Nozioni fondamentali sulle licenze di Microsoft Entra ID Governance
Il documento seguente illustra le licenze di Microsoft Entra ID Governance. È rivolto ai decision maker IT, agli amministratori IT e ai professionisti IT che stanno valutando i servizi di Microsoft Entra ID Governance per le proprie organizzazioni.
Tipi di licenze
Le licenze seguenti sono disponibili per l'utilizzo con Microsoft Entra ID Governance nel cloud commerciale. La scelta delle licenze necessarie in un tenant dipende dalle funzionalità usate nel tenant stesso.
- Gratuito: licenza inclusa con le sottoscrizioni a Microsoft Cloud, ad esempio Microsoft Azure, Microsoft 365 e altri.
- Microsoft Entra ID P1: Microsoft Entra ID P1 è disponibile come prodotto autonomo o incluso in Microsoft 365 E3 per i clienti aziendali e in Microsoft 365 Business Premium per le piccole e medie imprese.
- Microsoft Entra ID P2: Microsoft Entra ID P2 è disponibile come prodotto autonomo o incluso in Microsoft 365 E5 per i clienti aziendali.
- Microsoft Entra ID Governance: Microsoft Entra ID Governance è un set avanzato di funzionalità di governance delle identità disponibile per i clienti Microsoft Entra ID P1 e P2. Microsoft Entra ID Governance è disponibile nei tre prodotti Microsoft Entra ID Governance, Microsoft Entra ID Governance Step Up per Microsoft Entra ID P2 e Microsoft Entra ID Governance Step up per Microsoft Entra ID F2. Questi tre prodotti si differenziano solo per i loro prerequisiti; contengono sia le funzionalità di base per la governance delle identità incluse in Microsoft Entra ID P2 che altre funzionalità avanzate di governance delle identità.
Nota
Alcuni scenari di Microsoft Entra ID Governance possono essere configurati in modo da dipendere da altre funzionalità non coperte da Microsoft Entra ID Governance. Queste funzionalità potrebbero avere requisiti di licenza aggiuntivi. Per altre informazioni sugli scenari di governance basati su funzionalità aggiuntive, vedere Panoramica sulle governance di identità.
I prodotti Microsoft Entra ID Governance non sono ancora disponibili nei cloud US Government o US National.
Prodotti e prerequisiti di Governance
Le funzionalità di Microsoft Entra ID Governance sono attualmente disponibili in tre prodotti nel cloud commerciale. Questi tre prodotti offrono le stesse funzionalità di governance delle identità. La differenza tra i tre prodotti è che hanno prerequisiti diversi.
- Una sottoscrizione a Microsoft Entra ID Governance, elencata nelle condizioni del prodotto come licenza Microsoft Entra ID Governance (User SL), richiede che il tenant disponga anche di una sottoscrizione attiva a un altro prodotto, che contenga il piano di servizio
AAD_PREMIUMoAAD_PREMIUM_P2. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID P1, Microsoft 365 E3/E5/A3/A5/G3/G5, Enterprise Mobility + Security E3/E5 o Microsoft 365 F1/F3. - Una sottoscrizione a Microsoft Entra ID Governance Step Up for Microsoft Entra ID P2, elencata nelle condizioni del prodotto come licenza Microsoft Entra ID Governance P2, richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto, che contenga il piano di servizio
AAD_PREMIUM_P2. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID P2, Microsoft 365 E5/A5/G5, Enterprise Mobility + Security E5, Microsoft 365 E5/F5 Security o Microsoft 365 F5 Security + Compliance. - Una sottoscrizione a Microsoft Entra ID Governance Step up for Microsoft Entra ID F2, elencata nelle condizioni del prodotto come licenza Microsoft Entra ID Governance F2, richiede che il tenant abbia anche una sottoscrizione attiva a un altro prodotto, che contenga il piano di servizio
AAD_PREMIUM_P2. Esempi di prodotti che soddisfano questo prerequisito includono Microsoft Entra ID F2.
I nomi dei prodotti e gli identificatori del piano di servizio per le licenze elencano prodotti aggiuntivi che includono i piani di servizio prerequisiti.
Nota
Una sottoscrizione a un prerequisito per un prodotto Microsoft Entra ID Governance deve essere attiva nel tenant. Se non è presente un prerequisito o la sottoscrizione scade, gli scenari di Microsoft Entra ID Governance potrebbero non funzionare come previsto.
Per verificare se i prodotti prerequisiti per un prodotto di Microsoft Entra ID Governance sono presenti in un tenant, è possibile usare l'interfaccia di amministrazione di Microsoft Entra o l'interfaccia di amministrazione di Microsoft 365 per visualizzare l'elenco dei prodotti.
Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore delle licenze.
Nel menu Identità espandere Fatturazione e selezionare Licenze.
Nel menu Gestisci selezionare Funzionalità con licenza. La barra informazioni indica il piano di licenza corrente di Microsoft Entra ID.
Per visualizzare i prodotti esistenti nel tenant, nel menu Gestisci selezionare Tutti i prodotti.
Avviare una versione di valutazione
Un amministratore globale in un tenant che ha già acquistato un prodotto prerequisito appropriato, ad esempio Microsoft Entra ID P1, e che non sta già utilizzando o non ha già provato con una versione di valutazione Microsoft Entra ID Governance, può richiedere una versione di valutazione di Microsoft Entra ID Governance nel tenant.
Accedere all’Interfaccia di amministrazione di Microsoft 365 come Amministratore globale
Nel menu Fatturazione, selezionare Acquista servizi.
Nella casella Cerca tutte le categorie di prodotti, digitare
"Microsoft Entra ID Governance".Selezionare Dettagli sotto Microsoft Entra ID Governance per visualizzare le informazioni sulla versione di valutazione e sull'acquisto del prodotto. Se il tenant ha Microsoft Entra ID P2, selezionare Dettagli sotto Microsoft Entra ID Governance Step-Up per Microsoft Entra ID P2.
Nella pagina dei dettagli del prodotto selezionare Avvia versione di valutazione gratuita.
La tabella seguente illustra i requisiti di licenza per le funzionalità di Microsoft Entra ID Governance. Microsoft Entra Suite include tutte le funzionalità di Microsoft Entra ID Governance. Le informazioni sulle licenze e gli scenari di licenza di esempio per la Gestione entitlement, le Verifiche di accesso e i Flussi di lavoro del ciclo di vita vengono forniti seguendo la tabella.
Funzionalità in base al tipo di licenza
La tabella seguente illustra le funzionalità disponibili per ogni licenza. Non tutte le funzionalità sono disponibili in tutti i cloud; vedere Disponibilità delle funzionalità di Microsoft Entra per Azure per enti pubblici.
Gestione entitlement
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione. Alcune caratteristiche all'interno di questa funzionalità possono operare con una sottoscrizione a Microsoft Entra ID P2.
Esempi di scenari di licenza
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore di governance delle identità presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 dipendenti possono richiedere i pacchetti di accesso | 2.000 |
| Un amministratore di governance delle identità presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 dipendenti hanno bisogno di licenze. | 2.000 |
| Un amministratore di governance delle identità presso Woodgrove Bank crea cataloghi iniziali. Creano criteri di assegnazione automatica che concedono a tutti i membri del reparto vendite (350 dipendenti) l'accesso a un set specifico di pacchetti di accesso. 350 dipendenti vengono assegnati automaticamente ai pacchetti di accesso. | 350 dipendenti hanno bisogno di licenze. | 351 |
Verifiche di accesso
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione, inclusi tutti i dipendenti che esaminano l'accesso o quelli sottoposti a verifica dell'accesso. Alcune caratteristiche all'interno di questa funzionalità possono funzionare con una sottoscrizione a Microsoft Entra ID P2.
Esempi di scenari di licenza
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore crea una verifica di accesso del gruppo A con 75 utenti e 1 proprietario del gruppo, assegnando al proprietario del gruppo il ruolo di revisore. | 1 licenza per il proprietario del gruppo come revisore e 75 licenze per i 75 utenti. | 76 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti e 3 proprietari del gruppo, assegnando ai 3 proprietari del gruppo il ruolo di revisore. | 500 licenze per gli utenti e 3 licenze per ogni proprietario del gruppo come revisore. | 503 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti. La rende una verifica autonoma. | 500 licenze, una per ogni utente come revisore autonomo | 500 |
| Un amministratore crea una verifica di accesso del gruppo C con 50 utenti membri. La rende una verifica autonoma. | 50 licenze, una per ogni utente come revisore autonomo. | 50 |
| Un amministratore crea una verifica di accesso del gruppo D con 6 utenti membri. La rende una verifica autonoma. | 6 licenze, una per ogni utente come revisore autonomo. Non sono necessarie licenze aggiuntive. | 6 |
Flussi di lavoro del ciclo di vita
Con le licenze di Microsoft Entra ID Governance per i Flussi di lavoro del ciclo di vita, è possibile:
- Creare, gestire ed eliminare flussi di lavoro fino al limite totale di 50 flussi di lavoro.
- Attivare l'esecuzione di flussi di lavoro su richiesta e pianificati.
- Gestire e configurare le attività esistenti per creare flussi di lavoro specifici per le proprie esigenze.
- Creare fino a 100 estensioni di attività personalizzate da usare nei flussi di lavoro.
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione.
Esempi di scenari di licenza
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per aggiungere nuovi assunti nel reparto Marketing al gruppo dei team di marketing. 250 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro, una sola volta. Altri 150 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro più tardi nello stesso anno. | 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita e 400 licenze per gli utenti. | 401 |
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per eseguire l'offboarding anticipato di un gruppo di dipendenti prima dell'ultimo giorno di lavoro. L'ambito degli utenti che saranno per verrà eseguito l'offboarding anticipato è composto da 40 utenti in una sola volta. Abbiamo eseguito l'offboarding di 40 utenti con licenza. Ora, è possibile riassegnare queste 40 licenze e assegnare altre 10 licenze più avanti nell'anno per eseguire l'offboarding anticipato di altri 50 utenti. | 50 licenze per gli utenti e 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita. | 51 |
Privileged Identity Management
Per usare Microsoft Entra Privileged Identity Management, un tenant deve avere una licenza valida. Inoltre, è necessario che le licenze siano assegnate agli amministratori e ai relativi utenti. Questo articolo descrive i requisiti di licenza per usare Privileged Identity Management. Per usare Privileged Identity Management, è necessario disporre di una delle licenze seguenti:
Licenze valide per PIM
Per usare PIM e tutte le relative impostazioni, sono necessarie licenze di Microsoft Entra ID Governance o licenze di Microsoft Entra ID P2. Attualmente, è possibile definire l'ambito di una verifica di accesso alle entità servizio con accesso a Microsoft Entra ID, ai ruoli delle risorse con Microsoft Entra ID P2 o a utenti con Microsoft Entra ID Governance edition attivo nel tenant. Il modello di licenza per le entità servizio verrà finalizzato per la disponibilità generale di questa funzionalità e potrebbero essere necessarie altre licenze.
Licenze necessarie per PIM
Assicurarsi che la directory abbia licenze Microsoft Entra ID P2 o Microsoft Entra ID Governance per le seguenti categorie di utenti:
- Utenti con assegnazioni idonee e/o a tempo limitato a ruoli di Microsoft Entra ID o di Azure gestiti tramite PIM
- Utenti con assegnazioni idonee e/o a tempo limitato come membri o proprietari di PIM per i gruppi
- Utenti in grado di approvare o rifiutare le richieste di attivazione in PIM
- Utenti assegnati a una verifica di accesso
- Utenti che eseguono verifiche di accesso
Esempi di scenari di licenze per PIM
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Woodgrove Bank dispone di 10 amministratori per reparti diversi e 2 amministratori di ruoli con privilegi che configurano e gestiscono PIM. Rendono idonei cinque amministratori. | Cinque licenze per gli amministratori idonei | 5 |
| Graphic Design Institute ha 25 amministratori di cui 14 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti tre diversi utenti che possono approvare le attivazioni. | 14 licenze per i ruoli idonei + tre responsabili approvazione | 17 |
| Contoso ha 50 amministratori di cui 42 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti cinque diversi utenti che possono approvare le attivazioni. Contoso esegue anche revisioni mensili degli utenti assegnati a ruoli di amministratore e i revisori sono coloro che gestiscono gli utenti, sei dei quali non ricoprono ruoli di amministratore gestiti tramite PIM. | 42 licenze per i ruoli idonei + cinque responsabili approvazione + sei revisori | 53 |
Quando una licenza scade per PIM
Se una licenza Microsoft Entra ID P2, Microsoft Entra ID Governance o versione di valutazione scade, le funzionalità di Privileged Identity Management non saranno più disponibili nella directory:
- Le assegnazioni dei ruoli permanenti a Microsoft Entra non saranno interessate.
- Il servizio Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra, nonché i cmdlet dell'API Graph e le interfacce PowerShell di Privileged Identity Management, non saranno più disponibili per gli utenti per l'attivazione di ruoli con privilegi, la gestione di accessi con privilegi o l'esecuzione di verifiche di accesso dei ruoli con privilegi.
- Le assegnazioni di ruoli idonei di Microsoft Entra sono rimosse poiché gli utenti non sono più in grado di attivare ruoli con privilegi.
- Eventuali verifiche di accesso dei ruoli di Microsoft Entra i corso terminano e le impostazioni di configurazione di Privileged Identity Management sono rimosse.
- Privileged Identity Management non invierà più email sulle modifiche di assegnazioni di ruoli.
Provisioning basato su API
Questa funzionalità è disponibile con le sottoscrizioni di Microsoft Entra ID P1, P2 e Microsoft Entra ID Governance. È necessaria una licenza di sottoscrizione per ogni identità che viene originata usando l'API /bulkUpload e di cui è stato effettuato il provisioning in Active Directory locale o in Microsoft Entra ID.
Scenari di licenza
| Licenza del cliente | Limiti di utilizzo applicati a livello di tenant per il provisioning basato su API |
|---|---|
| Microsoft Entra ID P1 o P2 | Quota di utilizzo giornaliera (numero di record utente che possono essere caricati in un periodo di 24 ore): 100.000 record utente (2000 /bulkUpload chiamate API con ogni richiesta contenente un massimo di 50 record). Numero massimo di processi di provisioning basati su API per ogni flusso: 2 o Massimo 2 app per il provisioning basato su API verso l'Active Directory locale. o Massimo 2 app per il provisioning basato su API verso Microsoft Entra ID. |
| Microsoft Entra ID Governance insieme a Microsoft Entra ID P1 o P2 | Quota di utilizzo giornaliera (numero di record utente che possono essere caricati in un periodo di 24 ore): 300.000 record utente (6000 /bulkUpload chiamate API con ogni richiesta contenente un massimo di 50 record). Numero massimo di processi di provisioning basati su API per ogni flusso: 20 o Massimo 20 app per il provisioning basato su API verso l'Active Directory locale. o Massimo 20 app per il provisioning basato su API verso Microsoft Entra ID. |
Domande frequenti sulle licenze
È necessario assegnare licenze agli utenti per usare le funzionalità di governance delle identità?
Non è necessario assegnare agli utenti una licenza di Microsoft Entra ID Governance, ma è necessario che siano presenti tutte le postazioni di licenza per includere tutti gli utenti nell'ambito o che configurano le funzionalità di governance delle identità.
Come posso ottenere la licenza per l'utilizzo delle funzionalità di Microsoft Entra ID Governance per i guest aziendali?
Tutti gli utenti che rientrano nell'ambito delle funzionalità di Microsoft Entra ID Governance, inclusi guest aziendali come terzisti, partner e collaboratori esterni, necessitano di una licenza. Stiamo creando una nuova licenza di Microsoft Entra ID Governance per i guest aziendali. Questa licenza opera su un modello di utilizzo attivo mensile (MAU). I clienti sono in grado di acquisire licenze corrispondenti alla MAU di guest aziendale.
Prevediamo di rendere disponibili queste licenze alla fine del 2024. Nel frattempo, le organizzazioni che regolano le identità dei propri dipendenti con Microsoft Entra ID Governance possono gestire le identità dei guest aziendali senza costi aggiuntivi. A questo punto, i clienti esistenti di Microsoft Entra ID P1 o P2 con Microsoft Entra per ID esterno possono continuare a usare il subset di funzionalità incluse in P1 o P2 con i loro guest aziendali tramite la licenza di Microsoft Entra per ID esterno.
Per altre informazioni, vedere Gestione delle licenze di Microsoft Entra ID Governance per guest aziendali.
Che cosa accade a PIM quando una licenza scade?
Se una licenza Microsoft Entra ID P2 o Microsoft Entra ID Governance scade o termina la versione di valutazione, le funzionalità di Privileged Identity Management non saranno più disponibili nella directory. Le modifiche illustrate di seguito sono applicabili ai ruoli PIM per Microsoft Entra, PIM per le risorse di Azure e PIM per i gruppi.
- Le assegnazioni permanenti attive non sono interessate.
- Le assegnazioni attive a tempo limitato diventano permanenti attive, il che significa che non scadranno più in un momento designato.
- Le assegnazioni di ruoli idonei sono rimosse poiché gli utenti non saranno più in grado di attivare ruoli con privilegi.
- I pannelli Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra o portale di Azure, le API e le interfacce Privileged Identity Management di PowerShell, non saranno più disponibili per consentire agli utenti di attivare i ruoli, gestire le assegnazioni o eseguire verifiche di accesso dei ruoli con privilegi.
- Eventuali verifiche di accesso dei ruoli di Microsoft Entra in corso termina e le impostazioni di configurazione di Privileged Identity Management sono rimosse.
- Privileged Identity Management non invierà più email sulle modifiche di assegnazioni di ruoli e sugli avvisi PIM.
Le funzionalità e le caratteristiche di IGA verranno aggiunte con la licenza Microsoft Entra ID P2?
Tutte le funzionalità attualmente disponibili a livello generale in Microsoft Entra ID P2 rimarranno, ma non verranno aggiunte nuove funzionalità o carfatteristiche IGA allo SKU di Microsoft Entra ID P2.