Kun päätät siirtyä identiteetin- ja pääsynhallintapalveluun, sinun on otettava huomioon Microsoftin tarjoamien eri tasojen kustannukset ja ominaisuudet varmistaaksesi, että saat tarvitsemasi kattavuuden hintaan, johon sinulla on varaa.
Microsoft julkaisi Azure Active Directoryn (Azure AD) yleisen saatavuuden vuonna 2013, ja monet IT-ammattilaiset ovat ainakin tietoisia siitä, jos he eivät käytä sitä aktiivisesti. Tuotteeseen liittyy yleensä jonkin verran sekaannusta sen nimen vuoksi; Azure AD ei ole Active Directory pilvessä. Molempien keskeinen osa on identiteetinhallintajärjestelmä, mutta ne ovat hyvin erilaisia järjestelmiä. Kun tulet tähän oivallukseen, haluat sitten mennä pidemmälle ja tehdä Azure AD Premium P1 vs. P2 -vertailun.
- Mikä on Active Directory?
- Mikä on Azure Active Directory?
- Miten Azure AD toimii yhdessä toimitilojen Active Directoryn kanssa?
- Minkälaisia Azure AD -lisenssejä Microsoft tarjoaa?
- Microsoft poistaa Azure AD:n Basic-version
- Azure AD -lisenssin valitseminen
- Azure AD Premium P1:n ja P2:n ominaisuuksien vertailu
- Azure AD Premium P1 vs. P2 -hinnoittelun vertailu
- Testaa Azure AD:tä ilmaispainoksella
Mikä on Active Directory?
Active Directory on Microsoftin hakemistopalvelu, joka on suunniteltu toimimaan tiloissa Windows Server -käyttöjärjestelmässä ja joka valvoo organisaation ja sen resurssien käyttöä. Osa Active Directorya on Active Directory Domain Services -palvelinrooli, joka tunnetaan myös nimellä toimialueen ohjain ja joka sisältää toiminnallisuuden tietojen tallentamiseksi hakemistoon, kuten käyttäjien salasanat, ja joka suorittaa toimialueen valtuutus- ja todennustehtävät. Hakemistorakenteessa käytetään objekteja, jotka voivat olla tietokonetilejä, palvelimia tai tulostimia – periaatteessa mitä tahansa laitetta tai käyttäjää, joka liittyy organisaation verkkoon.
Active Directory -toimialueen palvelut voi asentaa useisiin Windows Server -käyttöönottoihin, jotka sitten ottavat toimialueen ohjaajien roolin Active Directory -metsässä, joka on hakemistohierarkian ylin taso. Active Directory tarjoaa todennus-, pääsynvalvonta- ja tietoturvapalvelut (ryhmäkäytännöt) metsän resursseille.
Mikä on Azure Active Directory?
Azure Active Directory, josta käytetään yleisemmin nimitystä Azure AD, on pilvipohjainen identiteettien käytön- ja hallinnanohjauspalvelu. Se sisältyy Office 365- ja Microsoft 365 -tilauksiin, mutta Microsoft myy myös muita Azure AD -versioita, joiden toiminnallisuus vaihtelee. Active Directoryn tavoin Azure AD tarjoaa todennus- ja pääsynhallintapalveluita, mutta se on suunniteltu erityisesti tukemaan pilvikäyttäjien ja pilvisovellusten ainutlaatuisia tarpeita.
Vaikka Active Directoryn ja Azure AD:n välillä on monia yhtäläisyyksiä, Azure AD ei ole pelkkä Active Directory pilvessä. Azure AD tarjoaa pilvipalvelukohtaisia toimintoja, joita ei ole perinteisessä Active Directory -ympäristössä. Active Directory ei esimerkiksi tarjoa tapaa liittää mobiililaitteita toimialueeseen, mutta Azure AD integroituu Microsoft Intunen kanssa mobiililaitteiden hallintaan. Vastaavasti Active Directory ei tue muita kuin Windows-järjestelmiä, mutta Azure AD mahdollistaa Linux-koneiden pääsyn eri resursseihin hallittujen identiteettien avulla. Lisätietoja Active Directoryn ja Azure AD:n eroista löydät tästä Microsoftin dokumentaatiolinkistä.
Miten Azure AD toimii yhdessä toimitilojen Active Directoryn kanssa?
Vaikka sekä Active Directory että Azure AD voivat olla olemassa itsenäisinä hakemistoympäristöinä, on tavallista, että organisaatiot luovat hybridi-hakemistoja, jotka toimivat sekä toimitilojen toimialueohjaimilla että Azure AD:llä.
Microsoft tarjoaa ilmaisen työkalun nimeltä Azure AD Connect, jolla voidaan liittää yhteen nämä kaksi ympäristöä. Azure AD Connect replikoi Active Directory -käyttäjätilit Azure AD:hen, jolloin käyttäjällä on yksi identiteetti, jolla voi käyttää sekä paikallisia että pilvipohjaisia resursseja.
Minkälaisia Azure AD -lisenssejä Microsoft tarjoaa?
Microsoft myy tällä hetkellä neljää vaihtoehtoa Azure AD -lisensointiin. Ensimmäinen on Free-vaihtoehto, jota suositellaan pienemmille organisaatioille ja jossa on 500 000 hakemisto-objektin raja. Se on tarkoitettu ensisijaisesti todennus- ja pääsynvalvontamekanismiksi, ja se tukee käyttäjien käyttöönottoa ja käyttäjien hallinnan perustoimintoja, kuten käyttäjätilien luomista, poistamista ja muuttamista. Käyttäjät voivat hyödyntää itsepalvelusalasanojen vaihtoa, ja ylläpitäjät voivat luoda globaaleja luetteloita kielletyistä salasanoista tai vaatia monitekijätodennusta (MFA).
Azure AD:n Free-taso tukee myös edistyneempiä toimintoja, mukaan lukien tuki Azure AD Connectille ja pass-through-pilvitodennukselle. Lisäksi Azure AD Free -versio mahdollistaa Active Directory Federation Services -pohjaisen tai kolmannen osapuolen federoidun todennuksen sekä kertakirjautumistoiminnot. Järjestelmänvalvojat voivat luoda perusturva- ja käyttöraportteja Free-versiossa.
Microsoft sisällyttää Azure AD:n Office 365:n ja Microsoft 365:n – tarkemmin sanottuna E1-, E3-, E5-, F1- ja F3-tilaukset – kanssa perustana olevana hakemistopalveluna, jota tarvitaan, jotta voidaan käyttää alustan sovelluksia, kuten Exchange Onlinea sähköpostin hallintaa varten ja SharePoint Onlinea sisällönhallintaa varten.
Microsoft kutsuu tätä Azure AD:tä nimellä Azure AD:n Office 365 -apps -versio. Siinä on samat ominaisuudet ja toiminnot kuin ilmaisversiossa, mutta se noudattaa myös 99,9 prosentin saatavuutta koskevaa palvelutasosopimusta (SLA). Free-versiolla ei ole SLA:ta.
Office 365 Apps -versio mahdollistaa myös erilaisia mukautuksia, kuten yrityksen brändäyksen. Ehkä vielä tärkeämpää on, että Office 365 Apps -versio tukee laiteobjektien kaksisuuntaista synkronointia. Tämä tarkoittaa, että Azure AD:ssä tehdyt muutokset leviävät organisaation datakeskuksessa olevaan Active Directory -ympäristöön ja päinvastoin.
Azure AD:n ilmaisen ja Office 365 Apps -version lisäksi Microsoft tarjoaa myös kaksi premium-versiota, jotka tunnetaan nimillä Premium P1 ja Premium P2. (Premium oli aiemmin yksi taso, mutta Microsoft jakoi sen kahdeksi versioksi.) Premium-versiot sisältävät kaiken, mikä sisältyy Office 365 Apps -versioon, sekä lisäominaisuuksia, jotka pyörivät hybridi-identiteettien, kehittyneen ryhmäpohjaisen käyttöoikeuksien hallinnan ja ehdollisen käyttöoikeuden ympärillä. Premium-versiot sisältävät myös tuen Microsoft Identity Managerille, jolla voidaan vetää tietueita paikallisista henkilöstöhallinnon ohjelmistosovelluksista, kuten Oracle PeopleSoftista.
P2-versiossa on eniten ominaisuuksia, ja se sisältää identiteettisuojaukseen ja identiteettien hallintaan tähtääviä toimintoja.
Microsoft poistaa Azure AD:n Basic-version
Microsoft tarjosi Azure AD:n toista porrasta, jonka nimi oli Basic-versio, mutta se poistettiin vuoden 2019 lopussa. Organisaatiot, jotka tilasivat Azure AD Basic -version ennen tätä muutosta, voivat jatkaa lisenssin käyttöä. Tässä tasossa oli samat ominaisuudet kuin Azure AD Office 365 Apps -versiossa yhtä poikkeusta lukuun ottamatta: Siitä puuttui monitekijätodennus.
Azure AD -lisenssin valitseminen
Kuten aiemmin todettiin, Azure AD -vaihtoehtoja on neljä. Free-versio soveltuu parhaiten pieniin organisaatioihin ja dev/testausympäristöihin, kun taas Office 365/Microsoft 365 -versiossa on lisäominaisuuksia, jotka toimivat Microsoftin yhteistyöalustan toiminnallisuuden kanssa, mutta eivät sen enempää.
Azure AD Premium P1- ja P2-versiot on suunnattu yrityskäyttöön tarkoitetuille ympäristöille, jotka vaativat kehittyneitä pääsynvalvontaominaisuuksia. Azure AD Premium P2 sopii hyvin organisaatioille, jotka toimivat vahvasti säännellyillä toimialoilla, kuten julkishallinnossa tai terveydenhuollossa, tai jotka vaativat mahdollisimman vahvaa tietoturvaa.
Azure AD Premium P1:n ja P2:n ominaisuuksien vertailu
Nyt kun sinulla on perusymmärrys Azure AD:stä ja sen neljästä eri versiosta, tarkastellaan, mitä Azure AD Premium P1:n ja P2:n versiot tarjoavat. Premium P2:n valintaan on neljä pääsyytä:
1. Premium P2:n identiteettisuojausominaisuus antaa yleiskuvan kyseenalaisista todennusyrityksistä. Se tarkastelee kirjautumisia ja arvioi, kuinka riskialttiita ne saattavat olla, esimerkiksi havaitsee tilin kirjautumisen yhdestä maasta ja sitten eri maasta 10 minuuttia myöhemmin. Järjestelmänvalvojat voivat käsitellä epäilyttäviä tunnistautumisyrityksiä automaattisesti käytännöillä, jotka voivat pakottaa MFA:n tai estää pääsyn kokonaan. Identiteettisuojaus on yksi parhaista perusteluista P2:een siirtymiselle, sillä se vähentää huomattavasti monia käyttäjien pääsyyn liittyviä riskejä.
2. Privileged Identity Management (PIM) on joukko kontrolleja, joilla hallitaan korkeamman tason käyttöoikeustilejä Azure AD:ssä. Se sisältää tietoturvaominaisuuksia, kuten just-in-time-käytön, jolla oikeudet voidaan myöntää tilapäisesti ja poistaa täydellä kirjaamisella ja tilintarkastuksella. Näiden oikeuksien aktivoinnin yhteydessä voidaan myös käynnistää työnkulkuja perusteluineen ja ilmoituksineen. Jos joudut kamppailemaan ympäristössäsi monien roistomuutosten kanssa, PIM voi auttaa sinua saamaan hallinnan takaisin.
3. Pääsykatselmukset-toiminnolla varmistetaan, että vain oikea henkilöstö voi käyttää tiettyjä resursseja. Tämä on hyödyllistä, kun henkilöstöä otetaan palvelukseen ja poistetaan palveluksesta tai kun henkilöstö vaihtaa roolia. Voit myös asettaa tarkistuksia olemassa oleville käyttäjille, jotta voit tarkistaa heidän resurssien käyttöoikeutensa ja siirtää nämä päätökset sovellusten omistajille. Voit räätälöidä toistuvia tarkistuksia liiketoimintavaatimusten tai vaatimustenmukaisuussääntöjen täyttämiseksi. Se on mukava ominaisuus, joka antaa sinulle enemmän valtaa sallia tai estää pääsyn tärkeisiin resursseihin ilman, että sinun tarvitsee muistaa tehdä niin.
4. Oikeuksien hallinta on identiteetinhallintaominaisuus, joka käyttää automaatiota identiteetin elinkaaren, käyttöoikeuksien elinkaaren ja etuoikeutettujen käyttöoikeuksien hallintaan. Se tarjoaa kontrolleja, joiden avulla annetaan pääsy organisaation resursseihin, kuten ryhmiin ja sovelluksiin, sekä sisäisille että ulkoisille käyttäjille. Käyttöoikeuksien hallinta käyttää käyttöoikeuspakettia, joka niputtaa pyyntöprosessissa käytettävät lajitellut resurssit, kuten SharePoint Online -sivustot ja pilvisovellusten käyttöoikeudet.
Azure AD Premium P1 vs. P2 -hinnoittelun vertailu
Azure AD Premium P1 on osa Office 365/Microsoft 365 E3 -pakettia, ja Azure AD Premium P2 sisältyy Office 365/Microsoft 365 E5 -pakettiin. Microsoft tarjoaa tasoja myös erillisinä ostoksina; Azure AD Premium P1 maksaa 6 dollaria käyttäjää kohti kuukaudessa, kun taas Azure AD Premium P2 maksaa 9 dollaria käyttäjää kohti kuukaudessa.
Microsoft tarjoaa P1- ja P2-versioiden hinnoittelussa eri hinnoittelua kuukausittaisen aktiivisen käyttäjän (monthly active user, MAU) mukaan – henkilön, joka kirjautuu sisään tai suorittaa identiteettiin liittyvää toimintoa vuokralaisella. Ensimmäisestä 50 000 MAU:sta ei peritä maksua. Tämän jälkeen Microsoft veloittaa 0,00325 dollaria MAU:ta kohti P1-versiossa ja 0,01625 dollaria MAU:ta kohti P2-versiossa.
Toinen harkitsemisen arvoinen vaihtoehto on Microsoft 365 Identity and Threat Protection -paketti (12 dollaria käyttäjää kohti kuukaudessa), joka sisältää Azure AD Premium P2:n, Microsoft Cloud App Securityn ja Microsoft 365 Defenderin – entinen Microsoft Threat Protection – joka tarjoaa Azure Sentinelin, Microsoft Defender for Identityn (entinen Azure Advanced Threat Protection), Microsoft Defender for Endpointin (entinen Microsoft Defender ATP) ja Microsoft Defender for Office 365:n (entinen Office 365 Advanced Threat Protection). Tämä yhdistelmä tarjoaa laajemmat tietoturvaedut, eikä se maksa paljon enempää kuin Azure AD Premium P2 -lisenssi.
Päätöksenteko siitä, mikä paketti kannattaa ostaa, vaatii paljon tutkimusta ja ymmärrystä, jotta voit varmistaa, että saat parhaan vastineen rahoillesi. Älä osta absoluuttisesti parasta saatavilla olevaa lisenssitasoa ennen kuin tiedät, että tulet käyttämään sitä.
Testaa Azure AD:tä ilmaispainoksella
Azure AD jatkaa kasvuaan ja kerää uusia ominaisuuksia ja kykyjä säännöllisesti. Azure AD:n identiteetinhallintaominaisuuksien joukossa on sekä sisäisten että ulkoisten käyttäjien käyttäjähallintaa, sovellusten käyttöoikeuksien hallintaa ja tilien suojausta. Useimmat yritykset käyttävät sekä tiloissa olevaa Active Directorya että Azure AD:tä täyttääkseen erilaisia järjestelmävaatimuksia, ja molemmat järjestelmät täydentävät toisiaan hyvin.
Voit kokeilla Azure AD:tä ilmaiseksi perustamalla ilmaisen Azure-vuokralaisen, jos sinulla ei vielä ole sellaista, ja luomalla hakemiston. Tämän jälkeen voit valinnaisesti asentaa Azure AD Connect -asiakkaan synkronoidaksesi toimitiloissa olevat Active Directory -objektisi.
Tämä Azure AD:n ilmaistaso sopii hyvin testitarkoituksiin, mutta ei yrityksen live-ympäristöön. Free-versiossa ei ole keskeisiä tietoturvaominaisuuksia, kuten ehdollista pääsyä ja MFA:ta. Haluat välttää identiteettien sijoittamista pilveen ilman MFA-suojausta. Nopea nettihaku löytää tuoreen Black Hat -konferenssin istunnon, jossa keskustellaan siitä, kuinka helppoa näihin Azure AD -asetuksiin on hyökätä, joten on erittäin suositeltavaa lukita Azure AD -vuokralainen ennen kokeilujen aloittamista.