Ao decidir mudar para um serviço de gerenciamento de identidade e acesso, você terá que considerar os custos e as capacidades de cada camada que a Microsoft oferece para garantir que você tenha a cobertura necessária a um preço que você pode pagar.
Microsoft lançou o Azure Active Directory (Azure AD) para disponibilidade geral em 2013, e muitos em TI estão pelo menos cientes disso se não o estiverem usando ativamente. Há uma certa confusão sobre este produto devido ao seu nome; o Azure AD não é Active Directory na nuvem. Ambos têm sistemas de gestão de identidade como um componente chave, mas são sistemas muito diferentes. Uma vez que você chegue a esta conclusão, você vai querer ir mais longe e realizar uma comparação Azure AD Premium P1 vs. P2.
- O que é Active Directory?
- O que é o Azure Active Directory?
- Como o Azure AD funciona com o Active Directory no local?
- Que tipos de licenças Azure AD a Microsoft oferece?
- Microsoft remove Azure AD Basic edition
- Escolhendo uma licença Azure AD
- Uma comparação de características do Azure AD Premium P1 vs. P2
- Azure AD Premium P1 vs. comparação de preços P2
- Teste o Azure AD com a edição gratuita
O que é Active Directory?
Active Directory é o serviço de diretório da Microsoft projetado para rodar nas instalações do sistema operacional Windows Server que controla o acesso à organização e seus recursos. Parte do Active Directory é a função de servidor do Active Directory Domain Services, também conhecido como controlador de domínio, que incorpora a funcionalidade de armazenar dados no diretório, como senhas de usuários, e executa as tarefas de autorização e autenticação no domínio. A estrutura do diretório usa objetos, que podem ser contas de computador, servidores ou impressoras — essencialmente, qualquer dispositivo ou usuário que se conecte à rede da organização.
Você pode instalar o Active Directory Domain Services em várias implementações do Windows Server, que então assumem o papel de controladores de domínio dentro da floresta do Active Directory, que é o nível mais alto na hierarquia de diretórios. O Active Directory fornece serviços de autenticação, controle de acesso e segurança (Política de Grupo) para recursos dentro da floresta.
O que é o Azure Active Directory?
Azure Active Directory, que é mais comumente referido como Azure AD, é um serviço de controle de acesso e gerenciamento de identidade baseado em nuvem. Está incluído nas assinaturas do Office 365 e Microsoft 365, mas a Microsoft também vende outras edições do Azure AD com diferentes níveis de funcionalidade. Tal como o Active Directory, o Azure AD fornece serviços de autenticação e controlo de acesso, mas foi especificamente concebido para suportar as necessidades únicas dos utilizadores e aplicações na nuvem.
Embora existam muitas semelhanças entre o Active Directory e o Azure AD, o Azure AD não é simplesmente um Active Directory na nuvem. O Azure AD oferece uma funcionalidade específica da nuvem que não existe em um ambiente Active Directory tradicional. Por exemplo, o Active Directory não oferece uma forma de domínio para se juntar a dispositivos móveis, mas o Azure AD integra-se com o Microsoft Intune para gerir dispositivos móveis. Da mesma forma, o Active Directory não suporta nativamente sistemas não Windows, mas o Azure AD permite que as máquinas Linux acedam a vários recursos utilizando identidades geridas. Você pode encontrar mais informações sobre as diferenças entre o Active Directory e o Azure AD neste link de documentação da Microsoft.
Como o Azure AD funciona com o Active Directory no local?
Embora ambos Active Directory e Azure AD possam existir como ambientes de diretório independentes, é comum para as organizações criarem diretórios híbridos que funcionem com controladores de domínio no local e com o Azure AD.
Microsoft fornece uma ferramenta gratuita chamada Azure AD Connect para unir esses dois ambientes. O Azure AD Connect replica contas de usuários do Active Directory para o Azure AD, permitindo que um usuário tenha uma única identidade capaz de acessar recursos locais e baseados em nuvem.
Que tipos de licenças Azure AD a Microsoft oferece?
Microsoft vende atualmente quatro opções para o licenciamento do Azure AD. A primeira é a opção Livre, que é recomendada para organizações menores e tem um limite de 500.000 objetos de diretório. Destina-se principalmente como um mecanismo de autenticação e controle de acesso e suporta funções básicas de provisão de usuários e gerenciamento de usuários, tais como criação, exclusão e modificação de contas de usuários. Estes usuários podem tirar proveito da mudança de senha de auto-atendimento, e os administradores podem criar listas globais de senhas proibidas ou exigir autenticação multifatorial (MFA).
Azure AD’s Free tier também suporta recursos avançados, incluindo suporte para o Azure AD Connect e autenticação na nuvem de pass-through. Além disso, a edição Azure AD Free permite a autenticação baseada em Active Directory Federation Services ou em serviços federados de terceiros, bem como a funcionalidade de login único. Os administradores podem criar relatórios básicos de segurança e utilização na versão Free.
Microsoft inclui o Azure AD com o Office 365 e Microsoft 365 — especificamente, as subscrições E1, E3, E5, F1 e F3 — como o serviço de directório subjacente necessário para operar as aplicações na plataforma, tais como Exchange Online para e-mail e SharePoint Online para gestão de conteúdos.
Microsoft chama a isto a edição Office 365 Apps do Azure AD. Ele tem as mesmas funcionalidades e capacidades da versão Gratuita, mas também adere a um acordo de nível de serviço (SLA) de 99,9% de disponibilidade. A edição Free não tem SLA.
A edição Office 365 Apps também permite várias personalizações, como a marca da empresa. Talvez mais importante, a versão do Office 365 Apps suporta sincronização bidirecional para objetos de dispositivos. Isto significa que as alterações feitas dentro do Azure AD propagam-se para o ambiente Active Directory no centro de dados da organização e vice-versa.
Além da edição gratuita e do Office 365 Apps do Azure AD, a Microsoft também oferece duas versões premium conhecidas como Premium P1 e Premium P2. (Premium costumava ser um nível, mas a Microsoft dividiu-o em duas edições). As versões premium incluem tudo o que está incluído na edição do Office 365 Apps e funcionalidades adicionais que giram em torno de identidades híbridas, gestão avançada de acesso baseada em grupos e acesso condicional. As edições premium também incluem suporte para o Microsoft Identity Manager para puxar registos de aplicações de software de gestão de capital humano no local, tais como Oracle PeopleSoft.
A versão P2 tem o maior número de funcionalidades e inclui funcionalidades orientadas para a protecção de identidade e governação de identidade.
Microsoft remove Azure AD Basic edition
Microsoft tinha oferecido outro nível Azure AD chamado Basic, mas removeu esta edição no final de 2019. As organizações que subscreveram o Azure AD Basic antes desta alteração podem continuar a utilizar a licença. Esta camada tinha a mesma funcionalidade que a edição do Azure AD Office 365 Apps, com uma excepção: Faltava autenticação multifactor.
Escolhendo uma licença Azure AD
Como já foi dito anteriormente, existem quatro opções do Azure AD. A versão Free é mais adequada para pequenas organizações e ambientes de desenvolvimento/teste, enquanto a versão do Office 365/Microsoft 365 vem com recursos adicionados para trabalhar com a funcionalidade na plataforma de colaboração da Microsoft, mas nada mais.
As edições Azure AD Premium P1 e P2 têm como alvo ambientes de classe empresarial que requerem capacidades avançadas de controle de acesso. O Azure AD Premium P2 é um bom ajuste para organizações em indústrias altamente regulamentadas, como governo ou saúde, ou para aquelas que requerem a segurança mais forte possível.
Uma comparação de características do Azure AD Premium P1 vs. P2
Agora você tenha um entendimento básico do Azure AD e suas quatro edições, vamos ver o que você obtém com o Azure AD Premium P1 vs. P2. Existem quatro razões principais para escolher o Premium P2:
1. O recurso de proteção de identidade em Premium P2 dá uma visão geral de tentativas questionáveis de autenticação. Ele analisa os logins e avalia o risco que eles podem ter, como detectar o login de uma conta de um país e, 10 minutos depois, um país diferente. Os administradores podem lidar com essas tentativas de autenticação suspeitas automaticamente com políticas que podem forçar o AMF ou bloquear o acesso por completo. A proteção de identidade é um dos melhores argumentos para ir ao P2, pois reduz muito os riscos relacionados ao acesso do usuário.
2. Gestão de Identidade Privilegiada (PIM) é um conjunto de controlos para gerir contas de acesso de nível superior no AD Azure. Ele inclui recursos de segurança como o acesso just-in-time para conceder direitos temporariamente e removê-los com registro e auditoria completos. Fluxos de trabalho com justificação e notificações também podem ser acionados em torno da ativação desses privilégios. Se você tiver que lidar com muitas mudanças desonestas no seu ambiente, o PIM pode ajudá-lo a recuperar o controle.
3. O recurso de revisões de acesso garante que apenas o pessoal certo pode usar recursos específicos. Isto é útil quando o pessoal onboarding e offboarding, ou quando o pessoal muda de funções. Você também pode colocar verificações em usuários existentes para rever seu acesso aos recursos e empurrar essas decisões para os proprietários de aplicativos. Você pode adaptar as verificações recorrentes para atender aos requisitos do negócio ou para cumprir as regras de conformidade. É um recurso agradável para lhe dar mais controle para permitir ou bloquear o acesso a recursos importantes sem ter que se lembrar de fazê-lo.
4. A gestão de direitos é um recurso de governança de identidade que usa automação para gerenciar ciclos de vida de identidade, ciclos de vida de acesso e acesso privilegiado. Ela fornece controles para dar acesso aos recursos da organização, tais como grupos e aplicações, tanto para usuários internos quanto externos. A gestão de direitos de acesso utiliza um pacote de acesso que reúne os diversos recursos, tais como sites do SharePoint Online e direitos de acesso a aplicações em nuvem, utilizados no processo de pedido.
Azure AD Premium P1 vs. comparação de preços P2
Azure AD Premium P1 vem como parte do conjunto Office 365/Microsoft 365 E3, e o Azure AD Premium P2 está incluído no conjunto Office 365/Microsoft 365 E5. A Microsoft também oferece os níveis como uma compra separada; o Azure AD Premium P1 custa $6 por usuário, por mês, enquanto o Azure AD Premium P2 custa $9 por usuário, por mês.
Microsoft oferece preços diferentes nas edições P1 e P2 para um usuário ativo mensal (MAU) — alguém que assina ou executa uma atividade relacionada à identidade do locatário. Não há nenhum custo para os primeiros 50.000 MAU. Além disso, a Microsoft cobra $0,00325 por MAU na edição P1 e $0,01625 por MAU na edição P2.
Outra opção que vale a pena considerar é o pacote Microsoft 365 Identity and Threat Protection ($12 por usuário, por mês), que tem Azure AD Premium P2, Microsoft Cloud App Security e Microsoft 365 Defender — anteriormente chamado Microsoft Threat Protection — que fornece Azure Sentinel, Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection), Microsoft Defender for Endpoint (anteriormente Microsoft Defender ATP) e Microsoft Defender for Office 365 (anteriormente Office 365 Advanced Threat Protection). Esta combinação fornece um conjunto mais expansivo de benefícios de segurança e não custa muito mais do que a licença Azure AD Premium P2.
Decidir qual pacote comprar requer muita pesquisa e compreensão para garantir que você obtenha o melhor valor pelo seu dinheiro. Não compre o melhor nível de licença disponível até saber que o utilizará.
Teste o Azure AD com a edição gratuita
Azure AD continua a crescer e a recolher regularmente novas funcionalidades e capacidades. Entre as capacidades de gestão de identidade do Azure AD está uma mistura de gestão de utilizadores tanto para utilizadores internos como externos, gestão de acesso a aplicações e protecção de contas. A maioria das empresas irá utilizar o Active Directory e o Azure AD para satisfazer os diferentes requisitos do sistema, e ambos os sistemas complementam-se bem um ao outro.
Pode experimentar o Azure AD sem qualquer custo, configurando um inquilino Azure gratuito se ainda não o tiver, e depois criar um directório. Pode então instalar opcionalmente o cliente Azure AD Connect para sincronizar os seus objectos Active Directory no local.
Esta camada Azure AD Free é óptima para fins de teste mas não para o ambiente real de uma empresa. A edição Free não tem características de segurança essenciais, como acesso condicional e AMF. Você quer evitar colocar identidades na nuvem sem proteção AMF. Uma pesquisa online rápida encontra uma sessão recente da conferência Black Hat que discute como é fácil atacar estas configurações do Azure AD, por isso é altamente recomendado bloquear o inquilino Azure AD antes de começar a experimentar.