Microsoft Entra ID 控管 授權基本概念
下列文件討論 Microsoft Entra ID 控管 授權。 它適用於正在考慮為其組織 Microsoft Entra ID 控管 服務的IT決策者、IT系統管理員和IT專業人員。
授權類型
下列授權可用於商業雲端中的 Microsoft Entra ID 控管。 租用戶中您需要的授權選擇取決於您在該租用戶中所使用的功能。
- 免費 - 隨附於 Microsoft 雲端訂用帳戶,例如 Microsoft Azure、Microsoft 365 和其他訂用帳戶。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 以獨立產品的形式提供,或隨附於適用於企業客戶的 Microsoft 365 E3,以及適用於中小型企業的 Microsoft 365 商務進階版。
- Microsoft Entra ID P2 - Microsoft Entra ID P2 以獨立產品的形式提供,或隨附於 Microsoft 365 E5 企業版客戶。
- Microsoft Entra ID 控管 - Microsoft Entra ID 控管 是 Microsoft Entra ID P1 和 P2 客戶的進階身分識別治理功能集,Microsoft Entra ID 控管 和Microsoft Entra ID 控管 Microsoft Entra ID P2 的逐步執行。 這些產品包含 Microsoft Entra ID P2 中的基本身分識別控管功能,以及其他進階身分識別控管功能。
注意
某些 Microsoft Entra ID 控管案例可以設定為相依於 Microsoft Entra ID 控管未涵蓋的其他功能。 這些功能可能會有額外的授權需求。 如需依賴其他功能的治理案例詳細資訊,請參閱身分識別治理概觀。
Microsoft Entra ID 控管產品尚未在美國政府或美國國家雲端中提供。
治理產品和必要條件
Microsoft Entra ID 控管 功能目前在商業雲端的兩個產品中提供。 這兩個產品提供相同的身分識別控管功能。 這兩個產品之間的差異在於它們有不同的必要條件。
- Microsoft Entra ID 控管 的訂用帳戶,列在產品條款中作為 Microsoft Entra ID 控管(User SL) 授權,要求租使用者也有另一個產品的作用中訂用帳戶,其中一個包含
AAD_PREMIUM或服務AAD_PREMIUM_P2方案。 符合此必要條件的產品範例包括 Microsoft Entra ID P1、Microsoft 365 E3/E5/A3/A5/G3/G5、企業行動力 + 安全性 E3/E5 或 Microsoft 365 F1/F3。 - Microsoft Entra ID 控管 Microsoft Entra ID P2 的訂用帳戶,在產品條款中列為 Microsoft Entra ID 控管 P2 授權,要求租使用者也有另一個產品的作用中訂用帳戶,其中一個包含
Entra_Identity_Governance服務方案。 符合此必要條件的產品範例包括 Microsoft Entra ID P2、Microsoft 365 E5/A5/G5、Enterprise Mobility + Security E5、Microsoft 365 E5/F5 Security 或 Microsoft 365 F5 Security + Compliance。 - Microsoft Entra ID 控管 Microsoft Entra ID F2 的訂用帳戶,在產品條款中列為 Microsoft Entra ID 控管 F2 授權,要求租使用者也有另一個產品的作用中訂用帳戶,其中一個包含
Entra_Identity_Governance服務方案。 符合此必要條件的產品範例包括 Microsoft Entra ID F2。
授權的產品名稱和服務方案標識碼會列出包含必要服務方案的其他產品。
注意
Microsoft Entra ID 控管產品必要條件的訂用帳戶必須在租使用者中作用中。 如果必要條件不存在,或訂用帳戶到期,則 Microsoft Entra ID 控管 案例可能無法如預期般運作。
若要檢查租使用者中是否有 Microsoft Entra ID 控管 產品的必要條件產品,您可以使用 Microsoft Entra 系統管理中心或 Microsoft 365 系統管理中心 來檢視產品清單。
以全域 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
在 [身分識別] 功能表中,展開 [帳單],然後選取 [授權]。
在 [ 管理] 功能表中,選取 [授權功能]。 資訊列指出目前的 Microsoft Entra ID 授權方案。
若要檢視租使用者中的現有產品,請在 [ 管理 ] 功能表中,選取 [所有產品]。
開始試用
租使用者中具有適當必要條件產品的全域系統管理員,例如已購買的 Microsoft Entra ID P1,且尚未使用或先前已試用 Microsoft Entra ID 控管,可以要求在其租用戶中試用 Microsoft Entra ID 控管。
以全域 管理員 istrator 身分登入 Microsoft 365 系統管理中心
在 [ 帳單] 功能表中,選取 [ 購買服務]。
在 [ 搜尋所有產品類別] 方塊中, 輸入
"Microsoft Entra ID Governance"。選取下方 Microsoft Entra ID 控管 詳細數據,以檢視產品的試用版和購買資訊。 如果您的租使用者有 Microsoft Entra ID P2,請選取下方的詳細數據 Microsoft Entra ID 控管 Microsoft Entra ID P2 的逐步執行。
在產品詳細數據頁面中,選取 [ 開始免費試用]。
下表顯示 Microsoft Entra ID 控管 功能的授權需求。 下表提供權利管理、存取權檢閱和生命週期工作流程的授權資訊和範例授權案例。
依授權的功能
下表顯示每個授權可用的功能。 並非所有功能都可在所有雲端中使用;請參閱 Azure Government 的 Microsoft Entra 功能可用性 。
| 功能 | 免費 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra 識別碼治理 |
|---|---|---|---|---|
| API 驅動布建 | ✅ | ✅ | ✅ | |
| HR 驅動的佈建 | ✅ | ✅ | ✅ | |
| 將用戶自動布建至 SaaS 應用程式 | ✅ | ✅ | ✅ | ✅ |
| 自動化群組布建至 SaaS 應用程式 | ✅ | ✅ | ✅ | |
| 將自動化布建至內部部署應用程式 | ✅ | ✅ | ✅ | |
| 條件式存取 - 使用規定證明 | ✅ | ✅ | ✅ | |
| 權利管理 - 基本權利管理 | ✅ | ✅ | ||
| 權利管理 - 條件式存取範圍界定 | ✅ | ✅ | ||
| 權利管理 MyAccess 搜尋 | ✅ | ✅ | ||
| 具有已驗證標識碼的權利管理 | ✅ | |||
| 權利管理 + 自訂延伸模組 (Logic Apps) | ✅ | |||
| 權利管理 + 自動指派原則 | ✅ | |||
| 權利管理 - 直接指派任何使用者(預覽) | ✅ | |||
| 權利管理 - 來賓轉換 API | ✅ | |||
| 權利管理 - 寬限期(預覽) | ✅ | ✅ | ||
| 我的存取入口網站 | ✅ | ✅ | ||
| 權利管理 - Microsoft Entra 角色 (預覽) | ✅ | |||
| 權利管理 - 贊助者原則 | ✅ | |||
| Privileged Identity Management (PIM) | ✅ | ✅ | ||
| 群組的 PIM | ✅ | ✅ | ||
| PIM CA 控制件 | ✅ | ✅ | ||
| 存取權檢閱 - 基本存取認證和檢閱 | ✅ | ✅ | ||
| 存取權檢閱 - 群組的 PIM | ✅ | |||
| 存取權檢閱 - 非使用中用戶檢閱 | ✅ | |||
| 存取權檢閱 - 非使用中用戶建議 | ✅ | ✅ | ||
| 存取權檢閱 - 機器學習輔助存取認證和檢閱 | ✅ | |||
| 生命週期工作流程 (LCW) | ✅ | |||
| LCW + 自訂延伸模組 (Logic Apps) | ✅ | |||
| 身分識別治理儀錶板 (預覽) | ✅ | ✅ | ✅ | |
| 深入解析和報告 - 非使用中來賓帳戶(預覽) | ✅ |
權利管理
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。 這項功能中的某些功能可以使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 的身分識別治理 管理員 istrator 會建立初始目錄。 其中一個原則指定 所有員工 (2,000 名員工)可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工 可以 要求存取套件 | 2,000 |
| Woodgrove Bank 的 Identity Governance 管理員 istrator 會建立初始目錄。 其中一個原則指定 所有員工 (2,000 名員工)可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工需要授權。 | 2,000 |
| Woodgrove Bank 的身分識別治理 管理員 istrator 會建立初始目錄。 他們會建立自動指派原則,授與 銷售部門 的所有成員 (350 名員工) 特定存取套件的存取權。 350 名員工會自動指派給存取套件。 | 350 名員工需要授權。 | 351 |
存取權檢閱
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管 訂用帳戶,包括檢閱存取權或檢閱其存取權的所有員工。 這項功能中的某些功能可能會使用 Microsoft Entra ID P2 訂用帳戶運作。
範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 系統管理員會建立具有75個使用者和1個群組擁有者的群組 A 存取權檢閱,並將群組擁有者指派為檢閱者。 | 1 個群組擁有者的授權作為檢閱者,以及 75 位使用者的 75 個授權。 | 76 |
| 系統管理員會建立群組 B 的存取權檢閱,其中包含 500 個使用者和 3 個群組擁有者,並將 3 個群組擁有者指派為檢閱者。 | 500 個用戶授權,以及每個群組擁有者 3 個授權作為檢閱者。 | 503 |
| 系統管理員會建立群組 B 的存取權檢閱,其中包含 500 位使用者。 讓它成為自我檢閱。 | 每位用戶作為自我檢閱者的500個授權 | 500 |
| 系統管理員會建立具有50個成員使用者的群組 C 存取權檢閱。 讓它成為自我檢閱。 | 每位使用者以自我檢閱者身分的50個授權。 | 50 |
| 系統管理員會建立群組 D 與 6 個成員使用者的存取權檢閱。 讓它成為自我檢閱。 | 每個用戶作為自我檢閱者的6個授權。 不需要其他授權。 | 6 |
生命週期工作流程
使用生命週期工作流程的 Microsoft Entra ID 控管 授權,您可以:
- 建立、管理及刪除工作流程,最多可達 50 個工作流程的總限制。
- 觸發隨選和已排程的工作流程執行。
- 管理和設定現有的工作,以建立您需求特定的工作流程。
- 建立最多 100 個自訂工作擴充功能,以用於您的工作流程。
使用此功能需要貴組織使用者的 Microsoft Entra ID 控管訂用帳戶。
範例授權案例
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 生命週期工作流程 管理員 istrator 會建立工作流程,以將行銷部門中的新進員工新增至行銷小組群組。 250名新進員工會透過此工作流程指派給行銷小組群組。 | 生命週期工作流程的1個授權 管理員 istrator,以及使用者的250個授權。 | 251 |
| 生命週期工作流程 管理員 istrator 會建立工作流程,以在員工最後一天僱用前預先卸除一組員工。 將預先下線的用戶範圍是40位使用者。 | 40 個用戶授權,以及生命週期工作流程的 1 個授權 管理員 istrator。 | 41 |
Privileged Identity Management
若要使用 Microsoft Entra Privileged Identity Management,租用戶必須具有有效的授權。 授權也必須指派給系統管理員和相關使用者。 本文說明使用 Privileged Identity Management 的授權需求。 若要使用 Privileged Identity Management,您必須擁有下列其中一個授權:
PIM 的有效授權
您需要 Microsoft Entra ID 控管 授權或 Microsoft Entra ID P2 授權,才能使用 PIM 及其所有設定。 目前,您可以將存取權範圍限定為可存取 Microsoft Entra ID 的服務主體、具有 Microsoft Entra ID P2 的資源角色,或租使用者中具有 Microsoft Entra ID 控管 版的使用者。 服務主體的授權模型將會完成這項功能正式運作,而且可能需要更多授權。
PIM 必須擁有的授權
請確定您的目錄具有下列使用者類別的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權:
- 具有使用 PIM 管理之 Microsoft Entra ID 或 Azure 角色的合格和/或時間限制指派的使用者
- 具有合格和/或時間限制指派的使用者,作為群組 PIM 的成員或擁有者
- 能夠在 PIM 中核准或拒絕啟用要求的使用者
- 指派給存取權檢閱的使用者
- 執行存取權檢閱的使用者
PIM 的範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 有 10 名不同部門系統管理員,以及 2 個特殊許可權角色 管理員 管理 PIM 的系統管理員。 他們讓五個系統管理員符合資格。 | 符合資格的系統管理員有五個授權 | 5 |
| 圖形設計學院有 25 名系統管理員,其中 14 個是透過 PIM 管理。 角色啟用需要核准,而且組織中有三個不同的使用者可以核准啟用。 | 14 個合格角色的授權 + 3 個核准者 | 17 |
| Contoso 有 50 個系統管理員,其中 42 個是透過 PIM 管理。 角色啟用需要核准,且組織中有五個不同的使用者可以核准啟用。 Contoso 也會對指派給系統管理員角色的用戶進行每月檢閱,而檢閱者是用戶經理,其中 6 個不在 PIM 所管理的系統管理員角色中。 | 合格角色的 42 個授權 + 5 個核准者 + 6 個檢閱者 | 53 |
當 PIM 的授權到期時
如果 Microsoft Entra ID P2、Microsoft Entra ID 控管 或試用版授權到期,您的目錄中將不再提供 Privileged Identity Management 功能:
- Microsoft Entra 角色的永久角色指派將不會受到影響。
- Microsoft Entra 系統管理中心的 Privileged Identity Management 服務以及 Privileged Identity Management 的 Graph API Cmdlet 和 PowerShell 介面將不再可供使用者啟用特殊許可權角色、管理特殊許可權存取,或執行特殊許可權角色的存取權檢閱。
- 已移除 Microsoft Entra 角色的合格角色指派,因為使用者無法再啟用特殊許可權角色。
- Microsoft Entra 角色的任何持續存取權檢閱都會結束,並移除 Privileged Identity Management 組態設定。
- Privileged Identity Management 不再傳送角色指派變更的電子郵件。
API 驅動布建
此功能適用於 Microsoft Entra ID P1、P2 和 Microsoft Entra ID 控管 訂用帳戶。 每個使用 /bulkUpload API 所來源的身分識別都需要訂用帳戶授權,並布建至 內部部署的 Active Directory 或 Microsoft Entra ID。
授權案例
| 客戶授權 | 針對 API 驅動布建在租用戶層級強制執行的使用限制 |
|---|---|
| Microsoft Entra ID P1 或 P2 | 每日使用量配額(可在24小時內上傳的用戶記錄數目):100K用戶記錄(2000/bulkUpload API 呼叫,每個要求最多包含50筆記錄)。 每個流程的 API 驅動布建作業數目上限:2 o 最多 2 個應用程式用於 API 驅動布建至 內部部署的 Active Directory。 o 適用於 API 驅動布建至 Microsoft Entra 識別碼的最多 2 個應用程式。 |
| Microsoft Entra ID 控管 與 Microsoft Entra ID P1 或 P2 並列 | 每日使用量配額(可上傳超過 24 小時的用戶記錄數目): 300K 用戶記錄 (6000 /bulkUpload API 呼叫,每個要求最多包含 50 筆記錄) 。 每個流程的 API 驅動布建作業數目上限:20 o 最多 20 個應用程式用於 API 驅動布建至 內部部署的 Active Directory。 o 最多 20 個應用程式用於 API 驅動布建至 Microsoft Entra ID。 |
授權常見問題
需要將授權指派給使用者才能使用身分識別治理功能嗎?
使用者不需要指派 Microsoft Entra ID 控管 授權,但必須有盡可能多的授權基座,才能將所有使用者納入身分識別治理功能的範圍或設定者。
如何授權商務來賓使用 Microsoft Entra ID 控管 功能?
所有在 Microsoft Entra ID 控管 功能範圍內的使用者,包括承包商、合作夥伴和外部共同作業者等商務來賓,都需要授權。 我們正在為商務來賓建立新的 Microsoft Entra ID 控管 授權。 此授權會以每月使用中使用量 (MAU) 模型運作。 客戶能夠取得符合其預期商務來賓MAU的授權。
我們預計會在 2024 年春季提供這些授權。 在過渡期間,管理具有 Microsoft Entra ID 控管 員工身分識別的組織可以控管其商務來賓的身分識別,而不需要額外費用。 目前,具有 Microsoft Entra 外部 ID 的 Microsoft Entra ID P1 或 P2 的現有客戶可以透過其 Microsoft Entra 外部 ID 授權,繼續使用 P1 或 P2 隨附的功能子集。
如需詳細資訊,請參閱:Microsoft Entra ID 控管 商務來賓的授權。
PIM 授權到期時會發生什麼事?
如果 Microsoft Entra ID P2 或 Microsoft Entra ID 控管 授權到期或試用版結束,您的目錄中將不再提供 Privileged Identity Management 功能。 以下討論的變更適用於 Microsoft Entra 角色的 PIM、適用於 Azure 資源的 PIM,以及適用於群組的 PIM。
- 作用中永久指派不會受到影響。
- 作用中時間限制指派會變成作用中永久,這表示它們將不再在指定的時間到期。
- 已移除合格的角色指派,因為使用者將無法再啟用特殊許可權角色。
- 特殊許可權身分識別管理刀鋒視窗位於 Microsoft Entra 系統管理中心或 Privileged Identity Management 的 Azure 入口網站、API 和 PowerShell 介面上,使用者將無法再啟用角色、管理指派或執行特殊許可權角色的存取權檢閱。
- 系統會移除 Microsoft Entra 角色結束和 Privileged Identity Management 組態設定的任何持續存取權檢閱。
- Privileged Identity Management 將不再傳送角色指派變更和 PIM 警示的電子郵件。
是否會在 Microsoft Entra ID P2 授權下新增任何 IGA 特性和功能?
Microsoft Entra ID P2 中的所有目前正式推出功能都會保留,但不會將新的 IGA 功能新增至 Microsoft Entra ID P2 SKU。