Azure Active Directory Premium P1 许可证，我们需要吗？

Azure Active Directory Premium P1 许可证在 Microsoft 365 订阅中包含的免费套餐上提供了额外的身份管理功能。在本文中，我们将帮助您了解是否需要投资 Azure Active Directory Premium P1 许可证以及原因。

Azure Active Directory 高级版 P1

现在让我们看一下 Azure Active Directory Premium P1 许可证以及它可以为您的组织提供什么。首先你应该知道它的价格是多少？截至 2021 年，价格为每位用户每月 6 美元。或者以英镑计算，每位用户每月 4.50 英镑。如果您正在阅读这篇文章并且不是 2021 年，请查看 Microsoft 定价页面以获取最准确的定价信息 https://azure.microsoft.com/en-gb/pricing/details/active-directory/。

Azure Active Directory Premium P1 允许我们访问什么？

首先，您可以访问免费套餐中提供的所有功能。除此之外，您还可以执行以下操作：

• 使用条件访问策略
• Azure Active Directory 没有目录对象限制
• 创建密码保护策略，包括禁止的密码列表
• 使用 Azure AD Connect 时，通过本地 Active Directory 写回进行自助服务密码重置。
• 组访问管理，例如：动态组成员身份、组命名和过期策略、组创建权限委派和使用指南
• Azure AD Join 具有自动 MDM 注册和本地管理策略自定义功能
• Azure AD 加入计算机的自助 BitLocker 恢复
• 高级安全和使用报告

为什么需要 Azure Active Directory Premium P1 许可证？

您可能需要 Azure Active Directory Premium P1 许可证的原因有很多。让我们首先解释谁需要获得许可......微软官方文档指出，如果用户将从该许可证中包含的功能中受益，那么他们必须获得该许可证。

进行此解释的原因是，如果向租户添加单个 Azure Active Directory Premium P1 许可证，则所有用户都可以访问和使用高级功能。但是，如果用户受益于在租户中启用这些功能，则必须为其分配许可证。如果没有分配所需的许可证，您就违反了 Microsoft 许可协议。

话虽如此，解释为什么需要 Azure Active Directory Premium P1 许可证的最简单方法是通过一些示例。

示例1

您有一个具有自定义域 ourcloudnetwork.com 的 Microsoft 365 租户。所有用户都分配有 M365 商业标准许可证。他们的设备已加入 Azure Active Directory 并运行最新版本的 Windows 10 Pro。您的公司希望部署第三方多重身份验证解决方案，强制在登录所有在线云服务时使用 MFA。

在此示例中，IT 团队建议使用条件访问来满足每次登录时都必须使用 MFA 的要求。目前，在示例中，用户仅拥有其 M365 商业标准订阅中包含的 Azure Active Directory 免费许可证。为了使用 Azure AD 中的条件访问功能，需要 Azure Active Directory Premium P1 许可证。

示例2

你有具有自定义域 ourcloudnetwork.com 的 Microsoft 365 租户。贵公司正经历大量收购的时期。在这些公司收购期间，所有新的现有员工都将在 ourcloudnetwork.com 租户中创建。您需要通过创建权限和许可证的自动分配来简化用户创建过程。

在此例如，您可以通过使用动态组成员身份根据用户的组成员身份自动向用户分配用户许可证和安全权限来满足要求。应将 Azure Active Directory Premium P1 许可证分配给受动态组成员身份影响的每个用户。

利用 Azure Active Directory Premium P1 许可证

不用说，您应该利用新的 Premium P1 许可。许多组织没有这样做，这确实让我感到困惑……但也许是因为他们不熟悉如何将这些丰富的新功能应用到他们的组织中。

我们来谈谈如何开始利用 Azure Active Directory Premium P1 许可证的投资。

1. 使用条件访问策略！这可能是您将从该许可证获得的最大附加功能。确保您使用条件访问策略来保护您的用户身份！您可以强制使用多重身份验证、要求设备加入 Azure AD、阻止特定位置的登录，甚至阻止有风险的登录尝试。
2. 如果您将 Azure AD Connect 与本地 Active Directory 一起使用，则允许用户在云中重置密码。如果您运行的是混合环境，则可能是用户不在办公室的情况并且无法登录他们的365帐户。他们无法重置密码，因为他们的帐户已与其本地组织同步。使用 Azure Active Directory Premium P1，您可以通过本地目录写回启用自助密码重置。
3. 禁止常见密码！您应该创建一个禁止密码列表，以确保组织中的用户不会使用常见或容易猜测的密码。通过对密码列表进行内置复杂性检查，您可以确保您的员工无法使用您选择的单词以及此类单词的复杂变体。