Az identitás- és hozzáférés-kezelési szolgáltatásra való áttérésről szóló döntésnél figyelembe kell vennie a Microsoft által kínált egyes szintek költségeit és képességeit, hogy megbizonyosodjon arról, hogy a szükséges lefedettséget olyan áron kapja meg, amelyet megengedhet magának.
A Microsoft 2013-ban tette általánosan elérhetővé az Azure Active Directory (Azure AD) szolgáltatást, és az informatikusok közül sokan legalábbis ismerik, ha nem is használják aktívan. A termékkel kapcsolatban a neve miatt hajlamosak némi zavart kelteni; az Azure AD nem Active Directory a felhőben. Mindkettőnek kulcsfontosságú eleme a személyazonosság-kezelő rendszer, de nagyon különböző rendszerekről van szó. Ha erre a felismerésre jutott, akkor érdemes továbbmenni és elvégezni az Azure AD Premium P1 vs. P2 összehasonlítást.
- Mi az Active Directory?
- Mi az Azure Active Directory?
- Hogyan működik az Azure AD a helyhez kötött Active Directoryval?
- Milyen típusú Azure AD-licenceket kínál a Microsoft?
- Microsoft eltávolítja az Azure AD Basic kiadást
- Az Azure AD licenc kiválasztása
- Az Azure AD Premium P1 és a P2 funkcióinak összehasonlítása
- Azure AD Premium P1 vs. P2 árösszehasonlítás
- Tesztelje az Azure AD-t az ingyenes kiadással
Mi az Active Directory?
Active Directory a Microsoft Windows Server operációs rendszeren helyben futtatható, a szervezethez és annak erőforrásaihoz való hozzáférést szabályozó Microsoft címtárszolgáltatás. Az Active Directory része az Active Directory tartományi szolgáltatások kiszolgálói szerepkör, más néven tartományvezérlő, amely magában foglalja a funkciót a címtárban lévő adatok, például a felhasználói jelszavak tárolására, és elvégzi a tartomány engedélyezési és hitelesítési feladatait. A címtárstruktúra objektumokat használ, amelyek lehetnek számítógépfiókok, kiszolgálók vagy nyomtatók — lényegében bármilyen eszköz vagy felhasználó, aki csatlakozik a szervezet hálózatához.
Az Active Directory tartományi szolgáltatásokat több Windows Server telepítésre is telepíthetjük, amelyek ezután átveszik a tartományvezérlők szerepét az Active Directory erdőben, amely a címtárhierarchia legfelső szintje. Az Active Directory biztosítja a hitelesítési, hozzáférés-szabályozási és biztonsági (csoportházirend) szolgáltatásokat az erdőn belüli erőforrások számára.
Mi az Azure Active Directory?
Az Azure Active Directory, amelyet gyakrabban Azure AD-ként emlegetnek, egy felhőalapú identitás-hozzáférési és -kezelési vezérlési szolgáltatás. Az Office 365 és a Microsoft 365 előfizetések tartalmazzák, de a Microsoft más Azure AD-kiadásokat is árul különböző szintű funkciókkal. Az Azure AD az Active Directoryhoz hasonlóan hitelesítési és hozzáférés-szabályozási szolgáltatásokat nyújt, de kifejezetten a felhőfelhasználók és a felhőalkalmazások egyedi igényeinek támogatására lett tervezve.
Noha sok hasonlóság van az Active Directory és az Azure AD között, az Azure AD nem egyszerűen Active Directory a felhőben. Az Azure AD olyan felhő-specifikus funkciókat kínál, amelyek a hagyományos Active Directory-környezetben nem léteznek. Az Active Directory például nem kínál módot a mobileszközök tartományhoz való csatlakozására, az Azure AD azonban integrálódik a Microsoft Intune-nal a mobileszközök kezelésére. Hasonlóképpen, az Active Directory nem támogatja natívan a nem Windows rendszereket, de az Azure AD lehetővé teszi, hogy a Linux gépek különböző erőforrásokhoz férjenek hozzá a kezelt azonosítók segítségével. Az Active Directory és az Azure AD közötti különbségekről a Microsoft ezen a dokumentációs hivatkozásán talál további információkat.
Hogyan működik az Azure AD a helyhez kötött Active Directoryval?
Noha az Active Directory és az Azure AD független címtárkörnyezetként is létezhet, gyakori, hogy a szervezetek hibrid címtárakat hoznak létre, amelyek helyhez kötött tartományvezérlőkkel és Azure AD-vel is működnek.
A Microsoft az Azure AD Connect nevű ingyenes eszközt biztosítja e két környezet összekapcsolásához. Az Azure AD Connect az Active Directory felhasználói fiókokat replikálja az Azure AD-be, így a felhasználó egyetlen identitással rendelkezhet, amely képes mind a helyi, mind a felhőalapú erőforrások elérésére.
Milyen típusú Azure AD-licenceket kínál a Microsoft?
A Microsoft jelenleg négyféle Azure AD-licencet kínál. Az első az ingyenes opció, amely kisebb szervezetek számára ajánlott, és 500 000 címtárobjektumban van limitálva. Elsősorban hitelesítési és hozzáférés-szabályozási mechanizmusnak szánják, és támogatja a felhasználók rendelkezésre bocsátását és az alapvető felhasználókezelési funkciókat, például a felhasználói fiókok létrehozását, törlését és módosítását. Ezek a felhasználók kihasználhatják az önkiszolgáló jelszóváltoztatás előnyeit, és a rendszergazdák létrehozhatják a tiltott jelszavak globális listáit, vagy megkövetelhetik a többfaktoros hitelesítést (MFA).
Azure AD ingyenes szintje fejlett funkciókat is támogat, beleértve az Azure AD Connect és az áthaladó felhőhitelesítés támogatását. Emellett az Azure AD Free kiadás lehetővé teszi az Active Directory Federation Services-alapú vagy harmadik féltől származó összevont hitelesítést, valamint az egyszeri bejelentkezési funkciókat. A rendszergazdák az ingyenes verzióban alapvető biztonsági és használati jelentéseket hozhatnak létre.
A Microsoft az Azure AD-t az Office 365 és a Microsoft 365 – konkrétan az E1, E3, E5, F1 és F3 előfizetésekkel együtt tartalmazza, mint a platformon lévő alkalmazások – például az Exchange Online az e-mailezéshez és a SharePoint Online a tartalomkezeléshez – működtetéséhez szükséges alapul szolgáló címtárszolgáltatást.
A Microsoft ezt az Azure AD Office 365 Apps kiadásának nevezi. Ugyanazokkal a funkciókkal és képességekkel rendelkezik, mint az ingyenes változat, de a 99,9%-os rendelkezésre állást biztosító szolgáltatási szintű megállapodás (SLA) betartásával. Az ingyenes kiadás nem rendelkezik SLA-val.
Az Office 365 Apps kiadás különböző testreszabásokat is lehetővé tesz, például a vállalati márkaépítést. Talán még fontosabb, hogy az Office 365 Apps verzió támogatja az eszközobjektumok kétirányú szinkronizálását. Ez azt jelenti, hogy az Azure AD-ben végrehajtott módosítások átterjednek a szervezet adatközpontjában lévő Active Directory-környezetre és fordítva.
A Microsoft az Azure AD ingyenes és Office 365 Apps kiadásán kívül két prémium verziót is kínál, amelyek Premium P1 és Premium P2 néven ismertek. (A Premium korábban egy szint volt, de a Microsoft két kiadásra osztotta.) A prémium verziók tartalmaznak mindent, ami az Office 365 Apps kiadásban is megtalálható, valamint további funkciókat, amelyek a hibrid identitások, a fejlett csoportalapú hozzáférés-kezelés és a feltételes hozzáférés körül forognak. A prémium kiadások tartalmazzák a Microsoft Identity Manager támogatását is a helyhez kötött humánerőforrás-kezelő szoftveralkalmazásokból, például az Oracle PeopleSoftból származó rekordok bevonásához.
A P2 verzió rendelkezik a legtöbb funkcióval, és olyan funkciókat tartalmaz, amelyek a személyazonosság védelmére és a személyazonosság irányítására irányulnak.
Microsoft eltávolítja az Azure AD Basic kiadást
A Microsoft korábban egy másik Azure AD-szintet kínált Basic néven, de 2019 végén eltávolította ezt a kiadást. Azok a szervezetek, amelyek a változás előtt előfizettek az Azure AD Basic kiadásra, továbbra is használhatják a licencet. Ez a szint egy kivétellel ugyanazokkal a funkciókkal rendelkezett, mint az Azure AD Office 365 Apps kiadás: Nem rendelkezett többfaktoros hitelesítéssel.
Az Azure AD licenc kiválasztása
Amint korábban említettük, négy Azure AD-változat létezik. Az ingyenes verzió leginkább kis szervezetek és fejlesztői/tesztkörnyezetek számára alkalmas, míg az Office 365/Microsoft 365 verzió a Microsoft együttműködési platformjának funkcióival való együttműködéshez szükséges hozzáadott funkciókkal rendelkezik, de semmi több.
Az Azure AD Premium P1 és P2 kiadások olyan vállalati szintű környezeteket céloznak meg, amelyek fejlett hozzáférés-szabályozási képességeket igényelnek. Az Azure AD Premium P2 az erősen szabályozott iparágakban, például a kormányzati vagy az egészségügyi szektorban tevékenykedő szervezetek, illetve a lehető legerősebb biztonságot igénylő szervezetek számára megfelelő.
Az Azure AD Premium P1 és a P2 funkcióinak összehasonlítása
Most, hogy már alapvetően ismerjük az Azure AD-t és annak négy kiadását, nézzük meg, mit kapunk az Azure AD Premium P1 és P2 között. Négy fő okból érdemes a Premium P2-t választani:
1. A Premium P2 személyazonosságvédelmi funkciója áttekintést ad a megkérdőjelezhető hitelesítési kísérletekről. Megvizsgálja a bejelentkezéseket, és értékeli, hogy azok mennyire lehetnek kockázatosak, például észleli egy fiók bejelentkezését egy országból, majd 10 perccel később egy másik országból. A rendszergazdák automatikusan kezelhetik ezeket a gyanús hitelesítési kísérleteket olyan házirendekkel, amelyek kikényszeríthetik az MFA-t vagy teljesen letilthatják a hozzáférést. A személyazonosságvédelem az egyik legjobb érv a P2-re való áttérés mellett, mivel nagymértékben csökkenti a felhasználói hozzáféréssel kapcsolatos számos kockázatot.
2. A Privileged Identity Management (PIM) a magasabb szintű hozzáférési fiókok kezelésére szolgáló vezérlőkészlet az Azure AD-ben. Olyan biztonsági funkciókat tartalmaz, mint a just-in-time hozzáférés a jogosultságok ideiglenes megadásához és visszavonásához, teljes körű naplózással és ellenőrzéssel. A jogosultságok aktiválása körül indoklással és értesítésekkel ellátott munkafolyamatok is indíthatók. Ha a környezetében sok szabálytalan változtatással kell megküzdenie, a PIM segíthet visszaszerezni az irányítást.
3. A hozzáférési felülvizsgálatok funkció biztosítja, hogy csak a megfelelő munkatársak használhassanak bizonyos erőforrásokat. Ez hasznos a személyzet be- és kiképzésénél, illetve a személyzet szerepváltásakor. A meglévő felhasználókon is végezhet ellenőrzéseket, hogy felülvizsgálja az erőforrásokhoz való hozzáférésüket, és ezeket a döntéseket az alkalmazás tulajdonosai felé tolja. Az ismétlődő ellenőrzéseket testre szabhatja az üzleti követelmények vagy a megfelelőségi szabályok teljesítése érdekében. Ez egy szép funkció, amely nagyobb kontrollt biztosít a fontos erőforrásokhoz való hozzáférés engedélyezéséhez vagy letiltásához anélkül, hogy emlékeznie kellene erre.
4. A jogosultságkezelés egy olyan személyazonosság-irányítási funkció, amely automatizálással kezeli a személyazonosság-életciklusokat, a hozzáférési életciklusokat és a kiváltságos hozzáféréseket. Ellenőrzést biztosít a szervezet erőforrásaihoz, például csoportokhoz és alkalmazásokhoz való hozzáférés biztosításához mind a belső, mind a külső felhasználók számára. A jogosultságkezelés egy hozzáférési csomagot használ, amely a kérési folyamatban használt válogatott erőforrásokat, például SharePoint Online webhelyeket és felhőalkalmazások hozzáférési jogait foglalja össze.
Azure AD Premium P1 vs. P2 árösszehasonlítás
Az Azure AD Premium P1 az Office 365/Microsoft 365 E3 csomag részeként, az Azure AD Premium P2 pedig az Office 365/Microsoft 365 E5 csomag részeként érhető el. A Microsoft a szinteket külön vásárlásként is kínálja; az Azure AD Premium P1 havonta 6 dollárba kerül felhasználónként, míg az Azure AD Premium P2 havonta 9 dollárba.
A Microsoft a P1 és P2 kiadások eltérő árazását kínálja a havonta aktív felhasználóra (MAU) – vagyis arra, aki bejelentkezik vagy identitással kapcsolatos tevékenységet végez a bérlőn. Az első 50 000 MAU-ért nem kell fizetni. Ezen túl a Microsoft a P1 kiadásban MAU-nként 0,00325 dollárt, a P2 kiadásban pedig MAU-nként 0,01625 dollárt számít fel.
Egy másik megfontolásra érdemes lehetőség a Microsoft 365 Identity and Threat Protection csomag (12 dollár felhasználónként, havonta), amely az Azure AD Premium P2, a Microsoft Cloud App Security és a Microsoft 365 Defender – korábbi nevén Microsoft Threat Protection – csomagot tartalmazza, amely Azure Sentinel, Microsoft Defender for Identity (korábban Azure Advanced Threat Protection), Microsoft Defender for Endpoint (korábban Microsoft Defender ATP) és Microsoft Defender for Office 365 (korábban Office 365 Advanced Threat Protection). Ez a kombináció szélesebb körű biztonsági előnyöket nyújt, és nem kerül sokkal többe, mint az Azure AD Premium P2 licenc.
Az, hogy melyik csomagot vásárolja meg, sok kutatást és megértést igényel, hogy biztosan a legjobb ár-érték arányt kapja a pénzéért. Ne vásárolja meg az abszolút legjobb elérhető licencszintet, amíg nem tudja, hogy használni fogja.
Tesztelje az Azure AD-t az ingyenes kiadással
Az Azure AD folyamatosan növekszik, és rendszeresen új funkciókat és képességeket gyűjt. Az Azure AD személyazonosság-kezelési képességei között megtalálható a belső és külső felhasználók felhasználóinak kezelése, az alkalmazások hozzáférésének kezelése és a fiókok védelme. A legtöbb vállalat a különböző rendszerkövetelmények kielégítésére mind a helyhez kötött Active Directory-t, mind az Azure AD-t használja, és mindkét rendszer jól kiegészíti egymást.
Az Azure AD-t ingyenesen kipróbálhatja, ha létrehoz egy ingyenes Azure bérlőt, ha még nem rendelkezik ilyennel, majd létrehoz egy címtárat. Ezután opcionálisan telepítheti az Azure AD Connect klienst a helyben lévő Active Directory objektumainak szinkronizálásához.
Ez az Azure AD Free szint kiválóan alkalmas tesztelési célokra, de nem egy vállalkozás éles környezetéhez. Az ingyenes kiadás nem rendelkezik olyan alapvető biztonsági funkciókkal, mint a feltételes hozzáférés és az MFA. Kerülni kell az identitások felhőbe helyezését MFA-védelem nélkül. Egy felületes online keresés során találunk egy nemrégiben tartott Black Hat konferencia-ülésen, amely arról szól, hogy milyen könnyű megtámadni ezeket az Azure AD-beállításokat, ezért erősen ajánlott lezárni az Azure AD bérlőt, mielőtt kísérletezni kezdene.