Nozioni fondamentali sulle licenze per la governance degli ID Di Microsoft Entra
Questo documento seguente illustra le licenze di governance di Microsoft Entra ID. È destinato ai decision maker IT, agli amministratori IT e ai professionisti IT che prendono in considerazione i servizi di governance di Microsoft Entra ID per le proprie organizzazioni.
Tipi di licenze
Le licenze seguenti sono disponibili per l'utilizzo con Microsoft Entra ID Governance nel cloud commerciale. La scelta delle licenze necessarie in un tenant dipende dalle funzionalità usate nel tenant.
- Gratuito : incluso nelle sottoscrizioni cloud Microsoft, ad esempio Microsoft Azure, Microsoft 365 e altre.
- Microsoft Entra ID P1 - Microsoft Entra ID P1 è disponibile come prodotto autonomo o incluso in Microsoft 365 E3 per i clienti aziendali e Microsoft 365 Business Premium per piccole e medie imprese.
- Microsoft Entra ID P2 - Microsoft Entra ID P2 è disponibile come prodotto autonomo o incluso in Microsoft 365 E5 per i clienti aziendali.
- Microsoft Entra ID Governance - Microsoft Entra ID Governance è un set avanzato di funzionalità di governance delle identità disponibili per i clienti Microsoft Entra ID P1 e P2, come due prodotti Microsoft Entra ID Governance e Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2. Questi prodotti contengono le funzionalità di base per la governance delle identità incluse in Microsoft Entra ID P2 e altre funzionalità avanzate.
Nota
Alcuni scenari di Microsoft Entra ID Governance possono essere configurati in modo da dipendere da altre funzionalità non presenti in Microsoft Entra ID Governance. Queste funzionalità potrebbero avere requisiti di licenza aggiuntivi. Per altre informazioni sugli scenari di governance basati su funzionalità aggiuntive, vedere Panoramica di Identity Governance .
I prodotti Microsoft Entra ID Governance non sono ancora disponibili nei cloud nazionali degli Stati Uniti o del governo degli Stati Uniti.
Prodotti e prerequisiti per la governance
Le funzionalità di governance di Microsoft Entra ID sono attualmente disponibili in due prodotti nel cloud commerciale. Questi due prodotti offrono le stesse funzionalità di governance delle identità. La differenza tra i due prodotti è che hanno prerequisiti diversi.
- Una sottoscrizione a Microsoft Entra ID Governance, elencata nelle condizioni del prodotto come licenza Microsoft Entra ID Governance (User SL), richiede che il tenant disponga anche di una sottoscrizione attiva a un altro prodotto, uno che contiene il
AAD_PREMIUMpiano di servizio oAAD_PREMIUM_P2. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 o Microsoft 365 F1/F3. - Una sottoscrizione a Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2, elencata nelle condizioni del prodotto come licenza Microsoft Entra ID Governance P2 , richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto, uno che contiene il
Entra_Identity_Governancepiano di servizio. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security o Microsoft 365 F5 Security + Compliance. - Una sottoscrizione a Microsoft Entra ID Governance Step up for Microsoft Entra ID F2, elencata nelle condizioni del prodotto come licenza Microsoft Entra ID Governance F2 , richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto, uno che contiene il
Entra_Identity_Governancepiano di servizio. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID F2.
I nomi dei prodotti e gli identificatori del piano di servizio per le licenze elencano prodotti aggiuntivi che includono i piani di servizio prerequisiti.
Nota
Una sottoscrizione a un prerequisito per un prodotto Microsoft Entra ID Governance deve essere attiva nel tenant. Se non è presente un prerequisito o la sottoscrizione scade, gli scenari di governance dell'ID di Microsoft Entra potrebbero non funzionare come previsto.
Per verificare se i prodotti prerequisiti per un prodotto Microsoft Entra ID Governance sono presenti in un tenant, è possibile usare l'interfaccia di amministrazione di Microsoft Entra o il interfaccia di amministrazione di Microsoft 365 per visualizzare l'elenco dei prodotti.
Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.
Nel menu Identità espandere Fatturazione e selezionare Licenze.
Nel menu Gestisci selezionare Funzionalità con licenza. La barra delle informazioni indica il piano di licenza microsoft Entra ID corrente.
Per visualizzare i prodotti esistenti nel tenant, nel menu Gestisci selezionare Tutti i prodotti.
Avvio di una versione di valutazione
Un amministratore globale in un tenant che dispone di un prodotto prerequisito appropriato, ad esempio Microsoft Entra ID P1, già acquistato e non usa già o ha già effettuato la valutazione di Microsoft Entra ID Governance, può richiedere una versione di valutazione di Microsoft Entra ID Governance nel tenant.
Accedere al interfaccia di amministrazione di Microsoft 365 come Amministrazione istrator globale
Nel menu Fatturazione selezionare Acquista servizi.
Nella casella Cerca tutte le categorie di prodotti digitare
"Microsoft Entra ID Governance".Selezionare Dettagli sotto Microsoft Entra ID Governance per visualizzare le informazioni sulla versione di valutazione e sull'acquisto per il prodotto. Se il tenant ha Microsoft Entra ID P2, selezionare Dettagli sotto Microsoft Entra ID Governance Step-Up for Microsoft Entra ID P2.
Nella pagina dei dettagli del prodotto selezionare Avvia versione di valutazione gratuita.
La tabella seguente illustra i requisiti di licenza per le funzionalità di governance di Microsoft Entra ID. Le informazioni sulle licenze e gli scenari di licenza di esempio per la gestione entitlement, le verifiche di accesso e i flussi di lavoro del ciclo di vita vengono forniti seguendo la tabella.
Funzionalità per licenza
La tabella seguente illustra le funzionalità disponibili con ogni licenza. Non tutte le funzionalità sono disponibili in tutti i cloud; vedere Disponibilità delle funzionalità di Microsoft Entra per Azure per enti pubblici.
Gestione entitlement
L'uso di questa funzionalità richiede l'abbonamento a Governance di Microsoft Entra ID per gli utenti dell'organizzazione. Alcune funzionalità all'interno di questa funzionalità possono funzionare con un abbonamento a Microsoft Entra ID P2.
Scenari di licenze di esempio
Ecco alcuni esempi di scenari che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un Amministrazione istrator di Identity Governance presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 che possono richiedere i pacchetti di accesso | 2,000 |
| Un Amministrazione istrator di Identity Governance presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 dipendenti hanno bisogno di licenze. | 2,000 |
| Un Amministrazione istrator di Identity Governance presso Woodgrove Bank crea cataloghi iniziali. Creano criteri di assegnazione automatica che concedono a tutti i membri del reparto vendite (350 dipendenti) l'accesso a un set specifico di pacchetti di accesso. 350 dipendenti vengono assegnati automaticamente ai pacchetti di accesso. | 350 dipendenti hanno bisogno di licenze. | 351 |
Verifiche di accesso
L'uso di questa funzionalità richiede le sottoscrizioni di Governance di Microsoft Entra ID per gli utenti dell'organizzazione, inclusi per tutti i dipendenti che esaminano l'accesso o che hanno eseguito la verifica dell'accesso. Alcune funzionalità all'interno di questa funzionalità potrebbero funzionare con un abbonamento a Microsoft Entra ID P2.
Scenari di licenze di esempio
Ecco alcuni esempi di scenari che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore crea una verifica di accesso del gruppo A con 75 utenti e 1 proprietario del gruppo, quindi assegna il proprietario del gruppo come revisore. | 1 licenza per il proprietario del gruppo come revisore e 75 licenze per i 75 utenti. | 76 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti e 3 proprietari del gruppo, quindi assegna i 3 proprietari del gruppo come revisori. | 500 licenze per gli utenti e 3 licenze per ogni proprietario del gruppo come revisori. | 503 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti. La crea come verifica autonoma. | 500 licenze, una per ogni utente come revisore autonomo | 500 |
| Un amministratore crea una verifica di accesso del gruppo C con 50 utenti membri. La crea come verifica autonoma. | 50 licenze, una per ogni utente come revisore autonomo. | 50 |
| Un amministratore crea una verifica di accesso del gruppo D con 6 utenti membri. La crea come verifica autonoma. | 6 licenze, una per ogni utente come revisore autonomo. Non sono necessarie licenze aggiuntive. | 6 |
Flussi di lavoro relativi al ciclo di vita
Con le licenze di governance di Microsoft Entra ID per i flussi di lavoro del ciclo di vita, è possibile:
- Creare, gestire ed eliminare flussi di lavoro fino al limite totale di 50 flussi di lavoro.
- Attivare l'esecuzione di flussi di lavoro su richiesta e pianificati.
- Gestire e configurare le attività esistenti per creare flussi di lavoro specifici per le proprie esigenze.
- Creare fino a 100 estensioni di attività personalizzate da usare nei flussi di lavoro.
L'uso di questa funzionalità richiede l'abbonamento a Governance di Microsoft Entra ID per gli utenti dell'organizzazione.
Scenari di licenze di esempio
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un flusso di lavoro del ciclo di vita Amministrazione istrator crea un flusso di lavoro per aggiungere nuovi assunti nel reparto Marketing al gruppo Team di marketing. 250 nuovi assunti vengono assegnati al gruppo Team marketing tramite questo flusso di lavoro. | 1 licenza per i flussi di lavoro del ciclo di vita Amministrazione istrator e 250 licenze per gli utenti. | 251 |
| Un flusso di lavoro del ciclo di vita Amministrazione istrator crea un flusso di lavoro per pre-offboarding di un gruppo di dipendenti prima dell'ultimo giorno di lavoro. L'ambito degli utenti che saranno pre-offboard sono 40 utenti. | 40 licenze per gli utenti e 1 licenza per i flussi di lavoro del ciclo di vita Amministrazione istrator. | 41 |
Privileged Identity Management
Per usare Microsoft Entra Privileged Identity Management, un tenant deve avere una licenza valida. Le licenze devono anche essere assegnate agli amministratori e agli utenti pertinenti. Questo articolo descrive i requisiti di licenza per usare Privileged Identity Management. Per usare Privileged Identity Management, è necessario avere una delle licenze seguenti:
Licenze valide per PIM
Per usare PIM e tutte le relative impostazioni, sono necessarie licenze di Microsoft Entra ID Governance o licenze Microsoft Entra ID P2. Attualmente, è possibile definire l'ambito di una verifica di accesso alle entità servizio con accesso a Microsoft Entra ID, ruoli delle risorse con microsoft Entra ID P2 o utenti con Microsoft Entra ID Governance edition attivo nel tenant. Il modello di licenza per le entità servizio verrà finalizzato per la disponibilità generale di questa funzionalità e potrebbero essere necessarie altre licenze.
Licenze necessarie per PIM
Assicurarsi che la directory abbia licenze microsoft Entra ID P2 o Microsoft Entra ID Governance per le categorie di utenti seguenti:
- Utenti con assegnazioni idonee e/o associate a tempo a ruoli di Microsoft Entra ID o di Azure gestiti tramite PIM
- Utenti con assegnazioni idonee e/o associate al tempo come membri o proprietari di PIM per i gruppi
- Gli utenti possono approvare o rifiutare le richieste di attivazione in PIM
- Utenti assegnati a una verifica di accesso
- Utenti che eseguono verifiche di accesso
Scenari di licenza di esempio per PIM
Ecco alcuni esempi di scenari che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Woodgrove Bank dispone di 10 amministratori per reparti diversi e 2 ruoli con privilegi Amministrazione istrator che configurano e gestiscono PIM. Rendono idonei cinque amministratori. | Cinque licenze per gli amministratori idonei | 5 |
| Graphic Design Institute ha 25 amministratori di cui 14 vengono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti tre utenti diversi che possono approvare le attivazioni. | 14 licenze per i ruoli idonei + tre responsabili approvazione | 17 |
| Contoso ha 50 amministratori di cui 42 vengono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti cinque utenti diversi che possono approvare le attivazioni. Contoso esegue anche revisioni mensili degli utenti assegnati ai ruoli di amministratore e ai revisori sono i responsabili degli utenti di cui sei non sono nei ruoli di amministratore gestiti da PIM. | 42 licenze per i ruoli idonei + cinque responsabili approvazione + sei revisori | 53 |
Quando una licenza scade per PIM
Se una licenza microsoft Entra ID P2, Microsoft Entra ID Governance o versione di valutazione scade, le funzionalità di Privileged Identity Management non saranno più disponibili nella directory:
- Le assegnazioni di ruolo permanenti ai ruoli di Microsoft Entra non saranno interessate.
- Il servizio Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra e i cmdlet dell'API Graph e le interfacce di PowerShell di Privileged Identity Management non saranno più disponibili per gli utenti per attivare i ruoli con privilegi, gestire l'accesso con privilegi o eseguire verifiche di accesso dei ruoli con privilegi.
- Le assegnazioni di ruolo idonee dei ruoli di Microsoft Entra vengono rimosse, perché gli utenti non possono più attivare i ruoli con privilegi.
- Tutte le verifiche di accesso in corso dei ruoli di Microsoft Entra terminano e le impostazioni di configurazione di Privileged Identity Management vengono rimosse.
- Privileged Identity Management non invia più messaggi di posta elettronica alle modifiche all'assegnazione di ruolo.
Provisioning basato su API
Questa funzionalità è disponibile con le sottoscrizioni microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. È necessaria una licenza di sottoscrizione per ogni identità di origine usando l'API /bulkUpload ed è stato effettuato il provisioning in Active Directory locale o microsoft Entra ID.
Scenari di licenza
| Licenza del cliente | Limiti di utilizzo applicati a livello di tenant per il provisioning basato su API |
|---|---|
| Microsoft Entra ID P1 o P2 | Quota di utilizzo giornaliero (numero di record utente che possono essere caricati in un periodo di 24 ore): 100.000 record utente (2000 /bulkUpload CHIAMATE API con ogni richiesta contenente un massimo di 50 record). Numero massimo di processi di provisioning basati sulle API per ogni flusso: 2 o Max 2 apps for API-driven provisioning to Active Directory locale( Max 2 apps for API-driven provisioning to Active Directory locale. o Max 2 apps for API-driven provisioning to Microsoft Entra ID (Max 2 apps for API-driven provisioning to Microsoft Entra ID). |
| Microsoft Entra ID Governance insieme a Microsoft Entra ID P1 o P2 | Quota di utilizzo giornaliero (numero di record utente che possono essere caricati in un periodo di 24 ore): 300.000 record utente (6000 /bulkUpload chiamate API con ogni richiesta contenente un massimo di 50 record). Numero massimo di processi di provisioning basati su API per ogni flusso: 20 o Max 20 apps for API-driven provisioning to Active Directory locale( Max 20 apps for API-driven provisioning to Active Directory locale. o Max 20 apps for API-driven provisioning to Microsoft Entra ID(Max 20 apps for API-driven provisioning to Microsoft Entra ID). |
Domande frequenti sulle licenze
È necessario assegnare licenze agli utenti per usare le funzionalità di Identity Governance?
Agli utenti non è necessario assegnare una licenza di governance di Microsoft Entra ID, ma è necessario che siano presenti tutte le postazioni di licenza per includere tutti gli utenti nell'ambito o che configurano le funzionalità di Identity Governance.
Come è possibile usare le licenze delle funzionalità di governance di Microsoft Entra ID per gli utenti guest aziendali?
Tutti gli utenti che rientrano nell'ambito delle funzionalità di governance di Microsoft Entra ID, inclusi utenti guest aziendali come terzisti, partner e collaboratori esterni, necessitano di una licenza. Stiamo creando una nuova licenza di governance di Microsoft Entra ID per gli utenti guest aziendali. Questa licenza opera su un modello di utilizzo attivo mensile (MAU). I clienti sono in grado di acquisire licenze corrispondenti alla mau aziendale prevista.
Prevediamo di rendere disponibili queste licenze alla fine del 2024. Nel frattempo, le organizzazioni che regolano le identità dei dipendenti con Microsoft Entra ID Governance possono gestire le identità dei guest aziendali senza costi aggiuntivi. A questo punto, i clienti esistenti di Microsoft Entra ID P1 o P2 con Microsoft Entra per ID esterno possono continuare a usare il subset di funzionalità incluse in P1 o P2 con gli utenti guest aziendali tramite la licenza Microsoft Entra per ID esterno.
Per altre informazioni, vedere Gestione delle licenze di Microsoft Entra ID Governance per gli utenti guest aziendali.
Cosa accade quando scade una licenza PIM?
Se una licenza microsoft Entra ID P2 o Microsoft Entra ID Governance scade o termina la versione di valutazione, le funzionalità di Privileged Identity Management non saranno più disponibili nella directory. Le modifiche illustrate di seguito sono applicabili ai ruoli PIM per Microsoft Entra, PIM per le risorse di Azure e PIM per i gruppi.
- Le assegnazioni permanenti attive non sono interessate.
- Le assegnazioni con limite di tempo attivo diventano permanenti attive, il che significa che non scadranno più in un momento designato.
- Le assegnazioni di ruolo idonee vengono rimosse, perché gli utenti non potranno più attivare i ruoli con privilegi.
- I pannelli Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra o portale di Azure, API e PowerShell di Privileged Identity Management non saranno più disponibili per consentire agli utenti di attivare i ruoli, gestire le assegnazioni o eseguire verifiche di accesso dei ruoli con privilegi.
- Tutte le verifiche di accesso in corso dei ruoli di Microsoft Entra e le impostazioni di configurazione di Privileged Identity Management vengono rimosse.
- Privileged Identity Management non invierà più messaggi di posta elettronica alle modifiche alle assegnazioni di ruolo e agli avvisi PIM.
Le funzionalità e le funzionalità di IGA verranno aggiunte con la licenza Microsoft Entra ID P2?
Tutte le funzionalità attualmente disponibili a livello generale in Microsoft Entra ID P2 rimarranno, ma non verranno aggiunte nuove funzionalità o funzionalità IGA allo SKU Microsoft Entra ID P2.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per