Cuando decida pasarse a un servicio de gestión de identidades y accesos, tendrá que tener en cuenta los costes y las capacidades de cada nivel que ofrece Microsoft para asegurarse de que tiene la cobertura que necesita a un precio que puede pagar.
Microsoft lanzó Azure Active Directory (Azure AD) a la disponibilidad general en 2013, y muchos en TI son al menos conscientes de ello si no lo están utilizando activamente. Tiende a haber cierta confusión sobre este producto debido a su nombre; Azure AD no es Active Directory en la nube. Ambos tienen sistemas de gestión de identidades como componente clave, pero son sistemas muy diferentes. Una vez que te des cuenta de esto, entonces querrás ir más allá y realizar una comparación de Azure AD Premium P1 vs P2.
- ¿Qué es Active Directory?
- ¿Qué es Azure Active Directory?
- ¿Cómo funciona Azure AD con Active Directory local?
- ¿Qué tipos de licencias de Azure AD ofrece Microsoft?
- Microsoft elimina la edición Azure AD Basic
- Elegir una licencia de Azure AD
- Una comparación de las características de Azure AD Premium P1 frente a P2
- Comparación de precios de Azure AD Premium P1 frente a P2
- Pruebe Azure AD con la edición gratuita
¿Qué es Active Directory?
Active Directory es el servicio de directorio de Microsoft diseñado para ejecutarse en las instalaciones del sistema operativo Windows Server que controla el acceso a la organización y sus recursos. Parte de Active Directory es el rol de servidor de Servicios de Dominio de Active Directory, también conocido como controlador de dominio, que incorpora la funcionalidad para almacenar datos en el directorio, como las contraseñas de los usuarios, y realiza las tareas de autorización y autenticación en el dominio. La estructura del directorio utiliza objetos, que pueden ser cuentas de ordenador, servidores o impresoras – esencialmente, cualquier dispositivo o usuario que se conecte a la red de la organización.
Se pueden instalar los Servicios de Dominio de Active Directory en varias implementaciones de Windows Server, que luego asumen el papel de controladores de dominio dentro del bosque de Active Directory, que es el nivel más alto en la jerarquía del directorio. Active Directory proporciona servicios de autenticación, control de acceso y seguridad (directiva de grupo) para los recursos dentro del bosque.
¿Qué es Azure Active Directory?
Azure Active Directory, que se conoce más comúnmente como Azure AD, es un servicio de control de acceso y gestión de identidades basado en la nube. Se incluye con las suscripciones de Office 365 y Microsoft 365, pero Microsoft también vende otras ediciones de Azure AD con diferentes niveles de funcionalidad. Al igual que Active Directory, Azure AD proporciona servicios de autenticación y control de acceso, pero ha sido diseñado específicamente para dar soporte a las necesidades únicas de los usuarios y las aplicaciones en la nube.
Aunque hay muchas similitudes entre Active Directory y Azure AD, Azure AD no es simplemente Active Directory en la nube. Azure AD ofrece funcionalidades específicas para la nube que no existen en un entorno tradicional de Active Directory. Por ejemplo, Active Directory no ofrece una forma de unir dominios de dispositivos móviles, pero Azure AD se integra con Microsoft Intune para gestionar dispositivos móviles. Del mismo modo, Active Directory no admite de forma nativa sistemas que no sean Windows, pero Azure AD permite que los equipos Linux accedan a varios recursos utilizando identidades gestionadas. Puede encontrar más información sobre las diferencias entre Active Directory y Azure AD en este enlace de documentación de Microsoft.
¿Cómo funciona Azure AD con Active Directory local?
Aunque tanto Active Directory como Azure AD pueden existir como entornos de directorio independientes, es habitual que las organizaciones creen directorios híbridos que funcionan tanto con controladores de dominio locales como con Azure AD.
Microsoft proporciona una herramienta gratuita llamada Azure AD Connect para unir estos dos entornos. Azure AD Connect replica las cuentas de usuario de Active Directory a Azure AD, lo que permite que un usuario tenga una única identidad capaz de acceder tanto a los recursos locales como a los basados en la nube.
¿Qué tipos de licencias de Azure AD ofrece Microsoft?
Microsoft vende actualmente cuatro opciones de licencias de Azure AD. La primera es la opción gratuita, que se recomienda para las organizaciones más pequeñas y tiene un límite de 500.000 objetos de directorio. Está pensada principalmente como mecanismo de autenticación y control de acceso y admite el aprovisionamiento de usuarios y las funciones básicas de gestión de usuarios, como la creación, eliminación y modificación de cuentas de usuario. Estos usuarios pueden aprovechar el cambio de contraseñas de autoservicio, y los administradores pueden crear listas globales de contraseñas prohibidas o exigir la autenticación multifactor (MFA).
El nivel gratuito de Azure AD también admite funciones avanzadas, como la compatibilidad con Azure AD Connect y la autenticación de paso en la nube. Además, la edición Azure AD Free permite la autenticación federada basada en Active Directory Federation Services o de terceros, así como la funcionalidad de inicio de sesión único. Los administradores pueden crear informes básicos de seguridad y uso en la versión Free.
Microsoft incluye Azure AD con Office 365 y Microsoft 365 -en concreto, las suscripciones E1, E3, E5, F1 y F3- como el servicio de directorio subyacente necesario para el funcionamiento de las aplicaciones de la plataforma, como Exchange Online para el correo electrónico y SharePoint Online para la gestión de contenidos.
Microsoft llama a esto la edición Office 365 Apps de Azure AD. Tiene las mismas características y capacidades que la versión Free, pero también se adhiere a un acuerdo de nivel de servicio (SLA) del 99,9% de disponibilidad. La edición gratuita no tiene SLA.
La edición Office 365 Apps también permite varias personalizaciones, como la marca de la empresa. Quizá lo más importante es que la versión de Office 365 Apps admite la sincronización bidireccional de los objetos de los dispositivos. Esto significa que los cambios realizados dentro de Azure AD se propagan al entorno de Active Directory en el centro de datos de la organización y viceversa.
Además de la edición gratuita y de Office 365 Apps de Azure AD, Microsoft también ofrece dos versiones premium conocidas como Premium P1 y Premium P2. (Premium solía ser un solo nivel, pero Microsoft lo dividió en dos ediciones). Las versiones premium incluyen todo lo que se incluye en la edición de Office 365 Apps y características adicionales que giran en torno a las identidades híbridas, la gestión de acceso avanzada basada en grupos y el acceso condicional. Las ediciones premium también incluyen compatibilidad con Microsoft Identity Manager para extraer registros de aplicaciones de software de gestión de capital humano locales, como Oracle PeopleSoft.
La versión P2 es la que tiene más características e incluye funcionalidades orientadas a la protección de la identidad y al gobierno de la identidad.
Microsoft elimina la edición Azure AD Basic
Microsoft había ofrecido otro nivel de Azure AD llamado Basic, pero eliminó esta edición a finales de 2019. Las organizaciones que se suscribieron a Azure AD Basic antes de este cambio pueden seguir utilizando la licencia. Este nivel tenía el mismo conjunto de características que la edición Azure AD Office 365 Apps con una excepción: Carecía de autenticación multifactor.
Elegir una licencia de Azure AD
Como se ha señalado anteriormente, hay cuatro opciones de Azure AD. La versión gratuita es la más adecuada para organizaciones pequeñas y entornos de desarrollo/prueba, mientras que la versión de Office 365/Microsoft 365 viene con características añadidas para trabajar con la funcionalidad en la plataforma de colaboración de Microsoft, pero nada más.
Las ediciones Azure AD Premium P1 y P2 se dirigen a entornos de clase empresarial que requieren capacidades avanzadas de control de acceso. Azure AD Premium P2 es una buena opción para las organizaciones de sectores muy regulados, como el gobierno o la sanidad, o para aquellas que requieren la mayor seguridad posible.
Una comparación de las características de Azure AD Premium P1 frente a P2
Ahora que tiene una comprensión básica de Azure AD y sus cuatro ediciones, veamos qué obtiene con Azure AD Premium P1 frente a P2. Hay cuatro razones principales para elegir Premium P2:
1. La función de protección de la identidad en Premium P2 ofrece una visión general de los intentos de autenticación cuestionables. Examina los inicios de sesión y evalúa lo arriesgados que pueden ser, como por ejemplo, la detección de un inicio de sesión de una cuenta desde un país, y luego desde otro país diferente 10 minutos después. Los administradores pueden manejar esos intentos de autenticación sospechosos automáticamente con políticas que pueden forzar la MFA o bloquear el acceso por completo. La protección de la identidad es uno de los mejores argumentos para pasar a P2, ya que reduce en gran medida muchos riesgos relacionados con el acceso de los usuarios.
2. La gestión de identidades privilegiadas (PIM) es un conjunto de controles para gestionar las cuentas de acceso de nivel superior en Azure AD. Incluye funciones de seguridad como el acceso justo a tiempo para conceder derechos temporalmente y eliminarlos con registro y auditoría completos. También se pueden activar flujos de trabajo con justificación y notificaciones en torno a la activación de estos privilegios. Si tiene que lidiar con muchos cambios no autorizados en su entorno, PIM podría ayudarle a recuperar el control.
3. La función de revisión de accesos garantiza que sólo el personal adecuado pueda utilizar recursos específicos. Esto es útil cuando se incorpora y se retira el personal, o cuando el personal cambia de funciones. También puede poner comprobaciones en los usuarios existentes para revisar su acceso a los recursos y empujar estas decisiones hacia los propietarios de las aplicaciones. Puede adaptar las comprobaciones recurrentes para satisfacer los requisitos de la empresa o para cumplir las normas de conformidad. Es una buena característica para darle más control para permitir o bloquear el acceso a los recursos importantes sin tener que recordar hacerlo.
4. La gestión de derechos es una característica de gobierno de la identidad que utiliza la automatización para gestionar los ciclos de vida de la identidad, los ciclos de vida del acceso y el acceso privilegiado. Proporciona controles para dar acceso a los recursos de la organización, como grupos y aplicaciones, tanto para usuarios internos como externos. La gestión de derechos utiliza un paquete de acceso que agrupa los recursos variados, como los sitios de SharePoint Online y los derechos de acceso a las aplicaciones en la nube, utilizados en el proceso de solicitud.
Comparación de precios de Azure AD Premium P1 frente a P2
Azure AD Premium P1 viene como parte de la suite Office 365/Microsoft 365 E3, y Azure AD Premium P2 se incluye con la suite Office 365/Microsoft 365 E5. Microsoft también ofrece los niveles como una compra separada; Azure AD Premium P1 cuesta 6 dólares por usuario, por mes, mientras que Azure AD Premium P2 es de 9 dólares por usuario, por mes.
Microsoft ofrece diferentes precios en las ediciones P1 y P2 para un usuario activo mensual (MAU) – alguien que inicia sesión o realiza una actividad relacionada con la identidad en el inquilino. Los primeros 50.000 MAU son gratuitos. A partir de ahí, Microsoft cobra 0,00325 dólares por MAU en la edición P1 y 0,01625 dólares por MAU en la edición P2.
Otra opción que vale la pena considerar es el paquete Microsoft 365 Identity and Threat Protection (12 dólares por usuario, al mes), que tiene Azure AD Premium P2, Microsoft Cloud App Security y Microsoft 365 Defender -antes llamado Microsoft Threat Protection- que proporciona Azure Sentinel, Microsoft Defender for Identity (antes Azure Advanced Threat Protection), Microsoft Defender for Endpoint (antes Microsoft Defender ATP) y Microsoft Defender for Office 365 (antes Office 365 Advanced Threat Protection). Esta combinación proporciona un conjunto más amplio de beneficios de seguridad y no cuesta mucho más que la licencia de Azure AD Premium P2.
Decidir qué paquete comprar requiere mucha investigación y comprensión para asegurarse de obtener el mejor valor por su dinero. No compre el mejor nivel absoluto de licencia disponible hasta que sepa que lo va a utilizar.
Pruebe Azure AD con la edición gratuita
Azure AD sigue creciendo y recogiendo nuevas características y habilidades con regularidad. Entre las capacidades de gestión de identidades de Azure AD se encuentra una mezcla de gestión de usuarios tanto internos como externos, gestión de acceso a aplicaciones y protección de cuentas. La mayoría de las empresas utilizarán tanto Active Directory local como Azure AD para satisfacer diferentes requisitos del sistema, y ambos sistemas se complementan bien.
Puedes probar Azure AD sin coste alguno configurando un tenant de Azure gratuito si aún no lo tienes, y luego crear un directorio. A continuación, puede instalar opcionalmente el cliente Azure AD Connect para sincronizar sus objetos de Active Directory locales.
Este nivel gratuito de Azure AD es excelente para fines de prueba, pero no para el entorno vivo de una empresa. La edición gratuita no tiene características de seguridad esenciales como el acceso condicional y MFA. Usted quiere evitar poner las identidades en la nube sin la protección de MFA. Una búsqueda superficial en línea encuentra una sesión reciente de la conferencia Black Hat que discute lo fácil que es atacar estas configuraciones de Azure AD, por lo que es muy recomendable bloquear el inquilino de Azure AD antes de empezar a experimentar.