När du bestämmer dig för att gå över till en tjänst för identitets- och åtkomsthantering måste du ta hänsyn till kostnaderna och funktionerna för varje nivå som Microsoft erbjuder för att försäkra dig om att du har den täckning du behöver till ett pris som du har råd med.
Microsoft släppte Azure Active Directory (Azure AD) till allmän tillgänglighet 2013, och många inom IT är åtminstone medvetna om den om de inte använder den aktivt. Det tenderar att råda viss förvirring om den här produkten på grund av dess namn; Azure AD är inte Active Directory i molnet. Båda har identitetshanteringssystem som en nyckelkomponent, men det är mycket olika system. När du väl har kommit till denna insikt vill du sedan gå vidare och göra en jämförelse mellan Azure AD Premium P1 och P2.
- Vad är Active Directory?
- Vad är Azure Active Directory?
- Hur fungerar Azure AD med lokala Active Directory?
- Vilka typer av Azure AD-licenser erbjuder Microsoft?
- Microsoft tar bort Azure AD Basic-utgåvan
- Välja en Azure AD-licens
- En jämförelse av funktionerna i Azure AD Premium P1 vs. P2
- Azure AD Premium P1 vs. P2 prisjämförelse
- Testa Azure AD med gratisutgåvan
Vad är Active Directory?
Active Directory är Microsofts katalogtjänst som är utformad för att köras på plats i operativsystemet Windows Server och som kontrollerar åtkomsten till organisationen och dess resurser. En del av Active Directory är serverrollen Active Directory Domain Services, även kallad domänkontrollant, som innehåller funktionaliteten för att lagra data i katalogen, t.ex. användarlösenord, och utför auktoriserings- och autentiseringsuppgifter i domänen. I katalogstrukturen används objekt, som kan vara datorkonton, servrar eller skrivare – i princip alla enheter eller användare som ansluter till organisationens nätverk.
Du kan installera Active Directory Domain Services på flera Windows Server-installationer, som sedan tar på sig rollen som domänkontrollanter i Active Directory-skogen, som är den översta nivån i kataloghierarkin. Active Directory tillhandahåller tjänster för autentisering, åtkomstkontroll och säkerhet (grupprinciper) för resurser inom skogen.
Vad är Azure Active Directory?
Azure Active Directory, som vanligen kallas Azure AD, är en molnbaserad kontrolltjänst för identitetsåtkomst och hantering. Den ingår i Office 365- och Microsoft 365-prenumerationer, men Microsoft säljer även andra Azure AD-utgåvor med olika funktionalitetsnivåer. Liksom Active Directory tillhandahåller Azure AD autentiserings- och åtkomstkontrolltjänster, men har utformats särskilt för att stödja de unika behoven hos molnanvändare och molntillämpningar.
Och även om det finns många likheter mellan Active Directory och Azure AD är Azure AD inte bara Active Directory i molnet. Azure AD erbjuder molnspecifik funktionalitet som inte finns i en traditionell Active Directory-miljö. Active Directory erbjuder till exempel inget sätt att ansluta mobila enheter till en domän, men Azure AD integreras med Microsoft Intune för att hantera mobila enheter. På samma sätt har Active Directory inget naturligt stöd för andra system än Windows, men Azure AD gör det möjligt för Linux-maskiner att få tillgång till olika resurser med hjälp av hanterade identiteter. Du hittar mer information om skillnaderna mellan Active Directory och Azure AD på den här dokumentationslänken från Microsoft.
Hur fungerar Azure AD med lokala Active Directory?
Och även om både Active Directory och Azure AD kan existera som oberoende katalogmiljöer är det vanligt att organisationer skapar hybridkataloger som fungerar med både lokala domänkontrollanter och Azure AD.
Microsoft tillhandahåller ett kostnadsfritt verktyg som heter Azure AD Connect för att koppla ihop dessa två miljöer. Azure AD Connect replikerar Active Directory-användarkonton till Azure AD, vilket gör det möjligt för en användare att ha en enda identitet som kan komma åt både lokala och molnbaserade resurser.
Vilka typer av Azure AD-licenser erbjuder Microsoft?
Microsoft säljer för närvarande fyra alternativ för Azure AD-licenser. Det första är Free-alternativet, som rekommenderas för mindre organisationer och har en gräns på 500 000 katalogobjekt. Det är främst avsett som en mekanism för autentisering och åtkomstkontroll och stöder tillhandahållande av användare och grundläggande användarhanteringsfunktioner som att skapa, radera och ändra användarkonton. Dessa användare kan dra nytta av självbetjäning för ändring av lösenord och administratörer kan skapa globala listor över förbjudna lösenord eller kräva multifaktorautentisering (MFA).
Azure AD:s kostnadsfria nivå har också stöd för avancerade funktioner, bland annat stöd för Azure AD Connect och molnautentisering genom pass-through. Dessutom möjliggör Azure AD Free-utgåvan Active Directory Federation Services-baserad autentisering eller federerad autentisering från tredje part, samt funktionalitet för enkel inloggning. Administratörer kan skapa grundläggande säkerhets- och användningsrapporter i Free-versionen.
Microsoft inkluderar Azure AD med Office 365 och Microsoft 365 – närmare bestämt E1-, E3-, E5-, F1- och F3-prenumerationerna – som den underliggande katalogtjänst som krävs för att driva applikationerna på plattformen, t.ex. Exchange Online för e-post och SharePoint Online för innehållshantering.
Microsoft kallar det här för Office 365 Apps edition av Azure AD. Den har samma funktioner och möjligheter som gratisversionen, men den följer också ett servicenivåavtal (SLA) om 99,9 % tillgänglighet. Free edition har inget SLA.
Office 365 Apps edition tillåter också olika anpassningar, till exempel företagsmärkning. Kanske ännu viktigare är att Office 365 Apps-versionen stöder tvåvägssynkronisering för enhetsobjekt. Det innebär att ändringar som görs i Azure AD sprids till Active Directory-miljön i organisationens datacenter och vice versa.
Förutom gratisutgåvan och Office 365 Apps-utgåvan av Azure AD erbjuder Microsoft även två premiumversioner som kallas Premium P1 och Premium P2. (Premium brukade vara en nivå, men Microsoft har delat upp den i två utgåvor.) Premiumversionerna innehåller allt som ingår i Office 365 Apps editionen och ytterligare funktioner som kretsar kring hybrida identiteter, avancerad gruppbaserad åtkomsthantering och villkorad åtkomst. Premiumutgåvorna innehåller också stöd för Microsoft Identity Manager för att hämta in poster från programvaror för hantering av humankapital på plats, t.ex. Oracle PeopleSoft.
P2-versionen har flest funktioner och innehåller funktionalitet som är inriktad på identitetsskydd och identitetsstyrning.
Microsoft tar bort Azure AD Basic-utgåvan
Microsoft hade erbjudit en annan Azure AD-nivå som hette Basic men tog bort denna utgåva i slutet av 2019. Organisationer som prenumererade på Azure AD Basic före den här ändringen kan fortsätta att använda licensen. Denna nivå hade samma funktionsuppsättning som Azure AD Office 365 Apps editionen med ett undantag: Den saknade flerfaktorsautentisering.
Välja en Azure AD-licens
Som tidigare nämnts finns det fyra Azure AD-alternativ. Free-versionen lämpar sig bäst för små organisationer och utvecklings-/testmiljöer, medan Office 365/Microsoft 365-versionen kommer med extra funktioner för att arbeta med funktionaliteten på Microsofts samarbetsplattform, men inget mer.
Azure AD Premium P1- och P2-utgåvorna är inriktade på miljöer i företagsklass som kräver avancerade funktioner för åtkomstkontroll. Azure AD Premium P2 passar bra för organisationer i starkt reglerade branscher, t.ex. myndigheter eller hälso- och sjukvård, eller för organisationer som kräver högsta möjliga säkerhet.
En jämförelse av funktionerna i Azure AD Premium P1 vs. P2
Nu när du har fått en grundläggande förståelse för Azure AD och dess fyra utgåvor ska vi titta på vad du får med Azure AD Premium P1 vs. P2. Det finns fyra huvudsakliga skäl att välja Premium P2:
1. Identitetsskyddsfunktionen i Premium P2 ger en översikt över tvivelaktiga autentiseringsförsök. Den tittar på inloggningar och bedömer hur riskfyllda de kan vara, t.ex. genom att upptäcka att ett konto loggar in från ett land och sedan ett annat land 10 minuter senare. Administratörer kan hantera dessa misstänkta autentiseringsförsök automatiskt med policyer som kan tvinga fram MFA eller blockera åtkomsten helt och hållet. Identitetsskydd är ett av de bästa argumenten för att gå över till P2, eftersom det kraftigt minskar många risker relaterade till användaråtkomst.
2. Privileged Identity Management (PIM) är en uppsättning kontroller för att hantera åtkomstkonton på högre nivå i Azure AD. Den innehåller säkerhetsfunktioner som just-in-time-åtkomst för att tillfälligt bevilja rättigheter och ta bort dem med fullständig loggning och granskning. Arbetsflöden med motivering och meddelanden kan också utlösas kring aktivering av dessa rättigheter. Om du har att göra med många obehöriga ändringar i din miljö kan PIM hjälpa dig att återfå kontrollen.
3. Funktionen för åtkomstgranskningar säkerställer att endast rätt personal kan använda specifika resurser. Detta är till hjälp när du ska ta in och ut ur personalstyrkan eller när personalen byter roll. Du kan också sätta kontroller på befintliga användare för att granska deras tillgång till resurser och skjuta dessa beslut vidare till applikationsägare. Du kan skräddarsy återkommande kontroller för att uppfylla företagskrav eller för att uppfylla efterlevnadsregler. Det är en trevlig funktion som ger dig mer kontroll för att tillåta eller blockera åtkomst till viktiga resurser utan att du behöver komma ihåg att göra det.
4. Entitlement management är en funktion för identitetsstyrning som använder automatisering för att hantera identitetslivscykler, åtkomstlivscykler och privilegierad åtkomst. Den tillhandahåller kontroller för att ge tillgång till organisationens resurser, t.ex. grupper och program, för både interna och externa användare. Entitlement management använder ett åtkomstpaket som buntar ihop de olika resurserna, till exempel SharePoint Online-webbplatser och åtkomsträttigheter för molntillämpningar, som används i ansökningsprocessen.
Azure AD Premium P1 vs. P2 prisjämförelse
Azure AD Premium P1 ingår som en del av Office 365/Microsoft 365 E3-sviten, och Azure AD Premium P2 ingår i Office 365/Microsoft 365 E5-sviten. Microsoft erbjuder också nivåerna som ett separat köp; Azure AD Premium P1 kostar 6 dollar per användare och månad, medan Azure AD Premium P2 kostar 9 dollar per användare och månad.
Microsoft erbjuder olika priser på P1- och P2-utgåvorna för en månatlig aktiv användare (MAU), dvs. en person som loggar in eller utför en identitetsrelaterad aktivitet på hyresgästen. Det finns ingen avgift för de första 50 000 MAU:erna. Därefter tar Microsoft ut 0,00325 dollar per MAU för P1-utgåvan och 0,01625 dollar per MAU för P2-utgåvan.
Ett annat alternativ som är värt att överväga är Microsoft 365 Identity and Threat Protection-paketet (12 dollar per användare och månad), som innehåller Azure AD Premium P2, Microsoft Cloud App Security och Microsoft 365 Defender – tidigare kallat Microsoft Threat Protection – som tillhandahåller Azure Sentinel, Microsoft Defender for Identity (tidigare Azure Advanced Threat Protection), Microsoft Defender for Endpoint (tidigare Microsoft Defender ATP) och Microsoft Defender for Office 365 (tidigare Office 365 Advanced Threat Protection). Den här kombinationen ger en mer omfattande uppsättning säkerhetsfördelar och kostar inte mycket mer än Azure AD Premium P2-licensen.
För att bestämma vilket paket som ska köpas krävs en hel del forskning och förståelse för att se till att du får mest valuta för pengarna. Köp inte den absolut bästa nivån av licens som finns tillgänglig förrän du vet att du kommer att använda den.
Testa Azure AD med gratisutgåvan
Azure AD fortsätter att växa och samlar nya funktioner och förmågor regelbundet. Bland Azure AD:s identitetshanteringsfunktioner finns en blandning av användarhantering för både interna och externa användare, programåtkomsthantering och kontoskydd. De flesta företag kommer att använda både lokala Active Directory och Azure AD för att uppfylla olika systemkrav, och båda systemen kompletterar varandra väl.
Du kan prova Azure AD utan kostnad genom att konfigurera en gratis Azure-hyresgäst om du inte redan har en och sedan skapa en katalog. Du kan sedan installera Azure AD Connect-klienten som alternativ för att synkronisera dina lokala Active Directory-objekt.
Denna Azure AD Free-nivå är bra för teständamål men inte för ett företags levande miljö. Free edition har inte viktiga säkerhetsfunktioner som villkorad åtkomst och MFA. Du vill undvika att lägga identiteter i molnet utan MFA-skydd. Vid en snabb sökning på nätet hittar man en nyligen genomförd Black Hat-konferenssession där det diskuteras hur lätt det är att attackera dessa Azure AD-uppsättningar, så det rekommenderas starkt att låsa Azure AD-hyresgästen innan du börjar experimentera.