Când decideți să treceți la un serviciu de gestionare a identității și accesului, va trebui să luați în considerare costurile și capacitățile fiecărui nivel oferit de Microsoft pentru a vă asigura că aveți acoperirea de care aveți nevoie la un preț pe care vi-l puteți permite.
Microsoft a lansat Azure Active Directory (Azure AD) la disponibilitate generală în 2013, iar mulți din IT sunt cel puțin conștienți de el dacă nu îl folosesc în mod activ. Există tendința de a exista o anumită confuzie cu privire la acest produs din cauza numelui său; Azure AD nu este Active Directory în cloud. Ambele au sisteme de gestionare a identității ca o componentă cheie, dar sunt sisteme foarte diferite. Odată ce ați ajuns la această constatare, veți dori apoi să mergeți mai departe și să efectuați o comparație între Azure AD Premium P1 și P2.
- Ce este Active Directory?
- Ce este Azure Active Directory?
- Cum funcționează Azure AD cu Active Directory local?
- Ce tipuri de licențe Azure AD oferă Microsoft?
- Microsoft elimină Azure AD Basic edition
- Alegerea unei licențe Azure AD
- O comparație a caracteristicilor Azure AD Premium P1 vs. P2
- Compararea prețurilor Azure AD Premium P1 vs. P2
- Testați Azure AD cu ediția gratuită
Ce este Active Directory?
Active Directory este serviciul de directoare Microsoft conceput pentru a rula on premises pe sistemul de operare Windows Server care controlează accesul la organizație și la resursele acesteia. Parte a Active Directory este rolul de server Active Directory Domain Services, cunoscut și sub numele de controler de domeniu, care încorporează funcționalitatea de a stoca date în director, cum ar fi parolele utilizatorilor, și efectuează sarcinile de autorizare și autentificare pe domeniu. Structura directorului utilizează obiecte, care pot fi conturi de calculator, servere sau imprimante – în esență, orice dispozitiv sau utilizator care se conectează la rețeaua organizației.
Puteți instala Active Directory Domain Services pe mai multe implementări Windows Server, care apoi își asumă rolul de controlori de domeniu în cadrul pădurii Active Directory, care este nivelul cel mai de sus în ierarhia directorului. Active Directory furnizează servicii de autentificare, de control al accesului și de securitate (Group Policy) pentru resursele din cadrul pădurii.
Ce este Azure Active Directory?
Azure Active Directory, care este mai frecvent denumit Azure AD, este un serviciu de control al accesului și de gestionare a identității bazat pe cloud. Acesta este inclus în abonamentele Office 365 și Microsoft 365, dar Microsoft vinde și alte ediții Azure AD cu diferite niveluri de funcționalitate. La fel ca Active Directory, Azure AD oferă servicii de autentificare și control al accesului, dar a fost conceput special pentru a susține nevoile unice ale utilizatorilor și aplicațiilor cloud.
Deși există multe asemănări între Active Directory și Azure AD, Azure AD nu este pur și simplu Active Directory în cloud. Azure AD oferă funcționalități specifice cloud-ului care nu există într-un mediu Active Directory tradițional. De exemplu, Active Directory nu oferă o modalitate de alăturare la domeniu a dispozitivelor mobile, dar Azure AD se integrează cu Microsoft Intune pentru a gestiona dispozitivele mobile. În mod similar, Active Directory nu suportă în mod nativ sistemele non-Windows, dar Azure AD permite mașinilor Linux să acceseze diverse resurse utilizând identități gestionate. Puteți găsi mai multe informații despre diferențele dintre Active Directory și Azure AD la acest link de documentare de la Microsoft.
Cum funcționează Azure AD cu Active Directory local?
Deși atât Active Directory, cât și Azure AD pot exista ca medii de directoare independente, este obișnuit ca organizațiile să creeze directoare hibride care funcționează atât cu controllere de domeniu locale, cât și cu Azure AD.
Microsoft oferă un instrument gratuit numit Azure AD Connect pentru a uni aceste două medii. Azure AD Connect replică conturile de utilizator Active Directory în Azure AD, permițând unui utilizator să aibă o singură identitate capabilă să acceseze atât resursele locale, cât și cele bazate pe cloud.
Ce tipuri de licențe Azure AD oferă Microsoft?
Microsoft vinde în prezent patru opțiuni pentru licențierea Azure AD. Prima este opțiunea gratuită, care este recomandată pentru organizațiile mai mici și are o limită de 500.000 de obiecte de director. Aceasta este destinată în primul rând ca mecanism de autentificare și control al accesului și suportă provizionarea utilizatorilor și funcții de bază de gestionare a utilizatorilor, cum ar fi crearea, ștergerea și modificarea conturilor de utilizator. Acești utilizatori pot profita de schimbarea parolelor prin autoservire, iar administratorii pot crea liste globale de parole interzise sau pot solicita autentificarea multifactorială (MFA).
Nivelul Free al Azure AD suportă, de asemenea, funcții avansate, inclusiv suport pentru Azure AD Connect și autentificarea cloud pass-through. În plus, ediția Azure AD Free permite autentificarea federată bazată pe Active Directory Federation Services sau de la terți, precum și funcționalitatea single sign-on. Administratorii pot crea rapoarte de securitate și de utilizare de bază în versiunea Free.
Microsoft include Azure AD cu Office 365 și Microsoft 365 – mai exact, abonamentele E1, E3, E5, F1 și F3 – ca serviciu de directoare de bază necesar pentru a opera aplicațiile de pe platformă, cum ar fi Exchange Online pentru e-mail și SharePoint Online pentru gestionarea conținutului.
Microsoft numește aceasta ediția Office 365 Apps a Azure AD. Aceasta are aceleași caracteristici și capabilități ca și versiunea gratuită, dar aderă și la un acord la nivel de servicii (SLA) de 99,9% disponibilitate. Ediția Free nu are un SLA.
Ediția Office 365 Apps permite, de asemenea, diverse personalizări, cum ar fi brandingul companiei. Poate și mai important, versiunea Office 365 Apps suportă sincronizarea bidirecțională pentru obiectele dispozitivelor. Acest lucru înseamnă că modificările efectuate în Azure AD se propagă în mediul Active Directory din centrul de date al organizației și viceversa.
În plus față de ediția gratuită și Office 365 Apps a Azure AD, Microsoft oferă, de asemenea, două versiuni premium cunoscute sub numele de Premium P1 și Premium P2. (Premium obișnuia să fie un singur nivel, dar Microsoft l-a împărțit în două ediții.) Versiunile premium includ tot ceea ce este inclus în ediția Office 365 Apps și caracteristici suplimentare care se învârt în jurul identităților hibride, al gestionării avansate a accesului pe bază de grup și al accesului condiționat. Edițiile premium includ, de asemenea, suport pentru Microsoft Identity Manager pentru a extrage înregistrări din aplicațiile software de gestionare a capitalului uman locale, cum ar fi Oracle PeopleSoft.
Versiunea P2 are cele mai multe caracteristici și include funcționalități orientate spre protecția identității și guvernanța identității.
Microsoft elimină Azure AD Basic edition
Microsoft a oferit un alt nivel Azure AD numit Basic, dar a eliminat această ediție la sfârșitul anului 2019. Organizațiile care s-au abonat la Azure AD Basic înainte de această schimbare pot continua să utilizeze licența. Acest nivel avea același set de caracteristici ca și ediția Azure AD Office 365 Apps, cu o singură excepție: Îi lipsea autentificarea multifactorială.
Alegerea unei licențe Azure AD
Cum s-a menționat anterior, există patru opțiuni Azure AD. Versiunea gratuită este cea mai potrivită pentru organizațiile mici și mediile de dezvoltare/testare, în timp ce versiunea Office 365/Microsoft 365 vine cu caracteristici suplimentare pentru a lucra cu funcționalitatea de pe platforma de colaborare Microsoft, dar nimic mai mult.
Edițiile Azure AD Premium P1 și P2 vizează mediile de tip enterprise care necesită capacități avansate de control al accesului. Azure AD Premium P2 se potrivește bine pentru organizațiile din industrii puternic reglementate, cum ar fi cele guvernamentale sau de sănătate, sau pentru cele care necesită cea mai puternică securitate posibilă.
O comparație a caracteristicilor Azure AD Premium P1 vs. P2
Acum că aveți o înțelegere de bază a Azure AD și a celor patru ediții ale sale, haideți să ne uităm la ceea ce primiți cu Azure AD Premium P1 vs. P2. Există patru motive principale pentru a alege Premium P2:
1. Funcția de protecție a identității din Premium P2 oferă o imagine de ansamblu a încercărilor de autentificare îndoielnice. Se uită la autentificări și evaluează cât de riscante ar putea fi acestea, cum ar fi detectarea unei autentificări de cont dintr-o țară, apoi dintr-o altă țară 10 minute mai târziu. Administratorii pot gestiona automat aceste încercări de autentificare suspecte cu ajutorul unor politici care pot forța MFA sau pot bloca accesul în întregime. Protecția identității este unul dintre cele mai bune argumente pentru a trece la P2, deoarece reduce foarte mult multe riscuri legate de accesul utilizatorilor.
2. Privileged Identity Management (PIM) este un set de controale pentru gestionarea conturilor de acces de nivel superior în Azure AD. Acesta include caracteristici de securitate, cum ar fi accesul just-in-time pentru a acorda temporar drepturi și pentru a le elimina cu jurnalizare și audit complete. De asemenea, pot fi declanșate fluxuri de lucru cu justificare și notificări în jurul activării acestor privilegii. Dacă trebuie să vă confruntați cu o mulțime de modificări necinstite în mediul dumneavoastră, PIM v-ar putea ajuta să recâștigați controlul.
3. Funcția de revizuire a accesului asigură că numai personalul potrivit poate utiliza anumite resurse. Acest lucru este util atunci când se face îmbarcarea și debarcarea personalului sau când personalul își schimbă rolurile. Puteți, de asemenea, să puneți verificări asupra utilizatorilor existenți pentru a le revizui accesul la resurse și să împingeți aceste decizii către proprietarii de aplicații. Puteți personaliza verificările recurente pentru a răspunde cerințelor de afaceri sau pentru a îndeplini normele de conformitate. Este o caracteristică plăcută care vă oferă mai mult control pentru a permite sau a bloca accesul la resurse importante fără a trebui să vă amintiți să faceți acest lucru.
4. Gestionarea drepturilor este o caracteristică de guvernanță a identității care utilizează automatizarea pentru a gestiona ciclurile de viață ale identității, ciclurile de viață ale accesului și accesul privilegiat. Oferă controale pentru a acorda acces la resursele organizației, cum ar fi grupurile și aplicațiile, atât pentru utilizatorii interni, cât și pentru cei externi. Gestionarea drepturilor de acces utilizează un pachet de acces care reunește resursele asortate, cum ar fi site-urile SharePoint Online și drepturile de acces la aplicațiile cloud, utilizate în procesul de solicitare.
Compararea prețurilor Azure AD Premium P1 vs. P2
Azure AD Premium P1 face parte din suita Office 365/Microsoft 365 E3, iar Azure AD Premium P2 este inclus în suita Office 365/Microsoft 365 E5. Microsoft oferă, de asemenea, nivelurile ca o achiziție separată; Azure AD Premium P1 costă 6 dolari pe utilizator, pe lună, în timp ce Azure AD Premium P2 costă 9 dolari pe utilizator, pe lună.
Microsoft oferă prețuri diferite pentru edițiile P1 și P2 pentru un utilizator activ lunar (MAU) – cineva care se conectează sau efectuează o activitate legată de identitate pe chiriaș. Nu există nicio taxă pentru primii 50.000 de MAU. Dincolo de această sumă, Microsoft percepe 0,00325 dolari pe MAU pentru ediția P1 și 0,01625 dolari pe MAU pentru ediția P2.
O altă opțiune care merită luată în considerare este pachetul Microsoft 365 Identity and Threat Protection (12 dolari pe utilizator, pe lună), care are Azure AD Premium P2, Microsoft Cloud App Security și Microsoft 365 Defender – numit anterior Microsoft Threat Protection – care oferă Azure Sentinel, Microsoft Defender for Identity (anterior Azure Advanced Threat Protection), Microsoft Defender for Endpoint (anterior Microsoft Defender ATP) și Microsoft Defender for Office 365 (anterior Office 365 Advanced Threat Protection). Această combinație oferă un set mai extins de beneficii de securitate și nu costă cu mult mai mult decât licența Azure AD Premium P2.
Decizia asupra pachetului pe care să îl cumpărați necesită multă cercetare și înțelegere pentru a vă asigura că obțineți cel mai bun raport calitate-preț pentru banii dumneavoastră. Nu cumpărați cel mai bun nivel absolut de licență disponibil până când nu știți că îl veți folosi.
Testați Azure AD cu ediția gratuită
Azure AD continuă să crească și să colecteze în mod regulat noi caracteristici și abilități. Printre capacitățile de gestionare a identității ale Azure AD se numără un mix de gestionare a utilizatorilor atât pentru utilizatorii interni, cât și pentru cei externi, gestionarea accesului la aplicații și protecția conturilor. Cele mai multe companii vor folosi atât Active Directory on-premise, cât și Azure AD pentru a satisface diferite cerințe de sistem, iar ambele sisteme se completează reciproc foarte bine.
Puteți încerca Azure AD fără niciun cost prin crearea unui tenant Azure gratuit, dacă nu aveți deja unul, apoi creați un director. Apoi, opțional, puteți instala clientul Azure AD Connect pentru a vă sincroniza obiectele Active Directory de pe site.
Acest nivel Azure AD Free este excelent pentru scopuri de testare, dar nu pentru mediul live al unei întreprinderi. Ediția Free nu dispune de caracteristici de securitate esențiale, cum ar fi accesul condiționat și MFA. Doriți să evitați să plasați identități în cloud fără protecție MFA. O căutare online superficială găsește o sesiune recentă a conferinței Black Hat care discută cât de ușor este să ataci aceste configurații Azure AD, așa că este foarte recomandat să blochezi chiriașul Azure AD înainte de a începe să experimentezi.
.