في هذه المقالة، سنقوم بمقارنة خطط Azure Directory Premium P1 و P2 من Microsoft لمساعدتك على اختيار أفضل مجموعة من منتجات الهوية لمؤسستك. سنساعدك على فهم الميزات المختلفة بين خطط Azure Active Directory (تم تغيير اسمه مؤخرًا إلى Microsoft Entra ID) Premium P1 و P2، وكذلك طبقات التسعير لكل عرض.
جزء من مجموعة الهوية والوصول المعارضة من Microsoft، Microsoft Entra، Azure Active Directory (Azure AD) هو منصة الهوية وإدارة الوصول (IAM) التي تدعم جميع خدمات Microsoft 365 (Exchange Online، SharePoint Online. OneDrive for Business، Microsoft Teams، Dynamics 365 وما إلى ذلك). بالنسبة لموظف التكنولوجيا، استخدام مزود هوية مركزي مثل Azure Active Directory لجميع تطبيقات مؤسستك يجعل من الممكن حماية جميع الهويات التي يجب إدارتها في مكان واحد.
المجلد النشط في Azure يسمح أيضًا بتمديد خوادم المجلد النشط التقليدية في المواقع باستخدام توصيل Azure AD. وهذا يتيح للمؤسسات تمكين تسجيل الدخول الموحد إلى تطبيقات Microsoft السحابية، فضلاً عن تطبيقات SaaS للبائعين الآخرين التي تدعم بروتوكولات المصادقة السحابية الحديثة مثل OATH 2.0 و SAML. بفضل المجلد النشط في Azure.
كل منظمة تمتلك على الأقل مستخدم واحد مرخص لديها في Microsoft 365 (مع اشتراك E1 أو E3 أو E5 أو F1 و F3) أو تستخدم خدمات سحابية من Microsoft مثل Azure أو Intune لديها أيضًا مجلد نشط في Azure. ومع ذلك، هناك إصدارات مختلفة من تراخيص المجلد النشط في Azure التي توفر للمنظمة قدرات مختلفة: المجلد النشط في Azure مجاني/Office 365 و Premium P1 و Premium P2.
يُشار إلى كل من Azure AD Free وAzure AD Office 365 باسم “Azure AD Free” في هذه المقالة. أما Azure Active Directory Premium P1 وAzure Active Directory Premium P2، فهما خدمات مُرخصة تلبي متطلبات حماية الهوية لمعظم منظمات الشركات. ستعتمد النسخة المناسبة من Azure AD لمؤسستك على تلك المتطلبات.
الجدول أدناه يقدم نظرة عامة على الميزات المتاحة في الإصدارات المختلفة من Azure Active Directory:
يعتمد Azure Active Directory Premium P1 على ميزات إدارة المستخدمين والمجموعات الأساسية في إصدار Azure AD Free. علاوة على ذلك، يضمن Microsoft توافرًا بنسبة 99.9% على الأقل لخدمة Azure Active Directory، وهو اتفاق خدمة لا يتوفر مع الإصدار المجاني من Azure AD.
إدارة المجموعات المتقدمة وحماية كلمة المرور
مع AAD Premium P1، تحصل على إدارة مجموعات متقدمة (مجموعات ديناميكية، سياسات التسمية، انتهاء الصلاحية، تصنيف افتراضي)، بالإضافة إلى تعيينات المجموعات للتطبيقات.
تمكّن Azure Active Directory Premium P1 أيضًا من استخدام حماية كلمات المرور العالمية، مما يمنع مستخدمي AD السحابي والمحليين من تعيين كلمات مرور ضعيفة تحتوي على الكلمات المستخدمة في هجمات الرش المتكررة.
يمكن أيضًا إنشاء قوائم لكلمات المرور المحظورة لكل منظمة باستخدام كلمات محددة لها. تتيح Azure AD Premium P1 أيضًا للمستخدمين السحابيين والمحليين استخدام ميزة إعادة تعيين كلمة المرور الخاصة بهم لتغيير كلمات مرورهم وفتح حساباتهم بالمزامنة مع Active Directory لنظام التشغيل Windows على الأرض.
تحكم الوصول المشروط في Azure Active Directory
تضم أيضًا تحكم الوصول المشروط في Azure Active Directory، مما يسمح للمنظمة بتنظيم الوصول إلى تطبيقات السحابة الخاصة بها استنادًا إلى شرط محاولة المصادقة. تتضمن الشروط المستخدمة في تقييم الوصول عضوية المستخدم أو المجموعة، ومعلومات موقع IP، وجهاز الاتصال (Windows، iOS، أو Android)، والتطبيق.
تكوين سياسات الوصول المشروط بناءً على هذه الشروط يتيح لمنظمتك حظر الوصول أو منح الوصول مع ضوابط مثل التحقق المتعدد العوامل. تعتبر تحكم الوصول المشروط في AAD أداة قوية في مجموعة أدوات مسؤول الأمان لتأمين هويات المستخدمين.
مايكروسوفت ديفندر لتطبيقات السحابة
مضمن أيضًا في Azure AD Premium P1 مايكروسوفت ديفندر لتطبيقات السحابة (المعروف سابقًا باسم أمان تطبيقات السحابة في مايكروسوفت). في معظم المؤسسات، تكون تطبيقات السحابة متنامية والحفاظ على السيطرة عليها أمر أساسي لإدارة أمان المؤسسة.
مايكروسوفت ديفندر لتطبيقات السحابة هو وسيط أمان الوصول للسحابة (CASB) الذي يسمح لمؤسستك بالكشف عن تكنولوجيا المعلومات الظلية، وحماية المعلومات الحساسة عبر تطبيقات السحابة، فضلاً عن مراقبة أنشطة المستخدمين لاكتشاف السلوكيات الغريبة. يعد هذا المنتج رائعًا للمؤسسات الراغبة في تشديد سيطرتها على تطبيقات السحابة المستخدمة، ويعمل بطريقتين مختلفتين.
أولاً، يمكن إرسال سجلات حركة المرور في السحابة من أجهزة جدار الحماية وخادم الوكيل الويب إلى مايكروسوفت ديفندر لتطبيقات السحابة لتحليل حركة المرور بعد الحدوث. يُشار أيضًا إلى هذا الوضع السلبي باسم “اكتشاف السحابة” ويتيح للمؤسسة مراجعة استخدام تطبيقات السحابة. بالإضافة إلى ذلك، يمكن استخدام مايكروسوفت ديفندر لتطبيقات السحابة أيضًا للسماح وحظر حركة المرور لوقف الانتهاكات والتسريبات في الوقت الحقيقي من خلال العمل في وضع الوكيل.
يتكامل مدافع Microsoft لتطبيقات السحابة مع Azure AD Conditional Access باستخدام التحكم في الوصول الشرطي للتطبيقات. هذه الميزة تمكّن من مراقبة والتحكم في وصول التطبيق بشكل فوري باستخدام سياسات الجلسة وبنية بروكسي عكسية. تُمكّن هذه السياسات من التحكم الدقيق في ما يمكن للمستخدمين القيام به، في حال تحقيق طلب المصادقة. تشمل الضوابط منع التنزيلات، وكذلك نسخ أو طباعة المستندات الحساسة على الأجهزة غير المتوافقة.
بروكسي تطبيقات Azure AD
تسمح منتج تطبيق الوكيل الوارد في Azure AD Premium P1 بالوصول عن بُعد إلى تطبيقات الويب في مواقع داخل الشركة من قبل المستخدمين. يعمل الوكيل عن طريق تمرير رمز تسجيل الدخول الخاص بمستخدمي Azure AD من خلال تطبيقات الويب في مواقع داخل الشركة التي تستخدم مصادقة Windows المتكاملة. ثم يتم توجيه وصول المستخدم إلى التطبيق عبر خدمة الوكيل التطبيقي، مما يُزيل الحاجة إلى نشر التطبيق على الإنترنت.
مدير الهوية من مايكروسوفت
تُسمح أيضًا بتوظيف تراخيص Azure AD Premium P1 لاستخدام مدير الهوية من مايكروسوفت (MIM). هذه هي أداة تُستخدم من قبل المؤسسات التي تحتاج إلى مزامنة هوية متقدمة. هذه الأداة قوية حقًا في حال تطلبت احتياجات المزامنة المخصصة للهوية في المؤسسة.
تتضمن AAD Premium P2 جميع المنتجات المتوفرة في AAD Premium P1، ولكنها تضيف بعض المنتجات الإضافية لتعزيز أمان الهوية.
حماية الهوية في خدمة تسجيل دخول Azure Active Directory
حماية الهوية في خدمة تسجيل الدخول لخدمة Azure Active Directory يمكنها تحليل طلب تسجيل دخول المستخدم ضد عوامل الخطر مثل اعتمادات التسريب المعروفة، والسفر غير الاعتيادي، وعناوين IP المرتبطة بالبرامج الضارة، وخصائص تسجيل الدخول غير المألوفة. هذه الذكاءات الإضافية مفيدة للمؤسسات التي تبحث عن توتير الاستجابة لحسابات المستخدم المشكوك فيها دون الاعتماد على تقارير المستخدمين عن السلوك الغريب أو مراجعة سجلات المسؤولين بعد وقوع الحدث.
مراجعات الوصول
مراجعات الوصول تُمكِّن من إدارة أفضل لانتماءات المجموعات والوصول إلى تطبيقات المؤسسة من خلال تفويض مراجعات الوصول الدورية للمراجعين المحددين للتأكد مما إذا كان الوصول المقدم لا يزال مطلوبًا. هذا مفيد بشكل خاص لمجموعات الأمان ذات الامتيازات العالية أو التطبيقات التي تعالج البيانات الحساسة. وغالبًا ما يكون متطلبًا تنظيميًا و/أو تدقيقيًا إظهار عمليات إدارة الوصول الفعالة.
إدارة الهوية ذات الامتيازات
إدارة الهوية الخاصة (PIM) هي ميزة أخرى في AAD Premium P2 التي تمكّن الوصول في اللحظة المناسبة للمسؤولين إلى أدوار Azure AD الخاصة مثل المسؤول العالمي. كما أنها تدعم أدوار Azure مثل المالك والمساهم.
يتيح هذا الأداة للمسؤولين رفع حساباتهم إلى الدور المطلوب فقط عند الحاجة إليها، بدلاً من إسناد الأذونات بشكل دائم. وهذا يساعد في التخفيف من التعرض لاختراقات الحسابات ذات الامتيازات العالية التي غالبًا ما تكون هدفًا للمهاجمين.
قد يكون ترخيص Azure AD Premium P1 و Premium P2 مربكًا حيث يمكن شراء هذه العروض بشكل مستقل، ولكنها مضمنة أيضًا في حزم Microsoft 365 وحزم Enterprise Mobility Suite (EMS) الأخرى.
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
إذا كانت منظمتك تمتلك تراخيص Microsoft 365، فإن تراخيص Microsoft 365 E3 تتضمن Azure Active Directory Premium P1. كما تتضمن تراخيص Microsoft 365 E5 أيضًا Azure Active Directory Premium P2.
إذا لم تكن بحاجة إلى الترقية إلى ترخيص Microsoft 365 E5 الكامل، فيمكنك إضافة ترخيص EMS E5 إلى Microsoft 365 E3 للوصول إلى ميزات Azure Active Directory Premium P2.
يجب أن تستند الخطة المناسبة لمنظمتك إلى متطلبات إدارة الهوية والوصول. تراخيص Azure AD Premium P2 مفيدة للمنظمات التي يُتوقع أن تبرهن على مستوى عالٍ من حوكمة الهويات. وهذا يعني إدارة إمكانية الوصول المتميزة وأتمتة مراجعات الوصول والاستجابات لحسابات معرضة للخطر المحتملة.
إذا لم يكن لدى منظمتك هذه المتطلبات، فمن المحتمل أن يكون ترخيص Azure AD Premium P1 كافيًا.
ماذا يمكنك أن تفعل مع الطبقة المجانية من Azure AD؟
تتوفر القدرات الأساسية للتوثيق المتوقعة من منصة إدارة الهوية والوصول القائمة على السحابة في الطبقة المجانية من Azure AD. فيما يلي الميزات الرئيسية التي يمكنك استخدامها مع هذه الطبقة المجانية:
- المصادقة السحابية (المصادقة عبر المرور وكلمة المرور التزامن hash)
- المصادقة الاتحادية مع خدمات اتحاد الدليل النشط المحلي (ADFS).
- الأمان الأساسي وإدارة المستخدمين والمجموعات.
- دعم Single sign-on (SSO) لعدد غير محدود من التطبيقات، ودعم Multi-factor authentication (MFA) للمستخدمين.
- يدعم ميزة Directory sync في البيئات الهجينة من Active Directory المحلي لـ Windows Server عبر برنامج Azure AD Connect. ومع ذلك، يوفر المستوى المجاني من Azure AD ميزة Self-service password change فقط لمستخدمي cloud (وليس لمستخدمي premises).
- كما يدعم المستوى المجاني المصادقة بدون كلمة مرور (باستخدام Windows Hello for Business أو Microsoft Authenticator أو تكامل مفاتيح الأمان FIDO2)، وذلك في حال رغبت المؤسسات في البدء بالانتقال إلى هذه الطريقة.
أخيرًا وليس آخرًا، من المهم أن تتذكر أنه لا يتم تقديم اتفاقية مستوى الخدمة (SLA) للمستوى المجاني من Azure Active Directory.
الخلاصة
باختصار، توفر تراخيص Azure AD Premium مجموعة أدوات جيدة لمسؤولي الأمن لإدارة الهوية والوصول ضمن المؤسسة بشكل آمن. وبالنسبة لأولئك الذين يستخدمون Microsoft 365 وAzure AD للمصادقة الفردية، فهي الأداة المثالية حيث أن جميع منتجات Azure AD متكاملة بشكل جيد مع بقية مجموعة تطبيقات Microsoft cloud.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/