In diesem Artikel vergleichen wir die Pläne Microsofts Azure Directory Premium P1 und P2, um Ihnen bei der Auswahl des besten Pakets von Identitätsprodukten für Ihre Organisation zu helfen. Wir werden Ihnen helfen, die Unterschiede zwischen den Plänen Azure Active Directory (kürzlich umbenannt in Microsoft Entra ID) Premium P1 und P2 zu verstehen, sowie die Preiskategorien für jedes Angebot.
Als Teil des neu gebrandeten Identitäts- und Zugriffssuites von Microsoft, Microsoft Entra, ist Azure Active Directory (Azure AD) die Identitäts- und Zugriffsverwaltungsplattform, die allen Microsoft 365-Diensten (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365 usw.) zugrunde liegt. Für einen IT-Profi ermöglicht die Verwendung eines zentralisierten Identitätsanbieters wie Azure Active Directory für alle Anwendungen einer Organisation, alle Identitäten, die verwaltet werden müssen, an einem Ort zu sichern.
Azure Active Directory ermöglicht auch die Erweiterung herkömmlicher lokal betriebener Windows Server Active Directory (WAD)-Server mithilfe von Azure AD Connect. Dies ermöglicht Organisationen, eine einmalige Anmeldung bei Microsoft-Cloudanwendungen sowie anderen Anbieter-SaaS-Anwendungen zu ermöglichen, die moderne Cloud-Authentifizierungsprotokolle wie OATH 2.0 und SAML unterstützen. Mit Azure Active Directory.
Jede Organisation, die mindestens einen lizenzierten Microsoft 365-Benutzer (mit einem E1-, E3-, E5-, F1- und F3-Abonnement) hat oder Microsoft-Clouddienste wie Azure oder Intune nutzt, verfügt auch über einen Azure Active Directory-Mandanten. Es gibt jedoch verschiedene Editionen von Azure AD-Lizenzen, die der Organisation unterschiedliche Funktionen bieten: Azure AD Free/Office 365, Premium P1 und Premium P2.
Azure AD Free und Azure AD Office 365 werden in diesem Artikel beide als „Azure AD Free“ bezeichnet. Azure Active Directory Premium P1 und Azure Active Directory Premium P2 sind jedoch lizenzierte Dienste, die die Identitätsschutzanforderungen der meisten Unternehmensorganisationen erfüllen. Die Edition von Azure AD, die für Ihre Organisation geeignet ist, hängt von diesen Anforderungen ab.
Die folgende Tabelle bietet einen Überblick über die verfügbaren Funktionen in den verschiedenen Editionen von Azure Active Directory:
Azure Active Directory Premium P1 baut auf den grundlegenden Benutzer- und Gruppenverwaltungsfunktionen der Azure AD Free Edition auf. Darüber hinaus garantiert Microsoft eine Verfügbarkeit des Azure Active Directory-Dienstes von mindestens 99,9 %, eine SLA, die in der kostenlosen Edition von Azure AD nicht verfügbar ist.
Erweiterte Gruppenverwaltung und Passwortschutz
Mit AAD Premium P1 erhalten Sie erweitertes Gruppenmanagement (dynamische Gruppen, Namensrichtlinien, Ablauf, Standardklassifizierung), sowie Gruppenzuweisungen für Anwendungen.
Azure Active Directory Premium P1 ermöglicht auch die Verwendung des globalen Passwortschutzes, der verhindert, dass Cloud- und lokale AD-Benutzer schwache Passwörter festlegen, die Wörter enthalten, die in regulären Passwort-Spray-Angriffen verwendet werden.
Listen verbotene Passwortlisten können auch für jede Organisation mit für sie spezifischen Wörtern erstellt werden. Azure AD Premium P1 ermöglicht es Cloud- und On-Premises-Benutzern auch, die Funktion zum Zurücksetzen des Passworts im Self-Service zu verwenden, um ihre Konten zu ändern und zu entsperren, wobei ein On-Premises-Write-Back auf Windows Active Directory möglich ist.
Azure Active Directory Conditional Access
Azure Active Directory Conditional Access ist ebenfalls enthalten und ermöglicht es einer Organisation, den Zugriff auf ihre Cloud-Apps basierend auf dem Zustand des Authentifizierungsversuchs zu regeln. Die Bedingungen, die zur Beurteilung des Zugriffs verwendet werden, umfassen Benutzer- oder Gruppenmitgliedschaft, IP-Standortinformationen, das verbundene Gerät (Windows, iOS oder Android) und die Anwendung.
Das Konfigurieren von Conditional-Access-Richtlinien basierend auf diesen Bedingungen ermöglicht es Ihrer Organisation, den Zugriff zu blockieren oder Zugriff mit Steuerelementen wie MFA zu gewähren. AAD Conditional Access ist ein leistungsstarkes Werkzeug im Arsenal des Sicherheitsadministrators, um Benutzeridentitäten zu sichern.
Microsoft Defender für Cloud-Apps
Auch im Azure AD Premium P1 enthalten ist Microsoft Defender für Cloud-Apps (früher Microsoft Cloud App Security). In den meisten Organisationen sind Cloud-Apps weit verbreitet, und die Kontrolle über sie zu behalten, ist entscheidend für das Sicherheitsmanagement einer Organisation.
Microsoft Defender für Cloud-Apps ist ein Cloud Access Security Broker (CASB), der es Ihrer Organisation ermöglicht, Schatten-IT zu erkennen, sensible Informationen in Cloud-Apps zu schützen und Benutzeraktivitäten auf anomales Verhalten zu überwachen. Dieses Produkt ist ideal für Organisationen, die ihre Kontrolle über verwendete Cloud-Apps verstärken möchten, und es funktioniert auf zwei verschiedene Arten.
Erstens können Cloud-Verkehrsprotokolle von Firewall- und Webproxy-Geräten an Microsoft Defender für Cloud-Apps gesendet werden, um den Datenverkehr nachträglich zu analysieren. Dieser passive Modus wird auch als „Cloud Discovery“ bezeichnet und ermöglicht es einer Organisation, die Nutzung von Cloud-Apps zu überprüfen. Darüber hinaus kann Microsoft Defender für Cloud-Apps auch verwendet werden, um aktiv den Datenverkehr zuzulassen und zu blockieren, um Sicherheitsverletzungen und Lecks in Echtzeit zu stoppen, indem es im Proxy-Modus arbeitet.
Microsoft Defender for Cloud Apps integriert sich mit Azure AD Conditional Access durch die Verwendung von Conditional Access App Control. Diese Funktion ermöglicht die Überwachung und Steuerung des App-Zugriffs in Echtzeit mithilfe von Sitzungsrichtlinien und einer Reverse-Proxy-Architektur. Diese Sitzungsrichtlinien ermöglichen eine granulare Steuerung darüber, was Benutzer tun können, wenn sie die Authentifizierungsanfrage erfüllen. Die Steuerungen umfassen das Blockieren von Downloads sowie das Kopieren oder Drucken sensibler Dokumente auf nicht konformen Geräten.
Azure AD Application Proxy
Das in Azure AD Premium P1 enthaltene Anwendungsproxy ermöglicht es Benutzern, lokal gehostete Webanwendungen remote zu nutzen. Der Proxy funktioniert, indem er das Azure AD-Anmelde-Token der Benutzer durch lokale Webanwendungen leitet, die Integrierte Windows-Authentifizierung verwenden. Der Zugriff eines Benutzers auf die Webanwendung wird dann über den Anwendungsproxydienst geleitet, wodurch die Notwendigkeit entfällt, die Anwendung ins Internet zu veröffentlichen.
Microsoft Identity Manager
Azure AD Premium P1-Lizenzen ermöglichen auch die Verwendung des Microsoft Identity Manager (MIM). Dies ist ein Tool, das von Organisationen mit erweiterten Identitätssynchronisationsanforderungen verwendet wird. Dieses wirklich leistungsstarke Tool sollte verwendet werden, wenn maßgeschneiderte Identitätssynchronisation in einer Organisation erforderlich ist.
AAD Premium P2 umfasst alle Produkte von AAD Premium P1, fügt jedoch einige zusätzliche Produkte für erweiterte Identitätssicherheit hinzu.
Azure Active Directory Identity Protection
Azure Active Directory Identity Protection kann eine Benutzeranmeldeanforderung gegen Risikofaktoren wie bekannte durchgesickerte Anmeldeinformationen, untypische Reisen, mit Malware verknüpfte IP-Adressen und unbekannte Anmeldeeigenschaften analysieren. Diese zusätzliche Intelligenz ist nützlich für Organisationen, die automatisierte Reaktionen auf vermutete kompromittierte Benutzerkonten suchen, ohne sich auf Benutzer zu verlassen, die seltsames Verhalten melden, oder Administratoren, die nachträglich Protokolle überprüfen.
Zugriffsüberprüfungen
Zugriffsüberprüfungen ermöglichen eine bessere Verwaltung von Gruppenmitgliedschaften und den Zugriff auf Unternehmensanwendungen, indem regelmäßige Zugriffsüberprüfungen an spezifische Prüfer delegiert werden, um zu bestätigen, ob der bereitgestellte Zugriff noch erforderlich ist. Dies ist besonders nützlich für Sicherheitsgruppen mit hohen Privilegien oder Anwendungen, die sensible Daten verarbeiten. Es ist oft eine regulatorische und/oder Audit-Anforderung, wirksame Zugriffsverwaltungsprozesse nachzuweisen.
Privileged Identity Management
Privileged Identity Management (PIM) ist eine weitere Funktion von AAD Premium P2, die Administratoren den Just-in-Time-Zugriff auf privilegierte Azure AD-Rollen wie Globaler Administrator ermöglicht. Es unterstützt auch Azure-Rollen wie Besitzer und Mitwirkender.
Dieses Tool ermöglicht es Administratoren, ihre Konten nur dann auf die erforderliche Rolle zu erhöhen, wenn sie es benötigen, anstatt die Berechtigungen dauerhaft zuzuweisen. Dies hilft, Kompromisse bei hochprivilegierten Konten zu verhindern, die oft das Ziel von Angreifern sind.
Die Lizenzierung von Azure AD Premium P1 und Premium P2 kann verwirrend sein, da diese Angebote eigenständig erworben werden können, aber auch in anderen Microsoft 365- und Enterprise Mobility Suite (EMS)-Paketen enthalten sind.
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Wenn Ihre Organisation Microsoft 365 lizenziert, enthalten Microsoft 365 E3-Lizenzen Azure Active Directory Premium P1. Microsoft 365 E5-Lizenzen enthalten auch Azure Active Directory Premium P2.
Wenn Sie nicht zum vollständigen Microsoft 365 E5-Lizenzmodell wechseln müssen, können Sie eine EMS E5-Lizenz zu Microsoft 365 E3 hinzufügen, um Zugriff auf die Premium P2-Funktionen von Azure Active Directory zu erhalten.
Das für Ihre Organisation richtige Modell sollte durch die Anforderungen an das Identitäts- und Zugriffsmanagement bestimmt werden. Azure AD Premium P2-Lizenzen sind vorteilhaft für Organisationen, die ein hohes Maß an Identitätsverwaltung nachweisen müssen. Das bedeutet, dass privilegierter Zugriff verwaltet und der Zugriff automatisiert überprüft und auf potenziell kompromittierte Konten reagiert wird.
Wenn Ihre Organisation diese Anforderungen nicht hat, sollte eine Azure AD Premium P1-Lizenz wahrscheinlich ausreichen.
Was können Sie mit der kostenlosen Azure AD-Stufe tun?
Die grundlegenden Authentifizierungsfunktionen, die von einer cloudbasierten Identitäts- und Zugriffsverwaltungsplattform erwartet werden, sind in der kostenlosen Azure AD-Stufe verfügbar. Hier sind die Hauptfunktionen, die Sie mit dieser kostenlosen Stufe nutzen können:
- Cloud-Authentifizierung (sowohl Pass-Through-Authentifizierung als auch die Synchronisierung von Passwörter-Hashes)
- Föderierte Authentifizierung mit Active Directory Federation Services (ADFS).
- Grundlegende Sicherheit und Verwaltung von Benutzern und Gruppen.
- Unterstützung für Single Sign-On (SSO) für eine unbegrenzte Anzahl von Apps und Multi-Faktor-Authentifizierung (MFA) für Benutzer
- Unterstützung für die Verzeichnissynchronisierung in hybriden Umgebungen von lokalem Windows Server Active Directory über die Azure AD Connect-Software. Die kostenlose Azure AD-Ebene bietet jedoch nur die Möglichkeit zur selbständigen Passwortänderung für Cloud-Benutzer (nicht für lokale Benutzer).
- Passwortlose Authentifizierung (unter Verwendung von Windows Hello for Business, Microsoft Authenticator oder FIDO2-Sicherheitsschlüssel-Integrationen) wird ebenfalls in der kostenlosen Ebene unterstützt, falls Organisationen den Übergang beginnen möchten.
Zu guter Letzt sollte beachtet werden, dass für die kostenlose Ebene von Azure Active Directory kein SLA bereitgestellt wird.
Zusammenfassung
Zusammenfassend bietet die Azure AD Premium-Lizenzierung ein gutes Werkzeugset für Sicherheitsadministratoren, um Identität und Zugriff innerhalb der Organisation sicher zu verwalten. Für diejenigen, die Microsoft 365 und Azure AD für Single Sign-On nutzen, ist es das optimale Werkzeug, da alle Azure AD-Produkte gut in den Rest des Microsoft-Cloud-Stacks integriert sind.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/