来宾用户来自参与的组织租户,则来宾不会累积到计费计量。 请参阅 在 Microsoft 365 中设置多租户组织

计费示例

方案 1:自动执行访问包分配

March:

  • Contoso 创建一个自动分配策略,该策略将访问包分配给 500 个来宾用户。

  • Contoso IT 为另一组 500 名来宾用户运行来宾转换 API。

  • 计费:对于 3 月,Contoso 的来宾用户总数为 1,000 个:自动分配策略的 500 个用户,以及 500 个用户用于来宾转换 API。  

April:

  • 500 名在 3 月自动分配访问包的来宾用户将保留其分配,但不会计费,因为 4 月没有对这些用户采取明确作。

  • 此外,Contoso IT 在 100 个来宾上运行非活动访问评审。

  • 计费:对于 4 月,Contoso 针对非活动访问评审向 100 个用户计费。  

方案 2:非活动用户的生命周期工作流和访问评审

March:

  • Fabrikam 为 300 个来宾用户执行生命周期工作流。

  • 他们还对非活动用户执行访问评审,针对与之前相同的来宾中的 100 个,以及一组不同的 200 个来宾。

  • 计费:对于 3 月,Fabrikam 针对生命周期工作流为 300 个用户计费,200 个用户用于非活动访问评审。 由于 100 名来宾用户已经对生命周期工作流产生费用,因此它们不会对非活动用户评审产生任何额外的费用,因为每个来宾用户每月只对一个或多个治理作收费一次。

April:

  • 在 3 月的第二组 200 个来宾用户中,150 个来宾会收到一个自动分配的访问包,该包授予对应用的访问权限,并在 3 月运行相同的非活动用户访问评审,4 月重复。

  • 计费:对于 4 月,Fabrikam 针对 150 个用户计费,并且不会为访问包自动分配作付费,因为这些 150 个来宾已按 4 月收费。

方案 3:非活动用户和用户到组关联的访问权限评审

May:

  • Tailspin Toys 为 200 个用户创建非活动来宾访问评审。
  • Tailspin 为启用了用户到组关联功能的 300 个来宾用户的安全组创建第二次访问评审。
  • 计费:对于 5 月,Tailspin 针对 500 个用户计费 - 200 个非活动来宾访问评审,300 个用于与用户到组关联的评审。

租户必须链接到 Azure 订阅,才能正确计费和访问功能。 若要将租户链接到订阅,请执行以下步骤。

  1. 使用至少具有订阅中的参与者角色或订阅中的资源组的帐户登录到 Microsoft Entra 管理中心

  2. 选择要链接的目录:在Microsoft Entra 管理中心工具栏中,选择门户工具栏中的 “设置” 图标。 在门户设置 | 目录 + 订阅页上的目录名称列表中找到你的工作人员租户,然后选择切换

  3. 浏览到 Entra ID>治理>仪表板

  4. 在治理仪表板上,找到来宾治理面板并选择 “入门”。

  5. “链接订阅 ”窗格中,选择 “订阅 ”和 “资源组”。 然后选择 “打开”。

完成这些步骤后,Azure 订阅会根据 Azure 直接协议或企业协议详细信息(如果适用)计费。

关闭来宾计费

可以通过返回到治理仪表板并选择来宾治理面板上的 “编辑” 来关闭治理来宾计费。 在“编辑来宾访问”面板中,选择“关闭”以禁用来宾用户的计费和Microsoft Entra ID 治理功能。

来宾用户许可常见问题解答

如果只想管理来宾,是否需要订阅Microsoft Entra ID 治理或Microsoft Entra Suite?

是的。 虽然不需要来宾用户的订阅,但需要为租户中的管理员至少拥有一个Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。

我一直在为来宾用户使用Microsoft Entra P2 中包含的访问评审和权利管理功能。 我是否会开始为此使用情况付费?

Microsoft Entra P2 附带的治理功能(包括基本访问评审和权利管理功能)不会向治理来宾加载项收费。 只有专用于Microsoft Entra Suite 或独立Microsoft Entra ID 治理的治理功能才会计费到计量。 有关详细信息,请参阅此页面上的可计费表作。

治理来宾计费是否适用于所有来宾用户,包括前 50,000 个月度活跃用户(MAU)中的来宾用户?

是的,没有用于治理计费的免费层。 治理来宾计费适用于所有来宾用户,即使是前 50,000 MAU 中的来宾用户。

来宾治理功能不可用,没有来宾加载项的 Microsoft Entra ID 治理

若要为来宾用户使用 Microsoft Entra ID Governance 功能,租户必须链接到具有来宾加载项Microsoft Entra ID Governance 的 Azure 订阅。 如果未启用来宾计费计量,则以下行为适用:

注释

从 2026 年 1 月开始,将强制实施来宾加载项的 Microsoft Entra ID 治理。 随着Microsoft Entra ID Governance 中添加更多功能,此列表可能会更改。

访问权限审查

  • 如果选择以下任一功能,则无法创建新的限定为来宾用户的访问评审:
    • 非活动用户访问评审
    • 用户到组关联建议帮助程序

权利管理

  • 无法在范围内创建具有来宾的策略(“对于目录中的所有用户(包括来宾”或“对于不在目录中的用户”)以及本文档中列出的Microsoft Entra ID 治理功能(例如,发起人审批者和自定义扩展)。
  • 无法创建配置的规则包含的新自动分配策略 userType=Guest
  • 无法更新添加这些功能的现有权利管理策略。
  • 无法执行以下作:
    • 将来宾标记为受管理
    • 直接分配任何来宾用户

生命周期工作流

  • 如果工作流范围包括来宾用户,则无法创建新工作流:
    • 配置的规则包括 userType=Guest
  • 无法更新执行条件包含作用域 userType=Guest的现有工作流。

相关内容

  • Last updated on