Licenciamento do Microsoft Entra
Este artigo discute as opções de licenciamento para a família de produtos do Microsoft Entra. Ele destina-se a tomadores de decisões de segurança, administradores de acesso de identidade e rede e profissionais de TI que estão considerando as soluções do Microsoft Entra para suas organizações.
Opções de licenciamento do Entra
O Microsoft Entra está disponível em várias opções de licenciamento que permitem escolher o pacote mais adequado às suas necessidades.
Observação
As opções de licenciamento nesta página não são abrangentes. Você pode obter informações detalhadas sobre as várias opções na página de preços do Microsoft Entra e na página de preços e Comparar planos do Microsoft 365 Enterprise.
Microsoft Entra ID Gratuito – Incluído nas assinaturas de nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e outros.
Microsoft Entra ID P1 – o Microsoft Entra ID P1 está disponível como autônomo ou incluído no Microsoft 365 E3 para clientes corporativos e no Microsoft 365 Business Premium para pequenas e médias empresas.
Microsoft Entra ID P2 – o Microsoft Entra ID P2 está disponível como autônomo ou incluído no Microsoft 365 E5 para clientes corporativos.
O Suíte do Microsoft Entra – O suíte combina produtos do Microsoft Entra para proteger o acesso aos seus funcionários. Ele permite que os administradores forneçam acesso seguro de qualquer lugar para qualquer aplicativo ou recurso, seja na nuvem ou no local, garantindo acesso de privilégios mínimo. Uma assinatura do Microsoft Entra ID P1 é necessária. O suíte do Microsoft Entra inclui cinco produtos:
- Microsoft Entra Private Access
- Acesso à Internet do Microsoft Entra
- Microsoft Entra ID Governance
- Proteção de Identidade do Microsoft Entra
- ID Verificada do Microsoft Entra (funcionalidades premium)
Provisionamento de aplicativos
O proxy de aplicativo do Microsoft Entra requer licenças P1 ou P2 do Microsoft Entra ID. Para obter mais informações sobre licenciamento, consulte preços do Microsoft Entra.
Autenticação
A tabela a seguir lista os recursos disponíveis para autenticação nas várias versões do Microsoft Entra ID. Planeje suas necessidades para proteger as credenciais do usuário e, em seguida, determine qual abordagem atende a esses requisitos. Por exemplo, embora o Microsoft Entra ID Gratuito forneça padrões de segurança com autenticação multifator, somente o Microsoft Authenticator pode ser usado para o prompt de autenticação, incluindo chamadas de voz e texto. Essa abordagem pode ser uma limitação se você não conseguir garantir que o Authenticator esteja instalado no dispositivo pessoal de um usuário.
Recurso | Microsoft Entra ID Gratuito – Padrões de segurança (habilitado para todos os usuários) | Microsoft Entra ID Gratuito – Somente administradores globais | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
---|---|---|---|---|---|
Proteger contas de administrador de locatário do Microsoft Entra com MFA | ✅ | ✅ (somente contas Administrador global do Microsoft Entra) | ✅ | ✅ | ✅ |
Aplicativos móveis como um fator secundário | ✅ | ✅ | ✅ | ✅ | ✅ |
Chamada telefônica como um fator secundário | ✅ | ✅ | ✅ | ||
SMS como um fator secundário | ✅ | ✅ | ✅ | ✅ | |
Controle do administrador sobre métodos de verificação | ✅ | ✅ | ✅ | ✅ | |
Alerta de fraude | ✅ | ✅ | |||
Relatórios de MFA | ✅ | ✅ | |||
Saudações personalizadas para chamadas telefônicas | ✅ | ✅ | |||
ID do chamador personalizado para chamadas telefônicas | ✅ | ✅ | |||
IPs confiáveis | ✅ | ✅ | |||
Lembrar MFA para dispositivos confiáveis | ✅ | ✅ | ✅ | ✅ | |
MFA para aplicativos locais | ✅ | ✅ | |||
Acesso Condicional | ✅ | ✅ | |||
Acesso Condicional com base em risco | ✅ | ||||
SSPR (redefinição de senha por autoatendimento) | ✅ | ✅ | ✅ | ✅ | ✅ |
SSPR com write-back | ✅ | ✅ |
identidades gerenciadas
Não há requisitos de licenciamento para usar identidades gerenciadas para recursos do Azure. As identidades gerenciadas para recursos do Azure fornecem uma identidade gerenciada automaticamente para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra. Um dos benefícios do uso de identidades gerenciadas é que você não precisa gerenciar credenciais e elas podem ser usadas sem custo adicional. Para saber mais, confira O que são identidades gerenciadas para recursos do Azure?.
Microsoft Entra ID Governance
A tabela a seguir mostra os requisitos de licenciamento para os recursos do Microsoft Entra ID Governance. O Suíte do Microsoft Entra inclui todos os recursos do Microsoft Entra ID Governance. As informações de licenciamento e os exemplos de cenários de licença para gerenciamento de direitos, revisões de acesso e fluxos de trabalho do ciclo de vida são fornecidos após a tabela.
Recursos por licença
A tabela a seguir mostra quais recursos estão disponíveis com cada licença. Nem todos os recursos estão disponíveis em todas as nuvens. Consulte Disponibilidade de recursos do Microsoft Entra para o Azure Governamental.
Gerenciamento de direitos
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização. Alguns recursos dentro desse recurso podem operar com uma assinatura do Microsoft Entra ID P2.
Cenários de licença de exemplo
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
Cenário | Cálculo | Número de licenças |
---|---|---|
Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2 mil funcionários que podem solicitar os pacotes de acesso | 2\.000 |
Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Uma das políticas especifica que Todos os funcionários (2 mil funcionários) podem solicitar um conjunto específico de pacotes de acesso. 150 funcionários solicitam os pacotes de acesso. | 2.000 funcionários precisam de licenças. | 2\.000 |
Um Administrador de Governança de Identidade no Woodgrove Bank cria catálogos iniciais. Eles criam uma política de atribuição automática que concede a Todos os membros do departamento de vendas (350 funcionários) acesso a um conjunto específico de pacotes de acesso. 350 funcionários são atribuídos automaticamente aos pacotes de acesso. | 350 funcionários precisam de licenças. | 351 |
Análises de acesso
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização, inclusive para todos os funcionários que estão revisando o acesso ou tendo seu acesso revisado. Algumas funcionalidades desse recurso podem funcionar com uma assinatura do Microsoft Entra ID P2.
Cenários de licença de exemplo
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
Cenário | Cálculo | Número de licenças |
---|---|---|
Um administrador cria uma revisão de acesso do grupo A com 75 usuários e um proprietário do grupo e atribui o proprietário do grupo como o revisor. | 1 licença para o proprietário do grupo como revisor e 75 licenças para os 75 usuários. | 76 |
Um administrador cria uma revisão de acesso do grupo A com 500 usuários e três proprietários do grupo e atribui os três como revisores. | 500 licenças para usuários e 3 licenças para cada proprietário do grupo como revisores. | 503 |
Um administrador cria uma revisão de acesso do grupo B com 500 usuários. Ele a torna uma autorrevisão. | 500 licenças para cada usuário como autorrevisores | 500 |
Um administrador cria uma revisão de acesso do grupo C com 50 usuários membros e 25 usuários convidados. Ele a torna uma autorrevisão. | 50 licenças para cada usuário como autorrevisores. | 50 |
Um administrador cria uma revisão de acesso do grupo D com seis usuários membros e 108 usuários convidados. Ele a torna uma autorrevisão. | 6 licenças para cada usuário como autorrevisores. Não há licenças adicionais necessárias. | 6 |
Fluxos de trabalho do ciclo de vida
Com as licenças do Microsoft Entra ID Governance para Fluxos de Trabalho do Ciclo de Vida, você pode:
- Criar, gerenciar e excluir fluxos de trabalho até o limite total de 50 fluxos de trabalho.
- Disparar a execução de fluxo de trabalho sob demanda e agendada.
- Gerencie e configure tarefas existentes para criar fluxos de trabalho específicos para suas necessidades.
- Crie até 100 extensões de tarefa personalizadas a serem usadas nos fluxos de trabalho.
O uso desse recurso requer assinaturas do Microsoft Entra ID Governance para os usuários da sua organização.
Cenários de licença de exemplo
Cenário | Cálculo | Número de licenças |
---|---|---|
Um Administrador de Fluxos de Trabalho do Ciclo de Vida cria um fluxo de trabalho para adicionar novas contratações no departamento de Marketing ao grupo de equipes de marketing. 250 novas contratações são atribuídas ao grupo Equipes de marketing por meio desse fluxo de trabalho. Outras 150 novas contratações são atribuídas ao grupo Equipes de marketing por meio desse fluxo de trabalho no final do mesmo ano. | 1 licença para o Administrador de Fluxos de Trabalho do Ciclo de Vida e 400 licenças para os usuários. | 401 |
Um Administrador de Fluxos de Trabalho do Ciclo de Vida cria um fluxo de trabalho para remover antecipadamente um grupo de funcionários antes do último dia de trabalho. O escopo dos usuários que serão removidos antecipadamente chega a 40 usuários. Removemos 40 usuários licenciados. Agora, podemos reatribuir essas 40 licenças e atribuir mais 10 licenças no final do ano para pré-remover mais 50 usuários. | 50 licenças para usuários e 1 licença para o Administrador de Fluxos de Trabalho do Ciclo de Vida. | 51 |
Microsoft Entra Connect
O uso desse recurso é gratuito e está incluído em sua assinatura do Azure.
Integridade do Microsoft Entra Connect
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Acesso Condicional do Microsoft Entra
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Os clientes com licenças do Microsoft 365 Business Premium também têm acesso aos recursos do acesso condicional.
As políticas baseadas em risco exigem acesso à Microsoft Entra ID Protection, que é um recurso do Microsoft Entra ID P2.
O Conjunto do Microsoft Entra inclui todos os recursos de acesso condicional do Microsoft Entra.
Outros produtos e recursos que podem interagir com as políticas de acesso condicional exigem licenciamento apropriado para esses produtos e recursos.
Quando as licenças necessárias para o Acesso Condicional expiram, as políticas não são desabilitadas ou excluídas automaticamente. Isso concede aos clientes a capacidade de migrar das políticas de Acesso Condicional sem uma mudança repentina na sua postura de segurança. As políticas restantes podem ser exibidas e excluídas, mas não são mais atualizadas.
Os padrões de segurança ajudam na proteção contra ataques relacionados à identidade e estão disponíveis para todos os clientes.
Microsoft Entra Domain Services
O uso de Domain Services do Microsoft Entra é cobrado por hora, com base no SKU selecionado pelo proprietário do locatário.
ID externa da Microsoft
Os recursos principais da ID externa do Microsoft Entra principais recursos são gratuitos para seus primeiros 50.000 usuários ativos mensais. Mais informações de licenciamento estão disponíveis nas Perguntas frequentes da ID externa
Proteção do Microsoft Entra ID
O uso desse recurso requer licenças P2 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Capacidade | Detalhes | Microsoft Entra ID Gratuito / Microsoft 365 Apps | Microsoft Entra ID P1 | Microsoft Entra ID P2 | Suíte do Microsoft Entra |
---|---|---|---|---|---|
Políticas de risco | Políticas de risco do usuário e de início de sessão (via Acesso condicional) | Não | No | Sim | Sim |
Relatórios de segurança | Visão geral | Não | No | Sim | Sim |
Relatórios de segurança | Usuários de risco | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Informações limitadas. Somente os usuários com risco médio e alto são mostrados. Sem gaveta de detalhes ou histórico de riscos. | Acesso completo | Sim |
Relatórios de segurança | Entradas de risco | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Informações limitadas. Nenhum detalhe ou nível de risco é mostrado. | Acesso completo | Sim |
Relatórios de segurança | Detecções de risco | Não | Informações limitadas. Sem gaveta de detalhes. | Acesso completo | Sim |
Notificações | Alertas de usuários em risco detectados | Não | No | Sim | Sim |
Notificações | Resumo semanal | Não | No | Sim | Sim |
Política de registro de MFA | Não | No | Sim | Sim |
Microsoft Entra Internet Access
O Acesso à Internet do Microsoft Entra está disponível por conta própria ou como parte do Suíte do Microsoft Entra.
Monitoramento e integridade do Microsoft Entra
As funções e as licenças necessárias podem variar de acordo com o relatório. Permissões separadas são necessárias para acessar dados de monitoramento e integridade no Microsoft Graph. Recomendamos usar uma função com acesso de privilégio mínimo para se alinhar às diretrizes de Confiança Zero. Para obter uma lista completa de funções, consulte Funções com privilégios mínimos por tarefa.
Log/Relatório | Funções | Licenças |
---|---|---|
Logs de auditoria | Leitor de relatórios Leitor de segurança Administrador de segurança |
Todas as edições do Microsoft Entra ID |
Logs de entrada | Leitor de relatórios Leitor de segurança Administrador de segurança |
Todas as edições do Microsoft Entra ID |
Logs de provisionamento | Leitor de relatórios Leitor de segurança Administrador de Aplicativos Administrador de Aplicativos de Nuvem |
Microsoft Entra ID P1 ou P2 |
Logs de auditoria de atributos de segurança personalizados* | Administrador de Log de Atributos Leitor de Log de Atributos |
Todas as edições do Microsoft Entra ID |
Integridade | Leitor de relatórios Leitor de segurança Administrador da assistência técnica |
Microsoft Entra ID P1 ou P2 |
Proteção do Microsoft Entra ID** | Administrador da segurança Operador de Segurança Leitor de segurança Leitor global |
Microsoft Entra ID Gratuito Microsoft 365 Apps Microsoft Entra ID P1 ou P2 |
Logs de atividade do Microsoft Graph | Administrador de segurança Permissões para acessar dados no destino de log correspondente |
Microsoft Entra ID P1 ou P2 |
Uso e insights | Leitor de relatórios Leitor de segurança Administrador de segurança |
Microsoft Entra ID P1 ou P2 |
*A exibição dos atributos de segurança personalizados nos logs de auditoria ou a criação de configurações de diagnóstico para atributos de segurança personalizados exige uma das funções do Log de Atributos. Você também precisa ter a função apropriada para visualizar os logs de auditoria padrão.
**O nível de acesso e as funcionalidades do Microsoft Entra ID Protection variam de acordo com a função e a licença. Para obter mais informações, confira os requisitos de licença da ID Protection.
Gerenciamento de Permissões do Microsoft Entra
O Gerenciamento de Permissões dá suporte a todos os recursos no Amazon Web Services (AWS), no Microsoft Azure e no Google Cloud Platform, mas requer apenas licenças para recursos faturáveis.
Microsoft Entra Private Access
O Acesso privado do Microsoft Entra está disponível por conta própria ou como parte do Suíte do Microsoft Entra.
Microsoft Entra Privileged Identity Management
Para usar o Microsoft Entra Privileged Identity Management, um locatário deve ter uma licença válida. As licenças precisam ser atribuídas aos administradores e aos usuários relevantes. Este artigo descreve os requisitos de licença para usar o Privileged Identity Management. Para usar o Privileged Identity Management, é necessário ter uma das seguintes licenças:
Licenças válidas para o PIM
Você precisa de licenças P2 do Microsoft Entra ID Governance ou do Microsoft Entra ID para usar o PIM e todas as respectivas configurações. Atualmente, você pode definir o escopo de uma revisão de acesso a entidades de serviço com acesso ao Microsoft Entra ID, funções de recurso com um Microsoft Entra ID P2 ou usuários com a edição do Microsoft Entra ID Governance ativa em seu locatário. O modelo de licenciamento para entidades de serviço será finalizado para a disponibilidade geral desse recurso e talvez mais licenças sejam necessárias.
Licenças que você precisa ter para o PIM
Verifique se o diretório tem licenças do Microsoft Entra ID P2 ou do Microsoft Entra ID Governance para as seguintes categorias de usuários:
- Usuários com atribuições qualificadas e/ou prazo definido para funções do Microsoft Entra ID ou do Azure gerenciadas usando o PIM
- Usuários com atribuições qualificadas e/ou com limite de tempo como membros ou proprietários de PIM para Grupos
- Usuários capazes de aprovar ou rejeitar solicitações de ativação no PIM
- Usuários atribuídos a uma revisão de acesso
- Usuários que executam revisões de acesso
Exemplos de cenários de licenças para o PIM
Aqui estão alguns exemplos de cenários de licença para ajudá-lo a determinar o número de licenças que você precisa ter.
Cenário | Cálculo | Número de licenças |
---|---|---|
O Woodgrove Bank tem 10 administradores para diferentes departamentos e 2 Administradores de Função Com Privilégios que configuram e gerenciam o PIM. Eles tornam cinco administradores qualificados. | Cinco licenças para os administradores que estão qualificados | 5 |
O Graphic Design Institute tem 25 administradores dos quais 14 são gerenciados por meio do PIM. A ativação de função requer aprovação e há três usuários diferentes na organização que podem aprovar ativações. | 14 licenças para as funções qualificadas + três aprovadores | 17 |
A Contoso tem 50 administradores dos quais a 42 é gerenciada por meio do PIM. A ativação de função requer aprovação e há cinco usuários diferentes na organização que podem aprovar ativações. A Contoso também faz revisões mensais dos usuários aos quais foram atribuídas funções de administrador e os revisores são os gerentes dos usuários, dos quais seis não estão em funções de administrador gerenciadas pelo PIM. | 42 licenças para as funções qualificadas + cinco aprovadores + seis revisores | 53 |
Quando uma licença expira para o PIM
Se uma licença do Microsoft Entra ID P2, do Microsoft Entra ID Governance ou de avaliação expirar, os recursos do Privileged Identity Management não estarão mais disponíveis no seu diretório:
- As atribuições de função permanentes para funções do Microsoft Entra não serão afetadas.
- O serviço Privileged Identity Management no Centro de administração do Microsoft Entra e os cmdlets da API do Graph e as interfaces do PowerShell do Privileged Identity Management não estarão mais disponíveis para os usuários ativarem funções privilegiadas, gerenciarem acesso privilegiado ou executarem revisões de acesso de funções privilegiadas.
- As atribuições de função qualificadas das funções do Microsoft Entra são removidas, pois os usuários não podem mais ativar funções privilegiadas.
- Todas as revisões de acesso contínuas das funções do Microsoft Entra terminam e as definições de configuração do Gerenciamento de Privileged Identity Management são removidas.
- O Privileged Identity Management não envia mais emails sobre alterações na atribuição de funções.
ID verificada do Microsoft Entra
A ID Verificada do Microsoft Entra está incluída em qualquer assinatura do Microsoft Entra ID, inclusive no Microsoft Entra ID gratuito, sem custo adicional. A funcionalidade de ID verificada principal ajuda as organizações:
- A verificarem e emitirem credenciais organizacionais para quaisquer atributos de identidade exclusivos.
- A capacitarem os usuários finais com a propriedade de suas credenciais digitais e maior visibilidade
- A reduzirem o risco organizacional e simplificarem o processo de auditoria
- A criarem aplicativos centrados no usuário e sem servidor que usam credenciais de ID verificadas.
A ID Verificada do Microsoft Entra também fornece a Detecção Facial como um recurso premium disponível como complemento e incluído no Suíte do Microsoft Entra (limitado a 8 verificações de detecção facial por usuário por mês).
Carga de trabalho do Microsoft Entra ID
A ID de carga de trabalho do Microsoft Entra dá suporte a identidades de aplicativo e princípios de serviço no Azure, exigindo licenças por identidade de carga de trabalho por mês.
Organizações multilocatários
No locatário de origem: o uso desse recurso exige licenças Microsoft Entra ID P1. Cada usuário sincronizado com a sincronização entre locatários precisa ter uma licença P1 no locatário de origem/inicial. Para encontrar a licença certa para seus requisitos, consulte Planos e preços do Microsoft Entra ID.
No locatário de destino: a sincronização entre locatários depende do modelo de cobrança da ID externa do Microsoft Entra. Para entender o modelo de licenciamento de identidades externas, consulte Modelo de cobrança MAU para a ID externa do Microsoft Entra. Você também precisa de pelo menos uma licença do Microsoft Entra ID P1 no locatário de destino para habilitar a implantação automática.
Todos os recursos de organizações multilocatárias são incluídos como parte do suíte do Microsoft Entra.
Controle de acesso baseado em função
O uso de funções internas no Microsoft Entra ID é gratuito. O uso de funções personalizadas requer uma licença P1 do Microsoft Entra ID Premium para cada usuário com uma atribuição de função personalizada. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.
Direitos
Unidades administrativas
O uso de unidades administrativas requer uma licença do Microsoft Entra ID P1 em cada administrador da unidade administrativa que recebe funções de diretório no escopo da unidade administrativa e uma licença Gratuita do Microsoft Entra ID em cada membro da unidade administrativa. A criação de unidades administrativas está disponível com uma licença gratuita do Microsoft Entra ID. Se você estiver usando regras de grupos de associação dinâmica para unidades administrativas, cada membro da unidade administrativa precisará de uma licença do Microsoft Entra ID P1. Para localizar a licença correta para seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.
Unidades administrativas de gerenciamento restrito
As unidades administrativas de gerenciamento restrito exigem uma licença do Microsoft Entra ID P1 para cada administrador da unidade administrativa e licenças do Microsoft Entra ID Gratuito para membros da unidade administrativa. Para localizar a licença correta para os seus requisitos, consulte Comparar recursos geralmente disponíveis nos planos Gratuito e Premium.
Recursos na visualização
As informações de licenciamento de todos os recursos atualmente em versão prévia são incluídas aqui quando aplicável. Para obter mais informações sobre a versão prévia do recurso, consulte Versão prévia do recurso do Microsoft Entra ID.