basisprincipes van licenties Microsoft Entra ID-governance
In dit volgende document worden Microsoft Entra ID-governance licenties besproken. Het is bedoeld voor IT-besluitvormers, IT-beheerders en IT-professionals die rekening houden met Microsoft Entra ID-governance services voor hun organisaties.
Typen licenties
De volgende licenties zijn beschikbaar voor gebruik met Microsoft Entra ID-governance in de commerciële cloud. Welke licenties u in een tenant nodig hebt, is afhankelijk van de functies die u in die tenant gebruikt.
- Gratis - inbegrepen bij Microsoft-cloudabonnementen zoals Microsoft Azure, Microsoft 365 en andere.
- Microsoft Entra ID P1 - Microsoft Entra ID P1 is beschikbaar als zelfstandig product of opgenomen in Microsoft 365 E3 voor zakelijke klanten en Microsoft 365 Business Premium voor kleine tot middelgrote bedrijven.
- Microsoft Entra ID P2 - Microsoft Entra ID P2 is beschikbaar als zelfstandig product of opgenomen in Microsoft 365 E5 voor zakelijke klanten.
- Microsoft Entra ID-governance - Microsoft Entra ID-governance is een geavanceerde set mogelijkheden voor identiteitsbeheer die beschikbaar zijn voor klanten van Microsoft Entra ID P1 en P2, als twee producten Microsoft Entra ID-governance en Microsoft Entra ID-governance Stap omhoog voor Microsoft Entra ID P2. Deze producten bevatten de basismogelijkheden voor identiteitsbeheer die zich in Microsoft Entra ID P2 bevonden en aanvullende geavanceerde mogelijkheden voor identiteitsbeheer.
Notitie
Sommige Microsoft Entra ID-governance scenario's kunnen worden geconfigureerd om afhankelijk te zijn van andere functies die niet worden gedekt door Microsoft Entra ID-governance. Deze functies hebben mogelijk aanvullende licentievereisten. Zie het overzicht van Identiteitsbeheer voor meer informatie over governancescenario's die afhankelijk zijn van aanvullende functies.
Microsoft Entra ID-governance producten zijn nog niet beschikbaar in de Amerikaanse overheid of amerikaanse nationale clouds.
Governanceproducten en -vereisten
De Microsoft Entra ID-governance mogelijkheden zijn momenteel beschikbaar in twee producten in de commerciële cloud. Deze twee producten bieden dezelfde mogelijkheden voor identiteitsbeheer. Het verschil tussen de twee producten is dat ze verschillende vereisten hebben.
- Voor een abonnement op Microsoft Entra ID-governance, vermeld in de productvoorwaarden als de licentie voor Microsoft Entra ID-governance (User SL), moet de tenant ook een actief abonnement hebben op een ander product, een abonnement dat het
AAD_PREMIUMofAAD_PREMIUM_P2serviceplan bevat. Voorbeelden van producten die aan deze vereisten voldoen, zijn Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 of Microsoft 365 F1/F3. - Een abonnement op Microsoft Entra ID-governance Step Up for Microsoft Entra ID P2, vermeld in de productvoorwaarden als de Microsoft Entra ID-governance P2-licentie, vereist dat de tenant ook een actief abonnement heeft op een ander product, een abonnement dat het
AAD_PREMIUM_P2serviceplan bevat. Voorbeelden van producten die aan deze vereisten voldoen, zijn Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security of Microsoft 365 F5 Security + Compliance.
De productnamen en serviceplan-id's voor licentieverlening bevatten aanvullende producten die de vereiste serviceplannen bevatten.
Notitie
Een abonnement op een vereiste voor een Microsoft Entra ID-governance product moet actief zijn in de tenant. Als er geen vereiste aanwezig is of het abonnement verloopt, werken Microsoft Entra ID-governance scenario's mogelijk niet zoals verwacht.
Als u wilt controleren of de vereiste producten voor een Microsoft Entra ID-governance product aanwezig zijn in een tenant, kunt u het Microsoft Entra-beheercentrum of de Microsoft 365-beheercentrum gebruiken om de lijst met producten weer te geven.
Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum .
Vouw facturering uit in het menu Identiteit en selecteer Licenties.
Selecteer In het menu Beheren de optie Functies met licentie. De informatiebalk geeft het huidige Licentieabonnement voor Microsoft Entra ID aan.
Als u de bestaande producten in de tenant wilt weergeven, selecteert u alle producten in het menu Beheren.
Een proefversie starten
Een globale beheerder in een tenant met een geschikt vereiste product, zoals Microsoft Entra ID P1, dat al is gekocht en nog niet gebruikt of eerder Microsoft Entra ID-governance heeft getest, kan een proefversie van Microsoft Entra ID-governance aanvragen in hun tenant.
Meld u als globale beheerder aan bij de Microsoft 365-beheercentrum.
Selecteer Services aanschaffen in het menu Facturering.
Typ in het vak
"Microsoft Entra ID Governance"Alle productcategorieën zoeken.Selecteer Details hieronder Microsoft Entra ID-governance om de proefversie en aankoopgegevens voor het product weer te geven. Als uw tenant Microsoft Entra ID P2 heeft, selecteert u details hieronder Microsoft Entra ID-governance Step-Up voor Microsoft Entra ID P2.
Selecteer op de pagina met productdetails de optie Gratis proefversie starten.
In de volgende tabel ziet u de licentievereisten voor Microsoft Entra ID-governance functies. Licentiegegevens en voorbeeldlicentiescenario's voor rechtenbeheer, toegangsbeoordelingen en levenscycluswerkstromen worden weergegeven volgens de tabel.
Functies per licentie
In de volgende tabel ziet u welke functies beschikbaar zijn voor elke licentie. Niet alle functies zijn beschikbaar in alle clouds; zie de beschikbaarheid van Microsoft Entra-functies voor Azure Government.
Rechtenbeheer
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance abonnementen vereist voor de gebruikers van uw organisatie. Sommige mogelijkheden binnen deze functie kunnen worden uitgevoerd met een Microsoft Entra ID P2-abonnement.
Voorbeelden van licentiescenario's
Hier volgen enkele voorbeelden van licentiescenario's om te helpen bepalen hoeveel licenties u nodig heeft.
| Scenario | Berekening | Aantal licenties |
|---|---|---|
| Een Identity Governance-Beheer istrator bij Woodgrove Bank maakt initiële catalogi. Een van de beleidsregels geeft aan dat Alle werknemers (2.000 werknemers) een specifieke set toegangspakketten kunnen aanvragen. 150 werknemers vragen de toegangspakketten aan. | 2.000 werknemers die de toegangspakketten kunnen aanvragen | 2.000 |
| Een Identity Governance-Beheer istrator bij Woodgrove Bank maakt initiële catalogi. Een van de beleidsregels geeft aan dat Alle werknemers (2.000 werknemers) een specifieke set toegangspakketten kunnen aanvragen. 150 werknemers vragen de toegangspakketten aan. | 2000 werknemers hebben licenties nodig. | 2.000 |
| Een Identity Governance-Beheer istrator bij Woodgrove Bank maakt initiële catalogi. Ze maken een beleid voor automatische toewijzing dat alle leden van de afdeling Verkoop (350 werknemers) toegang verleent tot een specifieke set toegangspakketten. 350 werknemers worden automatisch toegewezen aan de toegangspakketten. | 350 werknemers hebben licenties nodig. | 351 |
Toegangsbeoordelingen
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance abonnementen vereist voor de gebruikers van uw organisatie, inclusief voor alle werknemers die de toegang controleren of hun toegang hebben beoordeeld. Sommige mogelijkheden binnen deze functie werken mogelijk met een Microsoft Entra ID P2-abonnement.
Voorbeelden van licentiescenario's
Hier volgen enkele voorbeelden van licentiescenario's om te helpen bepalen hoeveel licenties u nodig heeft.
| Scenario | Berekening | Aantal licenties |
|---|---|---|
| Een beheerder maakt een toegangsbeoordeling van groep A met 75 gebruikers en 1 groepseigenaar en wijst de groepseigenaar toe als de beoordelaar. | 1 licentie voor de groepseigenaar als revisor en 75 licenties voor de 75 gebruikers. | 76 |
| Een beheerder maakt een toegangsbeoordeling van groep B met 500 gebruikers en 3 groepseigenaar en wijst de 3 groepseigenaars toe als de beoordelaars. | 500 licenties voor gebruikers en 3 licenties voor elke groepseigenaar als revisoren. | 503 |
| Een beheerder maakt een toegangsbeoordeling van groep B met 500 gebruikers. Maakt hier een zelfbeoordeling van. | 500 licenties voor alle gebruikers als zelfbeoordelaars | 500 |
| Een beheerder maakt een toegangsbeoordeling van groep C met 50 lidgebruikers. Maakt hier een zelfbeoordeling van. | 50 licenties voor alle gebruikers als zelfbeoordelaars. | 50 |
| Een beheerder maakt een toegangsbeoordeling van groep D met 6 lidgebruikers. Maakt hier een zelfbeoordeling van. | 6 licenties voor alle gebruikers als zelfbeoordelaars. Er zijn geen extra licenties nodig. | 6 |
Levenscycluswerkstromen
Met Microsoft Entra ID-governance licenties voor levenscycluswerkstromen kunt u het volgende doen:
- Werkstromen maken, beheren en verwijderen tot de totale limiet van 50 werkstromen.
- Trigger on-demand en geplande werkstroomuitvoering.
- Bestaande taken beheren en configureren om werkstromen te maken die specifiek zijn voor uw behoeften.
- Maak maximaal 100 aangepaste taakextensies die moeten worden gebruikt in uw werkstromen.
Voor het gebruik van deze functie zijn Microsoft Entra ID-governance abonnementen vereist voor de gebruikers van uw organisatie.
Voorbeelden van licentiescenario's
| Scenario | Berekening | Aantal licenties |
|---|---|---|
| Een levenscycluswerkstromen Beheer istrator maakt een werkstroom om nieuwe medewerkers in de afdeling Marketing toe te voegen aan de groep Marketingteams. Via deze werkstroom worden 250 nieuwe medewerkers toegewezen aan de groep Marketingteams. | 1 licentie voor de levenscycluswerkstromen Beheer istrator en 250 licenties voor de gebruikers. | 251 |
| Een levenscycluswerkstromen Beheer istrator maakt een werkstroom om een groep werknemers vóór hun laatste werkdag vooraf te laten gaan. Het bereik van gebruikers die vooraf worden uitgeschakeld, zijn 40 gebruikers. | 40 licenties voor gebruikers en 1 licentie voor de levenscycluswerkstromen Beheer istrator. | 41 |
Privileged Identity Management
Als u Microsoft Entra Privileged Identity Management wilt gebruiken, moet een tenant een geldige licentie hebben. Licenties moeten ook worden toegewezen aan de beheerders en relevante gebruikers. In dit artikel worden de licentievereisten voor het gebruik van Privileged Identity Management beschreven. Als u Privileged Identity Management wilt gebruiken, moet u een van de volgende licenties hebben:
Geldige licenties voor PIM
U hebt Microsoft Entra ID-governance licenties of P2-licenties voor Microsoft Entra ID nodig om PIM en alle bijbehorende instellingen te kunnen gebruiken. Op dit moment kunt u een toegangsbeoordeling instellen voor service-principals met toegang tot Microsoft Entra-id, resourcerollen met een Microsoft Entra ID P2 of gebruikers met Microsoft Entra ID-governance editie die actief is in uw tenant. Het licentiemodel voor service-principals wordt voltooid voor algemene beschikbaarheid van deze functie en er zijn mogelijk meer licenties vereist.
Licenties die u moet hebben voor PIM
Zorg ervoor dat uw directory microsoft Entra ID P2 of Microsoft Entra ID-governance licenties heeft voor de volgende categorieën gebruikers:
- Gebruikers met in aanmerking komende en/of tijdgebonden toewijzingen aan Microsoft Entra-id of Azure-rollen die worden beheerd met PIM
- Gebruikers met in aanmerking komende en/of tijdgebonden toewijzingen als leden of eigenaren van PIM voor groepen
- Gebruikers kunnen activeringsaanvragen goedkeuren of weigeren in PIM
- Gebruikers die zijn toegewezen aan een toegangsbeoordeling
- Gebruikers die toegangsbeoordelingen uitvoeren
Voorbeeldlicentiescenario's voor PIM
Hier volgen enkele voorbeelden van licentiescenario's om te helpen bepalen hoeveel licenties u nodig heeft.
| Scenario | Berekening | Aantal licenties |
|---|---|---|
| Woodgrove Bank heeft 10 beheerders voor verschillende afdelingen en 2 bevoorrechte rol Beheer istrators die PIM configureren en beheren. Ze maken vijf beheerders in aanmerking. | Vijf licenties voor de beheerders die in aanmerking komen | 5 |
| Graphic Design Institute heeft 25 beheerders waarvan 14 worden beheerd via PIM. Voor rolactivering is goedkeuring vereist en er zijn drie verschillende gebruikers in de organisatie die activeringen kunnen goedkeuren. | 14 licenties voor de in aanmerking komende rollen + drie goedkeurders | 17 |
| Contoso heeft 50 beheerders waarvan 42 worden beheerd via PIM. Voor rolactivering is goedkeuring vereist en er zijn vijf verschillende gebruikers in de organisatie die activeringen kunnen goedkeuren. Contoso voert ook maandelijkse beoordelingen uit van gebruikers die zijn toegewezen aan beheerdersrollen en revisoren zijn de beheerders van gebruikers waarvan zes zich niet in beheerdersrollen bevinden die worden beheerd door PIM. | 42 licenties voor de in aanmerking komende rollen + vijf goedkeurders + zes revisoren | 53 |
Wanneer een licentie verloopt voor PIM
Als een Microsoft Entra ID P2, Microsoft Entra ID-governance of proeflicentie verloopt, zijn de functies van Privileged Identity Management niet meer beschikbaar in uw directory:
- Permanente roltoewijzingen voor Microsoft Entra-rollen worden niet beïnvloed.
- De Privileged Identity Management-service in het Microsoft Entra-beheercentrum en de Graph API-cmdlets en PowerShell-interfaces van Privileged Identity Management zijn niet langer beschikbaar voor gebruikers om bevoorrechte rollen te activeren, bevoegde toegang te beheren of toegangsbeoordelingen van bevoorrechte rollen uit te voeren.
- In aanmerking komende roltoewijzingen van Microsoft Entra-rollen worden verwijderd, omdat gebruikers bevoorrechte rollen niet meer kunnen activeren.
- Doorlopende toegangsbeoordelingen van Microsoft Entra-rollen worden beëindigd en de configuratie-instellingen voor Privileged Identity Management worden verwijderd.
- Privileged Identity Management verzendt geen e-mailberichten meer over wijzigingen in roltoewijzingen.
API-gestuurde inrichting
Deze functie is beschikbaar voor Abonnementen van Microsoft Entra ID P1, P2 en Microsoft Entra ID-governance. Er is een abonnementslicentie vereist voor elke identiteit die wordt opgehaald met behulp van de /bulkUpload-API en ingericht voor on-premises Active Directory of Microsoft Entra-id.
Licentiescenario's
| Klantlicentie | Gebruikslimieten afgedwongen op tenantniveau voor API-gestuurde inrichting |
|---|---|
| Microsoft Entra ID P1 of P2 | Dagelijks gebruiksquotum (aantal gebruikersrecords dat kan worden geüpload gedurende een periode van 24 uur): 100.000 gebruikersrecords (2000 /bulkUpload-API-aanroepen met elke aanvraag met maximaal 50 records). Maximum aantal API-gestuurde inrichtingstaken voor elke stroom: 2 o Maximaal 2 apps voor API-gestuurde inrichting voor on-premises Active Directory. o Max 2-apps voor API-gestuurde inrichting voor Microsoft Entra-id. |
| Microsoft Entra ID-governance naast Microsoft Entra ID P1 of P2 | Dagelijks gebruiksquotum (aantal gebruikersrecords dat kan worden geüpload gedurende een periode van 24 uur): 300.000 gebruikersrecords (6000 /bulkUpload-API-aanroepen met elke aanvraag met maximaal 50 records). Maximum aantal API-gestuurde inrichtingstaken voor elke stroom: 20 o Maximaal 20 apps voor API-gestuurde inrichting voor on-premises Active Directory. o Max 20-apps voor API-gestuurde inrichting voor Microsoft Entra-id. |
Veelgestelde vragen over licenties
Moeten licenties worden toegewezen aan gebruikers om identiteitsbeheerfuncties te kunnen gebruiken?
Gebruikers hoeven geen Microsoft Entra ID-governance licentie toe te wijzen, maar er moeten net zoveel licentie-seats zijn om alle gebruikers binnen het bereik van, of die de functies identiteitsbeheer configureren, op te nemen.
Hoe kan ik het gebruik van Microsoft Entra ID-governance functies voor zakelijke gasten licentie geven?
Alle gebruikers die binnen het bereik van Microsoft Entra ID-governance functies vallen, waaronder zakelijke gasten, zoals aannemers, partners en externe medewerkers, hebben een licentie nodig. We maken een nieuwe Microsoft Entra ID-governance licentie voor zakelijke gasten. Deze licentie werkt op een MAANDELIJKS MAU-model (Active Usage). Klanten kunnen licenties verkrijgen die overeenkomen met hun verwachte zakelijke gast MAU.
We verwachten dat deze licenties beschikbaar zijn in het voorjaar van 2024. In de tussentijd kunnen organisaties die de identiteiten van hun werknemers beheren met Microsoft Entra ID-governance de identiteiten van hun zakelijke gasten beheren zonder extra kosten. Op dit moment kunnen bestaande klanten van Microsoft Entra ID P1 of P2 met Microsoft Entra Externe ID de subset van functies die zijn opgenomen in P1 of P2, blijven gebruiken met hun zakelijke gasten via hun Microsoft Entra Externe ID licentie.
Zie voor meer informatie: Microsoft Entra ID-governance licentieverlening voor zakelijke gasten.
Wat gebeurt er wanneer een PIM-licentie verloopt?
Als een Microsoft Entra ID P2 of Microsoft Entra ID-governance licentie verloopt of eindigt op een proefversie, zijn de functies van Privileged Identity Management niet meer beschikbaar in uw directory. De hieronder besproken wijzigingen zijn van toepassing op PIM voor Microsoft Entra-rollen, PIM voor Azure-resources en PIM voor groepen.
- Actieve permanente toewijzingen worden niet beïnvloed.
- Actieve tijdsgebonden toewijzingen worden actief permanent, wat betekent dat ze niet langer verlopen op een bepaald tijdstip.
- In aanmerking komende roltoewijzingen worden verwijderd, omdat gebruikers bevoorrechte rollen niet meer kunnen activeren.
- Privileged Identity Management-blades in het Microsoft Entra-beheercentrum of Azure Portal, API en PowerShell-interfaces van Privileged Identity Management zijn niet langer beschikbaar voor gebruikers om rollen te activeren, toewijzingen te beheren of toegangsbeoordelingen van bevoorrechte rollen uit te voeren.
- Alle doorlopende toegangsbeoordelingen van microsoft Entra-rollen eindigen en de configuratie-instellingen voor Privileged Identity Management worden verwijderd.
- Privileged Identity Management verzendt geen e-mailberichten meer over wijzigingen in roltoewijzingen en PIM-waarschuwingen.
Worden er IGA-functies en -mogelijkheden toegevoegd onder de Microsoft Entra ID P2-licentie?
Alle momenteel algemeen beschikbare functies in Microsoft Entra ID P2 blijven behouden, maar er worden geen nieuwe IGA-functies of -mogelijkheden toegevoegd aan de Microsoft Entra ID P2 SKU.