本文討論 Microsoft Entra 產品系列的授權選項。 其適用於安全性決策者、身分識別和網路存取系統管理員,以及正在考慮為其組織Microsoft Entra 解決方案的IT專業人員。
Microsoft Entra 提供數個授權選項,可讓您選擇最符合您需求的套件。
注意
此頁面上的授權選項並不全面。 您可以在 Microsoft Entra 定價頁面和比較 Microsoft 365 企業版方案和定價頁面取得各種選項的詳細資訊。
Microsoft Entra ID Free - 隨附於 Microsoft 雲端訂用帳戶,例如 Microsoft Azure、Microsoft 365 和其他訂用帳戶。
Microsoft Entra ID P1 - Microsoft Entra ID P1 以獨立產品的形式提供,或包含於 Microsoft 365 E3 (適用於企業客戶)與 Microsoft 365 商務進階版(適用於中小企業)。
Microsoft Entra ID P2 - Microsoft Entra ID P2 可作為獨立產品,或隨附於企業客戶的 Microsoft 365 E5。
Microsoft Entra Suite -套件結合了 Microsoft Entra 產品,以保護員工存取。 它可讓系統管理員從任何地方安全地存取雲端或內部部署的任何應用程式或資源,同時確保最低許可權存取。 需要一個 Microsoft Entra ID P1 的訂閱帳戶。 Microsoft Entra Suite 包含五個產品:
重要
使用者和群組授權指派是透過 Microsoft 365 系統管理中心管理。 如需如何將授權指派給使用者和群組的詳細資訊,請參閱這篇文章: - 在 Microsoft 365 系統管理中心指派或取消指派使用者的授權
Microsoft Entra 應用程式 Proxy 需要 Microsoft Entra ID P1 或 P2 授權。 如需授權的詳細資訊,請參閱 Microsoft Entra 價格。
下表列出 Microsoft Entra ID 各種版本中可用於驗證的功能。 規劃保護使用者登入的需求,然後判斷哪一種方法符合這些需求。 例如,雖然 Microsoft Entra ID Free 提供安全性預設值搭配多重要素驗證,只有 Microsoft Authenticator 可用於驗證提示,包括文字和語音電話。 如果您無法確保 Authenticator 是安裝在使用者的個人裝置上,這種方法可能會是一項限制。
| 功能 | Microsoft Entra ID Free - 安全性預設值 (已針對所有使用者啟用) | Microsoft Entra ID Free - 僅限全域管理員 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保護 Microsoft Entra 租用戶系統管理員帳戶 | ✅ | ✅ (僅限 Microsoft Entra 全域管理員 帳戶) | ✅ | ✅ | ✅ |
| 以行動應用程式做為第二個因素 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 以撥打電話做為第二個因素 | ✅ | ✅ | ✅ | ||
| 以 SMS 做為第二個因素 | ✅ | ✅ | ✅ | ✅ | |
| 系統管理員控制驗證方法 | ✅ | ✅ | ✅ | ✅ | |
| 詐騙警示 | ✅ | ✅ | |||
| MFA 報告 | ✅ | ✅ | |||
| 通話的自訂問候語 | ✅ | ✅ | |||
| 自訂的通話來電者 ID | ✅ | ✅ | |||
| 可信任 IP | ✅ | ✅ | |||
| 記住受信任裝置的 MFA | ✅ | ✅ | ✅ | ✅ | |
| 內部部署應用程式的 MFA | ✅ | ✅ | |||
| 條件式存取 | ✅ | ✅ | |||
| 依據風險的條件式存取 | ✅ | ||||
| 自助式密碼重設 (SSPR) | ✅ | ✅ | ✅ | ✅ | ✅ |
| 具有回寫的 SSPR | ✅ | ✅ |
沒有針對 Azure 資源使用受控識別的授權需求。 Azure 資源受控識別為應用程式提供自動受控識別,以便在連線至支援 Microsoft Entra 驗證的資源時使用。 使用受控識別的其中一個優點是,您不需要管理認證,並且無需額外費用即可使用。 如需詳細資訊,請參閱什麼是適用於 Azure 資源的受控識別?。
下列資料表顯示 Microsoft Entra ID 控管功能的授權需求。 Microsoft Entra 套件包含 Microsoft Entra ID 控管的所有功能。 下表提供權利管理、存取權檢閱和生命週期工作流程的授權資訊和範例授權案例。
下表顯示每個授權可用的功能。 並非所有功能都可在所有雲端中使用;請參閱 Azure Government Microsoft Entra 功能可用性。
| 功能 | 免費 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 控管 | Microsoft Entra 套件 |
|---|---|---|---|---|---|
| API 驅動的佈建 | ✅ | ✅ | ✅ | ✅ | |
| HR 驅動的佈建 | ✅ | ✅ | ✅ | ✅ | |
| 將使用者自動配置至 SaaS 應用程式 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 自動配置群組到 SaaS 應用 | ✅ | ✅ | ✅ | ✅ | |
| 自動化部署至內部應用程式 | ✅ | ✅ | ✅ | ✅ | |
| 條件式存取 - 使用規定證明 | ✅ | ✅ | ✅ | ✅ | |
| 權利管理 - 先前已在 Microsoft Entra ID P2 中正式推出的功能 | ✅ | ✅ | ✅ | ||
| 權利管理 - 條件式存取範圍 | ✅ | ✅ | ✅ | ||
| MyAccess 權限管理搜尋 | ✅ | ✅ | ✅ | ||
| 使用已驗證識別碼權利管理 | ✅ | ✅ | |||
| 權利管理 + 自訂延伸項目(邏輯應用程式) | ✅ | ✅ | |||
| 權利管理 + 自動指派原則 | ✅ | ✅ | |||
| 權利管理 - 直接指派任何使用者(預覽) | ✅ | ✅ | |||
| 權限管理 - 將來賓標記為受管控 | ✅ | ✅ | |||
| 權利管理 - 管理外部使用者的生命週期 | ✅ | ✅ | ✅ | ||
| 我的存取權入口網站 | ✅ | ✅ | ✅ | ||
| 授權管理 - Microsoft Entra 角色 (預覽) | ✅ | ✅ | |||
| 授權管理 - 代表他人請求存取套件(預覽) | ✅ | ✅ | |||
| 權限管理 - 贊助者政策 | ✅ | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ✅ | ||
| 群組的 PIM | ✅ | ✅ | ✅ | ||
| PIM 條件式存取控制 | ✅ | ✅ | ✅ | ||
| 存取權檢閱 - 之前在 Microsoft Entra ID P2 中已普遍提供的功能 | ✅ | ✅ | ✅ | ||
| 權限審查 - 群組的 PIM(預覽) | ✅ | ✅ | |||
| 存取權審查 - 非活躍使用者審查 | ✅ | ✅ | |||
| 存取審核 - 不活躍使用者建議 | ✅ | ✅ | ✅ | ||
| 存取審查 - 機器學習協助的存取認證與審查 | ✅ | ✅ | |||
| 生命週期工作流程 (LCW) | ✅ | ✅ | |||
| LCW + 自訂延伸模組 (Logic Apps) | ✅ | ✅ | |||
| 身分識別控管儀表板 | ✅ | ✅ | ✅ | ✅ | |
| 深入解析和報告 - 停用的來賓帳戶 | ✅ | ✅ |
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶運作。
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 情境 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 其中一個原則指定所有員工 (2,000 名員工) 都可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工可以請求存取套件 | 二千 |
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 他們會建立自動指派原則,授與銷售部門的所有成員 (350 名員工 ) 存取權一組特定存取套件。 有 350 名員工被自動指派到存取套件中。 | 350 名員工需要授權。 | 351 |
使用此功能需要貴組織的用戶訂閱 Microsoft Entra ID 管理服務,包括檢視存取權或其存取權正在被檢視的所有員工。 這項功能中的某些功能可能使用 Microsoft Entra ID P2 訂用帳戶運作。
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 情境 | 運算 | 授權數目 |
|---|---|---|
| 管理員會建立群組 A (其中包含 75 個使用者和 1 個群組擁有者) 的存取權檢閱,並將群組擁有者指派為檢閱者。 | 1 張授權給群組擁有者作為檢閱者,並為 75 位使用者提供 75 張授權。 | 76 |
| 管理員會建立群組 B (其中包含 500 個使用者和 3 個群組擁有者) 的存取權檢閱,並將 3 個群組擁有者指派為檢閱者。 | 使用者有 500 個授權,每位擔任檢閱者的群組擁有者有 3 個授權。 | 503 |
| 管理員會建立群組 B (其中包含 500 個使用者) 的存取權檢閱。 讓其成為自我檢查。 | 每個做為自我檢閱者的使用者 500 個授權 | 500 |
| 管理員會建立群組 C (其中包含 50 個成員使用者) 的存取權檢閱。 使其成為自我審視。 | 每個使用者做為自我檢閱者可獲得 50 個授權。 | 50 |
| 管理員會建立群組 D (其中包含 6 個成員使用者) 的存取權檢閱。 讓其成為自我檢查。 | 每位使用者作為自我檢閱者可獲得6個授權。 不需要其他授權。 | 6 |
使用 Microsoft Entra ID 的生命週期流程治理授權,您可以:
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。
| 情境 | 運算 | 授權數目 |
|---|---|---|
| 生命週期工作流程系統管理員會建立工作流程,將行銷部門中的新員工新增至行銷團隊群組。 250 名新進員工會透過此工作流程指派給行銷小組群組一次。 其他 150 名新進員工會在同年稍晚透過此工作流程指派給行銷小組群組。 | 生命週期工作流程管理員的 1 個授權,以及使用者的 400 個授權。 | 401 |
| 生命週期工作流程管理員會建立一個工作流程,以在員工最後一天工作前為一組員工預先準備離職手續。 將預先離線一次的使用者範圍是 40 位使用者。 我們會將 40 位授權使用者下架。 現在,我們可以重新指派這 40 個授權,並在一年後再指派 10 個授權給 50 位預下架的使用者。 | 使用者的 50 個授權,以及生命週期工作流程管理員的 1 個授權。 | 51 |
這項功能可免費使用,且包含在您的 Azure 訂用帳戶中。
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
擁有 Microsoft 365 商務進階版授權的客戶也有條件式存取功能的存取權。
風險管理策略需要取得 Microsoft Entra ID Protection,這是 Microsoft Entra ID P2 功能。
Microsoft Entra Suite 包含所有Microsoft Entra 條件式存取功能。
其他可能會與條件式存取原則互動的產品和功能,需要這些產品和功能的適當授權。
條件式存取所需的授權到期時,不會自動停用或刪除原則。 這可讓客戶擺脫條件式存取原則,而不會突然變更其安全性態勢。 剩餘的原則可加以檢視和刪除,但不再更新。
安全性預設值可協助防禦身分識別相關攻擊並適用於所有客戶。
Microsoft Entra 網域服務 使用方式會根據租用戶擁有者所選取的 SKU 按小時計費。
Microsoft Entra 外部識別碼 核心功能對前 50,000 名每月活躍使用者免費。 更多授權資訊,請參閱 外部識別碼常見問題
使用此功能需要 Microsoft Entra ID P2 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
| 能力 | 詳細資料 | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra 套件 |
|---|---|---|---|---|---|
| 風險原則 | 登入和使用者風險原則 (透過條件式存取) | 否 | 否 | .是 | .是 |
| 安全性報告 | 概觀 | 否 | 否 | .是 | .是 |
| 安全性報告 | 具風險使用者 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料選單,也沒有風險歷程記錄。 | 有限資訊。 只會顯示具有中等和高風險的使用者。 沒有詳細資料側邊欄,也沒有風險歷程記錄。 | 完整存取 | .是 |
| 安全性報告 | 有風險的登入 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 有限資訊。 不會顯示任何風險詳細資料或風險層級。 | 完整存取 | .是 |
| 安全性報告 | 風險偵測 | 否 | 有限資訊。 沒有詳細資料抽屜。 | 完整存取 | .是 |
| 通知 | 處於風險中的使用者偵測警報 | 否 | 否 | .是 | .是 |
| 通知 | 每週摘要 | 否 | 否 | .是 | .是 |
| MFA 註冊原則 | 否 | 否 | .是 | .是 |
Microsoft Entra 網際網路存取 可單獨或作為 Microsoft Entra 套件的一部分使用。
所需的授權會根據監控及健康功能而有所不同。
| 功能 | Microsoft Entra ID Free | Microsoft Entra ID P1 或 P2 / Microsoft Entra Suite |
|---|---|---|
| 稽核記錄 | .是 | .是 |
| 登入記錄 | .是 | .是 |
| 佈建記錄 | 否 | .是 |
| 自訂安全性屬性 | .是 | .是 |
| 健全狀況 | 否 | .是 |
| Microsoft Graph 活動記錄 | 否 | .是 |
| 使用量和洞見 | 否 | .是 |
權限管理支援 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform 的所有資源,但僅需可計費資源授權。
Microsoft Entra 私人存取 可單獨或作為 Microsoft Entra 套件的一部分使用。
若要使用 Microsoft Entra Privileged Identity Management,租用戶必須具有有效的授權。 此外,也必須指派授權給管理員和相關的使用者。 本文說明使用 Privileged Identity Management 的授權需求。 若要使用 Privileged Identity Management,您必須具有下列其中一個授權:
您需要 Microsoft Entra ID 控管授權或 Microsoft Entra ID P2 授權,才能使用 PIM 及其所有設定。 目前,您可以將存取檢閱的範圍限定為可存取 Microsoft Entra ID 的服務主體、具有 Microsoft Entra ID P2 版本的資源角色,或租用戶中具有 Microsoft Entra ID 控管版本的使用者。
請確定您的目錄具有下列使用者類別的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權:
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 情境 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 有 10 位負責不同部門的管理員,以及 2 位設定和管理 PIM 的特殊權限管理員。 他們讓五位管理員符合資格。 | 合格管理員的五個許可證 | 5 |
| Graphic Design Institute 有 25 位管理員,其中 14 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有三個不同的使用者可核准啟用。 | 14 個適用於合格角色的許可證 + 3 位核准者 | 17 |
| Contoso 有 50 位管理員,其中 42 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有五個不同的使用者可核准啟用。 Contoso 也會對指派給管理員角色的使用者進行每月審核,審核者是使用者的主管,其中有六位不是 PIM 所管理的管理員角色。 | 42 個適用於合格角色的授權 + 5 位核准者 + 6 位審核者 | 53 |
如果Microsoft Entra ID P2、Microsoft Entra ID Governance 或試用版授權到期,則您的目錄中不再提供 Privileged Identity Management 功能:
Microsoft Entra 已驗證的識別碼目前隨附於任何 Microsoft Entra ID 訂用帳戶,包括免費 Microsoft Entra ID,無需額外付費。 核心已驗證的識別碼功能可協助組織:
Microsoft Entra 驗證識別碼也提供臉部檢查作為附加元件提供的進階功能,並包含在Microsoft Entra 套件中(每位使用者每月僅限 8 次臉部檢查)。
Microsoft Entra 工作負載識別碼 支援 Azure 的應用程式身分識別和服務原則,每個工作負載身分識別每個月都需要授權。
在來源租用戶中:使用此功能需要 Microsoft Entra ID P1 授權。 與跨租用戶同步的每位用戶都必須在其主/來源租戶中擁有 P1 許可證。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 規劃和價格。
在目標租用戶中:跨租用戶同步會依賴 Microsoft Entra External ID 計費模型。 若要了解外部身分識別授權模型,請參閱 Microsoft Entra 外部 ID MAU 計費模型。 您也需要目標租用戶中至少一個 Microsoft Entra ID P1 授權,才能啟用自動刪除。
所有多組織用戶共享組織功能都會包含在 Microsoft Entra 套件中。
在 Microsoft Entra ID 中使用內建角色為免費功能。 針對具有自訂角色指派的每個使用者,使用自訂角色需要 Microsoft Entra ID P1 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能。
要使用管理單位,每個在管理單位範圍內指派有目錄角色的管理員需要擁有 Microsoft Entra ID P1 授權,而每個管理單位成員則需要擁有 Microsoft Entra ID Free 授權。 可以使用 Microsoft Entra ID Free 授權建立管理單位。 如果您使用管理單位的 組動態成員資格群組規則 ,則每個管理單位成員都需要 Microsoft Entra ID P1 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能。
受限管理的管理單位需要每個管理單位管理員的 Microsoft Entra ID P1 授權,以及管理單位成員的 Microsoft Entra ID Free 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能。
適用時,這裡會包含目前處於預覽狀態之任何功能的授權資訊。 如需預覽功能的詳細資訊,請參閱 Microsoft Entra ID 預覽功能。
訓練
學習路徑
使用 Microsoft Entra ID 來設定及控管權利 SC-5008 - Training
使用 Microsoft Entra 以透過權利、存取權檢閱、特殊權限存取工具來管理存取權,以及監視存取事件。 (SC-5008)
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。