Microsoft Entra ID 控管授權基礎知識
下列文件討論 Microsoft Entra ID 控管授權。 這適用於考慮為其組織 Microsoft Entra ID 控管服務的 IT 決策者、IT 系統管理員和 IT 專業人員。
授權類型
下列授權可用於商業與政府雲端中的 Microsoft Entra ID 控管。 租用戶中您需要的授權選擇取決於您在該租用戶中所使用的功能。
- 免費 - 隨附於 Microsoft 雲端訂用帳戶,例如 Microsoft Azure、Microsoft 365 和其他訂用帳戶。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 可作為獨立產品購買,或隨附於企業客戶的 Microsoft 365 E3 和中小型企業的 Microsoft 365 商務進階版。
- Microsoft Entra ID P2 - Microsoft Entra ID P2 可作為獨立產品,或隨附於企業客戶的 Microsoft 365 E5。
- Microsoft Entra ID 控管 - Microsoft Entra ID 控管是一組進階的身分識別治理功能,適用於 Microsoft Entra ID P1 和 P2 客戶。 Microsoft Entra ID 控管提供五個產品 Microsoft Entra ID 控管,Microsoft Entra ID 控管 Step Up for Microsoft Entra ID P2,Microsoft Entra ID 控管 Step Up for Microsoft Entra ID F2,Microsoft Entra ID 控管政府版 及 Microsoft Entra ID 控管附加元件 for Microsoft Entra ID P2 政府版。 這五個產品只有在其先決條件方面有所不同,因為它們包含Microsoft Entra ID P2中的權利管理、特殊權限身分識別管理和存取權檢閱功能及其他進階的身分識別治理功能。
注意
某些 Microsoft Entra ID 控管案例可以設定為相依於 Microsoft Entra ID 控管未涵蓋的其他功能。 這些功能可能會有額外的授權需求。 如需依賴其他功能的治理案例詳細資訊,請參閱身分識別治理概觀。
美國政府社群雲端 (GCC)、GCC-High 和國防部雲端環境提供適用於政府產品Microsoft Entra ID P2 的 Microsoft Entra ID 治理和Microsoft Entra ID 治理附加元件。
治理產品和必要條件
Microsoft Entra ID 控管 功能目前可在五種產品中使用。 這五個產品提供相同的身分識別控管功能。 這五個產品之間的差異在於它們有不同的必要條件。
-
Microsoft Entra ID 控管或Microsoft Entra ID Governance for Government的訂用帳戶,在產品條款中列為Microsoft Entra ID Governance (User SL) 授權,要求租戶也必須有另一個產品的有效訂用帳戶,其中包含服務方案
AAD_PREMIUM或AAD_PREMIUM_P2。 符合此必要條件的產品範例包括 Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、Enterprise Mobility + Security E3/E5 或 Microsoft 365 F1/F3。 - Microsoft Entra ID P2 的 Microsoft Entra ID 控管進階方案訂閱,或適用於政府版 Microsoft Entra ID P2 的 Microsoft Entra ID 控管附加元件,根據產品條款中被列為 Microsoft Entra ID 控管 P2 授權,要求租戶還必須有另一個包含
AAD_PREMIUM_P2服務方案的其他產品的有效訂閱。 符合此必要條件的產品範例包括 Microsoft Entra ID P2、Microsoft 365 E5/A5/G5Enterprise Mobility + Security E5、Microsoft 365 E5/F5 安全性 或 Microsoft 365 F5 安全性 + 合規性。 -
Microsoft Entra ID F2 的升級版作為 Microsoft Entra ID 控管訂用帳戶,在產品條款中列為 Microsoft Entra ID 控管 F2 授權,需要租用戶擁有另一個產品的有效訂用帳戶,其中包含
AAD_PREMIUM_P2服務方案。 符合此必要條件的產品範例包括 Microsoft Entra ID F2。
授權用的產品名稱和服務方案識別碼列出包含必要服務方案的其他產品。
注意
Microsoft Entra ID 治理產品的前提訂閱必須在租戶中有效。 如果必要條件不存在,或訂用帳戶過期,則 Microsoft Entra ID 控管案例可能無法如預期般運作。
若要檢查租用戶中是否存在 Microsoft Entra ID 管理產品的必要產品,您可以使用 Microsoft Entra 系統管理中心或 Microsoft 365 系統管理中心來查看產品清單。
以授權系統管理員的身分登入 Microsoft Entra 系統管理中心。
在 [身分識別] 功能表中,展開 [計費],然後選取 [授權]。
在 [管理] 功能表中,選取 [授權功能]。 資訊列表示目前 Microsoft Entra ID 授權方案。
若要在租戶中檢視現有的產品,請在 [管理] 功能表中,選取 [所有產品]。
開始試用
商業租戶中具備適當的必備產品的全域管理員,例如已購買的 Microsoft Entra ID P1,且尚未使用或先前已試用 Microsoft Entra ID 控管的全域管理員,可以在其租戶中要求試用 Microsoft Entra ID 控管。
在 [計費] 功能表中,選取 [購買服務]。
在 [搜尋所有產品類別] 方塊中,輸入
"Microsoft Entra ID Governance"。選取 Microsoft Entra ID 控管下方詳細資料,以檢視產品的試用和購買資訊。 如果您的租用戶擁有 Microsoft Entra ID P2,請在Microsoft Entra ID P2 的 Microsoft Entra ID 控管升級下方選取詳細資料。
在產品詳細資料頁面中,選取 [開始免費試用]。
下列資料表顯示 Microsoft Entra ID 控管功能的授權需求。 Microsoft Entra 套件包含 Microsoft Entra ID 控管的所有功能。 下表提供權利管理、存取權檢閱和生命週期工作流程的授權資訊和範例授權案例。
依授權排列的功能
下表顯示每個授權可用的功能。 並非所有功能都可在所有雲端中使用;請參閱 Azure Government Microsoft Entra 功能可用性。
| 功能 | 免費 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 控管 | Microsoft Entra 套件 |
|---|---|---|---|---|---|
| API 驅動的佈建 | ✅ | ✅ | ✅ | ✅ | |
| HR 驅動的佈建 | ✅ | ✅ | ✅ | ✅ | |
| 自動配置使用者至 SaaS 應用程式 | ✅ | ✅ | ✅ | ✅ | ✅ |
| 自動將群組配置到 SaaS 應用程式 | ✅ | ✅ | ✅ | ✅ | |
| 自動佈建至本地化軟體 | ✅ | ✅ | ✅ | ✅ | |
| 條件式存取 - 使用規定證明 | ✅ | ✅ | ✅ | ✅ | |
| 權利管理 - 先前在 Microsoft Entra ID P2 中通常可用的功能 | ✅ | ✅ | ✅ | ||
| 權利管理 - 條件式存取範圍 | ✅ | ✅ | ✅ | ||
| 權限管理「MyAccess」搜尋 | ✅ | ✅ | ✅ | ||
| 使用已驗證識別碼權利管理 | ✅ | ✅ | |||
| 權利管理 + 自訂延伸項目(邏輯應用程式) | ✅ | ✅ | |||
| 權利管理 + 自動指派原則 | ✅ | ✅ | |||
| 權利管理 - 直接指派任何使用者(預覽) | ✅ | ✅ | |||
| 權限管理 - 將來賓標記為受控 | ✅ | ✅ | |||
| 權利管理 - 管理外部使用者的生命週期 | ✅ | ✅ | ✅ | ||
| 我的存取權入口網站 | ✅ | ✅ | ✅ | ||
| 授權管理 - Microsoft Entra 角色 (預覽) | ✅ | ✅ | |||
| 權限管理 - 代表他人請求存取套件(預覽) | ✅ | ✅ | |||
| 權限管理 - 贊助人政策 | ✅ | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ✅ | ||
| 群組用PIM | ✅ | ✅ | ✅ | ||
| PIM 條件式訪問控制 | ✅ | ✅ | ✅ | ||
| 存取審查 - 先前在 Microsoft Entra ID P2 中一般可用的功能 | ✅ | ✅ | ✅ | ||
| 存取審查 - 針對群組的 PIM(預覽) | ✅ | ✅ | |||
| 存取審核 - 不活躍使用者審核 | ✅ | ✅ | |||
| 存取權檢閱 - 不活躍使用者推薦 | ✅ | ✅ | ✅ | ||
| 存取審查 - 機器學習輔助的存取認證與審查 | ✅ | ✅ | |||
| 生命週期工作流程 (LCW) | ✅ | ✅ | |||
| LCW + 自訂延伸模組 (Logic Apps) | ✅ | ✅ | |||
| 身分識別控管儀表板 | ✅ | ✅ | ✅ | ✅ | |
| 深入解析和報告 - 未啟用的來賓帳戶 | ✅ | ✅ |
權利管理
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 情境 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 其中一個原則指定所有員工 (2,000 名員工) 都可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工可以要求存取套件 | 2,000 |
| Woodgrove Bank 的身分識別控管系統管理員會建立初始目錄。 他們會建立自動指派原則,授與銷售部門的所有成員 (350 名員工 ) 存取權一組特定存取套件。 自動將 350 名員工指派給這些存取套件。 | 350 名員工需要授權。 | 351 |
存取權審查
使用此功能需要貴組織使用者的 Microsoft Entra ID 管理訂用帳戶,包括檢閱存取權或其存取權正被檢閱的所有員工。 這項功能中的某些功能可能使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 情景 | 運算 | 授權數目 |
|---|---|---|
| 管理員會建立群組 A (其中包含 75 個使用者和 1 個群組擁有者) 的存取權檢閱,並將群組擁有者指派為檢閱者。 | 群組擁有者作為檢閱者的一個授權,以及提供給75位使用者的75個授權。 | 76 |
| 管理員會建立群組 B (其中包含 500 個使用者和 3 個群組擁有者) 的存取權檢閱,並將 3 個群組擁有者指派為檢閱者。 | 提供使用者的 500 個授權,以及每位群組擁有者作為檢閱者的 3 個授權。 | 503 |
| 管理員會建立群組 B (其中包含 500 個使用者) 的存取權檢閱。 讓其成為自我審查。 | 每位自我檢閱者使用者可獲得 500 個授權 | 500 |
| 管理員會建立群組 C (其中包含 50 個成員使用者) 的存取權檢閱。 讓其成為自我檢查。 | 每位自我檢閱者的使用者可獲得 50 個授權。 | 50 |
| 管理員會針對包含 6 個成員使用者的群組 D,建立存取審核。 讓其成為自我審查。 | 每位用作自我檢閱者的使用者有 6 個授權。 不需要其他授權。 | 6 |
生命週期工作流程
使用生命週期工作流程的 Microsoft Entra ID 控管授權,您可以:
- 建立、管理及刪除工作流程,最多可達 50 個工作流程的總限制。
- 觸發隨選和已排程的工作流程執行。
- 管理和設定現有的工作,以建立您需求特定的工作流程。
- 建立最多 100 個自訂工作擴充功能,以用於您的工作流程。
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。
範例授權案例
| 情境 | 運算 | 授權數目 |
|---|---|---|
| 生命週期工作流程系統管理員會建立工作流程,將行銷部門中的新員工新增至行銷團隊群組。 250 名新進員工會透過此工作流程指派給行銷小組群組一次。 其他 150 名新進員工會在同年稍晚透過此工作流程指派給行銷小組群組。 | 生命週期工作流程管理員的 1 個授權,以及使用者的 400 個授權。 | 401 |
| 生命週期工作流程管理員會建立工作流程,以在員工最後一天工作前,提前為一群員工進行離職準備。 將預先離線一次的使用者範圍是 40 位使用者。 我們會將 40 位授權使用者下架。 現在,我們可以重新指派這 40 個授權,並在一年後再指派 10 個授權給 50 位預下架的使用者。 | 使用者的 50 個授權,以及生命週期工作流程管理員的 1 個授權。 | 51 |
權限身份管理
若要使用 Microsoft Entra Privileged Identity Management,租用戶必須具有有效的授權。 此外,也必須指派授權給管理員和相關的使用者。 本文說明使用 Privileged Identity Management 的授權需求。 若要使用 Privileged Identity Management,您必須具有下列其中一個授權:
PIM 的有效授權
您需要 Microsoft Entra ID 控管授權或 Microsoft Entra ID P2 授權,才能使用 PIM 及其所有設定。 目前,您可以將存取權範圍限定為可存取 Microsoft Entra ID 的服務主體、具有 Microsoft Entra ID P2 的資源角色,或租用戶中具有 Microsoft Entra ID 控管版本的使用者。
您必須擁有 PIM 的授權
請確定您的目錄具有下列使用者類別的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權:
- 使用者經合格和/或時間界限指派為使用 PIM 管理的 Microsoft Entra ID 或 Azure 角色
- 具有合格或指定期限指派為成員或擁有者的群組 PIM 使用者
- 能夠在 PIM 中核准或拒絕啟用要求的使用者
- 被指派參與存取評審的使用者
- 執行存取權檢閱的使用者
範例 PIM 授權案例
以下是一些範例授權案例,可協助您判斷您必須擁有的授權數目。
| 情境 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 有 10 位來自不同部門的管理員,以及 2 位負責設定和管理 PIM 的特權角色管理員。 他們讓五位管理員符合資格。 | 合格的管理員可獲得的五個許可證 | 5 |
| Graphic Design Institute 有 25 位管理員,其中 14 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有三個不同的使用者可核准啟用。 | 14 個合格角色的授權 + 3 位審批者 | 17 |
| Contoso 有 50 位管理員,其中 42 位透過 PIM 來管理。 角色啟用需經過核准,且組織中有五個不同的使用者可核准啟用。 Contoso 也會對指派給管理員角色的使用者進行每月審核,審核者是使用者的主管,其中有六位不是 PIM 所管理的管理員角色。 | 42 個適用於合格角色的授權 + 5 位核准者 + 6 位審核者 | 53 |
PIM 授權到期時
如果Microsoft Entra ID P2、Microsoft Entra ID Governance 或試用版授權到期,則您的目錄中不再提供 Privileged Identity Management 功能:
- Microsoft Entra 角色的永久指派將不會受到影響。
- 使用者再也無法利用 Microsoft Entra 系統管理中心的 Privileged Identity Management 服務,以及 Privileged Identity Management 的圖形 API Cmdlet 和 PowerShell 介面,來啟動特殊權限角色、管理特殊權限存取權,或執行特殊權限角色的存取權檢閱。
- 有資格的 Microsoft Entra 角色指派將被移除,因為使用者將無法再啟用特權角色。
- Microsoft Entra 角色的所有進行中存取權檢閱將結束,而 Privileged Identity Management 組態設定將移除。
- Privileged Identity Management 不再傳送有關角色指派變更的電子郵件。
API 驅動的配置
此功能適用於 Microsoft Entra ID P1、P2 和 Microsoft Entra ID 控管訂用帳戶。 透過 /bulkUpload API 取得來源的每個身分識別都需要訂閱授權,並配置至內部部署 Active Directory 或 Microsoft Entra ID。
授權案例
| 客戶授權 | 在租用戶層級強制執行 API 驅動佈建的使用限制 |
|---|---|
| Microsoft Entra ID P1 或 P2 | 每日使用量配額 (可上傳超過 24 小時的使用者記錄數目):100K 筆使用者記錄 (2000 /bulkUpload API 呼叫,每個要求最多包含 50 筆記錄)。 每個流程的 API 驅動佈建作業數目上限:2 o 透過 API 進行佈建的應用程式最多可有 2 個,部署至內部部署的 Active Directory。 o 最多 2 個應用程式透過 API 驅動佈建至 Microsoft Entra ID。 |
| Microsoft Entra 身分識別治理與 Microsoft Entra ID P1 或 P2 | 每日使用量配額 (可上傳超過 24 小時的使用者記錄數目):300K 筆使用者記錄 (6000 /bulkUpload API 呼叫,每個要求最多包含 50 筆記錄)。 每個流程的 API 驅動佈建作業數目上限:20 o 透過 API 驅動的佈建至內部部署 Active Directory 的應用程式數量最多為 20 個。 o 最多 20 個應用程式可透過 API 驅動佈建到 Microsoft Entra ID。 |
授權常見問題
需要將授權指派給使用者才能使用身分識別控管功能嗎?
使用者不需要被指派 Microsoft Entra ID 控管授權,但必須有足夠的授權席次,將所有在範圍內的使用者或設定身分識別控管功能的人員包括在內。
如何為商務來賓授權使用 Microsoft Entra ID 控管功能?
所有在 Microsoft Entra ID 控管功能範圍內的使用者,包括承包商、合作夥伴和外部共同作業者等商務來賓,都需要授權。 我們正在為商務來賓建立新的 Microsoft Entra ID 控管授權。 此授權以每月活躍用戶 (MAU) 模型運作。 客戶能夠取得符合其預期商務來賓 MAU 的授權。
我們預計在 2025 年第二季度 (第 2 季) 提供這些授權。 在過渡期間,使用 Microsoft Entra ID 控管管理其員工身分識別的組織可以控管其商務來賓的身分識別,而不需要額外費用。 目前,具有 Microsoft Entra External ID 的 Microsoft Entra ID P1 或 P2 的現有客戶可以透過其 Microsoft Entra External ID 授權,與其商業訪客一起繼續使用 P1 或 P2 所含的功能子集。
如需詳細資訊,請參閱:Microsoft Entra ID Governance 商務來賓授權 (英文)。
PIM 授權過期會發生什麼狀況?
如果 Microsoft Entra ID P2 或 Microsoft Entra ID 控管授權到期或試用版結束,則您的目錄中將不再提供 Privileged Identity Management 功能。 以下討論的變更適用於適用於 Microsoft Entra 角色的 PIM、適用於 Azure 資源的 PIM,以及適用於群組的 PIM。
- 活動中的永久指派不會受到影響。
- 目前有時間限制的指派將變成永久有效,這表示它們將不再於指定時間到期。
- 合格角色指派將會遭到移除,因為使用者將無法再啟動特殊權限的角色。
- 使用者再也無法利用 Microsoft Entra 系統管理中心或 Azure 入口網站的 Privileged Identity Management 面板,或 Privileged Identity Management 的 API 和 PowerShell 介面,來啟用角色、管理指派,或執行特殊權限角色的存取權檢閱。
- Microsoft Entra 角色的任何正在進行的存取審查會結束,而且 Privileged Identity Management 組態設定將會被移除。
- Privileged Identity Management 將不再傳送有關角色指派變更和 PIM 警示的電子郵件。
是否會在 Microsoft Entra ID P2 授權下新增任何 IGA 特性和功能?
Microsoft Entra ID P2 中的所有目前正式推出功能都會保留,但不會將新的 IGA 特性或功能新增至 Microsoft Entra ID P2 SKU。