Quando decidete di passare a un servizio di gestione delle identità e degli accessi, dovrete considerare i costi e le capacità di ogni livello offerto da Microsoft per assicurarvi di avere la copertura di cui avete bisogno a un prezzo che potete permettervi.
Microsoft ha rilasciato Azure Active Directory (Azure AD) a disponibilità generale nel 2013, e molti nel settore IT ne sono almeno a conoscenza, se non lo stanno utilizzando attivamente. Si tende a fare un po’ di confusione su questo prodotto a causa del suo nome; Azure AD non è Active Directory nel cloud. Entrambi hanno sistemi di gestione delle identità come componente chiave, ma sono sistemi molto diversi. Una volta che si arriva a questa consapevolezza, si vorrà poi andare oltre ed eseguire un confronto tra Azure AD Premium P1 e P2.
- Che cos’è Active Directory?
- Cos’è Azure Active Directory?
- Come funziona Azure AD con Active Directory on-premises?
- Quali tipi di licenze Azure AD offre Microsoft?
- Microsoft rimuove l’edizione Azure AD Basic
- Scegliere una licenza Azure AD
- Un confronto tra Azure AD Premium P1 e P2
- Azure AD Premium P1 vs. P2 confronto dei prezzi
- Testa Azure AD con l’edizione gratuita
Che cos’è Active Directory?
Active Directory è il servizio di directory di Microsoft progettato per funzionare in sede sul sistema operativo Windows Server che controlla l’accesso all’organizzazione e alle sue risorse. Parte di Active Directory è il ruolo del server Active Directory Domain Services, noto anche come controller di dominio, che incorpora la funzionalità per memorizzare i dati nella directory, come le password degli utenti, ed esegue i compiti di autorizzazione e autenticazione sul dominio. La struttura della directory utilizza oggetti, che possono essere account di computer, server o stampanti – essenzialmente, qualsiasi dispositivo o utente che si connette alla rete dell’organizzazione.
È possibile installare Active Directory Domain Services su diverse implementazioni di Windows Server, che poi assumono il ruolo di controller di dominio all’interno della foresta Active Directory, che è il livello più alto nella gerarchia della directory. Active Directory fornisce servizi di autenticazione, controllo degli accessi e sicurezza (Group Policy) per le risorse all’interno della foresta.
Cos’è Azure Active Directory?
Azure Active Directory, più comunemente chiamato Azure AD, è un servizio di controllo dell’accesso e della gestione delle identità basato sul cloud. È incluso negli abbonamenti di Office 365 e Microsoft 365, ma Microsoft vende anche altre edizioni di Azure AD con vari livelli di funzionalità. Come Active Directory, Azure AD fornisce servizi di autenticazione e controllo dell’accesso, ma è stato specificamente progettato per supportare le esigenze uniche degli utenti del cloud e delle applicazioni del cloud.
Anche se ci sono molte somiglianze tra Active Directory e Azure AD, Azure AD non è semplicemente Active Directory nel cloud. Azure AD offre funzionalità specifiche per il cloud che non esistono in un ambiente Active Directory tradizionale. Ad esempio, Active Directory non offre un modo per unire i dispositivi mobili al dominio, ma Azure AD si integra con Microsoft Intune per gestire i dispositivi mobili. Allo stesso modo, Active Directory non supporta nativamente i sistemi non Windows, ma Azure AD permette alle macchine Linux di accedere a varie risorse usando identità gestite. È possibile trovare ulteriori informazioni sulle differenze tra Active Directory e Azure AD a questo link di documentazione di Microsoft.
Come funziona Azure AD con Active Directory on-premises?
Anche se sia Active Directory che Azure AD possono esistere come ambienti di directory indipendenti, è comune per le organizzazioni creare directory ibride che lavorano sia con controller di dominio on-premises che con Azure AD.
Microsoft fornisce uno strumento gratuito chiamato Azure AD Connect per unire questi due ambienti. Azure AD Connect replica gli account utente di Active Directory su Azure AD, consentendo a un utente di avere una singola identità in grado di accedere sia alle risorse locali che a quelle basate sul cloud.
Quali tipi di licenze Azure AD offre Microsoft?
Microsoft attualmente vende quattro opzioni per le licenze Azure AD. La prima è l’opzione Free, che è raccomandata per le piccole organizzazioni e ha un limite di 500.000 oggetti della directory. È inteso principalmente come un meccanismo di autenticazione e controllo dell’accesso e supporta il provisioning degli utenti e le funzioni di gestione di base degli utenti, come la creazione, l’eliminazione e la modifica degli account utente. Questi utenti possono trarre vantaggio dal cambio di password self-service, e gli amministratori possono creare elenchi globali di password vietate o richiedere l’autenticazione multifattoriale (MFA).
Il tier Free di Azure AD supporta anche funzioni avanzate, compreso il supporto per Azure AD Connect e l’autenticazione cloud pass-through. Inoltre, l’edizione Azure AD Free permette l’autenticazione federata basata su Active Directory Federation Services o di terze parti, così come la funzionalità single sign-on. Gli amministratori possono creare rapporti di sicurezza e di utilizzo di base nella versione gratuita.
Microsoft include Azure AD con Office 365 e Microsoft 365 – in particolare, gli abbonamenti E1, E3, E5, F1 e F3 – come servizio di directory sottostante necessario per far funzionare le applicazioni sulla piattaforma, come Exchange Online per la posta elettronica e SharePoint Online per la gestione dei contenuti.
Microsoft chiama questa edizione Office 365 Apps di Azure AD. Ha le stesse caratteristiche e capacità della versione gratuita, ma aderisce anche a un accordo di livello di servizio (SLA) di disponibilità del 99,9%. L’edizione gratuita non ha SLA.
L’edizione Office 365 Apps permette anche varie personalizzazioni, come il branding aziendale. Forse più importante, la versione Office 365 Apps supporta la sincronizzazione bidirezionale per gli oggetti del dispositivo. Questo significa che le modifiche apportate all’interno di Azure AD si propagano all’ambiente Active Directory nel data center dell’organizzazione e viceversa.
Oltre all’edizione gratuita e Office 365 Apps di Azure AD, Microsoft offre anche due versioni premium note come Premium P1 e Premium P2. (Le versioni premium includono tutto ciò che è incluso nell’edizione Office 365 Apps e caratteristiche aggiuntive che ruotano intorno alle identità ibride, gestione avanzata degli accessi basati su gruppi e accesso condizionato. Le edizioni premium includono anche il supporto per Microsoft Identity Manager per estrarre i record dalle applicazioni software di gestione del capitale umano on-premises, come Oracle PeopleSoft.
La versione P2 ha la maggior parte delle caratteristiche e include funzionalità orientate alla protezione delle identità e alla governance delle identità.
Microsoft rimuove l’edizione Azure AD Basic
Microsoft aveva offerto un altro tier Azure AD chiamato Basic ma rimosso questa edizione alla fine del 2019. Le organizzazioni che hanno sottoscritto Azure AD Basic prima di questo cambiamento possono continuare a utilizzare la licenza. Questo tier aveva lo stesso set di funzionalità dell’edizione Azure AD Office 365 Apps con un’eccezione: Mancava l’autenticazione multifattoriale.
Scegliere una licenza Azure AD
Come precedentemente notato, ci sono quattro opzioni Azure AD. La versione gratuita è più adatta alle piccole organizzazioni e agli ambienti dev/test, mentre la versione Office 365/Microsoft 365 è dotata di caratteristiche aggiunte per lavorare con le funzionalità della piattaforma di collaborazione Microsoft, ma niente di più.
Le edizioni Azure AD Premium P1 e P2 sono destinate agli ambienti di classe enterprise che richiedono funzionalità avanzate di controllo degli accessi. Azure AD Premium P2 è una buona soluzione per le organizzazioni in settori fortemente regolamentati, come il governo o l’assistenza sanitaria, o per quelle che richiedono la massima sicurezza possibile.
Un confronto tra Azure AD Premium P1 e P2
Ora che hai una conoscenza di base di Azure AD e delle sue quattro edizioni, diamo un’occhiata a ciò che si ottiene con Azure AD Premium P1 e P2. Ci sono quattro ragioni principali per scegliere Premium P2:
1. La funzione di protezione dell’identità in Premium P2 fornisce una panoramica dei tentativi di autenticazione discutibili. Esamina gli accessi e valuta quanto possano essere rischiosi, come il rilevamento di un account che accede da un paese e poi da un paese diverso 10 minuti dopo. Gli amministratori possono gestire questi tentativi di autenticazione sospetti automaticamente con politiche che possono forzare l’MFA o bloccare completamente l’accesso. La protezione dell’identità è uno dei migliori argomenti per passare a P2, in quanto riduce notevolmente molti rischi relativi all’accesso degli utenti.
2. Privileged Identity Management (PIM) è un insieme di controlli per gestire gli account di accesso di livello superiore in Azure AD. Include caratteristiche di sicurezza come l’accesso just-in-time per concedere temporaneamente i diritti e rimuoverli con log completo e auditing. Anche i flussi di lavoro con giustificazione e notifiche possono essere attivati intorno all’attivazione di questi privilegi. Se avete a che fare con molte modifiche canaglia nel vostro ambiente, PIM potrebbe aiutarvi a riprendere il controllo.
3. La funzione di revisione degli accessi assicura che solo il personale giusto possa utilizzare risorse specifiche. Questo è utile quando si fa l’onboarding e l’offboarding del personale, o quando il personale cambia ruolo. Puoi anche mettere dei controlli sugli utenti esistenti per rivedere il loro accesso alle risorse e spingere queste decisioni verso i proprietari delle applicazioni. È possibile personalizzare i controlli ricorrenti per soddisfare i requisiti aziendali o per soddisfare le regole di conformità. È una bella funzione per darvi più controllo per consentire o bloccare l’accesso a risorse importanti senza dover ricordare di farlo.
4. La gestione dei diritti è una funzione di governance delle identità che utilizza l’automazione per gestire i cicli di vita delle identità, i cicli di vita degli accessi e l’accesso privilegiato. Fornisce controlli per dare accesso alle risorse dell’organizzazione, come gruppi e applicazioni, sia per gli utenti interni che esterni. La gestione dei diritti utilizza un pacchetto di accesso che raggruppa le risorse assortite, come i siti SharePoint Online e i diritti di accesso alle applicazioni cloud, utilizzati nel processo di richiesta.
Azure AD Premium P1 vs. P2 confronto dei prezzi
Azure AD Premium P1 fa parte della suite Office 365/Microsoft 365 E3, mentre Azure AD Premium P2 è incluso nella suite Office 365/Microsoft 365 E5. Microsoft offre anche i livelli come un acquisto separato; Azure AD Premium P1 costa $6 per utente, al mese, mentre Azure AD Premium P2 è $9 per utente, al mese.
Microsoft offre prezzi diversi sulle edizioni P1 e P2 per un utente attivo mensile (MAU) – qualcuno che accede o esegue un’attività legata all’identità sul tenant. Non ci sono spese per i primi 50.000 MAU. Oltre questo, Microsoft addebita $0.00325 per MAU sull’edizione P1 e $0.01625 per MAU sull’edizione P2.
Un’altra opzione che vale la pena considerare è il bundle Microsoft 365 Identity and Threat Protection ($12 per utente, al mese), che ha Azure AD Premium P2, Microsoft Cloud App Security e Microsoft 365 Defender — precedentemente chiamato Microsoft Threat Protection — che fornisce Azure Sentinel, Microsoft Defender for Identity (precedentemente Azure Advanced Threat Protection), Microsoft Defender for Endpoint (precedentemente Microsoft Defender ATP) e Microsoft Defender for Office 365 (precedentemente Office 365 Advanced Threat Protection). Questa combinazione fornisce un insieme più ampio di vantaggi per la sicurezza e non costa molto di più della licenza Azure AD Premium P2.
Decidere quale pacchetto acquistare richiede molta ricerca e comprensione per essere sicuri di ottenere il miglior valore per i vostri soldi. Non comprare il miglior livello di licenza disponibile in assoluto finché non sai che lo userai.
Testa Azure AD con l’edizione gratuita
Azure AD continua a crescere e a raccogliere nuove funzionalità e abilità regolarmente. Tra le capacità di gestione delle identità di Azure AD c’è un mix di gestione degli utenti sia interni che esterni, gestione dell’accesso alle applicazioni e protezione degli account. La maggior parte delle aziende utilizzerà sia Active Directory on-premises che Azure AD per soddisfare diversi requisiti di sistema, ed entrambi i sistemi si completano bene a vicenda.
È possibile provare Azure AD a costo zero impostando un tenant Azure gratuito se non ne avete già uno, quindi creare una directory. È quindi possibile installare facoltativamente il client Azure AD Connect per sincronizzare i vostri oggetti Active Directory on-premises.
Questo Azure AD Free tier è ottimo per scopi di test, ma non per un ambiente live aziendale. L’edizione Free non ha caratteristiche di sicurezza essenziali come l’accesso condizionato e l’MFA. Si vuole evitare di mettere le identità nel cloud senza protezione MFA. Una rapida ricerca online trova una recente sessione della conferenza Black Hat che discute quanto sia facile attaccare queste configurazioni di Azure AD, quindi si consiglia vivamente di bloccare il tenant Azure AD prima di iniziare a sperimentare.