En este artículo, compararemos los planes Premium P1 y P2 de Azure Directory de Microsoft para ayudarte a elegir el mejor conjunto de productos de identidad para tu organización. Te ayudaremos a entender las diferentes características entre los planes Premium P1 y P2 de Azure Active Directory (recientemente renombrado Microsoft Entra ID), así como los niveles de precios de cada oferta.
Como parte de la suite de identidad y acceso recientemente renombrada de Microsoft, Microsoft Entra, Azure Active Directory (Azure AD) es la plataforma de gestión de identidad y acceso (IAM) que sustenta todos los servicios de Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365, entre otros). Para un profesional de TI, el uso de un proveedor de identidad centralizado como Azure Active Directory para todas las aplicaciones de una organización hace posible asegurar todas las identidades que necesitan ser gestionadas en un solo lugar.
Azure Active Directory también permite la extensión de los servidores tradicionales de Active Directory de Windows Server locales utilizando Azure AD Connect. Esto permite a las organizaciones habilitar el inicio de sesión único en las aplicaciones de la nube de Microsoft, así como en otras aplicaciones SaaS de proveedores que admiten protocolos modernos de autenticación en la nube como OATH 2.0 y SAML. Con Azure Active Directory.
Cada organización que tenga al menos un usuario con licencia de Microsoft 365 (con una suscripción E1, E3, E5, F1 y F3) o que utilice servicios en la nube de Microsoft como Azure o Intune también tiene un inquilino de Azure Active Directory. Sin embargo, existen diferentes ediciones de licencias de Azure AD que proporcionan a la organización capacidades diferentes: Azure AD Free/Office 365, Premium P1 y Premium P2.
Azure AD Free y Azure AD Office 365 son ambos referidos como “Azure AD Free” en este artículo. Sin embargo, Azure Active Directory Premium P1 y Azure Active Directory Premium P2 son servicios con licencia que cumplen con los requisitos de protección de identidad de la mayoría de las organizaciones empresariales. La edición de Azure AD adecuada para su organización dependerá de esos requisitos.
La tabla a continuación proporciona una visión general de las características disponibles en las diferentes ediciones de Azure Active Directory:
Azure Active Directory Premium P1 se basa en las características básicas de gestión de usuarios y grupos de la edición gratuita de Azure AD. Además, Microsoft garantiza al menos un 99,9% de disponibilidad del servicio de Azure Active Directory, un SLA que no está disponible en la edición gratuita de Azure AD.
Gestión avanzada de grupos y protección de contraseñas
Con AAD Premium P1, obtienes gestión avanzada de grupos (grupos dinámicos, políticas de nomenclatura, vencimiento, clasificación predeterminada), así como asignaciones de grupo para aplicaciones.
Azure Active Directory Premium P1 también permite el uso de protección de contraseña global, evitando que los usuarios de AD en la nube y locales establezcan contraseñas débiles que contengan palabras utilizadas en ataques habituales de rociado de contraseñas.
Listas de contraseñas prohibidas también se pueden generar para cada organización con palabras específicas para ellas. Azure AD Premium P1 también permite a los usuarios en la nube y locales utilizar la función de restablecimiento de contraseña de autoservicio para cambiar y desbloquear sus cuentas con retroceso en las instalaciones en el Directorio Activo de Windows.
Acceso condicional de Azure Active Directory
El acceso condicional de Azure Active Directory también está incluido, lo que permite a una organización gobernar el acceso a sus aplicaciones en la nube en función de la condición del intento de autenticación. Las condiciones utilizadas para evaluar el acceso incluyen la membresía de usuario o grupo, la información de ubicación IP, el dispositivo de conexión (Windows, iOS o Android) y la aplicación.
Configurar políticas de acceso condicional basadas en estas condiciones permite a su organización bloquear el acceso o conceder acceso con controles como MFA. El acceso condicional de AAD es una herramienta poderosa en el arsenal del administrador de seguridad para proteger las identidades de usuario.
Microsoft Defender for Cloud Apps
También incluido con Azure AD Premium P1 está Microsoft Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud App Security). En la mayoría de las organizaciones, las aplicaciones en la nube son extensas y mantener el control sobre ellas es clave para la gestión de la seguridad de una organización.
Microsoft Defender for Cloud Apps es un cloud access security broker (CASB) que permite a su organización detectar la existencia de TI en la sombra, proteger información confidencial en aplicaciones en la nube y monitorear las actividades de los usuarios en busca de comportamientos anómalos. Este producto es ideal para organizaciones que buscan fortalecer su control sobre las aplicaciones en la nube en uso, y funciona de dos maneras diferentes.
Primero, los registros de tráfico en la nube pueden enviarse desde dispositivos de firewall y proxy web a Microsoft Defender for Cloud Apps para analizar el tráfico posteriormente. Este modo pasivo también se conoce como “descubrimiento en la nube” y permite a una organización revisar el uso de las aplicaciones en la nube. Además, Microsoft Defender for Cloud Apps también puede usarse para permitir y bloquear activamente el tráfico a fin de detener brechas y filtraciones en tiempo real mediante el modo de proxy.
Microsoft Defender for Cloud Apps se integra con Azure AD Conditional Access utilizando Control de Aplicaciones de Acceso Condicional. Esta función permite monitorear y controlar el acceso a aplicaciones en tiempo real utilizando políticas de sesión y una arquitectura de proxy inverso. Estas políticas de sesión permiten un control detallado sobre lo que los usuarios pueden hacer, siempre que cumplan con la solicitud de autenticación. Los controles incluyen bloquear descargas, así como copiar o imprimir documentos sensibles en dispositivos no compatibles.
Proxy de Aplicaciones de Azure AD
El producto Application Proxy incluido en Azure AD Premium P1 permite que las aplicaciones web locales sean accedidas de forma remota por los usuarios. El proxy funciona al pasar el token de inicio de sesión de Azure AD de los usuarios a través de las aplicaciones web locales que utilizan Autenticación Integrada de Windows. El acceso de un usuario a la aplicación web es entonces proxyado a través del servicio de Application Proxy, eliminando la necesidad de publicar la aplicación en Internet.
Microsoft Identity Manager
Las licencias de Azure AD Premium P1 también permiten el uso de Microsoft Identity Manager (MIM). Esta es una herramienta utilizada por organizaciones que tienen necesidades avanzadas de sincronización de identidades. Esta herramienta es realmente poderosa si se requiere una sincronización de identidades personalizada en una organización.
AAD Premium P2 incluye todos los productos en AAD Premium P1, sin embargo, agrega algunos productos adicionales para una seguridad de identidad mejorada.
Azure Active Directory Identity Protection
Azure Active Directory Identity Protection puede analizar la solicitud de inicio de sesión de un usuario contra factores de riesgo como credenciales filtradas conocidas, viajes atípicos, direcciones IP vinculadas a malware y propiedades de inicio de sesión no familiares. Esta inteligencia adicional es útil para organizaciones que buscan automatizar respuestas a cuentas de usuario comprometidas sospechosas sin depender de que los usuarios informen un comportamiento extraño o que los administradores revisen los registros después del hecho.
Revisiones de acceso
Revisiones de acceso permiten un mejor manejo de las membresías de grupos y el acceso a aplicaciones empresariales al delegar revisiones de acceso regulares a revisores específicos para confirmar si el acceso proporcionado sigue siendo necesario. Esto es particularmente útil para grupos de seguridad de alto privilegio o aplicaciones que procesan datos sensibles. A menudo es un requisito regulatorio y/o de auditoría demostrar procesos efectivos de gestión de acceso.
Administración de identidades privilegiadas
La Gestión de Identidades Privilegiadas (PIM) es otra característica de AAD Premium P2 que permite el acceso justo a tiempo para los administradores a roles privilegiados de Azure AD como Administrador Global. También admite roles de Azure como Propietario y Colaborador.
Esta herramienta permite a los administradores elevar sus cuentas al rol requerido solo cuando lo necesitan, en lugar de tener los permisos asignados permanentemente. Esto ayuda a mitigar las vulnerabilidades de cuentas de alto privilegio que a menudo son el objetivo de los atacantes.
La licencia de Azure AD Premium P1 y Premium P2 puede ser confusa, ya que estas ofertas se pueden adquirir de forma independiente, pero también se incluyen en paquetes con otros productos de Microsoft 365 y Enterprise Mobility Suite (EMS).
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Si su organización tiene licencias de Microsoft 365, entonces las licencias de Microsoft 365 E3 incluyen Azure Active Directory Premium P1. Las licencias de Microsoft 365 E5 también incluyen Azure Active Directory Premium P2.
Si no necesitas actualizar a la licencia completa de Microsoft 365 E5, entonces puedes agregar una licencia EMS E5 a Microsoft 365 E3 para acceder a las características de Azure Active Directory Premium P2.
El plan adecuado para tu organización debería estar determinado por los requisitos de gestión de identidad y acceso. Las licencias de Azure AD Premium P2 son beneficiosas para organizaciones que deben demostrar un alto nivel de gobernanza de identidades. Eso implica gestionar accesos privilegiados y automatizar revisiones de acceso y respuestas a cuentas potencialmente comprometidas.
Si tu organización no tiene estos requisitos, entonces es probable que una licencia de Azure AD Premium P1 sea suficiente.
¿Qué puedes hacer con el nivel gratuito de Azure AD?
Las capacidades de autenticación básicas esperadas de una plataforma de gestión de identidad y acceso basada en la nube están disponibles en el nivel gratuito de Azure AD. Aquí están las principales características que puedes utilizar con este nivel gratuito:
- Autenticación en la nube (tanto autenticación de paso y sincronización de hash de contraseñas)
- Autenticación federada con Active Directory Federation Services (ADFS).
- Seguridad básica y gestión de usuarios y grupos.
- Soporte para inicio de sesión único (SSO) en un número ilimitado de aplicaciones y autenticación multifactor (MFA) para usuarios
- Soporte para sincronización de directorios en entornos híbridos desde Active Directory de Windows Server local a través del software Azure AD Connect. Sin embargo, el nivel gratuito de Azure AD solo ofrece cambio de contraseña de autoservicio para usuarios en la nube (no para usuarios locales).
- La autenticación sin contraseña (utilizando Windows Hello for Business, Microsoft Authenticator o integraciones de clave de seguridad FIDO2) también está soportada en el nivel gratuito, en caso de que las organizaciones quieran comenzar la transición.
Por último, debes tener en cuenta que no se proporciona un SLA para el nivel gratuito de Azure Active Directory.
Conclusión
En resumen, la licencia Premium de Azure AD proporciona un buen conjunto de herramientas para que los administradores de seguridad gestionen de forma segura la identidad y el acceso dentro de la organización. Para aquellos que utilizan Microsoft 365 y Azure AD para inicio de sesión único, es la herramienta óptima ya que todos los productos de Azure AD están bien integrados con el resto del conjunto de servicios en la nube de Microsoft.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/