Основы лицензирования в управлении идентификацией Microsoft Entra
В следующем документе рассматривается лицензирование системы управления идентификацией и доступом Microsoft Entra. Он предназначен для ИТ-руководителей, ИТ-администраторов и ИТ-специалистов, которые рассматривают услуги управления идентификацией Microsoft Entra для своих организаций.
Типы лицензий
Следующие лицензии доступны для использования в коммерческих и государственных облаках с Microsoft Entra ID Governance. Выбор лицензий, необходимых арендатору, зависит от функций, которые вы используете в этом арендаторе.
- Бесплатный — включен в облачные подписки Майкрософт, такие как Microsoft Azure, Microsoft 365 и другие.
- Идентификатор Microsoft Entra ID P1 — Microsoft Entra ID P1 доступен как автономный продукт или входит в состав Microsoft 365 E3 для корпоративных клиентов и Microsoft 365 бизнес премиум для малого и среднего бизнеса.
- Идентификатор Microsoft Entra ID P2 — Идентификатор Microsoft Entra ID P2 доступен как автономный продукт или входит в состав Microsoft 365 E5 для корпоративных клиентов.
- Управление идентификацией Microsoft Entra — Управление идентификацией Microsoft Entra — это расширенный набор возможностей управления удостоверениями, доступных для клиентов Microsoft Entra ID P1 и P2. Управление идентификацией Microsoft Entra доступно в виде пяти продуктов Управление идентификацией Microsoft Entra, Расширение для Microsoft Entra ID Governance для Microsoft Entra ID P2, Расширение для Microsoft Entra ID Governance для Microsoft Entra ID F2, Управление идентификацией Microsoft Entra для государственных организаций и Надстройка для Microsoft Entra ID Governance для Microsoft Entra ID P2 для государственных организаций. Эти пять продуктов отличаются только в своих предварительных требованиях; они содержат возможности управления правами, управления привилегированными удостоверениями и проверки доступа, которые были в Microsoft Entra ID P2, а также дополнительные расширенные возможности управления удостоверениями.
Примечание.
Некоторые сценарии управления ИД Microsoft Entra можно настроить с зависимостью от других функций, которые не входят в рамки управления ИД Microsoft Entra. Эти функции могут иметь дополнительные требования к лицензированию. См. обзор возможностей Identity Governance для получения дополнительной информации о сценариях управления, которые зависят от дополнительных функций.
Решение Microsoft Entra ID Governance для государственных организаций и надстройка Microsoft Entra ID Governance для Microsoft Entra ID P2 для государственных организаций доступны в облаке сообщества для государственных организаций США (GCC), GCC-High и облачных средах Министерства обороны.
Продукты управления и предварительные требования
В настоящее время возможности Управление идентификацией Microsoft Entra доступны в пяти продуктах. Эти пять продуктов предоставляют те же возможности управления удостоверениями. Разница между пятью продуктами заключается в том, что они имеют разные предварительные требования.
- Подписка на Microsoft Entra ID Governance или Microsoft Entra ID Governance for Government, указанная в условиях продукта в качестве лицензии Microsoft Entra ID Governance (User SL), требует, чтобы клиент также имел активную подписку на другой продукт, который содержит план обслуживания
AAD_PREMIUMили план обслуживанияAAD_PREMIUM_P2. Примеры продуктов с этим предварительным требованием: Microsoft Entra ID P1, Microsoft 365 E3/E5/A5/A3/G3/G5, Enterprise Mobility + Security E3/E5 или Microsoft 365 F3/F3. - Подписка на Управление идентификацией Microsoft Entra Шаг для Microsoft Entra ID P2 или Надстройка Управление идентификацией Microsoft Entra для Microsoft Entra ID P2 для государственных организаций, указанная в условиях продукта в качестве Управление идентификацией Microsoft Entra Лицензия P2, требует, чтобы у арендатора также была активная подписка на другой продукт, содержащий
AAD_PREMIUM_P2план обслуживания. Примеры продуктов, которые соответствуют требованиям, включают Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security или Microsoft 365 F5 Security + Compliance. - Подписка на Управление идентификацией Microsoft Entra улучшение для Microsoft Entra ID F2, как указано в условиях продукта как лицензия Управление идентификацией Microsoft Entra F2, требует, чтобы у арендатора была активная подписка на другой продукт, содержащий план службы
AAD_PREMIUM_P2. Примеры продуктов, которые соответствуют этому предварительным требованиям, включают идентификатор Microsoft Entra ID F2.
Имена продуктов и идентификаторы плана обслуживания для лицензирования содержат дополнительные продукты, которые включают необходимые планы обслуживания.
Примечание.
Подписка на необходимые условия для продукта Управление идентификацией Microsoft Entra должна быть активной в клиенте. Если предварительные требования отсутствуют или срок действия подписки истекает, сценарии Управления идентификацией Microsoft Entra могут не функционировать должным образом.
Чтобы проверить наличие необходимых продуктов для продукта Управление идентификацией Microsoft Entra в клиенте, можно использовать Центр администрирования Microsoft Entra или Центр администрирования Microsoft 365 для просмотра списка продуктов.
Войдите в Центр администрирования Microsoft Entra в роли администратора лицензий.
В меню Идентификация разверните Выставление счетов и выберите Лицензии.
В меню "Управление" выберите лицензированные функции. Информационная строка указывает текущий план лицензий Microsoft Entra ID.
Чтобы просмотреть существующие продукты в клиенте, в меню "Управление " выберите " Все продукты".
Запуск пробной версии
Глобальный администратор в коммерческом арендаторе, имеющий соответствующий необходимый продукт, например, Microsoft Entra ID P1, уже приобретенный, и не использующий или ранее не пробовавший Microsoft Entra ID Governance, может запросить пробную версию Microsoft Entra ID Governance в рамках своего арендатора.
Войдите в Центр администрирования Microsoft 365 в качестве глобального администратора
В меню "Биллинг" выберите "Покупка услуг".
В поле "Поиск всех категорий продуктов" введите
"Microsoft Entra ID Governance".** Выберите Подробнее под Microsoft Entra ID Governance, чтобы просмотреть информацию о пробной версии и покупке продукта. Если у вашего клиента есть Microsoft Entra ID P2, выберите «Сведения» под Управление доступом Microsoft Entra для Microsoft Entra ID P2.
На странице сведений о продукте выберите "Начать бесплатную пробную версию".
В следующей таблице показаны требования к лицензированию для функций Управление идентификацией Microsoft Entra. Microsoft Entra Suite включает все функции из Microsoft Entra ID Governance. Сведения о лицензировании и примеры сценариев лицензий для управления правами, проверки доступа и рабочих процессов жизненного цикла приведены в таблице.
Функции по лицензии
В следующей таблице показано, какие функции доступны для каждой лицензии. Не все функции доступны во всех облаках; См. сведения о доступности компонентов Microsoft Entra для Azure для государственных организаций.
Управление правами
Для использования этой функции требуются подписки Microsoft Entra ID Governance для пользователей вашей организации. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.
Примеры сценариев лицензирования
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Администратор управления удостоверениями в Woodgrove Bank создает начальные каталоги. Одна из политик указывает, что Все сотрудники (2 000 сотрудников) могут запросить определенный набор пакетов для доступа. 150 сотрудников запрашивают пакеты для доступа. | 2000 сотрудников, которые могут запрашивать пакеты для доступа | 2 000 |
| Администратор управления удостоверениями в Woodgrove Bank создает начальные каталоги. Они создают политику автоматического назначения, которая предоставляет всем членам отдела продаж (350 сотрудников) доступ к определенному набору пакетов доступа. Сотрудники в количестве 350 человек автоматически назначаются на пакеты доступа. | 350 сотрудников нуждаются в лицензиях. | 351 |
Проверки доступа
Для использования этой функции необходимы подписки Microsoft Entra ID Governance для пользователей вашей организации, включая всех сотрудников, которые проверяют доступ или проходят проверку доступа. Некоторые возможности этой функции могут работать с подпиской Microsoft Entra ID P2.
Примеры сценариев лицензирования
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Администратор создает проверку доступа для группы A с 75 пользователями и одним владельцем группы, а этого владельца группы назначает в качестве рецензента. | 1 лицензия для владельца группы в качестве рецензента и 75 лицензий для 75 пользователей. | 76 |
| Администратор создает проверку доступа для группы B с 500 пользователями и тремя владельцами группы, а всех владельцев группы назначает в качестве рецензентов. | 500 лицензий для пользователей и 3 лицензии для каждого владельца группы в качестве рецензентов. | 503 |
| Администратор создает проверку доступа для группы B с 500 пользователями. Делает это самостоятельной проверкой. | 500 лицензий для каждого пользователя в роли самостоятельного рецензента | 500 |
| Администратор создает проверку доступа для группы C с 50 пользователями-членами. Делает это самостоятельной проверкой. | 50 лицензий для каждого пользователя в роли самостоятельного рецензента. | 50 |
| Администратор создает проверку доступа группы D с 6 участниками. Делает это самостоятельной проверкой. | 6 лицензий для каждого пользователя в роли самостоятельного рецензента. Дополнительные лицензии не требуются. | 6 |
Рабочие процессы жизненного цикла
С помощью лицензий управления идентификацией Microsoft Entra ID Governance для управления жизненным циклом рабочих процессов можно:
- Создавайте, управляйте и удаляйте рабочие процессы в пределах общего лимита, составляющего 50 рабочих процессов.
- Активировать по запросу и плановое выполнение рабочего процесса.
- Управление и настройка существующих задач для создания рабочих процессов, относящихся к вашим потребностям.
- Создайте до 100 пользовательских расширений задач, которые будут использоваться в рабочих процессах.
Для использования этой функции необходимы подписки на управление идентификацией Microsoft Entra для пользователей вашей организации.
Примеры сценариев лицензирования
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Администратор рабочих процессов жизненного цикла создает рабочий процесс для добавления новых сотрудников в отдел маркетинга в группу команд маркетинга. 250 новых сотрудников назначаются группе групп маркетинга через этот рабочий процесс один раз. Другие 150 новых сотрудников назначаются группе маркетинговых групп через этот рабочий процесс позже в том же году. | 1 лицензия администратора рабочих процессов жизненного цикла и 400 лицензий для пользователей. | 401 |
| Администратор рабочих процессов жизненного цикла создает рабочий процесс для предварительного завершения работы группы сотрудников за несколько дней до их последнего рабочего дня. Диапазон пользователей, которые будут предварительно отключены, составляет 40 пользователей за один раз. Мы отключаем 40 лицензированных пользователей. Теперь мы можем повторно назначить эти 40 лицензий и назначить 10 дополнительных лицензий позже в этом году для предварительного отключения 50 других пользователей. | 50 лицензий для пользователей и 1 лицензии администратора рабочих процессов жизненного цикла. | 51 |
Управление привилегированными пользователями
Чтобы использовать управление привилегированными пользователями Microsoft Entra, клиент должен иметь действительную лицензию. Лицензии также должны быть назначены администраторам и соответствующим пользователям. В этой статье описываются требования к лицензиям для использования средств управления привилегированными пользователями. Для работы со средствами управления привилегированными пользователями необходима одна из следующих лицензий:
Допустимые лицензии для PIM
Для использования PIM и всех его параметров требуются либо лицензии Microsoft Entra ID Governance, либо лицензии Microsoft Entra ID P2. В настоящее время вы можете ограничить обзор доступа для служебных учетных записей с доступом к Microsoft Entra ID, ролей ресурсов с Microsoft Entra ID P2 или пользователей с активной редакцией Microsoft Entra ID Governance в вашем клиенте.
Лицензии, необходимые для PIM
Убедитесь, что в каталоге есть лицензии Microsoft Entra ID P2 или Microsoft Entra ID Governance для следующих категорий пользователей:
- Пользователи с подходящими и/или ограниченными по времени назначениями в Microsoft Entra ID или ролях Azure, управляемых с помощью PIM
- Пользователи с правомочным и/или ограниченным по времени назначением в качестве членов или владельцев PIM для групп.
- Пользователи имеют возможность утверждать или отклонять запросы на активацию в PIM
- Пользователи, которые назначены для проверки доступа.
- Пользователи, которые выполняют проверки доступа.
Примеры сценариев лицензии для PIM
Описанные ниже примеры сценариев лицензирования помогут вам определить необходимое количество лицензий.
| Сценарий | Расчет | Количество лицензий |
|---|---|---|
| Woodgrove Bank имеет 10 администраторов для различных отделов и 2 привилегированных администраторов ролей, которые настраивают PIM и управляют ими. Пять администраторов получили право на участие. | Пять лицензий для администраторов, имеющих соответствующие права | 5 |
| В институте графического дизайна имеется 25 администраторов, 14 из которых управляются посредством PIM. Для активации роли требуется утверждение, а в организации есть три разных пользователя, которые могут утверждать активацию. | 14 лицензий для соответствующих ролей + три для утверждающих сотрудников | 17 |
| В компании Contoso 50 администраторов, управление 42 из которых осуществляется через PIM. Для активации роли требуется утверждение, а в организации есть пять разных пользователей, которые могут утверждать активацию. Компания Contoso также выполняет ежемесячные проверки пользователей, назначенных на роли администраторов. Рецензентами этих проверок выступают руководители пользователей, из которых шесть не имеют ролей администратора, управляемых PIM. | 42 лицензии для соответствующих ролей + пять утверждающих сотрудников + шесть рецензентов | 53 |
Срок действия лицензии для PIM
Если срок действия лицензии Microsoft Entra ID P2, Microsoft Entra ID Governance или пробной лицензии истекает, функции управления привилегированными удостоверениями больше не доступны в вашем каталоге.
- Постоянные назначения на роли в Microsoft Entra остаются без изменений.
- Служба управления привилегированными пользователями в Центре администрирования Microsoft Entra, а также командлеты API Graph и интерфейсы PowerShell управления привилегированными пользователями, больше не будут доступны для пользователей: для активации привилегированных ролей, управления привилегированным доступом или выполнения проверок доступа привилегированных ролей.
- Допустимые назначения ролей Microsoft Entra удаляются, так как пользователи больше не смогут активировать привилегированные роли.
- Все текущие проверки доступа к ролям Microsoft Entra завершаются, а параметры конфигурации Управления привилегированными идентификациями удаляются.
- Управление привилегированными идентификациями больше не отправляет сообщения электронной почты при изменении назначения ролей.
Настройка на основе API
Эта функция доступна с подписками Microsoft Entra ID P1, P2 и Microsoft Entra ID Управление. Лицензия на подписку требуется для каждого удостоверения, полученного с помощью API /bulkUpload и перенесенного в локальную службу Active Directory или Microsoft Entra ID.
Сценарии лицензии
| Лицензия клиента | Ограничения использования, применяемые на уровне арендатора для предоставления ресурсов с помощью API |
|---|---|
| Microsoft Entra ID P1 или P2 | Квота ежедневного использования (количество записей пользователей, которые могут быть отправлены в течение 24-часового периода): 100K пользовательских записей (2000 /bulkUpload API вызовов с каждым запросом, содержащим максимум 50 записей). Максимальное количество заданий подготовки на основе API для каждого потока: 2 o Максимум 2 приложения для подготовки на основе API для локальной службы Active Directory. o Максимум 2 приложения для предоставления на основе API в Microsoft Entra ID. |
| Управление идентификациями Microsoft Entra вместе с Microsoft Entra ID P1 или P2 | Квота ежедневного использования (количество записей пользователей, которые могут быть отправлены более 24-часового периода): 300K пользовательских записей (6000 /bulkUpload API вызовов с каждым запросом, содержащим максимум 50 записей). Максимальное количество заданий подготовки на основе API для каждого потока: 20 o До 20 приложений для развертывания на основе API с локальным Active Directory. o Макс. 20 приложений для подготовки на основе API в идентификатор Microsoft Entra. |
Вопросы и ответы по лицензированию
Нужно ли назначать лицензии пользователям для использования функций управления удостоверениями?
Пользователям не нужно назначать лицензию на Управление удостоверениями Microsoft Entra, но необходимо иметь столько лицензий, чтобы покрыть всех пользователей, находящихся в области действия или настраивающих функции управления удостоверениями.
Как лицензировать использование функций Управление идентификацией Microsoft Entra для бизнес-гостей?
Всем пользователям, находящимся в области функций управления идентификацией Microsoft Entra, включая бизнес-гостей, таких как подрядчики, партнеры и внешние сотрудники, требуется лицензия. Мы создадим новую лицензию Управление идентификацией Microsoft Entra для бизнес-гостей. Эта лицензия работает с моделью ежемесячного активного использования (MAU). Клиенты могут получить лицензии, соответствующие ожидаемому количеству бизнес-гостей MAU (активных пользователей в месяц).
Мы ожидаем, что эти лицензии доступны во втором квартале (Q2) 2025 года. В то же время организации, которые управляют идентичностями своих сотрудников с помощью Microsoft Entra ID Governance, могут управлять идентичностями своих деловых гостей без дополнительных затрат. В настоящее время существующие клиенты Microsoft Entra ID P1 или P2 с Внешним ID Microsoft Entra могут продолжать пользоваться ограниченным набором функций, включенных в P1 или P2, для своих бизнес-гостей через лицензию Внешний ID Microsoft Entra.
Дополнительные сведения см. в статье Лицензирование управления идентификацией Microsoft Entra для бизнес-гостей.
Что происходит с PIM при истечении срока действия лицензии?
Если срок действия лицензии Microsoft Entra ID P2 или Microsoft Entra ID Governance истекает или заканчивается пробная версия, функции Управления привилегиями больше не будут доступны в вашем каталоге. Приведенные ниже изменения применимы к PIM для ролей Microsoft Entra, PIM для ресурсов Azure и PIM для групп.
- Активные постоянные назначения не затрагиваются.
- Временные активные назначения становятся постоянными, что означает, что они больше не будут истекать в определенный срок.
- Допустимые назначения ролей удаляются, так как пользователи больше не смогут активировать привилегированные роли.
- Панели Управления привилегированными идентичностями в Центре администрирования Microsoft Entra, на портале Azure, а также API и интерфейсы PowerShell Управления привилегированными идентичностями больше не будут доступны пользователям для активации ролей, управления назначениями или выполнения обзоров доступа привилегированных ролей.
- Все текущие проверки доступа к ролям Microsoft Entra заканчиваются, а параметры конфигурации Управления привилегированными идентификациями удаляются.
- Управление привилегированными удостоверениями перестанет отправлять уведомления по электронной почте по изменениям назначения ролей и оповещениям PIM.
Будут ли добавлены какие-либо функции и возможности IGA в рамках лицензии Microsoft Entra ID P2?
Все функции, общедоступные в Microsoft Entra ID P2, останутся, однако новые функции и возможности управления идентификацией и доступом (IGA) не будут добавлены в SKU Microsoft Entra ID P2.