Når du beslutter dig for at skifte til en identitets- og adgangshåndteringstjeneste, skal du tage højde for omkostningerne og funktionerne for hvert niveau, som Microsoft tilbyder, for at sikre dig, at du får den dækning, du har brug for, til en pris, du har råd til.
Microsoft frigav Azure Active Directory (Azure AD) til generel tilgængelighed i 2013, og mange i it-afdelingen er i det mindste opmærksomme på det, hvis de ikke bruger det aktivt. Der er tendens til at være en vis forvirring omkring dette produkt på grund af dets navn; Azure AD er ikke Active Directory i skyen. Begge har identitetsstyringssystemer som en central komponent, men de er meget forskellige systemer. Når du kommer til denne erkendelse, vil du så gå videre og foretage en sammenligning af Azure AD Premium P1 vs. P2.
- Hvad er Active Directory?
- Hvad er Azure Active Directory?
- Hvordan fungerer Azure AD sammen med Active Directory på stedet?
- Hvilke typer Azure AD-licenser tilbyder Microsoft?
- Microsoft fjerner Azure AD Basic-udgaven
- Valg af en Azure AD-licens
- En sammenligning af Azure AD Premium P1 vs. P2-funktioner
- Sammenligning af priserne for Azure AD Premium P1 vs. P2
- Test Azure AD med gratisudgaven
Hvad er Active Directory?
Active Directory er Microsofts katalogtjeneste, der er designet til at køre på stedet på Windows Server-operativsystemet, som styrer adgangen til organisationen og dens ressourcer. En del af Active Directory er serverrollen Active Directory Domain Services, også kendt som domænecontroller, der indeholder funktionaliteten til at gemme data i kataloget, f.eks. brugernes adgangskoder, og udfører godkendelses- og godkendelsesopgaverne på domænet. I mappestrukturen anvendes objekter, som kan være computerkonti, servere eller printere – i det væsentlige enhver enhed eller bruger, der opretter forbindelse til organisationens netværk.
Du kan installere Active Directory Domain Services på flere Windows Server-distributioner, som derefter påtager sig rollen som domænecontrollere i Active Directory-skoven, som er det øverste niveau i mappehierarkiet. Active Directory leverer godkendelses-, adgangskontrol- og sikkerhedstjenester (gruppepolitik) for ressourcer i skoven.
Hvad er Azure Active Directory?
Azure Active Directory, der mere almindeligt omtales som Azure AD, er en cloud-baseret tjeneste til kontrol af identitetsadgang og administration. Den er inkluderet i Office 365- og Microsoft 365-abonnementer, men Microsoft sælger også andre Azure AD-udgaver med varierende funktionalitetsniveauer. Ligesom Active Directory leverer Azure AD autentificerings- og adgangskontroltjenester, men er specielt designet til at understøtte de unikke behov hos cloud-brugere og cloud-apps.
Og selv om der er mange ligheder mellem Active Directory og Azure AD, er Azure AD ikke blot Active Directory i skyen. Azure AD tilbyder cloud-specifik funktionalitet, som ikke findes i et traditionelt Active Directory-miljø. Active Directory tilbyder f.eks. ikke en måde at domænetilslutte mobile enheder på, men Azure AD integreres med Microsoft Intune til at administrere mobile enheder. På samme måde understøtter Active Directory ikke naturligt ikke-Windows-systemer, men Azure AD gør det muligt for Linux-maskiner at få adgang til forskellige ressourcer ved hjælp af administrerede identiteter. Du kan finde flere oplysninger om forskellene mellem Active Directory og Azure AD på dette dokumentationslink fra Microsoft.
Hvordan fungerer Azure AD sammen med Active Directory på stedet?
Selv om både Active Directory og Azure AD kan eksistere som uafhængige mappemiljøer, er det almindeligt for organisationer at oprette hybride mapper, der fungerer med både domænecontrollere på stedet og Azure AD.
Microsoft tilbyder et gratis værktøj kaldet Azure AD Connect til at forbinde disse to miljøer. Azure AD Connect replikerer Active Directory-brugerkonti til Azure AD, så en bruger kan have en enkelt identitet, der kan få adgang til både lokale og cloud-baserede ressourcer.
Hvilke typer Azure AD-licenser tilbyder Microsoft?
Microsoft sælger i øjeblikket fire muligheder for Azure AD-licensering. Den første er den gratis løsning, som anbefales til mindre organisationer, og som har en grænse på 500.000 mappeobjekter. Den er primært beregnet som en autentificerings- og adgangskontrolmekanisme og understøtter brugertilførsel og grundlæggende brugeradministrationsfunktioner som f.eks. oprettelse, sletning og ændring af brugerkonti. Disse brugere kan drage fordel af selvbetjening til ændring af adgangskoder, og administratorer kan oprette globale lister over forbudte adgangskoder eller kræve multifaktor-godkendelse (MFA).
Azure AD’s Free tier understøtter også avancerede funktioner, herunder understøttelse af Azure AD Connect og pass-through cloud-godkendelse. Derudover giver Azure AD Free-udgaven mulighed for Active Directory Federation Services-baseret eller tredjeparts fødereret autentificering samt funktionalitet til enkeltlogon. Administratorer kan oprette grundlæggende sikkerheds- og brugsrapporter i Free-versionen.
Microsoft inkluderer Azure AD med Office 365 og Microsoft 365 – specifikt E1-, E3-, E5-, F1- og F3-abonnementerne – som den underliggende katalogtjeneste, der kræves for at drive applikationerne på platformen, f.eks. Exchange Online til e-mail og SharePoint Online til indholdsstyring.
Microsoft kalder dette for Office 365 Apps-udgaven af Azure AD. Den har de samme funktioner og muligheder som den gratis version, men den overholder også en serviceniveauaftale (SLA) med en tilgængelighed på 99,9 %. Free-udgaven har ingen SLA.
Den Office 365 Apps-udgave giver også mulighed for forskellige tilpasninger, f.eks. virksomhedsbranding. Måske endnu vigtigere er det, at Office 365 Apps-udgaven understøtter tovejssynkronisering for enhedsobjekter. Det betyder, at ændringer, der foretages i Azure AD, overføres til Active Directory-miljøet i organisationens datacenter og omvendt.
Ud over den gratis udgave og Office 365 Apps-udgaven af Azure AD tilbyder Microsoft også to premium-versioner, der er kendt som Premium P1 og Premium P2. (Premium plejede at være ét niveau, men Microsoft har delt det op i to udgaver.) Premium-versionerne indeholder alt det, der er inkluderet i Office 365 Apps-udgaven, samt yderligere funktioner, der drejer sig om hybride identiteter, avanceret gruppebaseret adgangsstyring og betinget adgang. Premium-udgaverne omfatter også understøttelse af Microsoft Identity Manager til at hente poster fra lokale softwareprogrammer til forvaltning af menneskelige ressourcer, f.eks. Oracle PeopleSoft.
P2-versionen har de fleste funktioner og omfatter funktionalitet rettet mod identitetsbeskyttelse og identitetsstyring.
Microsoft fjerner Azure AD Basic-udgaven
Microsoft havde tilbudt et andet Azure AD-niveau kaldet Basic, men fjernede denne udgave i slutningen af 2019. Organisationer, der abonnerede på Azure AD Basic før denne ændring, kan fortsat bruge licensen. Dette niveau havde samme funktionssæt som Azure AD Office 365 Apps-udgaven med én undtagelse: Den manglede multifaktorgodkendelse.
Valg af en Azure AD-licens
Som tidligere nævnt er der fire Azure AD-muligheder. Free-versionen er bedst egnet til små organisationer og udviklings-/testmiljøer, mens Office 365/Microsoft 365-versionen kommer med ekstra funktioner til at arbejde med funktionaliteten på Microsofts samarbejdsplatform, men ikke mere.
Azure AD Premium P1- og P2-udgaverne er målrettet mod miljøer i virksomhedsklasse, der kræver avancerede adgangskontrolfunktioner. Azure AD Premium P2 passer godt til organisationer i stærkt regulerede brancher, f.eks. offentlige myndigheder eller sundhedsvæsenet, eller til organisationer, der kræver den stærkest mulige sikkerhed.
En sammenligning af Azure AD Premium P1 vs. P2-funktioner
Nu da du har fået en grundlæggende forståelse af Azure AD og de fire udgaver, skal vi se på, hvad du får med Azure AD Premium P1 vs. P2. Der er fire hovedårsager til at vælge Premium P2:
1. Identitetsbeskyttelsesfunktionen i Premium P2 giver et overblik over tvivlsomme autentifikationsforsøg. Den ser på logins og vurderer, hvor risikable de kan være, f.eks. ved at registrere en konto-login fra ét land og derefter et andet land 10 minutter senere. Administratorer kan håndtere disse mistænkelige autentifikationsforsøg automatisk med politikker, der kan fremtvinge MFA eller blokere adgangen helt. Identitetsbeskyttelse er et af de bedste argumenter for at gå over til P2, da det i høj grad reducerer mange risici i forbindelse med brugeradgang.
2. Privileged Identity Management (PIM) er et sæt kontroller til at administrere adgangskonti på højere niveau i Azure AD. Det omfatter sikkerhedsfunktioner som f.eks. just-in-time-adgang til midlertidigt at tildele rettigheder og fjerne dem med fuld logning og auditering. Der kan også udløses arbejdsgange med begrundelse og notifikationer omkring aktivering af disse rettigheder. Hvis du skal kæmpe med mange uautoriserede ændringer i dit miljø, kan PIM hjælpe dig med at genvinde kontrollen.
3. Funktionen til adgangskontrol sikrer, at kun de rigtige medarbejdere kan bruge bestemte ressourcer. Dette er nyttigt ved onboarding og offboarding af personale, eller når personale skifter rolle. Du kan også sætte kontroller på eksisterende brugere for at gennemgå deres adgang til ressourcer og skubbe disse beslutninger videre til applikationsejerne. Du kan skræddersy tilbagevendende kontroller for at opfylde forretningskrav eller overholde regler for overholdelse af reglerne. Det er en god funktion, der giver dig mere kontrol til at tillade eller blokere adgang til vigtige ressourcer uden at skulle huske at gøre det.
4. Rettighedsstyring er en funktion til identitetsstyring, der bruger automatisering til at administrere identitetslivscyklusser, adgangslivscyklusser og privilegeret adgang. Den giver kontrolfunktioner til at give adgang til organisationens ressourcer, f.eks. grupper og applikationer, for både interne og eksterne brugere. Rettighedsstyring bruger en adgangspakke, der samler de forskellige ressourcer, f.eks. SharePoint Online-websteder og adgangsrettigheder til cloud-apps, der bruges i anmodningsprocessen.
Sammenligning af priserne for Azure AD Premium P1 vs. P2
Azure AD Premium P1 er en del af Office 365/Microsoft 365 E3-pakken, og Azure AD Premium P2 er inkluderet i Office 365/Microsoft 365 E5-pakken. Microsoft tilbyder også niveauerne som et separat køb; Azure AD Premium P1 koster 6 USD pr. bruger pr. måned, mens Azure AD Premium P2 koster 9 USD pr. bruger pr. måned.
Microsoft tilbyder forskellige priser på P1- og P2-udgaverne for en månedlig aktiv bruger (MAU) – en person, der logger på eller udfører en identitetsrelateret aktivitet på lejeren. Der er intet gebyr for de første 50.000 MAU’er. Herefter opkræver Microsoft 0,00325 USD pr. MAU i P1-udgaven og 0,01625 USD pr. MAU i P2-udgaven.
En anden mulighed, der er værd at overveje, er Microsoft 365 Identity and Threat Protection-pakken (12 USD pr. bruger pr. måned), som indeholder Azure AD Premium P2, Microsoft Cloud App Security og Microsoft 365 Defender – tidligere kaldet Microsoft Threat Protection – der giver Azure Sentinel, Microsoft Defender for Identity (tidligere Azure Advanced Threat Protection), Microsoft Defender for Endpoint (tidligere Microsoft Defender ATP) og Microsoft Defender for Office 365 (tidligere Office 365 Advanced Threat Protection). Denne kombination giver et mere omfattende sæt af sikkerhedsfordele og koster ikke meget mere end Azure AD Premium P2-licensen.
Det kræver en masse research og forståelse at beslutte, hvilken pakke du skal købe, for at sikre, at du får mest værdi for pengene. Køb ikke det absolut bedste licensniveau, der er tilgængeligt, før du ved, at du vil bruge det.
Test Azure AD med gratisudgaven
Azure AD fortsætter med at vokse og samler regelmæssigt nye funktioner og evner. Blandt Azure AD’s identitetsstyringsfunktioner er en blanding af brugerstyring for både interne og eksterne brugere, administration af programadgang og kontobeskyttelse. De fleste virksomheder vil bruge både on-premises Active Directory og Azure AD til at opfylde forskellige systemkrav, og begge systemer supplerer hinanden godt.
Du kan prøve Azure AD uden omkostninger ved at oprette en gratis Azure tenant, hvis du ikke allerede har en, og derefter oprette en mappe. Du kan derefter eventuelt installere Azure AD Connect-klienten for at synkronisere dine lokale Active Directory-objekter.
Dette Azure AD Free-niveau er godt til testformål, men ikke til en virksomheds live-miljø. Free-udgaven har ikke væsentlige sikkerhedsfunktioner som f.eks. betinget adgang og MFA. Du vil gerne undgå at placere identiteter i skyen uden MFA-beskyttelse. En overfladisk søgning på nettet finder en nylig Black Hat-konferencesession, der diskuterer, hvor let det er at angribe disse Azure AD-opsætninger, så det anbefales kraftigt at låse Azure AD-lejeren ned, før du begynder at eksperimentere.