Wanneer u besluit over te stappen op een identiteits- en toegangsbeheerservice, moet u rekening houden met de kosten en de mogelijkheden van elk niveau dat Microsoft biedt, om er zeker van te zijn dat u de dekking hebt die u nodig hebt tegen een prijs die u zich kunt veroorloven.
Microsoft heeft Azure Active Directory (Azure AD) in 2013 vrijgegeven voor algemene beschikbaarheid, en velen in de IT zijn er op zijn minst van op de hoogte, als ze het al niet actief gebruiken. Er heerst enige verwarring over dit product vanwege de naam; Azure AD is niet Active Directory in de cloud. Beide hebben identity management systemen als een belangrijk onderdeel, maar het zijn zeer verschillende systemen. Zodra u tot dit besef komt, zult u vervolgens verder willen gaan en een Azure AD Premium P1 vs P2 vergelijking uitvoeren.
- Wat is Active Directory?
- Wat is Azure Active Directory?
- Hoe werkt Azure AD met on-premises Active Directory?
- Welke soorten Azure AD-licenties biedt Microsoft aan?
- Microsoft verwijdert Azure AD Basic-editie
- Het kiezen van een Azure AD-licentie
- Een Azure AD Premium P1 vs. P2 functievergelijking
- Azure AD Premium P1 vs P2 prijsvergelijking
- Test Azure AD met de gratis editie
Wat is Active Directory?
Active Directory is de Microsoft directory service ontworpen om te draaien op locatie op het Windows Server-besturingssysteem dat de toegang tot de organisatie en haar middelen controleert. Onderdeel van Active Directory is de Active Directory Domain Services server rol, ook wel bekend als de domeincontroller, die de functionaliteit bevat om gegevens op te slaan in de directory, zoals wachtwoorden van gebruikers, en voert de autorisatie en authenticatie taken op het domein. De directory-structuur maakt gebruik van objecten, die computeraccounts, servers of printers kunnen zijn – in wezen elk apparaat of elke gebruiker die verbinding maakt met het netwerk van de organisatie.
U kunt Active Directory Domain Services installeren op verschillende Windows Server-implementaties, die vervolgens de rol van domeincontrollers op zich nemen binnen het Active Directory-bos, dat het hoogste niveau in de directory-hiërarchie is. Active Directory biedt authenticatie, toegangscontrole en beveiliging (Groepsbeleid) diensten voor middelen binnen het bos.
Wat is Azure Active Directory?
Azure Active Directory, die meer in het algemeen wordt aangeduid als Azure AD, is een cloud-gebaseerde identiteit toegang en beheer controle service. Het is inbegrepen bij Office 365 en Microsoft 365 abonnementen, maar Microsoft verkoopt ook andere Azure AD edities met verschillende niveaus van functionaliteit. Net als Active Directory biedt Azure AD authenticatie- en toegangscontrolediensten, maar is het specifiek ontworpen om de unieke behoeften van cloudgebruikers en cloudapps te ondersteunen.
Hoewel er veel overeenkomsten zijn tussen Active Directory en Azure AD, is Azure AD niet simpelweg Active Directory in de cloud. Azure AD biedt cloud-specifieke functionaliteit die niet bestaat in een traditionele Active Directory-omgeving. Active Directory biedt bijvoorbeeld geen manier om mobiele apparaten te domain joinen, maar Azure AD integreert met Microsoft Intune om mobiele apparaten te beheren. Evenzo biedt Active Directory geen native ondersteuning voor niet-Windows systemen, maar Azure AD biedt Linux machines toegang tot verschillende resources met behulp van beheerde identiteiten. U kunt meer informatie vinden over de verschillen tussen Active Directory en Azure AD op deze documentatie link van Microsoft.
Hoe werkt Azure AD met on-premises Active Directory?
Hoewel zowel Active Directory en Azure AD kunnen bestaan als onafhankelijke directory-omgevingen, is het gebruikelijk voor organisaties om hybride directories te creëren die werken met zowel on-premises domain controllers en Azure AD.
Microsoft biedt een gratis tool genaamd Azure AD Connect om deze twee omgevingen samen te voegen. Azure AD Connect repliceert Active Directory-gebruikersaccounts naar Azure AD, waardoor een gebruiker een enkele identiteit kan hebben die toegang biedt tot zowel lokale als cloudgebaseerde bronnen.
Welke soorten Azure AD-licenties biedt Microsoft aan?
Microsoft verkoopt momenteel vier opties voor Azure AD-licenties. De eerste is de Free-optie, die wordt aanbevolen voor kleinere organisaties en een limiet heeft van 500.000 directory-objecten. Het is primair bedoeld als een authenticatie- en toegangscontrolemechanisme en ondersteunt user provisioning en basisfuncties voor gebruikersbeheer, zoals het aanmaken, verwijderen en wijzigen van gebruikersaccounts. Deze gebruikers kunnen profiteren van self-service wachtwoordwijziging, en admins kunnen globale lijsten met verboden wachtwoorden maken of multifactor authenticatie (MFA) vereisen.
Azure AD’s Free tier ondersteunt ook geavanceerde functies, waaronder ondersteuning voor Azure AD Connect en pass-through cloud authenticatie. Daarnaast maakt de Azure AD Free editie op Active Directory Federation Services gebaseerde of door derden gefedereerde authenticatie mogelijk, evenals single sign-on functionaliteit. Beheerders kunnen basisbeveiligings- en gebruiksrapporten maken in de Free-versie.
Microsoft omvat Azure AD met Office 365 en Microsoft 365 — specifiek, de E1, E3, E5, F1 en F3-abonnementen — als de onderliggende directory service die nodig is om de applicaties op het platform te bedienen, zoals Exchange Online voor e-mail en SharePoint Online voor content management.
Microsoft noemt dit de Office 365 Apps-editie van Azure AD. Het heeft dezelfde functies en mogelijkheden als de Free-versie, maar het houdt zich ook aan een service-level agreement (SLA) van 99,9% beschikbaarheid. De Free-editie heeft geen SLA.
De Office 365 Apps editie maakt ook verschillende aanpassingen mogelijk, zoals branding van het bedrijf. Misschien nog belangrijker is dat de Office 365 Apps-versie tweewegsynchronisatie ondersteunt voor apparaatobjecten. Dit betekent dat wijzigingen die binnen Azure AD worden aangebracht, worden doorgegeven aan de Active Directory-omgeving in het datacenter van de organisatie en vice versa.
Naast de gratis en Office 365 Apps-editie van Azure AD, biedt Microsoft ook twee premium-versies die bekend staan als Premium P1 en Premium P2. (Premium was voorheen één tier, maar Microsoft heeft het opgesplitst in twee edities.) De premium versies omvatten alles wat is opgenomen in de Office 365 Apps editie en extra functies die draaien om hybride identiteiten, geavanceerd groepsgebaseerd toegangsbeheer en voorwaardelijke toegang. De premium edities omvatten ook ondersteuning voor Microsoft Identity Manager om records op te halen uit on-premises softwaretoepassingen voor human capital management, zoals Oracle PeopleSoft.
De P2-versie heeft de meeste functies en bevat functionaliteit gericht op identiteitsbescherming en identiteitsgovernance.
Microsoft verwijdert Azure AD Basic-editie
Microsoft had nog een Azure AD-tier aangeboden genaamd Basic, maar verwijderde deze editie eind 2019. Organisaties die voor deze wijziging een abonnement hadden op Azure AD Basic kunnen de licentie blijven gebruiken. Deze tier had dezelfde featureset als de Azure AD Office 365 Apps editie met één uitzondering: Het ontbrak aan multifactor authenticatie.
Het kiezen van een Azure AD-licentie
Zoals eerder opgemerkt, zijn er vier Azure AD-opties. De gratis versie is het meest geschikt voor kleine organisaties en dev / testomgevingen, terwijl de Office 365 / Microsoft 365-versie wordt geleverd met toegevoegde functies om te werken met de functionaliteit op het Microsoft-samenwerkingsplatform, maar niets meer.
De Azure AD Premium P1- en P2-edities zijn gericht op enterprise-klasse omgevingen die geavanceerde toegangscontrolemogelijkheden vereisen. Azure AD Premium P2 is geschikt voor organisaties in sterk gereguleerde sectoren, zoals overheid of gezondheidszorg, of voor organisaties die de sterkst mogelijke beveiliging vereisen.
Een Azure AD Premium P1 vs. P2 functievergelijking
Nu u een basiskennis hebt van Azure AD en de vier edities, laten we eens kijken naar wat u krijgt met Azure AD Premium P1 vs. P2. Er zijn vier belangrijke redenen om Premium P2 te kiezen:
1. De identiteitsbeschermingsfunctie in Premium P2 geeft een overzicht van twijfelachtige authenticatiepogingen. Het bekijkt aanmeldingen en beoordeelt hoe riskant ze kunnen zijn, zoals het detecteren van een account die zich aanmeldt vanuit het ene land, en 10 minuten later vanuit een ander land. Beheerders kunnen deze verdachte verificatiepogingen automatisch afhandelen met beleidsregels die MFA kunnen afdwingen of de toegang volledig kunnen blokkeren. Identiteitsbescherming is een van de beste argumenten om naar P2 te gaan, omdat het veel risico’s met betrekking tot gebruikerstoegang sterk vermindert.
2. Privileged Identity Management (PIM) is een reeks controles om toegangsaccounts op hoger niveau in Azure AD te beheren. Het omvat beveiligingsfuncties zoals just-in-time toegang om tijdelijk rechten toe te kennen en deze te verwijderen met volledige logging en auditing. Workflows met verantwoording en notificaties kunnen ook worden getriggerd rond de activering van deze rechten. Als u te maken hebt met veel malafide wijzigingen in uw omgeving, kan PIM u helpen de controle terug te krijgen.
3. De functie voor toegangsbeoordelingen zorgt ervoor dat alleen het juiste personeel specifieke bronnen kan gebruiken. Dit is handig bij het in- en uitstappen van personeel, of wanneer personeel van rol verandert. U kunt ook controles uitvoeren op bestaande gebruikers om hun toegang tot resources te beoordelen en deze beslissingen door te schuiven naar applicatie-eigenaren. U kunt terugkerende controles op maat maken om te voldoen aan zakelijke vereisten of aan compliance-regels. Het is een mooie functie om u meer controle te geven over het toestaan of blokkeren van toegang tot belangrijke resources zonder dat u dit hoeft te onthouden.
4. Entitlement management is een identity governance functie die gebruik maakt van automatisering om identity lifecycles, access lifecycles en geprivilegieerde toegang te beheren. Het biedt controles om toegang te verlenen tot de middelen van de organisatie, zoals groepen en toepassingen, voor zowel interne als externe gebruikers. Entitlement management maakt gebruik van een toegangspakket dat de geassorteerde middelen bundelt, zoals SharePoint Online-sites en cloud app-toegangsrechten, die worden gebruikt in het aanvraagproces.
Azure AD Premium P1 vs P2 prijsvergelijking
Azure AD Premium P1 wordt geleverd als onderdeel van de Office 365/Microsoft 365 E3-suite, en Azure AD Premium P2 wordt meegeleverd met de Office 365/Microsoft 365 E5-suite. Microsoft biedt de niveaus ook aan als een afzonderlijke aankoop; Azure AD Premium P1 kost $ 6 per gebruiker, per maand, terwijl Azure AD Premium P2 $ 9 per gebruiker, per maand is.
Microsoft biedt verschillende prijzen voor de P1- en P2-edities voor een maandelijkse actieve gebruiker (MAU) — iemand die zich aanmeldt of een identiteitsgerelateerde activiteit uitvoert op de tenant. Voor de eerste 50.000 MAU’s wordt niets in rekening gebracht. Daarna rekent Microsoft 0,00325 dollar per MAU voor de P1-editie en 0,01625 dollar per MAU voor de P2-editie.
Een andere optie die het overwegen waard is, is de Microsoft 365 Identity and Threat Protection-bundel ($ 12 per gebruiker, per maand), die Azure AD Premium P2, Microsoft Cloud App Security en Microsoft 365 Defender heeft – voorheen Microsoft Threat Protection genoemd – die Azure Sentinel, Microsoft Defender for Identity (voorheen Azure Advanced Threat Protection), Microsoft Defender for Endpoint (voorheen Microsoft Defender ATP) en Microsoft Defender for Office 365 (voorheen Office 365 Advanced Threat Protection) biedt. Deze combinatie biedt een uitgebreidere set beveiligingsvoordelen en kost niet veel meer dan de Azure AD Premium P2-licentie.
Beslissen welk pakket te kopen vereist veel onderzoek en inzicht om ervoor te zorgen dat u de beste waarde voor uw geld krijgt. Koop niet de absoluut beste tier van licentie beschikbaar totdat u weet dat u het zult gebruiken.
Test Azure AD met de gratis editie
Azure AD blijft groeien en verzamelt regelmatig nieuwe functies en mogelijkheden. Onder Azure AD’s identity management mogelijkheden is een mix van gebruikersbeheer voor zowel interne als externe gebruikers, applicatie toegangsbeheer en account bescherming. De meeste bedrijven zullen zowel on-premises Active Directory als Azure AD gebruiken om aan verschillende systeemvereisten te voldoen, en beide systemen vullen elkaar goed aan.
U kunt Azure AD gratis uitproberen door een gratis Azure tenant op te zetten als u die nog niet hebt, maak vervolgens een directory aan. U kunt dan optioneel de Azure AD Connect-client installeren om uw on-premises Active Directory-objecten te synchroniseren.
Deze Azure AD Free tier is geweldig voor testdoeleinden, maar niet voor de live-omgeving van een bedrijf. De Free editie heeft geen essentiële beveiligingsfuncties, zoals voorwaardelijke toegang en MFA. U wilt voorkomen dat identiteiten in de cloud worden geplaatst zonder MFA bescherming. Een vluchtige online zoektocht vindt een recente Black Hat conferentie sessie die bespreekt hoe gemakkelijk het is om deze Azure AD setups aan te vallen, dus het is ten zeerste aanbevolen om de Azure AD tenant te vergrendelen voordat u begint te experimenteren.