Entra ID Licensing: Microsoft bringt Licht ins Dunkle
Microsoft stellt einige Lizenzierungsfragen in öffentlich verfügbaren Dokumenten klar
Licensing-Dokumentation ist selten spannend. Aber manchmal stecken darin Antworten auf Fragen, die in der Praxis massive operative und finanzielle Auswirkungen haben können — besonders wenn man als MSSP mehrere Kunden-Tenants betreut oder regelmäßig als Enterprise Unternehmen mit Demo- und Test-Umgebungen arbeitet.
Microsoft hat in seinen Licensing FAQs für Entra ID einige lange offene Fragen endlich klar beantwortet. Dieser Artikel fokussiert sich auf die wichtigsten Punkte für IT Admins und MSSPs.
Das Kern-Prinzip: 1 Person = 1 Lizenz
Das wichtigste Statement aus den FAQs:
“No, a separate Entra ID license is not needed in this case either.”
Diese Antwort bezieht sich auf die Frage, ob ein Mitarbeiter der in mehreren Tenants ODER im selben Tenant mehrere Identitäten oder Accounts hat, mehrere Entra ID Lizenzen benötigt. Die Antwort ist klar: Nein.
Entra ID Lizenzen sind personengebunden, nicht tenantgebunden. Das bedeutet: eine gültige P1- oder P2-Lizenz im Home-Tenant deckt den Benutzer ab — unabhängig davon, in wie vielen weiteren Tenants dieser User als Member oder Guest existiert UND ob er mehrere Accounts (z.B. Admin Account & Daily Work Account) er im selben Tenant besitzt.
PIM in fremden Tenants: Was ist erlaubt?
Privileged Identity Management (PIM) ist eines der wichtigsten Features von Entra ID P2 — Just-in-Time-Aktivierung von Rollen & Approval-Workflows sind eine zentrale Komponente des “Zero Trust” - Prinzips. Die Frage die in der Praxis aber immer wieder auftaucht ist:
Darf ich PIM in einem Kunden-Tenant verwenden, wenn ich dort nur als Gast eingeladen bin — ohne dass der Kunde eine P2-Lizenz für mich kauft?
Die FAQ klärt das für Entra ID P2 indirekt, und explizit für Entra ID Governance:
“No, users in a multi-tenant organization only need one Microsoft Entra ID Governance license. For example, if a user has a governance license in their home tenant and is invited as a guest to another tenant, they do not need a separate ID Governance for External ID license in the guest tenant.”
Das Prinzip ist klar: Die Lizenz folgt dem User, nicht dem Tenant.
Wichtige Nuance: Diese explizite Aussage gilt für Entra ID Governance. Für alle anderen “Entra ID Governance” Features die Teil der Entra ID P2 sind (z.B. unter anderem PIM) gilt aber - soweit das aus diesen FAQs nachvollzogen werden kann - dass nach wie vor 50.000 Guest User KEINE Lizenz benötigen.
Was bedeutet das für MSSPs?
Als MSSP betreut man typischerweise zig Kunden-Tenants. Bisher war unklar: Brauchen Techniker pro Kunden-Tenant eine eigene Entra ID P2 Lizenz um dort z.B. PIM zu nutzen?
Die neue Klarstellung ergibt folgendes Bild:
| Szenario | Lizenz nötig? |
|---|---|
| Techniker mit P2 im MSSP-Home-Tenant, Guest Account in Kunden-Tenant | keine Lizenz im Kunden-Tenant notwendig |
| Governance-Features (Access Reviews, Lifecycle) als Guest nutzen | Nur Home-Tenant-Lizenz |
Das bedeutet: MSSP-Techniker müssen nicht für jeden Kunden-Tenant separat lizenziert werden, solange sie im eigenen MSSP-Tenant ordentlich lizenziert sind und als Guests in den Kunden-Tenants arbeiten.
Demo- und Test-Tenants: Keine Doppellizenzierung notwendig
Ähnlich relevant für Labs, Demo-Umgebungen und interne Testtenants:
Die FAQ bestätigt explizit: Derselbe Mitarbeiter mit mehreren internen Identitäten oder Accounts in verschiedenen Tenants braucht keine separate Lizenz pro Tenant. Das bedeutet, der Aufbau von Staging Umgebungen / Staging Tenants wird für Unternehmen hinsichtlich Lizenz-Compliance um ein Vielfaches einfacher.
Workload Identities: Sicherheit für non-human Identities
Entra Workload ID Premium ist ein oft übersehenes Add-on — und eines der wichtigsten für moderne Zero-Trust-Umgebungen. Zugegebenermaßen ist das kein neues Addon aber leider nach wie vor sehr wenig verbreitet. Es bringt Sicherheits-Features für Service Principals und Managed Identities, die bisher nur für User-Identitäten verfügbar waren:
- Conditional Access für Workload Identities — Apps und Services an Bedingungen knüpfen
- Identity Protection — Risikosignale für kompromittierte Credentials von Apps
- Access Reviews für Workload Identities
Was die FAQ besonders klar stellt: Keine Zuweisung pro Identity nötig. Eine Tenant-Lizenz aktiviert die Features für alle Workload Identities. Lizenziert wird nur, was tatsächlich Premium-Features nutzt.
Governance-Features: P2 bekommt keine Neuheiten mehr
Ein strategisch wichtiger Punkt für langfristige Planung:
“New features added to Entra ID Governance exclusively.”
Entra ID P2 bleibt mit seinen bestehenden Governance-Features (PIM, Access Reviews, Entitlement Management) erhalten — aber alle neuen “Major” Features gehen ausschließlich in Entra ID Governance.
Wer heute auf P2 setzt und langfristig plant, sollte den Step-up auf Entra ID Governance einkalkulieren. Vor allem auch in Hinblick auf die neue “E7 Frontier Suite” in der bereits Entra ID Governance als Addon enthalten ist.
Zusammenfassung
Was Microsoft mit diesen FAQs endlich schwarz auf weiß klargestellt hat:
- Entra ID Governance Lizenzen sind User Lizenzen — MSSPs lizenzieren Techniker nur im Home-Tenant
- Demo- und Test-Tenants erfordern keine Doppellizenzierung für dieselben Personen
- Workload ID Premium aktiviert Identity Protection und CA für Service Principals ohne per-Identity-Assign
- Neue Governance-Features kommen nur noch in Entra ID Governance — P2 wird nicht mehr erweitert
Für Security-Teams die mehrere Tenants verwalten ist das eine erhebliche Vereinfachung der Lizenzlandschaft und der richtige Weg um Security flächendeckend einfach leben zu können.
Quelle: Microsoft Licensing FAQs, FAQ 48 — Microsoft Entra
Disclaimer: Dieser Artikel basiert auf den verlinkten Microsoft Licensing FAQs und stellt keine offizielle Lizenzberatung dar. Für verbindliche Aussagen zu spezifischen Deployment-Szenarien empfehle ich die Konsultation eines Microsoft Licensing-Spezialisten oder des Microsoft Licensing Advisory Service.
Microsoft clarifies licensing questions in publicly available documents
Licensing documentation is rarely exciting. But sometimes it contains answers to questions with massive operational and financial impact in practice — especially when you’re an MSSP managing multiple customer tenants or regularly working as an enterprise organization with demo and test environments.
Microsoft has finally answered some long-standing questions in their Licensing FAQs for Entra ID. This article focuses on the most relevant points for IT admins and MSSPs.
The Core Principle: 1 Person = 1 License
The most important statement from the FAQs:
“No, a separate Entra ID license is not needed in this case either.”
This answers whether an employee with multiple identities or accounts — either across different tenants or within the same tenant — needs multiple Entra ID licenses. The answer is clear: No.
Entra ID licenses are user-bound, not tenant-bound. A valid P1 or P2 license in the home tenant covers the user — regardless of how many additional tenants they exist in as a member or guest, and regardless of whether they have multiple accounts (e.g. admin account & daily work account) in the same tenant.
PIM in External Tenants: What’s Allowed?
Privileged Identity Management (PIM) is one of the most important features of Entra ID P2 — just-in-time role activation and approval workflows are a core component of Zero Trust. The question that keeps coming up in practice:
Can I use PIM in a customer tenant where I’m only invited as a guest — without the customer purchasing a P2 license for me?
The FAQ addresses this indirectly for Entra ID P2, and explicitly for Entra ID Governance:
“No, users in a multi-tenant organization only need one Microsoft Entra ID Governance license. For example, if a user has a governance license in their home tenant and is invited as a guest to another tenant, they do not need a separate ID Governance for External ID license in the guest tenant.”
The principle is clear: The license follows the user, not the tenant.
Important nuance: This explicit statement applies to Entra ID Governance. For all other “Entra ID Governance” features that are part of Entra ID P2 (e.g. PIM among others), the FAQs indicate — as far as can be derived — that up to 50,000 guest users do NOT require a license.
What This Means for MSSPs
As an MSSP you typically manage dozens of customer tenants. It was previously unclear: do technicians need a separate Entra ID P2 license per customer tenant to use PIM there?
The new clarification gives us this picture:
| Scenario | License required? |
|---|---|
| Technician with P2 in MSSP home tenant, guest account in customer tenant | No license required in customer tenant |
| Using governance features (Access Reviews, Lifecycle) as guest | Home tenant license only |
This means: MSSP technicians do not need to be licensed separately for each customer tenant, as long as they are properly licensed in their own MSSP tenant and work as guests in customer tenants.
Demo and Test Tenants: No Double Licensing Required
The FAQ explicitly confirms: the same employee with multiple internal identities or accounts in different tenants does not need a separate license per tenant. This makes building staging environments and staging tenants significantly easier from a license compliance perspective.
Workload Identities: Security for Non-Human Identities
Entra Workload ID Premium is an often overlooked add-on — and one of the most important for modern Zero Trust environments. Admittedly it’s not a new add-on, but it remains far too rarely deployed. It brings security features to Service Principals and Managed Identities that were previously only available for user identities:
- Conditional Access for Workload Identities — bind apps and services to conditions
- Identity Protection — risk signals for compromised app credentials
- Access Reviews for Workload Identities
What the FAQ makes particularly clear: No per-identity assignment needed. A single tenant license activates the features for all workload identities. You only license what actually uses premium features.
Governance Features: P2 Gets No New Additions
A strategically important point for long-term planning:
“New features added to Entra ID Governance exclusively.”
Entra ID P2 retains its existing governance features (PIM, Access Reviews, Entitlement Management) — but all new major features go exclusively into Entra ID Governance.
Anyone running on P2 today and planning ahead should factor in the step-up to Entra ID Governance — especially given the new “E7 Frontier Suite” which already includes Entra ID Governance as an add-on.
Summary
What Microsoft has finally put in writing with these FAQs:
- Entra ID Governance licenses are user licenses — MSSPs only need to license technicians in the home tenant
- Demo and test tenants require no double licensing for the same individuals
- Workload ID Premium enables Identity Protection and CA for Service Principals without per-identity assignment
- New governance features come exclusively to Entra ID Governance — P2 will not be extended further
For security teams managing multiple tenants this is a significant simplification of the licensing landscape — and the right foundation for rolling out security at scale.
Source: Microsoft Licensing FAQs, FAQ 48 — Microsoft Entra
Disclaimer: This article is based on the linked Microsoft Licensing FAQs and does not constitute official licensing advice. For binding guidance on specific deployment scenarios, I recommend consulting a Microsoft Licensing Specialist or the Microsoft Licensing Advisory Service.