Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается структура ценообразования для надстройки Microsoft Entra ID Management для гостей и описывается, как связать клиента с подпиской Azure, чтобы обеспечить правильный доступ к выставлению счетов и функциям.
Модель выставления счетов для ежемесячных активных пользователей (MAU)
Microsoft Entra ID Governance использует ежемесячное лицензирование активных пользователей (MAU) для гостевых пользователей, которые отличаются от лицензирования для сотрудников. Дополнительные сведения о лицензировании сотрудников см. в основах лицензирования управления идентификаторами Майкрософт .
В модели выставления счетов гостя гости определяются пользователем Типа гостя независимо от того, где пользователь проходит проверку подлинности. UserType of Guest — это тип пользователя по умолчанию для всех методов приглашения B2B, а также может быть задан администратором удостоверений. Счет за каждый месяц включает запись для каждого гостевого пользователя с одним или несколькими действиями управления в этом месяце. См. страницу цен Azure для получения сведений о ценах.
Функции управления, доступные для выставления счетов
Гостевые пользователи оплачиваются только при активном использовании функций, которые являются эксклюзивными для управления идентификаторами Майкрософт. Счета за функции, включенные в Microsoft Entra P2, не выставляются. Кроме того, если гость не принимает никаких активных действий, связанных с управлением в течение месяца, например в случаях, когда доступ был автоматически назначен в предыдущем месяце, они не будут выставляться в течение этого месяца.
Вы можете определить действия, которые будут выставляться в систему управления идентификаторами Майкрософт для гостей, просматривая журналы аудита. В частности, каждое оплачиваемое действие содержит следующие свойства:
TargetId: идентификатор объекта целевого пользователя
TargetUserType: Guest
GovernanceLicenseFeatureUsed: True
В следующей таблице содержится список текущих оплачиваемых действий для гостевых пользователей. Этот список может измениться при добавлении дополнительных функций в систему управления идентификаторами Microsoft Entra.
| Служба | Действие | Оплачиваемое событие и API | Журнал аудита, где TargetUserType является guest and GovernanceLicenseFeatureUsed is True |
|---|---|---|---|
| Управление полномочиями | Запрос пакета доступа от имени других пользователей | Счет по успешному созданию запроса. Пользователь запрашивает или обновляет назначение пакета доступа от имени другого пользователя. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests При извлечении запрашивающего элемента (диспетчера) из маркера целевой объект определяется идентификатором прямого сотрудника, получающего доступ. |
Запросы пользователей на назначение пакета доступа, создание запроса на обновление пакета доступа |
| Управление полномочиями | Гость назначается назначению ролей Microsoft Entra | Выставление счетов за успешное создание запроса, если роль Microsoft Entra включена в пакет доступа. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests Если пакет доступа содержит роль Microsoft Entra. |
Запросы пользователей на назначение пакета доступа, создание запроса на обновление пакета доступа |
| Управление полномочиями | Политика спонсора применяется к назначению | Счет по успешному созданию запроса, если спонсор входит в политику пакета доступа. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests где спонсор входит в политику пакета доступа в качестве утверждающего. |
Запросы пользователей на назначение пакета доступа, создание запроса на обновление пакета доступа |
| Управление полномочиями | EM — PIM для групп | Счет за успешное создание запроса, если группа PIM включена в пакет доступа. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests Если пакет доступа содержит группу PIM. |
Пользователь запрашивает назначение пакета доступа, создание запроса на обновление пакета доступа. |
| Управление полномочиями | Гостевой использует проверенный идентификатор для запроса | Выставление счетов по успешному созданию запроса при необходимости проверенного идентификатора в политике. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests Если для политики пакета доступа требуется проверенный идентификатор. |
Пользователь запрашивает назначение пакета доступа, создание запроса на обновление пакета доступа. |
| Управление полномочиями | Гостевая политика, назначенная пользовательским расширением | Выставление счетов по успешному созданию запроса при включении пользовательского расширения в политику назначения. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests если настраиваемое расширение входит в политику назначения. |
Пользователь запрашивает назначение пакета доступа, создание запроса на обновление пакета доступа. |
| Управление полномочиями | Гостевая служба предоставляет политику автоматического назначения | Счет по успешному созданию запроса с помощью политики автоматического назначения. | Управление правами создает запрос на назначение пакета доступа для пользователя. |
| Управление полномочиями | Непосредственно назначьте любого пользователя | Счет за успешное создание запроса при использовании непосредственного назначения пакета доступа пользователю еще не в каталоге. API https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/assignmentRequests при использовании requestType "AdminAdd" для пользователя, который не существует в каталоге. |
Администратор напрямую назначает пользователю доступ к пакету. |
| Управление полномочиями | Пометить гостевой как управляемый | Счет по преобразованию в управляемый пользователь. API https://graph.microsoft.com/beta/identityGovernance/entitlementManagement/subjects где "subjectLifecycle" имеет значение "управляемый". |
Обновление жизненного цикла пользователя пакета доступа. |
| Рабочие процессы жизненного цикла | Рабочий процесс запускается для гостя | Счет по выполнению рабочего процесса. API https://graph.microsoft.com/v1.0/identityGovernance/lifecycleWorkflows/workflows/{workflowId}/activate |
Выполнение рабочего процесса началось для пользователя. |
| Проверки доступа | Проверка доступа — проверки доступа с помощью машинного обучения | Выставление счетов при включении гостевого пользователя в проверку. API https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions где параметры рекомендаций включены в групповой проверке. |
Доступно после 8.1.2025 |
| Проверки доступа | Проверка доступа — неактивные пользователи | Выставление счетов при включении гостевого пользователя в проверку. API https://graph.microsoft.com/v1.0/identityGovernance/accessReviews/definitions где неактивные отзывы гостей включены в политику для ресурса группы. |
Доступно после 8.1.2025 |
Выставление счетов гостей в мультитенантных организациях
Гостевое выставление счетов системы управления применяется только для пользователей с гостевым типом пользователя, поэтому если лицензированные пользователи microsoft Entra ID Governance передаются в дополнительные клиенты организации с пользователем UserType участника, они не будут начисляться на метр выставления счетов.
Если эти пользователи входят в систему с пользовательским типом гостя , они накапливаются на счетчике, однако вы можете избежать оплаты путем настройки или присоединения к мультитенантной организации. Если гостевой пользователь входит в клиент организации, гость не будет накапливаться на счете выставления счетов. См. статью "Настройка мультитенантной организации" в Microsoft 365.
Примеры выставления счетов
Сценарий 1. Автоматизация назначений пакетов доступа
Март:
Contoso создает политику автоназначения, которая назначает пакет доступа 500 гостевым пользователям.
ИТ-отдел Contoso запускает API гостевого преобразования для другого набора 500 гостевых пользователей.
Выставление счетов: в марте компания Contoso взимается за 1000 гостевых пользователей: 500 пользователей для политики автоназначения и 500 пользователей для API преобразования гостей.
Апрель:
500 гостевых пользователей, которые были автоматически назначены пакетом доступа в марте, сохраняют свои назначения, но не оплачиваются, так как не было явного действия, принятого для этих пользователей в апреле.
Кроме того, ИТ-специалисты Contoso выполняют проверку неактивного доступа на 100 гостей.
Выставление счетов: в апреле contoso выставляется счет за 100 пользователей для проверки неактивного доступа.
Сценарий 2. Рабочий процесс жизненного цикла и проверка доступа для неактивных пользователей
Март:
Fabrikam выполняет рабочий процесс жизненного цикла для 300 гостевых пользователей.
Кроме того, они выполняют проверку доступа для неактивных пользователей, предназначенных для 100 гостей, как и раньше, а также другой набор 200 гостей.
Выставление счетов: в марте Fabrikam взимается плата за 300 пользователей для рабочего процесса жизненного цикла и 200 пользователей для проверки неактивного доступа. Так как 100 гостевых пользователей уже нанесли плату за рабочий процесс жизненного цикла, они не нанесли никакой дополнительной платы за неактивную проверку пользователей, так как каждый гостевой пользователь будет взиматься только один раз за одно или несколько действий управления в месяц.
Апрель:
Из второй группы 200 гостевых пользователей в марте 150 гостей получают пакет доступа, назначаемый автоматически, который предоставляет доступ к приложению и имеет тот же неактивный просмотр доступа пользователей, который был запущен в марте, повторяющийся в апреле.
Выставление счетов: в апреле fabrikam выставляется счет за 150 пользователей, и они не взимается за действие автоматического назначения пакета доступа, так как эти 150 гостей уже были взиматься за апрель.
Сценарий 3. Проверки доступа для неактивных пользователей и принадлежности пользователей к группам
Май:
- Tailspin Toys создает неактивную проверку гостевого доступа для 200 пользователей.
- Tailspin создает вторую проверку доступа для группы безопасности с 300 гостевыми пользователями с включенной функцией принадлежности пользователей к группам.
- Выставление счетов: в мае Tailspin выставляется счет за 500 пользователей — 200 за неактивный просмотр гостевого доступа и 300 для проверки с членством пользователей в группу.
Связывание клиента с подпиской
Клиенты должны быть связаны с подпиской Azure для правильного выставления счетов и доступа к функциям. Чтобы связать клиента с подпиской, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra с учетной записью, которая имеет по крайней мере роль участника в подписке или группу ресурсов в подписке.
Выберите каталог, который нужно связать: на панели инструментов Центра администрирования Microsoft Entra щелкните значок "Параметры " на панели инструментов портала. Затем на портале | Страница каталогов и подписок, найдите клиента рабочей силы в списке имен каталогов и нажмите кнопку "Переключить".
Перейдите напанель мониторинга управления идентификаторами идентификаторов>записей>.
На панели мониторинга управления найдите панель гостевого управления и нажмите кнопку "Начать работу".
В области "Связать подписку" выберите подписку и группу ресурсов. Затем нажмите кнопку "Включить".
После выполнения этих действий плата за использование подписки Azure будет взиматься на основе данных Azure Direct или Соглашения Enterprise, если это применимо.
Что делать, если не удается найти подписку
Если в области "Ссылка " нет подписок, ниже приведены некоторые возможные причины:
У вас нет соответствующих разрешений. Обязательно войдите с учетной записью Azure, которая имеет по крайней мере роль участника в подписке или группе ресурсов в подписке.
Подписка существует, но она еще не связана с каталогом. Вы можете связать существующую подписку с клиентом , а затем повторить шаги по связыванию подписки с клиентом.
Подписка не существует. В области связывания подписки можно создать подписку, выбрав, если у вас еще нет подписки, которую вы можете создать здесь. После создания новой подписки необходимо создать группу ресурсов в новой подписке, а затем повторить действия по связыванию ее с клиентом.
Отключение гостевого выставления счетов
Вы можете отключить выставление счетов гостей системы управления, вернувшись на панель мониторинга управления и выбрав пункт "Изменить " на панели управления гостевыми гостями. На панели "Изменить гостевой доступ" выберите "Отключить", чтобы отключить выставление счетов и функции управления идентификаторами Майкрософт для гостевых пользователей.
Часто задаваемые вопросы о лицензировании гостевых пользователей
Нужно ли иметь подписку на систему управления идентификаторами Microsoft Entra или Microsoft Entra Suite, если я хочу управлять гостями?
Да. Хотя вам не нужна подписка для гостевых пользователей, вам потребуется по крайней мере одна лицензия Microsoft Entra ID Governance или Microsoft Entra Suite для администратора в клиенте.
Я использовал проверки доступа и функции управления правами, включенные в Microsoft Entra P2 для моих гостевых пользователей. Будет ли я начать получать счета за это использование?
Функции управления, включенные в Microsoft Entra P2, включая основные проверки доступа и возможности управления правами, не будут выставляться в гостевую надстройку управления. Счета выставляются только за функции управления, которые являются эксклюзивными для Microsoft Entra Suite или автономной системы управления идентификаторами Microsoft Entra. Дополнительные сведения см. в действии таблиц с выставлением счетов на этой странице.
Применяется ли гостевая оплата управления ко всем гостевым пользователям, в том числе к первым 50 000 ежемесячным активным пользователям (MAU)?
Да, для выставления счетов по управлению нет бесплатного уровня. Выставление счетов гостей системы управления распространяется на всех гостевых пользователей, даже тех, кто в первом 50 000 MAU.