Microsoft Entra ID 控管授權基本概念
下表顯示Microsoft Entra ID 控管功能的授權需求。
授權類型
下列授權可用於商業雲端中的Microsoft Entra ID 控管。 租使用者中您需要的授權選擇取決於您在該租使用者中所使用的功能。
- 免費 - 隨附于 Microsoft 雲端訂用帳戶,例如 Microsoft Azure、Microsoft 365 和其他訂用帳戶。
- Microsoft Entra ID P1 - Microsoft Entra ID P1 以獨立產品的形式提供,或隨附于適用于企業客戶的 Microsoft 365 E3,以及適用于中小型企業的Microsoft 365 商務進階版。
- Microsoft Entra ID P2 - Microsoft Entra ID P2 以獨立產品的形式提供,或隨附于 Microsoft 365 E5 企業版客戶。
- Microsoft Entra ID 控管 - Microsoft Entra ID 控管是一組適用于 Microsoft Entra ID P1 和 P2 客戶的進階身分識別治理功能,Microsoft Entra ID 控管 和 Microsoft Entra ID 控管 Microsoft Entra ID P2 的逐步執行。 這些產品包含 Microsoft Entra ID P2 中的基本身分識別治理功能,以及其他進階身分識別治理功能。
注意
Microsoft Entra ID 控管案例可能取決於Microsoft Entra ID 控管未涵蓋的其他功能。 這些功能可能會有額外的授權需求。 如需依賴其他功能之治理案例的詳細資訊,請參閱 其他 Microsoft Entra 功能的治理功能 。
美國政府或美國國家雲端尚未提供Microsoft Entra ID 控管產品。
治理產品和必要條件
Microsoft Entra ID 控管功能目前在商業雲端的兩個產品中提供。 這兩個產品提供相同的身分識別控管功能。 這兩個產品之間的差異在於它們有不同的必要條件。
- Microsoft Entra ID 控管 的 訂用帳戶要求租使用者也有另一個產品的作用中訂用帳戶,也就是包含
AAD_PREMIUM或服務AAD_PREMIUM_P2方案的訂用帳戶。 符合此必要條件的產品範例包括 Microsoft Entra ID P1 或 Microsoft 365 E3 。 - Microsoft Entra ID 控管 Microsoft Entra ID P2 的訂用帳戶需要租使用者也有另一個產品的作用中訂用帳戶,也就是包含
AAD_PREMIUM_P2服務方案的訂用帳戶。 符合此必要條件的產品範例包括 Microsoft Entra ID P2 或 Microsoft 365 E5 。
授權 的產品名稱和服務方案識別碼會列出包含必要服務方案的其他產品。
注意
Microsoft Entra ID 控管產品必要條件的訂用帳戶必須在租使用者中作用中。 如果必要條件不存在,或訂用帳戶過期,則Microsoft Entra ID 控管案例可能無法如預期般運作。
若要檢查租使用者中是否存在Microsoft Entra ID 控管產品的必要條件產品,您可以使用 Microsoft Entra 系統管理中心或Microsoft 365 系統管理中心來檢視產品清單。
以全域管理員身分登入 Microsoft Entra 系統管理中心 。
在 [身分識別] 功能表中,展開 [ 帳單 ],然後選取 [ 授權 ]。
在 [ 管理] 功能表中,選取 [授權功能 ]。 資訊列會指出目前的 Microsoft Entra ID 授權方案。
若要檢視租使用者中的現有產品,請在 [ 管理 ] 功能表中,選取 [所有產品 ]。
開始試用
租使用者中具有適當必要條件產品的全域管理員,例如已購買的 Microsoft Entra ID P1,且尚未使用或先前已試用Microsoft Entra ID 控管,可能會要求試用其租使用者中的Microsoft Entra ID 控管。
以全域管理員身分登入 Microsoft 365 系統管理中心 。
在 [ 帳單] 功能表中,選取 [ 購買服務 ]。
在 [ 搜尋所有產品類別] 方塊中,輸入
"Microsoft Entra ID Governance"。選取 下方 Microsoft Entra ID 控管 詳細資料 ,以檢視產品的試用版和購買資訊。 如果您的租使用者有 Microsoft Entra ID P2,請選取 下方 的詳細資料Microsoft Entra ID 控管 Microsoft Entra ID P2 的逐步執行。
在產品詳細資料頁面中,按一下 [ 開始免費試用 ]。
依授權的功能
下表顯示每個授權可用的功能。 請注意,並非所有功能都可在所有雲端中使用;請參閱 Azure Government 的 Microsoft Entra 功能可用性 。
| 功能 | 免費 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra ID 控管 |
|---|---|---|---|---|
| HR 驅動布建 | x | x | x | |
| 將使用者自動布建至 SaaS 應用程式 | x | x | x | x |
| 自動化群組布建至 SaaS 應用程式 | x | x | x | |
| 將自動化布建至內部部署應用程式 | x | x | x | |
| 條件式存取 - 使用規定證明 | x | x | x | |
| 權利管理 - 基本權利管理 | x | x | ||
| 權利管理 - 條件式存取範圍界定 | x | x | ||
| 權利管理 MyAccess 搜尋 | x | x | ||
| 具有已驗證識別碼的權利管理 | x | |||
| 權利管理 + 自訂延伸模組 (Logic Apps) | x | |||
| 權利管理 + 自動指派原則 | x | |||
| 權利管理 - 邀請+指派任何 | x | |||
| 權利管理 - 來賓轉換 API | x | |||
| 權利管理 - 寬限期 - 公開預覽 | x | x | ||
| 權利管理 - 贊助者原則 - 公開預覽 | x | |||
| Privileged Identity Management (PIM) | x | x | ||
| 群組的 PIM | x | x | ||
| PIM CA 控制項 | x | x | ||
| 存取權檢閱 - 基本存取認證和檢閱 | x | x | ||
| 存取權檢閱 - 群組的 PIM - 公開預覽 | x | |||
| 存取權檢閱 - 非使用中使用者檢閱 | x | |||
| 存取權檢閱 - 非使用中使用者建議 | x | x | ||
| 存取權檢閱 - 機器學習輔助存取認證和檢閱 | x | |||
| 生命週期工作流程 (LCW) | x | |||
| LCW + 自訂延伸模組 (Logic Apps) | x | |||
| 身分識別治理儀表板 - 公開預覽 | x | x | x | |
| 深入解析和報告 - 非使用中的來賓帳戶 (預覽) | x |
權利管理
範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 的身分識別治理管理員istrator 會建立初始目錄。 其中一個原則指定 所有員工 (2,000 名員工)可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工 可以 要求存取套件 | 2,000 |
| Woodgrove Bank 的身分識別治理管理員istrator 會建立初始目錄。 其中一個原則指定 所有員工 (2,000 名員工)可以要求一組特定的存取套件。 150 名員工要求存取套件。 | 2,000 名員工需要授權。 | 2,000 |
| Woodgrove Bank 的身分識別治理管理員istrator 會建立初始目錄。 他們會建立自動指派原則,授與 銷售部門 的所有成員 (350 名員工) 特定存取套件的存取權。 350 名員工會自動指派給存取套件。 | 350 名員工需要授權。 | 351 |
存取權檢閱
範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 系統管理員會建立具有 75 個使用者和 1 個群組擁有者的群組 A 存取權檢閱,並將群組擁有者指派為檢閱者。 | 1 個群組擁有者的授權作為檢閱者,以及 75 位使用者的 75 個授權。 | 76 |
| 系統管理員會建立群組 B 的存取權檢閱,其中包含 500 個使用者和 3 個群組擁有者,並將 3 個群組擁有者指派為檢閱者。 | 500 個使用者授權,以及每個群組擁有者 3 個授權作為檢閱者。 | 503 |
| 系統管理員會建立群組 B 的存取權檢閱,其中包含 500 位使用者。 讓它成為自我檢閱。 | 每位使用者作為自我檢閱者的 500 個授權 | 500 |
| 系統管理員會建立具有 50 個成員使用者的群組 C 存取權檢閱。 讓它成為自我檢閱。 | 每位使用者以自我檢閱者身分取得 50 個授權。* | 50 |
| 系統管理員會建立群組 D 與 6 個成員使用者的存取權檢閱。 讓它成為自我檢閱。 | 每個使用者作為自我檢閱者的 6 個授權。 不需要其他授權。 * | 6 |
生命週期工作流程
使用生命週期工作流程的Microsoft Entra ID 控管授權,您可以:
- 建立、管理及刪除工作流程,最多可達 50 個工作流程的總限制。
- 觸發隨選和排程的工作流程執行。
- 管理和設定現有的工作,以建立您需求特定的工作流程。
- 建立最多 100 個自訂工作延伸模組,以用於您的工作流程。
範例授權案例
| 案例 | 運算 | 授權數目 |
|---|---|---|
| 生命週期工作流程管理員istrator 會建立工作流程,以將行銷部門中的新進員工新增至行銷小組群組。 250 名新進員工會透過此工作流程指派給行銷小組群組。 | 生命週期工作流程管理員istrator 的 1 個授權,以及使用者的 250 個授權。 | 251 |
| 生命週期工作流程管理員istrator 會建立工作流程,以在員工最後一天雇用前預先卸載一組員工。 將預先下線的使用者範圍是 40 位使用者。 | 40 個使用者授權,以及生命週期工作流程管理員istrator 的 1 個授權。 | 41 |
Privileged Identity Management
範例授權案例
以下是一些範例授權案例,可協助您判斷必須擁有的授權數目。
| 案例 | 運算 | 授權數目 |
|---|---|---|
| Woodgrove Bank 有 10 名不同部門系統管理員,以及 2 個身分識別治理管理員管理 PIM 的系統管理員。 他們讓五個系統管理員符合資格。 | 符合資格的系統管理員有五個授權 | 5 |
| 圖形設計學院有 25 名系統管理員,其中 14 個是透過 PIM 管理。 角色啟用需要核准,而且組織中有三個不同的使用者可以核准啟用。 | 14 個合格角色的授權 + 3 個核准者 | 17 |
| Contoso 有 50 個系統管理員,其中 42 個是透過 PIM 管理。 角色啟用需要核准,且組織中有五個不同的使用者可以核准啟用。 Contoso 也會對指派給系統管理員角色的使用者進行每月檢閱,而檢閱者是使用者經理,其中 6 個不在 PIM 所管理的系統管理員角色中。 | 合格角色的 42 個授權 + 5 個核准者 + 6 個檢閱者 | 53 |
授權常見問題集
需要將授權指派給使用者才能使用身分識別治理功能嗎?
使用者不需要獲指派 Identity Governance 授權,但租使用者中必須有盡可能多的授權,才能將所有使用者納入身分識別治理功能的範圍或設定者。