Licenze Microsoft Entra
Questo articolo illustra le opzioni di licenza per la famiglia di prodotti Microsoft Entra. È destinato ai decision maker, alle identità e agli amministratori dell'accesso alla rete e ai professionisti IT che stanno prendendo in considerazione le soluzioni Microsoft Entra per le proprie organizzazioni.
Opzioni di licenza di Entra
Microsoft Entra è disponibile in diverse opzioni di licenza che consentono di scegliere il pacchetto più adatto alle proprie esigenze.
Nota
Le opzioni di licenza in questa pagina non sono complete. È possibile ottenere informazioni dettagliate sulle varie opzioni disponibili nella pagina dei prezzi di Microsoft Entra e nella pagina Confronta piani e prezzi di Microsoft 365 Enterprise.
Microsoft Entra ID gratis: incluso con gli abbonamenti a Microsoft Cloud, ad esempio Microsoft Azure, Microsoft 365 e altri.
Microsoft Entra ID P1: Microsoft Entra ID P1 è disponibile come prodotto autonomo o incluso in Microsoft 365 E3 per i clienti aziendali e Microsoft 365 Business Premium per le piccole e medie imprese.
Microsoft Entra ID P2: Microsoft Entra ID P2 è disponibile come prodotto autonomo o incluso in Microsoft 365 E5 per i clienti aziendali.
Microsoft Entra Suite: la suite combina i prodotti Microsoft Entra per proteggere l'accesso ai dipendenti. Consente agli amministratori di fornire l'accesso sicuro da qualsiasi posizione a qualunque app o risorsa, sia cloud sia locale, garantendo al tempo stesso l'accesso con privilegi minimi. È necessaria una sottoscrizione di Microsoft Entra ID P1. La suite Microsoft Entra include cinque prodotti:
- Accesso privato Microsoft Entra
- Accesso a Internet Microsoft Entra
- Microsoft Entra ID Governance
- Microsoft Entra ID Protection
- ID verificato di Microsoft Entra (funzionalità Premium)
Provisioning di app
Il proxy dell'applicazione Microsoft Entra richiede licenze Microsoft Entra ID P1 o P2. Per altre informazioni sui costi, consultare il i prezzi di Microsoft Entra.
Autenticazione
La tabella seguente indica un elenco delle funzionalità disponibili nelle varie versioni di Microsoft Entra ID per l’autenticazione a più fattori. Pianificare le esigenze di protezione dell’accesso utente, quindi determinare quale approccio soddisfa tali requisiti. Ad esempio, sebbene Microsoft Entra ID gratis offra impostazioni predefinite per la sicurezza con l’autenticazione a più fattori, solo Microsoft Authenticator può essere utilizzato per la richiesta di autenticazione, inclusi messaggi e chiamate vocali. Questo approccio può costituire una limitazione se non è possibile verificare che l'app di autenticazione per dispositivi mobili sia installata nel dispositivo personale di un utente.
| Funzionalità | Microsoft Entra ID gratuito - Impostazioni predefinite di sicurezza (abilitate per tutti gli utenti) | Microsoft Entra ID gratuito - Solo amministratori globali | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Protezione degli account di amministratore tenant di Microsoft Entra con MFA (autenticazione a più fattori) | ✅ | ✅ (solo per account amministratore globale Microsoft Entra) | ✅ | ✅ | ✅ |
| App per dispositivi mobili come secondo fattore | ✅ | ✅ | ✅ | ✅ | ✅ |
| Chiamata telefonica come secondo fattore | ✅ | ✅ | ✅ | ||
| SMS come secondo fattore | ✅ | ✅ | ✅ | ✅ | |
| Controllo amministrativo sui metodi di verifica | ✅ | ✅ | ✅ | ✅ | |
| Avviso di illecito | ✅ | ✅ | |||
| Report MFA | ✅ | ✅ | |||
| Messaggi di saluto personalizzati per le telefonate | ✅ | ✅ | |||
| ID chiamante personalizzato per le telefonate | ✅ | ✅ | |||
| Indirizzi IP attendibili | ✅ | ✅ | |||
| Memorizzazione di MFA per dispositivi attendibili | ✅ | ✅ | ✅ | ✅ | |
| MFA per applicazioni locali | ✅ | ✅ | |||
| Accesso condizionale | ✅ | ✅ | |||
| Accesso condizionale basato sul rischio | ✅ | ||||
| Reimpostazione della password self-service | ✅ | ✅ | ✅ | ✅ | ✅ |
| Reimpostazione della password self-service con writeback | ✅ | ✅ |
Identità gestite
Non sono previsti requisiti di licenza per l'uso di identità gestite per le risorse di Azure. Le identità gestite per le risorse di Azure forniscono un'identità gestita automaticamente in Microsoft Entra ID per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra. Uno dei vantaggi dell'uso delle identità gestite è che non è necessario gestire le credenziali e che possono essere usate senza costi aggiuntivi. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.
Microsoft Entra ID Governance
La tabella seguente illustra i requisiti di licenza per le funzionalità di Microsoft Entra ID Governance. Microsoft Entra Suite include tutte le funzionalità di Microsoft Entra ID Governance. Le informazioni sulle licenze e gli scenari di licenza di esempio per la Gestione entitlement, le Verifiche di accesso e i Flussi di lavoro del ciclo di vita vengono forniti seguendo la tabella.
Funzionalità in base al tipo di licenza
La tabella seguente illustra le funzionalità disponibili per ogni licenza. Non tutte le funzionalità sono disponibili in tutti i cloud; vedere Disponibilità delle funzionalità di Microsoft Entra per Azure per enti pubblici.
Gestione entitlement
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione. Alcune caratteristiche all'interno di questa funzionalità possono operare con una sottoscrizione a Microsoft Entra ID P2.
Esempi di scenari di licenza
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore di governance delle identità presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 dipendenti possono richiedere i pacchetti di accesso | 2.000 |
| Un amministratore di governance delle identità presso Woodgrove Bank crea cataloghi iniziali. Uno dei criteri specifica che tutti i dipendenti (2.000 persone) possono richiedere un set specifico di pacchetti di accesso. 150 dipendenti richiedono i pacchetti di accesso. | 2.000 dipendenti hanno bisogno di licenze. | 2.000 |
| Un amministratore di governance delle identità presso Woodgrove Bank crea cataloghi iniziali. Creano criteri di assegnazione automatica che concedono a tutti i membri del reparto vendite (350 dipendenti) l'accesso a un set specifico di pacchetti di accesso. 350 dipendenti vengono assegnati automaticamente ai pacchetti di accesso. | 350 dipendenti hanno bisogno di licenze. | 351 |
Verifiche di accesso
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione, inclusi tutti i dipendenti che esaminano l'accesso o quelli sottoposti a verifica dell'accesso. Alcune caratteristiche all'interno di questa funzionalità possono funzionare con una sottoscrizione a Microsoft Entra ID P2.
Esempi di scenari di licenza
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore crea una verifica di accesso del gruppo A con 75 utenti e 1 proprietario del gruppo, assegnando al proprietario del gruppo il ruolo di revisore. | 1 licenza per il proprietario del gruppo come revisore e 75 licenze per i 75 utenti. | 76 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti e 3 proprietari del gruppo, assegnando ai 3 proprietari del gruppo il ruolo di revisore. | 500 licenze per gli utenti e 3 licenze per ogni proprietario del gruppo come revisore. | 503 |
| Un amministratore crea una verifica di accesso del gruppo B con 500 utenti. La rende una verifica autonoma. | 500 licenze, una per ogni utente come revisore autonomo | 500 |
| Un amministratore crea una verifica di accesso del gruppo C con 50 utenti membri. La rende una verifica autonoma. | 50 licenze, una per ogni utente come revisore autonomo. | 50 |
| Un amministratore crea una verifica di accesso del gruppo D con 6 utenti membri. La rende una verifica autonoma. | 6 licenze, una per ogni utente come revisore autonomo. Non sono necessarie licenze aggiuntive. | 6 |
Flussi di lavoro del ciclo di vita
Con le licenze di Microsoft Entra ID Governance per i flussi di lavoro del ciclo di vita, è possibile:
- Creare, gestire ed eliminare flussi di lavoro fino al limite totale di 50 flussi di lavoro.
- Attivare l'esecuzione di flussi di lavoro su richiesta e pianificati.
- Gestire e configurare le attività esistenti per creare flussi di lavoro specifici per le proprie esigenze.
- Creare fino a 100 estensioni di attività personalizzate da usare nei flussi di lavoro.
L'uso di questa funzionalità richiede la sottoscrizione a Microsoft Entra ID Governance per gli utenti dell'organizzazione.
Esempi di scenari di licenza
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per aggiungere nuovi assunti nel reparto Marketing al gruppo dei team di marketing. 250 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro, una sola volta. Altri 150 nuovi assunti vengono assegnati al gruppo dei team di marketing tramite questo flusso di lavoro più tardi nello stesso anno. | 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita e 400 licenze per gli utenti. | 401 |
| Un amministratore dei flussi di lavoro del ciclo di vita crea un flusso di lavoro per eseguire l'offboarding anticipato di un gruppo di dipendenti prima dell'ultimo giorno di lavoro. L'ambito degli utenti che saranno per verrà eseguito l'offboarding anticipato è composto da 40 utenti in una sola volta. Abbiamo eseguito l'offboarding di 40 utenti con licenza. Ora, è possibile riassegnare queste 40 licenze e assegnare altre 10 licenze più avanti nell'anno per eseguire l'offboarding anticipato di altri 50 utenti. | 50 licenze per gli utenti e 1 licenza per l'amministratore dei flussi di lavoro del ciclo di vita. | 51 |
Microsoft Entra Connect
L'uso di questa funzionalità è gratuito ed è incluso nella sottoscrizione di Azure.
Microsoft Entra Connect Health
L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Accesso condizionale Microsoft Entra
L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Anche i clienti con licenze Microsoft 365 Business Premium possono accedere alle funzionalità di accesso condizionale.
I criteri basati sui rischi richiedono l'accesso a Microsoft Entra ID Protection, che è una funzionalità di Microsoft Entra ID P2.
Microsoft Entra Suite include tutte le funzionalità di accesso condizionale di Microsoft Entra.
Per altri prodotti e funzionalità che possono interagire con i criteri di accesso condizionale sono richieste licenze appropriate.
Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono disabilitati o eliminati automaticamente. Ciò consente ai clienti di eseguire la migrazione dai criteri di accesso condizionale senza un improvviso cambiamento nella postura di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati, ma non più aggiornati.
Le impostazioni predefinite per la sicurezza consentono di proteggersi da attacchi correlati all'identità e sono disponibili per tutti i clienti.
Microsoft Entra Domain Services
L'utilizzo di Microsoft Entra Domain Services viene addebitato all'ora, in base allo SKU selezionato dal proprietario del tenant.
Microsoft per ID esterno
Le funzionalità principali di Microsoft Entra per ID esterno sono gratuite per i primi 50.000 utenti attivi mensili. Altre informazioni sulle licenze sono disponibili nelle domande frequenti sull'ID esterno
Microsoft Entra ID Protection
L'uso di questa funzionalità richiede licenze Microsoft Entra ID P2. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
| Capacità | Dettagli | App Microsoft Entra ID gratuita / Microsoft 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Microsoft Entra Suite |
|---|---|---|---|---|---|
| Criteri di rischio | Criteri di rischio di accesso e utente (tramite Iaccesso condizionale) | No | No | Sì | Sì |
| Report di sicurezza. | Panoramica | No | No | Sì | Sì |
| Report di sicurezza. | Utenti a rischio | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Accesso completo | Sì |
| Report di sicurezza | Accessi a rischio | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Accesso completo | Sì |
| Report di sicurezza | Rilevamenti dei rischi | No | Informazioni limitate. Nessun pannello dei dettagli. | Accesso completo | Sì |
| Notifiche | Avvisi relativi a utenti a rischio rilevati | No | No | Sì | Sì |
| Notifications | Digest settimanale | No | No | Sì | Sì |
| Criteri di registrazione MFA | No | No | Sì | Sì |
Accesso a Internet Microsoft Entra
Accesso a Internet di Microsoft Entra è disponibile autonomamente o come parte della famiglia di prodotti Microsoft Entra.
Monitoraggio e integrità di Microsoft Entra
I ruoli e le licenze necessari variano in base al report. Sono necessarie autorizzazioni separate per accedere ai dati di monitoraggio e integrità in Microsoft Graph. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.
*La visualizzazione degli attributi di sicurezza personalizzati nei log di audit o la creazione di impostazioni di diagnostica per gli attributi di sicurezza personalizzati richiede uno dei ruoli Log attributi. È inoltre necessario il ruolo appropriato per visualizzare i log di audit standard.
**Il livello di accesso e funzionalità per Microsoft Entra ID Protection varia in base al ruolo e alla licenza. Per altre informazioni, vedere i requisiti di licenza per lID Protection.
Gestione delle autorizzazioni di Microsoft Entra
Gestione autorizzazioni supporta tutte le risorse in Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform, ma richiede solo licenze per le risorse fatturabili.
Accesso privato di Microsoft Entra
Accesso privato Microsoft Entra è disponibile autonomamente o come parte di Microsoft Entra Suite.
Gestione delle identità con privilegi di Microsoft Entra
Per usare Microsoft Entra Privileged Identity Management, un tenant deve avere una licenza valida. Inoltre, è necessario che le licenze siano assegnate agli amministratori e ai relativi utenti. Questo articolo descrive i requisiti di licenza per usare Privileged Identity Management. Per usare Privileged Identity Management, è necessario disporre di una delle licenze seguenti:
Licenze valide per PIM
Per usare PIM e tutte le relative impostazioni, sono necessarie licenze di Microsoft Entra ID Governance o licenze di Microsoft Entra ID P2. Attualmente, è possibile definire l'ambito di una verifica di accesso alle entità servizio con accesso a Microsoft Entra ID, ai ruoli delle risorse con Microsoft Entra ID P2 o a utenti con Microsoft Entra ID Governance edition attivo nel tenant. Il modello di licenza per le entità servizio verrà finalizzato per la disponibilità generale di questa funzionalità e potrebbero essere necessarie altre licenze.
Licenze necessarie per PIM
Assicurarsi che la directory abbia licenze Microsoft Entra ID P2 o Microsoft Entra ID Governance per le seguenti categorie di utenti:
- Utenti con assegnazioni idonee e/o a tempo limitato a ruoli di Microsoft Entra ID o di Azure gestiti tramite PIM
- Utenti con assegnazioni idonee e/o a tempo limitato come membri o proprietari di PIM per i gruppi
- Utenti in grado di approvare o rifiutare le richieste di attivazione in PIM
- Utenti assegnati a una verifica di accesso
- Utenti che eseguono verifiche di accesso
Esempi di scenari di licenze per PIM
Ecco alcuni esempi di scenari di licenza che consentono di determinare il numero di licenze necessarie.
| Scenario | Calcolo | Numero di licenze |
|---|---|---|
| Woodgrove Bank dispone di 10 amministratori per reparti diversi e 2 amministratori di ruoli con privilegi che configurano e gestiscono PIM. Rendono idonei cinque amministratori. | Cinque licenze per gli amministratori idonei | 5 |
| Graphic Design Institute ha 25 amministratori di cui 14 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti tre diversi utenti che possono approvare le attivazioni. | 14 licenze per i ruoli idonei + tre responsabili approvazione | 17 |
| Contoso ha 50 amministratori di cui 42 sono gestiti tramite PIM. L'attivazione dei ruoli richiede l'approvazione e nell'organizzazione sono presenti cinque diversi utenti che possono approvare le attivazioni. Contoso esegue anche revisioni mensili degli utenti assegnati a ruoli di amministratore e i revisori sono coloro che gestiscono gli utenti, sei dei quali non ricoprono ruoli di amministratore gestiti tramite PIM. | 42 licenze per i ruoli idonei + cinque responsabili approvazione + sei revisori | 53 |
Quando una licenza scade per PIM
Se una licenza Microsoft Entra ID P2, Microsoft Entra ID Governance o versione di valutazione scade, le funzionalità di Privileged Identity Management non saranno più disponibili nella directory:
- Le assegnazioni dei ruoli permanenti a Microsoft Entra non saranno interessate.
- Il servizio Privileged Identity Management nell'interfaccia di amministrazione di Microsoft Entra, i cmdlet dell'API Graph e le interfacce PowerShell di Privileged Identity Management, non saranno più disponibili per l'attivazione di ruoli con privilegi, gestire l'accesso con privilegi o eseguire verifiche di accesso dei ruoli con privilegi.
- Le assegnazioni di ruoli idonei di Microsoft Entra sono rimosse poiché gli utenti non sono più in grado di attivare ruoli con privilegi.
- Eventuali verifiche di accesso in corso dei ruoli di Microsoft Entra vengono interrotte e le impostazioni di configurazione di Privileged Identity Management vengono rimosse.
- Privileged Identity Management non invia più messaggi di posta elettronica relativi alle modifiche di assegnazione dei ruoli.
ID verificato di Microsoft Entra
ID verificato di Microsoft Entra è incluso in qualsiasi sottoscrizione di Microsoft Entra ID, compresa la sottoscrizione gratuita di Microsoft Entra ID, senza alcun costo aggiuntivo. La funzionalità ID di base verificata consente alle organizzazioni di:
- Verificare e rilasciare le credenziali dell'organizzazione per qualsiasi attributo di identità univoco.
- Consentire agli utenti finali di essere titolari delle proprie credenziali digitali e di avere una maggiore visibilità.
- Ridurre il rischio dell'organizzazione e semplificare il processo di controllo
- Creare applicazioni serverless incentrate sugli utenti che usano credenziali ID verificate.
ID verificato di Microsoft Entra fornisce anche la verifica facciale come funzionalità premium disponibile come componente aggiuntivo e inclusa nella famiglia di prodotti di Microsoft Entra (limite di 8 verifiche facciali per utente al mese).
ID carico di lavoro Microsoft Entra
ID dei carichi di lavoro di Microsoft Entra supporta identità dell'applicazione ed entità servizio in Azure, con licenze per identità dei carichi di lavoro al mese.
Organizzazioni multi-tenant
Nel tenant di origine: l'uso di questa funzionalità richiede le licenze di Microsoft Entra ID P1. Ogni utente sincronizzato con la sincronizzazione tra tenant deve disporre di una licenza P1 nel tenant principale/di origine. Per trovare la licenza adatta alle proprie esigenze, consultare Piani e prezzi di Microsoft Entra ID.
Nel tenant di destinazione: la sincronizzazione tra tenant si basa sul modello di fatturazione Microsoft Entra per ID esterno. Per informazioni sul modello di licenza per le identità esterne, consultare Modello di fatturazione MAU per Microsoft Entra per ID esterno. È inoltre necessario disporre di almeno una licenza Microsoft Entra ID P1 nel tenant di destinazione per abilitare l'autoredemption.
Tutte le funzionalità delle organizzazioni multi-tenant sono incluse nella famiglia di prodotti di Microsoft Entra.
Controllo degli accessi in base al ruolo
L'uso dei ruoli predefiniti in Microsoft Entra ID è gratuito. L'uso di ruoli personalizzati richiede una licenza Microsoft Entra ID P1 per ogni utente a cui viene assegnato un ruolo personalizzato. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.
Ruoli
Unità amministrative
L'uso di unità amministrative richiede una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa a cui sono assegnati ruoli della directory nell'ambito dell'unità amministrativa e una licenza gratuita di Microsoft Entra ID per ogni membro dell'unità amministrativa. La creazione di unità amministrative è disponibile con una licenza gratuita di Microsoft Entra ID. Se vengono usate le regole per l'appartenenza ai gruppi di appartenenza dinamica per le unità amministrative, ogni membro dell'unità amministrativa richiede una licenza Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.
Unità amministrative di gestione con restrizioni
Le unità amministrative di gestione con restrizioni richiedono una licenza Microsoft Entra ID P1 per ogni amministratore di unità amministrativa e licenze Microsoft Entra ID gratuito per i membri dell'unità amministrativa. Per trovare la licenza corretta per le proprie esigenze, vedere Confronto delle funzionalità disponibili a livello generale delle edizioni Gratuita e Premium.
Funzionalità in anteprima
Le informazioni sulle licenze per tutte le funzionalità attualmente in anteprima sono incluse qui, se applicabile. Per ulteriori informazioni sulle funzionalità di anteprima, consultare Funzionalità di anteprima di Microsoft Entra ID.