Wenn Sie sich für einen Identitäts- und Zugriffsverwaltungsdienst entscheiden, müssen Sie die Kosten und die Funktionen der einzelnen von Microsoft angebotenen Stufen berücksichtigen, um sicherzustellen, dass Sie die benötigte Abdeckung zu einem erschwinglichen Preis erhalten.
Microsoft hat Azure Active Directory (Azure AD) 2013 zur allgemeinen Verfügbarkeit freigegeben, und viele IT-Mitarbeiter kennen es zumindest, wenn sie es nicht aktiv nutzen. Der Name dieses Produkts sorgt oft für Verwirrung, denn Azure AD ist kein Active Directory in der Cloud. Beide haben Identitätsmanagementsysteme als Schlüsselkomponente, aber sie sind sehr unterschiedliche Systeme. Sobald Sie diese Erkenntnis gewonnen haben, sollten Sie einen Vergleich zwischen Azure AD Premium P1 und P2 durchführen.
- Was ist Active Directory?
- Was ist Azure Active Directory?
- Wie funktioniert Azure AD mit dem lokalen Active Directory?
- Welche Arten von Azure AD-Lizenzen bietet Microsoft an?
- Microsoft entfernt die Azure AD Basic-Edition
- Auswahl einer Azure AD-Lizenz
- Ein Vergleich der Funktionen von Azure AD Premium P1 und P2
- Preisvergleich Azure AD Premium P1 vs. P2
- Testen Sie Azure AD mit der Free Edition
Was ist Active Directory?
Active Directory ist der Microsoft-Verzeichnisdienst, der für die Ausführung vor Ort auf dem Windows Server-Betriebssystem konzipiert ist und den Zugriff auf die Organisation und ihre Ressourcen steuert. Teil von Active Directory ist die Serverrolle Active Directory Domain Services, auch bekannt als Domänencontroller, der die Funktionalität zum Speichern von Daten im Verzeichnis, wie z. B. Benutzerpasswörter, enthält und die Autorisierungs- und Authentifizierungsaufgaben in der Domäne durchführt. Die Verzeichnisstruktur verwendet Objekte, bei denen es sich um Computerkonten, Server oder Drucker handeln kann – im Wesentlichen jedes Gerät oder jeder Benutzer, der eine Verbindung zum Netzwerk des Unternehmens herstellt.
Sie können Active Directory Domain Services auf mehreren Windows Server-Bereitstellungen installieren, die dann die Rolle von Domänencontrollern innerhalb der Active Directory-Gesamtstruktur übernehmen, die die oberste Ebene in der Verzeichnishierarchie darstellt. Active Directory stellt Authentifizierungs-, Zugriffskontroll- und Sicherheitsdienste (Gruppenrichtlinien) für Ressourcen innerhalb der Gesamtstruktur bereit.
Was ist Azure Active Directory?
Azure Active Directory, besser bekannt als Azure AD, ist ein Cloud-basierter Identitätszugriffs- und Verwaltungssteuerungsdienst. Er ist in Office 365- und Microsoft 365-Abonnements enthalten, aber Microsoft verkauft auch andere Azure AD-Editionen mit unterschiedlichen Funktionsniveaus. Wie Active Directory bietet Azure AD Authentifizierungs- und Zugriffskontrolldienste, wurde aber speziell entwickelt, um die besonderen Anforderungen von Cloud-Benutzern und Cloud-Anwendungen zu unterstützen.
Obwohl es viele Ähnlichkeiten zwischen Active Directory und Azure AD gibt, ist Azure AD nicht einfach Active Directory in der Cloud. Azure AD bietet Cloud-spezifische Funktionen, die in einer traditionellen Active Directory-Umgebung nicht vorhanden sind. So bietet Active Directory beispielsweise keine Möglichkeit, mobile Geräte in eine Domäne einzubinden, während Azure AD mit Microsoft Intune integriert ist, um mobile Geräte zu verwalten. Ebenso bietet Active Directory keine native Unterstützung für Nicht-Windows-Systeme, aber Azure AD ermöglicht Linux-Rechnern den Zugriff auf verschiedene Ressourcen über verwaltete Identitäten. Weitere Informationen zu den Unterschieden zwischen Active Directory und Azure AD finden Sie unter diesem Dokumentationslink von Microsoft.
Wie funktioniert Azure AD mit dem lokalen Active Directory?
Obwohl Active Directory und Azure AD als unabhängige Verzeichnisumgebungen existieren können, ist es in Unternehmen üblich, hybride Verzeichnisse zu erstellen, die sowohl mit lokalen Domänencontrollern als auch mit Azure AD arbeiten.
Microsoft stellt ein kostenloses Tool namens Azure AD Connect zur Verfügung, um diese beiden Umgebungen zu verbinden. Azure AD Connect repliziert Active Directory-Benutzerkonten in Azure AD, so dass ein Benutzer über eine einzige Identität verfügt, die sowohl auf lokale als auch auf Cloud-basierte Ressourcen zugreifen kann.
Welche Arten von Azure AD-Lizenzen bietet Microsoft an?
Microsoft bietet derzeit vier Optionen für die Azure AD-Lizenzierung an. Die erste ist die kostenlose Option, die für kleinere Organisationen empfohlen wird und ein Limit von 500.000 Verzeichnisobjekten hat. Sie ist in erster Linie als Authentifizierungs- und Zugriffskontrollmechanismus gedacht und unterstützt die Bereitstellung von Benutzern und grundlegende Benutzerverwaltungsfunktionen wie das Erstellen, Löschen und Ändern von Benutzerkonten. Diese Benutzer können die Vorteile der Self-Service-Passwortänderung nutzen, und Administratoren können globale Listen mit gesperrten Passwörtern erstellen oder eine Multifaktor-Authentifizierung (MFA) verlangen.
Azure AD’s Free Tier unterstützt auch erweiterte Funktionen, einschließlich Unterstützung für Azure AD Connect und Pass-Through Cloud Authentication. Darüber hinaus ermöglicht die Azure AD Free-Edition eine auf Active Directory Federation Services basierende oder von Drittanbietern betriebene föderierte Authentifizierung sowie eine Single-Sign-On-Funktionalität. Administratoren können in der kostenlosen Version grundlegende Sicherheits- und Nutzungsberichte erstellen.
Microsoft bietet Azure AD zusammen mit Office 365 und Microsoft 365 – insbesondere den E1-, E3-, E5-, F1- und F3-Abonnements – als zugrundeliegenden Verzeichnisdienst an, der für den Betrieb der Anwendungen auf der Plattform erforderlich ist, z. B. Exchange Online für E-Mails und SharePoint Online für die Inhaltsverwaltung.
Microsoft nennt dies die Office 365 Apps Edition von Azure AD. Sie verfügt über dieselben Funktionen und Möglichkeiten wie die kostenlose Version, unterliegt aber zusätzlich einem Service Level Agreement (SLA) von 99,9 % Verfügbarkeit. Die kostenlose Version hat kein SLA.
Die Office 365 Apps-Edition ermöglicht auch verschiedene Anpassungen, wie z. B. das Branding des Unternehmens. Vielleicht noch wichtiger ist, dass die Office 365 Apps-Version die Zwei-Wege-Synchronisation für Geräteobjekte unterstützt. Das bedeutet, dass Änderungen, die in Azure AD vorgenommen werden, auf die Active Directory-Umgebung im Rechenzentrum des Unternehmens übertragen werden und umgekehrt.
Neben der kostenlosen und der Office 365 Apps-Version von Azure AD bietet Microsoft auch zwei Premium-Versionen an, die als Premium P1 und Premium P2 bekannt sind. (Premium war früher eine einzige Stufe, aber Microsoft hat sie in zwei Editionen aufgeteilt.) Die Premium-Versionen enthalten alles, was in der Office 365 Apps-Edition enthalten ist, sowie zusätzliche Funktionen, die sich um hybride Identitäten, erweiterte gruppenbasierte Zugriffsverwaltung und bedingten Zugriff drehen. Die Premium-Editionen unterstützen auch Microsoft Identity Manager, um Datensätze aus lokalen Personalverwaltungssoftwareanwendungen wie Oracle PeopleSoft zu übernehmen.
Die P2-Version hat die meisten Funktionen und umfasst Funktionen, die auf Identitätsschutz und Identitätsverwaltung ausgerichtet sind.
Microsoft entfernt die Azure AD Basic-Edition
Microsoft hatte eine weitere Azure AD-Stufe namens Basic angeboten, diese Edition aber Ende 2019 entfernt. Organisationen, die Azure AD Basic vor dieser Änderung abonniert haben, können die Lizenz weiterhin nutzen. Diese Stufe hatte den gleichen Funktionsumfang wie die Azure AD Office 365 Apps-Edition mit einer Ausnahme: Es fehlte die Multifaktor-Authentifizierung.
Auswahl einer Azure AD-Lizenz
Wie bereits erwähnt, gibt es vier Azure AD-Optionen. Die kostenlose Version eignet sich am besten für kleine Organisationen und Entwicklungs-/Testumgebungen, während die Office 365/Microsoft 365-Version zusätzliche Funktionen enthält, die mit den Funktionen der Microsoft-Kollaborationsplattform zusammenarbeiten, aber nicht mehr.
Die Azure AD Premium P1- und P2-Editionen zielen auf Umgebungen der Unternehmensklasse ab, die erweiterte Zugriffskontrollfunktionen benötigen. Azure AD Premium P2 eignet sich für Unternehmen in stark regulierten Branchen, wie z. B. Behörden oder Gesundheitswesen, oder für Unternehmen, die die höchstmögliche Sicherheit benötigen.
Ein Vergleich der Funktionen von Azure AD Premium P1 und P2
Nachdem Sie nun ein grundlegendes Verständnis von Azure AD und seinen vier Editionen haben, lassen Sie uns einen Blick darauf werfen, was Sie mit Azure AD Premium P1 und P2 erhalten. Es gibt vier Hauptgründe, sich für Premium P2 zu entscheiden:
1. Die Identitätsschutzfunktion in Premium P2 gibt einen Überblick über fragwürdige Authentifizierungsversuche. Sie prüft Anmeldungen und bewertet, wie riskant sie sein könnten, z. B. wenn ein Konto sich von einem Land aus anmeldet und 10 Minuten später von einem anderen Land aus. Administratoren können diese verdächtigen Authentifizierungsversuche automatisch mit Richtlinien behandeln, die MFA erzwingen oder den Zugriff vollständig blockieren können. Der Identitätsschutz ist eines der besten Argumente für die Umstellung auf P2, da er viele Risiken im Zusammenhang mit dem Benutzerzugriff erheblich reduziert.
2. Privileged Identity Management (PIM) ist eine Reihe von Steuerelementen zur Verwaltung von Zugriffskonten auf höherer Ebene in Azure AD. Es umfasst Sicherheitsfunktionen wie Just-in-Time-Zugriff, um Rechte vorübergehend zu gewähren und sie mit vollständiger Protokollierung und Prüfung zu entfernen. Außerdem können Workflows mit Begründung und Benachrichtigungen rund um die Aktivierung dieser Berechtigungen ausgelöst werden. Wenn Sie in Ihrer Umgebung mit vielen eigenmächtigen Änderungen zu kämpfen haben, kann PIM Ihnen helfen, die Kontrolle wiederzuerlangen.
3. Die Zugriffsüberprüfungsfunktion stellt sicher, dass nur die richtigen Mitarbeiter bestimmte Ressourcen nutzen können. Dies ist hilfreich, wenn Mitarbeiter ein- und ausgegliedert werden oder wenn sie ihre Rolle wechseln. Sie können auch bestehende Benutzer überprüfen, um ihren Zugriff auf Ressourcen zu kontrollieren und diese Entscheidungen an die Anwendungseigner weiterzuleiten. Sie können wiederkehrende Prüfungen so anpassen, dass sie den geschäftlichen Anforderungen oder den Compliance-Regeln entsprechen. Diese Funktion gibt Ihnen mehr Kontrolle, um den Zugriff auf wichtige Ressourcen zuzulassen oder zu sperren, ohne dass Sie sich daran erinnern müssen.
4. Das Berechtigungsmanagement ist eine Identity-Governance-Funktion, die die Automatisierung nutzt, um Identitätslebenszyklen, Zugriffslebenszyklen und privilegierten Zugriff zu verwalten. Es bietet Steuerelemente für den Zugriff auf die Ressourcen der Organisation, wie Gruppen und Anwendungen, sowohl für interne als auch für externe Benutzer. Die Berechtigungsverwaltung verwendet ein Zugriffspaket, das die verschiedenen Ressourcen wie SharePoint Online-Sites und Cloud-App-Zugriffsrechte bündelt, die im Anfrageprozess verwendet werden.
Preisvergleich Azure AD Premium P1 vs. P2
Azure AD Premium P1 ist Teil der Office 365/Microsoft 365 E3-Suite, und Azure AD Premium P2 ist in der Office 365/Microsoft 365 E5-Suite enthalten. Azure AD Premium P1 kostet 6 US-Dollar pro Benutzer und Monat, während Azure AD Premium P2 9 US-Dollar pro Benutzer und Monat kostet.
Microsoft bietet unterschiedliche Preise für die P1- und P2-Editionen für einen monatlich aktiven Benutzer (MAU) an, d. h. eine Person, die sich am Tenant anmeldet oder eine identitätsbezogene Aktivität ausführt. Für die ersten 50.000 MAUs fallen keine Gebühren an. Danach berechnet Microsoft 0,00325 Dollar pro MAU für die P1-Edition und 0,01625 Dollar pro MAU für die P2-Edition.
Eine weitere erwägenswerte Option ist das Microsoft 365 Identity and Threat Protection Bundle (12 US-Dollar pro Benutzer und Monat), das Azure AD Premium P2, Microsoft Cloud App Security und Microsoft 365 Defender – früher Microsoft Threat Protection genannt – umfasst, das Azure Sentinel, Microsoft Defender for Identity (früher Azure Advanced Threat Protection), Microsoft Defender for Endpoint (früher Microsoft Defender ATP) und Microsoft Defender for Office 365 (früher Office 365 Advanced Threat Protection) bietet. Diese Kombination bietet einen umfangreicheren Satz an Sicherheitsvorteilen und kostet nicht viel mehr als die Azure AD Premium P2-Lizenz.
Die Entscheidung, welches Paket Sie kaufen sollten, erfordert viel Recherche und Verständnis, um sicherzustellen, dass Sie den besten Wert für Ihr Geld erhalten. Kaufen Sie nicht die absolut beste verfügbare Lizenzstufe, bevor Sie nicht wissen, dass Sie sie nutzen werden.
Testen Sie Azure AD mit der Free Edition
Azure AD wächst weiter und erhält regelmäßig neue Funktionen und Fähigkeiten. Zu den Identitätsmanagement-Funktionen von Azure AD gehört eine Mischung aus Benutzerverwaltung für interne und externe Benutzer, Anwendungszugriffsverwaltung und Kontenschutz. Die meisten Unternehmen werden sowohl das lokale Active Directory als auch Azure AD verwenden, um unterschiedliche Systemanforderungen zu erfüllen, und beide Systeme ergänzen sich gut.
Sie können Azure AD kostenlos ausprobieren, indem Sie einen kostenlosen Azure-Tenant einrichten, wenn Sie noch keinen haben, und dann ein Verzeichnis erstellen. Sie können dann optional den Azure AD Connect-Client installieren, um Ihre lokalen Active Directory-Objekte zu synchronisieren.
Dieses Azure AD Free Tier eignet sich hervorragend für Testzwecke, aber nicht für die Live-Umgebung eines Unternehmens. Die Free-Edition verfügt nicht über wesentliche Sicherheitsfunktionen wie bedingten Zugriff und MFA. Sie sollten es vermeiden, Identitäten ohne MFA-Schutz in die Cloud zu stellen. Bei einer flüchtigen Online-Suche finden Sie eine aktuelle Sitzung der Black-Hat-Konferenz, in der erörtert wird, wie einfach es ist, diese Azure-AD-Konfigurationen anzugreifen. Es wird daher dringend empfohlen, den Azure-AD-Mandanten zu sperren, bevor Sie mit Experimenten beginnen.