Licenciamento do Microsoft Entra ID
Este artigo discute o licenciamento dos serviços do Microsoft Entra. Ele destina-se a tomadores de decisões de TI, administradores de TI e profissionais de TI que estão considerando os serviços do Microsoft Entra para suas organizações. Este artigo não se destina aos usuários finais.
Importante
Para obter informações de licenciamento sobre serviços não listados aqui, consulte a documentação do serviço ou a página de preços do Microsoft Entra ID.
Provisionamento de aplicativos
O proxy de aplicativo do Microsoft Entra requer licenças P1 ou P2 do Microsoft Entra ID. Para obter mais informações sobre licenciamento, consulte preços do Microsoft Entra.
Autenticação
A tabela a seguir lista os recursos disponíveis para autenticação nas várias versões do Microsoft Entra ID. Planeje suas necessidades para proteger as credenciais do usuário e, em seguida, determine qual abordagem atende a esses requisitos. Por exemplo, embora o Microsoft Entra ID Gratuito forneça padrões de segurança com autenticação multifator, somente o Microsoft Authenticator pode ser usado para o prompt de autenticação, incluindo chamadas de voz e texto. Essa abordagem pode ser uma limitação se você não conseguir garantir que o Authenticator esteja instalado no dispositivo pessoal de um usuário.
| Recurso | Microsoft Entra ID Gratuito – Padrões de segurança (habilitado para todos os usuários) | Microsoft Entra ID Gratuito – Somente administradores globais | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Proteger contas de administrador de locatário do Microsoft Entra com MFA | ✅ | ✅ (somente contas Administrador global do Microsoft Entra) | ✅ | ✅ | ✅ |
| Aplicativos móveis como um fator secundário | ✅ | ✅ | ✅ | ✅ | ✅ |
| Chamada telefônica como um fator secundário | ✅ | ✅ | ✅ | ||
| SMS como um fator secundário | ✅ | ✅ | ✅ | ✅ | |
| Controle do administrador sobre métodos de verificação | ✅ | ✅ | ✅ | ✅ | |
| Alerta de fraude | ✅ | ✅ | |||
| Relatórios de MFA | ✅ | ✅ | |||
| Saudações personalizadas para chamadas telefônicas | ✅ | ✅ | |||
| ID do chamador personalizado para chamadas telefônicas | ✅ | ✅ | |||
| IPs confiáveis | ✅ | ✅ | |||
| Lembrar MFA para dispositivos confiáveis | ✅ | ✅ | ✅ | ✅ | |
| MFA para aplicativos locais | ✅ | ✅ | |||
| Acesso Condicional | ✅ | ✅ | |||
| Acesso Condicional com base em risco | ✅ | ||||
| SSPR (redefinição de senha por autoatendimento) | ✅ | ✅ | ✅ | ✅ | ✅ |
| SSPR com write-back | ✅ | ✅ |
identidades gerenciadas
Não há requisitos de licenciamento para usar identidades gerenciadas para recursos do Azure. As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Um dos benefícios do uso de identidades gerenciadas é que você não precisa gerenciar credenciais e elas podem ser usadas sem custo adicional. Para saber mais, confira O que são identidades gerenciadas para recursos do Azure?.
Microsoft Entra ID Governance
A tabela a seguir mostra os requisitos de licenciamento para os recursos do Microsoft Entra ID Governance. As informações de licenciamento e os exemplos de cenários de licença para gerenciamento de direitos, revisões de acesso e fluxos de trabalho do ciclo de vida são fornecidos após a tabela.
Recursos por licença
A tabela a seguir mostra quais recursos estão disponíveis com cada licença. Nem todos os recursos estão disponíveis em todas as nuvens. Consulte Disponibilidade de recursos do Microsoft Entra para o Azure Governamental.
Gerenciamento de direitos
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos dentro desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.
Cenários de licença de exemplo
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2 mil funcionários que podem solicitar os pacotes de acesso | 2\.000 |
| Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2.000 funcionários precisam de licenças. | 2\.000 |
| Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Eles criam uma política de atribuição automática que concede a Todos os membros do departamento de vendas (350 funcionários) acesso a um conjunto específico de pacotes de acesso. 350 funcionários são atribuídos automaticamente aos pacotes de acesso. | 350 funcionários precisam de licenças. | 351 |
Análises de acesso
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização, inclusive para todos os funcionários que estão revisando o acesso ou tendo seu acesso revisado. Algumas funcionalidades desse recurso podem funcionar com uma assinatura do Microsoft Entra ID P2.
Cenários de licença de exemplo
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um administrador cria uma revisão de acesso do grupo A com 75 usuários e um proprietário do grupo e atribui o proprietário do grupo como o revisor. | 1 licença para o proprietário do grupo como revisor e 75 licenças para os 75 usuários. | 76 |
| Um administrador cria uma revisão de acesso do grupo A com 500 usuários e três proprietários do grupo e atribui os três como revisores. | 500 licenças para usuários e 3 licenças para cada proprietário do grupo como revisores. | 503 |
| Um administrador cria uma revisão de acesso do grupo B com 500 usuários. Ele a torna uma autorrevisão. | 500 licenças para cada usuário como autorrevisores | 500 |
| Um administrador cria uma revisão de acesso do grupo C com 50 usuários membros e 25 usuários convidados. Ele a torna uma autorrevisão. | 50 licenças para cada usuário como autorrevisores. | 50 |
| Um administrador cria uma revisão de acesso do grupo D com seis usuários membros e 108 usuários convidados. Ele a torna uma autorrevisão. | 6 licenças para cada usuário como autorrevisores. Não há licenças adicionais necessárias. | 6 |
Fluxos de trabalho do ciclo de vida
Com as licenças do Microsoft Entra ID Governance para Fluxos de Trabalho do Ciclo de Vida, você pode:
- Criar, gerenciar e excluir fluxos de trabalho até o limite total de 50 fluxos de trabalho.
- Disparar a execução de fluxo de trabalho sob demanda e agendada.
- Gerencie e configure tarefas existentes para criar fluxos de trabalho específicos para suas necessidades.
- Crie até 100 extensões de tarefa personalizadas a serem usadas nos fluxos de trabalho.
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização.
Cenários de licença de exemplo
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| Um Administrador de Fluxos de Trabalho do Ciclo de Vida cria um fluxo de trabalho para adicionar novas contratações no departamento de Marketing ao grupo Equipes de marketing. 250 novas contratações são atribuídas ao grupo Equipes de marketing por meio desse fluxo de trabalho. | 1 licença para o Administrador de Fluxos de Trabalho do Ciclo de Vida e 250 licenças para os usuários. | 251 |
| Um Administrador de Fluxos de Trabalho do Ciclo de Vida cria um fluxo de trabalho para remover antecipadamente um grupo de funcionários antes do último dia de trabalho. O escopo dos usuários que serão removidos antecipadamente é de 40 usuários. | 40 licenças para usuários e 1 licença para o Administrador de Fluxos de Trabalho do Ciclo de Vida. | 41 |
Microsoft Entra Connect
O uso desse recurso é gratuito e está incluído em sua assinatura do Azure.
Integridade do Microsoft Entra Connect
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Acesso Condicional do Microsoft Entra
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Os clientes com licenças do Microsoft 365 Business Premium também têm acesso aos recursos do acesso condicional.
As políticas baseadas em risco exigem acesso ao Identity Protection, que é um recurso do Microsoft Entra ID P2
Outros produtos e recursos que podem interagir com as políticas de acesso condicional exigem licenciamento apropriado para esses produtos e recursos.
Quando as licenças necessárias para o Acesso Condicional expiram, as políticas não são desabilitadas ou excluídas automaticamente. Isso concede aos clientes a capacidade de migrar das políticas de Acesso Condicional sem uma mudança repentina na sua postura de segurança. As políticas restantes podem ser exibidas e excluídas, mas não são mais atualizadas.
Os padrões de segurança ajudam na proteção contra ataques relacionados à identidade e estão disponíveis para todos os clientes.
Proteção do Microsoft Entra ID
O uso desse recurso requer licenças P2 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
| Capacidade | Detalhes | Microsoft Entra ID Gratuito / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|
| Políticas de risco | Políticas de entrada e risco do usuário (por meio do Identity Protection ou Acesso Condicional) | Não | No | Sim |
| Relatórios de segurança | Visão geral | Não | No | Sim |
| Relatórios de segurança | Usuários de risco | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Acesso completo |
| Relatórios de segurança | Entradas de risco | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Acesso completo |
| Relatórios de segurança | Detecções de risco | Não | Informações limitadas. Sem gaveta de detalhes. | Acesso completo |
| Notificações | Alertas de usuários em risco detectados | Não | No | Sim |
| Notificações | Resumo semanal | Não | No | Sim |
| Política de registro de MFA | Não | No | Sim |
Monitoramento e integridade do Microsoft Entra
As funções e as licenças necessárias podem variar de acordo com o relatório. Permissões separadas são necessárias para acessar dados de monitoramento e integridade no Microsoft Graph. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero.
*A exibição dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados exige uma das funções do Log de Atributos. Você também precisa ter a função apropriada para visualizar os logs de auditoria padrão.
**O nível de acesso e as funcionalidades do Identity Protection variam de acordo com a função e a licença. Para obter mais informações, consulte os requisitos de licença do Identity Protection.
Microsoft Entra Privileged Identity Management
Para usar o Microsoft Entra Privileged Identity Management, um locatário deve ter uma licença válida. As licenças precisam ser atribuídas aos administradores e aos usuários relevantes. Este artigo descreve os requisitos de licença para usar o Privileged Identity Management. Para usar o Privileged Identity Management, é necessário ter uma das seguintes licenças:
Licenças válidas para o PIM
Você precisa de licenças P2 do Microsoft Entra ID Governance ou do Microsoft Entra ID para usar o PIM e todas as respectivas configurações. Atualmente, você pode definir o escopo de uma revisão de acesso a entidades de serviço com acesso ao Microsoft Entra ID, funções de recurso com um Microsoft Entra ID P2 ou usuários com a edição do Microsoft Entra ID Governance ativa em seu locatário. O modelo de licenciamento para entidades de serviço será finalizado para a disponibilidade geral desse recurso e talvez mais licenças sejam necessárias.
Licenças que você precisa ter para o PIM
Verifique se o diretório tem licenças do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance para as seguintes categorias de usuários:
- Usuários com atribuições qualificadas e/ou prazo definido para funções do Microsoft Entra ID ou do Azure gerenciadas usando o PIM
- Usuários com atribuições qualificadas e/ou com limite de tempo como membros ou proprietários de PIM para Grupos
- Usuários capazes de aprovar ou rejeitar solicitações de ativação no PIM
- Usuários atribuídos a uma revisão de acesso
- Usuários que executam revisões de acesso
Exemplos de cenários de licenças para o PIM
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
| Cenário | Cálculo | Número de licenças |
|---|---|---|
| O Woodgrove Bank tem 10 administradores para diferentes departamentos e 2 administradores globais que configuram e gerenciam o PIM. Eles tornam cinco administradores qualificados. | Cinco licenças para os administradores que estão qualificados | 5 |
| O Graphic Design Institute tem 25 administradores dos quais 14 são gerenciados por meio do PIM. A ativação de função requer aprovação e há três usuários diferentes na organização que podem aprovar ativações. | 14 licenças para as funções qualificadas + três aprovadores | 17 |
| A Contoso tem 50 administradores dos quais a 42 é gerenciada por meio do PIM. A ativação de função requer aprovação e há cinco usuários diferentes na organização que podem aprovar ativações. A Contoso também faz revisões mensais dos usuários aos quais foram atribuídas funções de administrador e os revisores são os gerentes dos usuários, dos quais seis não estão em funções de administrador gerenciadas pelo PIM. | 42 licenças para as funções qualificadas + cinco aprovadores + seis revisores | 53 |
Quando uma licença expira para o PIM
Se uma licença do Microsoft Entra ID P2, do Microsoft Entra ID Governance ou de avaliação expirar, os recursos do Privileged Identity Management não estarão mais disponíveis no seu diretório:
- As atribuições de função permanentes para funções do Microsoft Entra não serão afetadas.
- O serviço Privileged Identity Management no Centro de administração do Microsoft Entra e os cmdlets da API do Graph e as interfaces do PowerShell do Privileged Identity Management não estarão mais disponíveis para os usuários ativarem funções privilegiadas, gerenciarem acesso privilegiado ou executarem revisões de acesso de funções privilegiadas.
- As atribuições de função qualificadas das funções do Microsoft Entra são removidas, pois os usuários não podem mais ativar funções privilegiadas.
- Todas as revisões de acesso contínuas das funções do Microsoft Entra terminam e as definições de configuração do Gerenciamento de Privileged Identity Management são removidas.
- O Privileged Identity Management não envia mais emails sobre alterações na atribuição de funções.
ID verificada do Microsoft Entra
A ID Verificada do Microsoft Entra está atualmente incluída em qualquer assinatura do Microsoft Entra, incluindo a ID do Microsoft Entra Free, sem custo adicional. Para obter informações sobre a ID verificada e como habilitá-la, consulte Visão geral da ID verificada.
Organizações multilocatários
No locatário de origem: o uso desse recurso exige licenças Microsoft Entra ID P1. Cada usuário sincronizado com a sincronização entre locatários precisa ter uma licença P1 no locatário de origem/inicial. Para encontrar a licença certa para seus requisitos, consulte Planos e preços do Microsoft Entra ID.
No locatário de destino: a sincronização entre locatários depende do modelo de cobrança da ID externa do Microsoft Entra. Para entender o modelo de licenciamento de identidades externas, consulte Modelo de cobrança MAU para a ID externa do Microsoft Entra. Você também precisa de pelo menos uma licença do Microsoft Entra ID P1 no locatário de destino para habilitar a implantação automática.
Controle de acesso baseado em função
O uso de funções internas no Microsoft Entra ID é gratuito. O uso de funções personalizadas requer uma licença P1 do Microsoft Entra ID Premium para cada usuário com uma atribuição de função personalizada. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.
Direitos
Unidades administrativas
O uso de unidades administrativas requer uma licença do Microsoft Entra ID P1 em cada administrador da unidade administrativa que recebe funções de diretório no escopo da unidade administrativa e uma licença Gratuita do Microsoft Entra ID em cada membro da unidade administrativa. A criação de unidades administrativas está disponível com uma licença Gratuita do ID de Microsoft Entra. Se você estiver usando regras de associação dinâmicas para unidades administrativas, cada membro da unidade administrativa exigirá uma licença Microsoft Entra ID P1. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.
Unidades administrativas de gerenciamento restrito
As unidades administrativas de gerenciamento restrito exigem uma licença do Microsoft Entra ID P1 para cada administrador da unidade administrativa e licenças do Microsoft Entra ID Gratuito para membros da unidade administrativa. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.
Recursos na visualização
As informações de licenciamento de todos os recursos atualmente em versão prévia são incluídas aqui quando aplicável. Para obter mais informações sobre a versão prévia do recurso, consulte Versão prévia do recurso do Microsoft Entra ID.