Při rozhodování o přechodu na službu správy identit a přístupu musíte zohlednit náklady a možnosti jednotlivých úrovní, které společnost Microsoft nabízí, abyste se ujistili, že získáte potřebné pokrytí za cenu, kterou si můžete dovolit.
Microsoft uvolnil službu Azure Active Directory (Azure AD) do všeobecné dostupnosti v roce 2013 a mnozí pracovníci IT o ní přinejmenším vědí, pokud ji aktivně nepoužívají. Kolem tohoto produktu bývá kvůli jeho názvu určitý zmatek; Azure AD není Active Directory v cloudu. Klíčovou součástí obou je systém správy identit, ale jedná se o velmi odlišné systémy. Jakmile dojdete k tomuto poznání, budete chtít jít dále a provést srovnání Azure AD Premium P1 vs. P2.
- Co je Active Directory?
- Co je Azure Active Directory?
- Jak funguje služba Azure AD s lokální službou Active Directory?
- Jaké typy licencí Azure AD společnost Microsoft nabízí?
- Microsoft odstraňuje edici Azure AD Basic
- Výběr licence Azure AD
- Srovnání funkcí Azure AD Premium P1 a P2
- Srovnání cen služby Azure AD Premium P1 vs. P2
- Vyzkoušejte si Azure AD s edicí Free
Co je Active Directory?
Active Directory je adresářová služba společnosti Microsoft určená pro provoz v prostorách operačního systému Windows Server, která řídí přístup k organizaci a jejím prostředkům. Součástí služby Active Directory je role serveru služby Active Directory Domain Services, známá také jako řadič domény, která zahrnuje funkce pro ukládání dat v adresáři, například hesel uživatelů, a provádí úlohy autorizace a ověřování v doméně. Struktura adresáře využívá objekty, kterými mohou být počítačové účty, servery nebo tiskárny – v podstatě jakékoli zařízení nebo uživatel, který se připojuje k síti organizace.
Službu Active Directory Domain Services můžete nainstalovat do několika nasazení systému Windows Server, které pak převezmou roli řadičů domény v rámci doménové struktury služby Active Directory, což je nejvyšší úroveň hierarchie adresáře. Služba Active Directory poskytuje služby ověřování, řízení přístupu a zabezpečení (zásady skupin) pro prostředky v rámci doménové struktury.
Co je Azure Active Directory?
Azure Active Directory, která se častěji označuje jako Azure AD, je cloudová služba pro řízení přístupu a správy identit. Je součástí předplatného Office 365 a Microsoft 365, ale Microsoft prodává i další edice Azure AD s různou úrovní funkčnosti. Stejně jako služba Active Directory poskytuje služba Azure AD služby ověřování a řízení přístupu, ale byla speciálně navržena tak, aby podporovala jedinečné potřeby uživatelů cloudu a cloudových aplikací.
Ačkoli existuje mnoho podobností mezi službami Active Directory a Azure AD, služba Azure AD není jen službou Active Directory v cloudu. Azure AD nabízí funkce specifické pro cloud, které v tradičním prostředí služby Active Directory neexistují. Služba Active Directory například nenabízí způsob připojení mobilních zařízení k doméně, ale služba Azure AD je integrována se službou Microsoft Intune pro správu mobilních zařízení. Podobně služba Active Directory nativně nepodporuje systémy jiné než Windows, ale služba Azure AD umožňuje strojům s Linuxem přistupovat k různým zdrojům pomocí spravovaných identit. Další informace o rozdílech mezi službami Active Directory a Azure AD najdete na tomto odkazu na dokumentaci od společnosti Microsoft.
Jak funguje služba Azure AD s lokální službou Active Directory?
Ačkoli služby Active Directory i Azure AD mohou existovat jako nezávislá adresářová prostředí, je běžné, že organizace vytvářejí hybridní adresáře, které pracují jak s lokálními řadiči domény, tak se službou Azure AD.
Microsoft poskytuje bezplatný nástroj Azure AD Connect pro spojení těchto dvou prostředí. Azure AD Connect replikuje uživatelské účty služby Active Directory do služby Azure AD, což uživateli umožňuje mít jedinou identitu schopnou přistupovat k místním i cloudovým zdrojům.
Jaké typy licencí Azure AD společnost Microsoft nabízí?
Microsoft v současné době prodává čtyři možnosti licencování služby Azure AD. První z nich je možnost Free, která se doporučuje pro menší organizace a má limit 500 000 adresářových objektů. Je určena především jako mechanismus ověřování a řízení přístupu a podporuje poskytování uživatelů a základní funkce správy uživatelů, jako je vytváření, mazání a úprava uživatelských účtů. Tito uživatelé mohou využívat samoobslužnou změnu hesla a správci mohou vytvářet globální seznamy zakázaných hesel nebo vyžadovat vícefaktorové ověřování (MFA).
Vrstva Free služby Azure AD podporuje také pokročilé funkce, včetně podpory služby Azure AD Connect a průchozího cloudového ověřování. Verze Azure AD Free navíc umožňuje federativní ověřování založené na službě Active Directory Federation Services nebo na ověřování třetích stran a také funkci jednotného přihlášení. Správci mohou ve verzi Free vytvářet základní přehledy o zabezpečení a využití.
Microsoft zahrnuje Azure AD s Office 365 a Microsoft 365 – konkrétně s předplatnými E1, E3, E5, F1 a F3 – jako základní adresářovou službu potřebnou k provozu aplikací na platformě, jako je Exchange Online pro e-mail a SharePoint Online pro správu obsahu.
Microsoft tuto edici Azure AD nazývá Office 365 Apps. Má stejné funkce a možnosti jako verze Free, ale také dodržuje dohodu o úrovni služeb (SLA) s dostupností 99,9 %. Edice Free nemá žádnou smlouvu SLA.
Edice Office 365 Apps také umožňuje různá přizpůsobení, například tvorbu firemní značky. Možná ještě důležitější je, že verze Office 365 Apps podporuje obousměrnou synchronizaci objektů zařízení. To znamená, že změny provedené v rámci Azure AD se propagují do prostředí Active Directory v datovém centru organizace a naopak.
Kromě bezplatné verze a verze Office 365 Apps nabízí společnost Microsoft také dvě prémiové verze známé jako Premium P1 a Premium P2. (Premium bývala jedna úroveň, ale Microsoft ji rozdělil na dvě edice.) Verze Premium zahrnují vše, co je součástí edice Office 365 Apps, a další funkce, které se točí kolem hybridních identit, pokročilé správy přístupu na základě skupin a podmíněného přístupu. Prémiové edice také obsahují podporu pro Microsoft Identity Manager, který umožňuje přebírat záznamy z lokálních softwarových aplikací pro správu lidského kapitálu, jako je například Oracle PeopleSoft.
Verze P2 má nejvíce funkcí a zahrnuje funkce zaměřené na ochranu a správu identit.
Microsoft odstraňuje edici Azure AD Basic
Microsoft nabízel další úroveň Azure AD s názvem Basic, ale koncem roku 2019 tuto edici odstranil. Organizace, které si předplatily Azure AD Basic před touto změnou, mohou tuto licenci používat i nadále. Tato úroveň měla stejnou sadu funkcí jako edice Azure AD Office 365 Apps s jednou výjimkou:
Výběr licence Azure AD
Jak již bylo uvedeno, existují čtyři možnosti Azure AD. Verze Free je nejvhodnější pro malé organizace a vývojová/testovací prostředí, zatímco verze Office 365/Microsoft 365 obsahuje přidané funkce pro práci s funkcemi na platformě Microsoft pro spolupráci, ale nic víc.
Verze Azure AD Premium P1 a P2 jsou zaměřeny na prostředí podnikové třídy, která vyžadují pokročilé funkce řízení přístupu. Azure AD Premium P2 se hodí pro organizace v silně regulovaných odvětvích, jako je státní správa nebo zdravotnictví, nebo pro ty, které vyžadují co nejsilnější zabezpečení.
Srovnání funkcí Azure AD Premium P1 a P2
Teď, když máte základní představu o Azure AD a jeho čtyřech edicích, se podívejme, co získáte s Azure AD Premium P1 a P2. Existují čtyři hlavní důvody, proč zvolit Premium P2:
1. Funkce ochrany identity v Premium P2 poskytuje přehled o pochybných pokusech o ověření. Prohlíží přihlášení a vyhodnocuje, jak riziková mohou být, například zjistí přihlášení k účtu z jedné země a o 10 minut později z jiné země. Správci mohou tyto podezřelé pokusy o ověření řešit automaticky pomocí zásad, které mohou vynutit MFA nebo zcela zablokovat přístup. Ochrana identity je jedním z nejlepších argumentů pro přechod na P2, protože výrazně snižuje mnohá rizika spojená s přístupem uživatelů.
2. Správa privilegovaných identit (PIM) je soubor ovládacích prvků pro správu přístupových účtů vyšší úrovně v Azure AD. Zahrnuje bezpečnostní funkce, jako je přístup just-in-time pro dočasné udělování práv a jejich odebírání s úplným protokolováním a auditem. Kolem aktivace těchto oprávnění lze také spouštět pracovní postupy s odůvodněním a oznámeními. Pokud se musíte potýkat s velkým množstvím neautorizovaných změn ve vašem prostředí, PIM vám může pomoci získat zpět kontrolu.
3. Funkce přezkoumání přístupu zajišťuje, že konkrétní prostředky mohou používat pouze ti správní zaměstnanci. To je užitečné při nástupu a výstupu zaměstnanců nebo při změně rolí pracovníků. Můžete také zavést kontroly stávajících uživatelů, abyste přezkoumali jejich přístup ke zdrojům, a tato rozhodnutí posunout směrem k vlastníkům aplikací. Opakované kontroly můžete přizpůsobit tak, aby vyhovovaly obchodním požadavkům nebo splňovaly pravidla shody s předpisy. Je to příjemná funkce, která vám poskytne větší kontrolu nad povolováním nebo blokováním přístupu k důležitým zdrojům, aniž byste na to museli pamatovat.
4. Správa oprávnění je funkce správy identit, která využívá automatizaci pro správu životních cyklů identit, životních cyklů přístupu a privilegovaného přístupu. Poskytuje ovládací prvky pro udělování přístupu ke zdrojům organizace, jako jsou skupiny a aplikace, pro interní i externí uživatele. Správa oprávnění využívá balíček přístupu, který sdružuje různé zdroje, například weby SharePoint Online a přístupová práva ke cloudovým aplikacím, používané v procesu žádosti.
Srovnání cen služby Azure AD Premium P1 vs. P2
Služba Azure AD Premium P1 je součástí sady Office 365/Microsoft 365 E3 a služba Azure AD Premium P2 je součástí sady Office 365/Microsoft 365 E5. Společnost Microsoft nabízí tyto úrovně také jako samostatný nákup; Azure AD Premium P1 stojí 6 dolarů za uživatele a měsíc, zatímco Azure AD Premium P2 stojí 9 dolarů za uživatele a měsíc.
Microsoft nabízí různé ceny edic P1 a P2 pro měsíčního aktivního uživatele (MAU) – někoho, kdo se přihlásí nebo provede činnost související s identitou nájemce. Za prvních 50 000 MAU není účtován žádný poplatek. Po uplynutí této doby si společnost Microsoft účtuje 0,00325 USD za MAU v edici P1 a 0,01625 USD za MAU v edici P2.
Další možností, která stojí za zvážení, je balíček Microsoft 365 Identity and Threat Protection (12 USD na uživatele a měsíc), který obsahuje Azure AD Premium P2, Microsoft Cloud App Security a Microsoft 365 Defender – dříve nazývaný Microsoft Threat Protection – který poskytuje Azure Sentinel, Microsoft Defender for Identity (dříve Azure Advanced Threat Protection), Microsoft Defender for Endpoint (dříve Microsoft Defender ATP) a Microsoft Defender for Office 365 (dříve Office 365 Advanced Threat Protection). Tato kombinace poskytuje rozsáhlejší sadu bezpečnostních výhod a nestojí o mnoho více než licence Azure AD Premium P2.
Rozhodování o tom, který balíček koupit, vyžaduje důkladný průzkum a porozumění, abyste se ujistili, že za své peníze získáte nejlepší hodnotu. Nekupujte si absolutně nejlepší dostupnou úroveň licence, dokud nevíte, že ji využijete.
Vyzkoušejte si Azure AD s edicí Free
Azure AD se stále rozrůstá a pravidelně sbírá nové funkce a schopnosti. Mezi možnosti správy identit Azure AD patří kombinace správy uživatelů pro interní i externí uživatele, správa přístupu k aplikacím a ochrana účtů. Většina společností bude pro splnění různých systémových požadavků používat jak místní službu Active Directory, tak Azure AD, a oba systémy se navzájem dobře doplňují.
Službu Azure AD si můžete bezplatně vyzkoušet tak, že si zřídíte bezplatného nájemce služby Azure, pokud ho ještě nemáte, a poté si vytvoříte adresář. Poté si můžete volitelně nainstalovat klienta Azure AD Connect pro synchronizaci lokálních objektů služby Active Directory.
Tato bezplatná úroveň služby Azure AD je vhodná pro testovací účely, ale ne pro živé firemní prostředí. Verze Free nemá základní funkce zabezpečení, jako je podmíněný přístup a MFA. Chcete se vyhnout umístění identit do cloudu bez ochrany MFA. Při zběžném hledání na internetu lze nalézt nedávné zasedání konference Black Hat, kde se hovoří o tom, jak snadné je napadnout tato nastavení služby Azure AD, proto se důrazně doporučuje uzamknout nájemce služby Azure AD, než začnete experimentovat.
.