Podejmując decyzję o przejściu na usługę zarządzania tożsamością i dostępem, będziesz musiał wziąć pod uwagę koszty i możliwości każdej warstwy oferowanej przez Microsoft, aby upewnić się, że masz pokrycie, którego potrzebujesz w cenie, na którą możesz sobie pozwolić.
Microsoft udostępnił Azure Active Directory (Azure AD) do ogólnej dostępności w 2013 r., a wiele osób w IT jest przynajmniej świadomych tego produktu, jeśli go aktywnie nie używa. Istnieje tendencja do pewnego zamieszania wokół tego produktu ze względu na jego nazwę; Azure AD nie jest Active Directory w chmurze. Oba mają systemy zarządzania tożsamością jako kluczowy komponent, ale są to bardzo różne systemy. Kiedy już to zrozumiesz, będziesz chciał pójść dalej i przeprowadzić porównanie Azure AD Premium P1 vs P2.
- Co to jest Active Directory?
- Co to jest Azure Active Directory?
- Jak Azure AD współpracuje z on-premises Active Directory?
- Jakie typy licencji Azure AD oferuje Microsoft?
- Microsoft usuwa edycję Azure AD Basic
- Wybór licencji Azure AD
- Porównanie funkcji Azure AD Premium P1 vs P2
- Porównanie cen Azure AD Premium P1 vs P2
- Testuj Azure AD z edycją Free
Co to jest Active Directory?
Active Directory to usługa katalogowa firmy Microsoft zaprojektowana do działania w siedzibie firmy na systemie operacyjnym Windows Server, która kontroluje dostęp do organizacji i jej zasobów. Częścią Active Directory jest rola serwera Active Directory Domain Services, znanego również jako kontroler domeny, który zawiera funkcjonalność do przechowywania danych w katalogu, takich jak hasła użytkowników, oraz wykonuje zadania autoryzacji i uwierzytelniania w domenie. Struktura katalogu wykorzystuje obiekty, którymi mogą być konta komputerowe, serwery lub drukarki – zasadniczo każde urządzenie lub użytkownik, który łączy się z siecią organizacji.
Można zainstalować usługi Active Directory Domain Services na kilku wdrożeniach Windows Server, które następnie przyjmują rolę kontrolerów domeny w ramach lasu Active Directory, który jest najwyższym poziomem w hierarchii katalogów. Active Directory zapewnia uwierzytelnianie, kontrolę dostępu i usługi bezpieczeństwa (Group Policy) dla zasobów w obrębie lasu.
Co to jest Azure Active Directory?
Azure Active Directory, które jest bardziej powszechnie określane jako Azure AD, jest opartą na chmurze usługą kontroli dostępu i zarządzania tożsamością. Jest ona dołączana do subskrypcji Office 365 i Microsoft 365, ale firma Microsoft sprzedaje również inne edycje usługi Azure AD o różnym poziomie funkcjonalności. Podobnie jak Active Directory, Azure AD zapewnia uwierzytelnianie i usługi kontroli dostępu, ale zostało specjalnie zaprojektowane do obsługi unikalnych potrzeb użytkowników chmury i aplikacji w chmurze.
Mimo że istnieje wiele podobieństw między Active Directory i Azure AD, Azure AD nie jest po prostu Active Directory w chmurze. Azure AD oferuje funkcje specyficzne dla chmury, które nie istnieją w tradycyjnym środowisku Active Directory. Na przykład, Active Directory nie oferuje sposobu dołączania urządzeń mobilnych do domeny, ale Azure AD integruje się z Microsoft Intune w celu zarządzania urządzeniami mobilnymi. Podobnie, Active Directory nie obsługuje natywnie systemów innych niż Windows, ale Azure AD umożliwia maszynom Linux dostęp do różnych zasobów za pomocą zarządzanych tożsamości. Więcej informacji na temat różnic między Active Directory i Azure AD można znaleźć w tej dokumentacji firmy Microsoft.
Jak Azure AD współpracuje z on-premises Active Directory?
Ale zarówno Active Directory, jak i Azure AD mogą istnieć jako niezależne środowiska katalogowe, często organizacje tworzą katalogi hybrydowe, które współpracują zarówno z kontrolerami domeny on-premises, jak i Azure AD.
Microsoft udostępnia bezpłatne narzędzie o nazwie Azure AD Connect, aby połączyć te dwa środowiska. Azure AD Connect replikuje konta użytkowników Active Directory do Azure AD, umożliwiając użytkownikowi posiadanie pojedynczej tożsamości zdolnej do uzyskania dostępu zarówno do zasobów lokalnych, jak i opartych na chmurze.
Jakie typy licencji Azure AD oferuje Microsoft?
Microsoft sprzedaje obecnie cztery opcje licencjonowania Azure AD. Pierwszą z nich jest opcja Free, która jest zalecana dla mniejszych organizacji i ma limit 500 000 obiektów katalogowych. Jest ona przeznaczona głównie jako mechanizm uwierzytelniania i kontroli dostępu oraz obsługuje dostarczanie użytkowników i podstawowe funkcje zarządzania użytkownikami, takie jak tworzenie, usuwanie i modyfikowanie kont użytkowników. Użytkownicy ci mogą korzystać z samoobsługowej zmiany haseł, a administratorzy mogą tworzyć globalne listy zakazanych haseł lub wymagać uwierzytelniania wieloczynnikowego (MFA).
Darmowa warstwa Azure AD obsługuje również zaawansowane funkcje, w tym obsługę Azure AD Connect i uwierzytelnianie w chmurze typu pass-through. Dodatkowo, edycja Azure AD Free pozwala na federacyjne uwierzytelnianie oparte na Active Directory Federation Services lub innych firmach, a także na funkcjonalność jednokrotnego logowania. Administratorzy mogą tworzyć podstawowe raporty bezpieczeństwa i użytkowania w wersji Free.
Microsoft dołącza Azure AD do Office 365 i Microsoft 365 – a konkretnie do subskrypcji E1, E3, E5, F1 i F3 – jako bazową usługę katalogową wymaganą do obsługi aplikacji na tej platformie, takich jak Exchange Online do poczty elektronicznej i SharePoint Online do zarządzania treścią.
Microsoft nazywa to Office 365 Apps edition of Azure AD. Posiada ona te same funkcje i możliwości, co wersja bezpłatna, ale jest również zgodna z umową o poziomie usług (SLA) o dostępności 99,9%. Edycja bezpłatna nie ma umowy SLA.
Edycja Office 365 Apps pozwala również na różne dostosowania, takie jak branding firmy. Co być może ważniejsze, wersja Office 365 Apps obsługuje dwukierunkową synchronizację dla obiektów urządzeń. Oznacza to, że zmiany wprowadzone w Azure AD propagują się w środowisku Active Directory w centrum danych organizacji i vice versa.
Oprócz darmowej i Office 365 Apps edycji Azure AD, Microsoft oferuje również dwie wersje premium znane jako Premium P1 i Premium P2. (Premium było kiedyś jednym poziomem, ale Microsoft podzielił je na dwie edycje). Wersje premium zawierają wszystko to, co jest zawarte w edycji Office 365 Apps oraz dodatkowe funkcje, które obracają się wokół tożsamości hybrydowych, zaawansowanego zarządzania dostępem opartego na grupach i dostępu warunkowego. Edycje premium obejmują również obsługę Microsoft Identity Manager w celu wciągnięcia rekordów z aplikacji oprogramowania do zarządzania kapitałem ludzkim on-premises, takich jak Oracle PeopleSoft.
Wersja P2 ma najwięcej funkcji i zawiera funkcjonalność ukierunkowaną na ochronę tożsamości i zarządzanie tożsamością.
Microsoft usuwa edycję Azure AD Basic
Microsoft oferował inny poziom Azure AD o nazwie Basic, ale usunął tę edycję pod koniec 2019 roku. Organizacje, które subskrybowały Azure AD Basic przed tą zmianą, mogą nadal korzystać z licencji. Ta warstwa miała taki sam zestaw funkcji jak edycja Azure AD Office 365 Apps z jednym wyjątkiem: Brakowało w niej uwierzytelniania wieloczynnikowego.
Wybór licencji Azure AD
Jak już wcześniej zauważono, istnieją cztery opcje Azure AD. Wersja bezpłatna najlepiej nadaje się dla małych organizacji i środowisk testowych, natomiast wersja Office 365/Microsoft 365 jest wyposażona w dodatkowe funkcje umożliwiające współpracę z funkcjami platformy współpracy firmy Microsoft, ale nic ponadto.
Wydania Azure AD Premium P1 i P2 są przeznaczone dla środowisk klasy korporacyjnej, które wymagają zaawansowanych możliwości kontroli dostępu. Azure AD Premium P2 jest dobrym rozwiązaniem dla organizacji z branż silnie regulowanych, takich jak rządowa lub opieki zdrowotnej, lub dla tych, które wymagają najsilniejszych możliwych zabezpieczeń.
Porównanie funkcji Azure AD Premium P1 vs P2
Teraz, gdy masz już podstawowe zrozumienie Azure AD i jego czterech edycji, spójrzmy na to, co otrzymasz z Azure AD Premium P1 vs P2. Istnieją cztery główne powody, dla których warto wybrać wersję Premium P2:
1. Funkcja ochrony tożsamości w Premium P2 daje przegląd wątpliwych prób uwierzytelniania. Analizuje logowania i ocenia, jak bardzo mogą być ryzykowne, np. wykrywa logowanie z jednego kraju, a 10 minut później z innego. Administratorzy mogą automatycznie reagować na te podejrzane próby uwierzytelniania za pomocą polityk, które mogą wymusić MFA lub całkowicie zablokować dostęp. Ochrona tożsamości jest jednym z najlepszych argumentów przemawiających za przejściem na P2, ponieważ znacznie zmniejsza wiele zagrożeń związanych z dostępem użytkowników.
2. Privileged Identity Management (PIM) to zestaw kontroli do zarządzania kontami dostępu wyższego poziomu w Azure AD. Zawiera funkcje bezpieczeństwa, takie jak dostęp just-in-time do tymczasowego nadawania uprawnień i ich odbierania z pełnym logowaniem i audytem. Wokół aktywacji tych uprawnień mogą być również uruchamiane przepływy pracy z uzasadnieniem i powiadomieniami. Jeśli musisz zmagać się z wieloma nieuczciwymi zmianami w swoim środowisku, PIM może pomóc Ci odzyskać kontrolę.
3. Funkcja przeglądów dostępu zapewnia, że tylko odpowiedni personel może korzystać z określonych zasobów. Jest to pomocne podczas wprowadzania i wycofywania pracowników lub gdy personel zmienia role. Można również wprowadzić kontrole dla istniejących użytkowników w celu sprawdzenia ich dostępu do zasobów i przekazania tych decyzji właścicielom aplikacji. Możesz dostosować powtarzające się kontrole do wymagań biznesowych lub do spełnienia zasad zgodności. Jest to miła funkcja, która daje większą kontrolę nad zezwalaniem lub blokowaniem dostępu do ważnych zasobów bez konieczności pamiętania o tym.
4. Zarządzanie uprawnieniami jest funkcją zarządzania tożsamością, która wykorzystuje automatyzację do zarządzania cyklem życia tożsamości, cyklem życia dostępu i dostępem uprzywilejowanym. Zapewnia kontrolę w celu nadania dostępu do zasobów organizacji, takich jak grupy i aplikacje, zarówno dla użytkowników wewnętrznych, jak i zewnętrznych. Zarządzanie uprawnieniami wykorzystuje pakiet dostępu, który łączy różnorodne zasoby, takie jak witryny SharePoint Online i prawa dostępu do aplikacji w chmurze, używane w procesie żądania.
Porównanie cen Azure AD Premium P1 vs P2
Azure AD Premium P1 wchodzi w skład pakietu Office 365/Microsoft 365 E3, a Azure AD Premium P2 jest dołączony do pakietu Office 365/Microsoft 365 E5. Microsoft oferuje również poziomy jako oddzielny zakup; Azure AD Premium P1 kosztuje 6 dolarów za użytkownika, za miesiąc, podczas gdy Azure AD Premium P2 to 9 dolarów za użytkownika, za miesiąc.
Microsoft oferuje różne ceny na edycjach P1 i P2 dla miesięcznego aktywnego użytkownika (MAU) – kogoś, kto loguje się lub wykonuje czynność związaną z tożsamością na lokatorze. Nie ma opłat za pierwsze 50,000 MAU. Po przekroczeniu tej liczby Microsoft pobiera opłatę w wysokości 0,00325 USD za MAU w przypadku edycji P1 i 0,01625 USD za MAU w przypadku edycji P2.
Inną opcją wartą rozważenia jest pakiet Microsoft 365 Identity and Threat Protection (12 USD za użytkownika, miesięcznie), który ma Azure AD Premium P2, Microsoft Cloud App Security i Microsoft 365 Defender — dawniej nazywany Microsoft Threat Protection — który zapewnia Azure Sentinel, Microsoft Defender for Identity (dawniej Azure Advanced Threat Protection), Microsoft Defender for Endpoint (dawniej Microsoft Defender ATP) i Microsoft Defender for Office 365 (dawniej Office 365 Advanced Threat Protection). Takie połączenie zapewnia bardziej rozbudowany zestaw korzyści w zakresie bezpieczeństwa i nie kosztuje dużo więcej niż licencja Azure AD Premium P2.
Decyzja o tym, który pakiet kupić, wymaga wielu badań i zrozumienia, aby upewnić się, że otrzymujesz najlepszą wartość za swoje pieniądze. Nie kupuj absolutnie najlepszego poziomu licencji, dopóki nie wiesz, że będziesz go używać.
Testuj Azure AD z edycją Free
Azure AD stale się rozwija i regularnie gromadzi nowe funkcje i możliwości. Wśród możliwości Azure AD w zakresie zarządzania tożsamością znajduje się zarządzanie użytkownikami zarówno wewnętrznymi, jak i zewnętrznymi, zarządzanie dostępem do aplikacji oraz ochrona kont. Większość firm będzie korzystać zarówno z lokalnej usługi Active Directory, jak i Azure AD, aby spełnić różne wymagania systemowe, a oba systemy dobrze się uzupełniają.
Możesz wypróbować Azure AD bez żadnych kosztów, zakładając bezpłatną dzierżawę Azure, jeśli jeszcze jej nie masz, a następnie utworzyć katalog. Następnie można opcjonalnie zainstalować klienta Azure AD Connect, aby zsynchronizować swoje lokalne obiekty Active Directory.
Ta warstwa Azure AD Free jest świetna do celów testowych, ale nie dla firmowego środowiska na żywo. Edycja bezpłatna nie posiada istotnych funkcji bezpieczeństwa, takich jak dostęp warunkowy i MFA. Należy unikać umieszczania tożsamości w chmurze bez ochrony MFA. Po pobieżnym przeszukaniu Internetu można znaleźć niedawną sesję konferencji Black Hat, która omawia, jak łatwo jest zaatakować te konfiguracje Azure AD, więc wysoce zalecane jest zablokowanie dzierżawcy Azure AD przed rozpoczęciem eksperymentów.