Dans cet article, nous comparerons les plans Premium P1 et P2 de l’Azure Directory de Microsoft pour vous aider à choisir la meilleure suite de produits d’identité pour votre organisation. Nous vous aiderons à comprendre les différentes fonctionnalités entre les plans Premium P1 et P2 de l’Azure Active Directory (récemment renommé Microsoft Entra ID), ainsi que les niveaux de tarification de chaque offre.
Partie de la suite d’identité et d’accès récemment rebaptisée de Microsoft, Microsoft Entra, Azure Active Directory (Azure AD) est la plateforme de gestion des identités et des accès (IAM) qui sous-tend tous les services Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365, etc.). Pour un professionnel de l’informatique, l’utilisation d’un fournisseur d’identité centralisé tel qu’Azure Active Directory pour toutes les applications d’une organisation permet de sécuriser toutes les identités qui doivent être gérées en un seul endroit.
Azure Active Directory permet également l’extension des serveurs traditionnels Windows Server Active Directory (WAD) sur site en utilisant Azure AD Connect. Cela permet aux organisations de permettre une connexion unique aux applications cloud Microsoft, ainsi qu’à d’autres applications SaaS de fournisseurs prenant en charge les protocoles d’authentification cloud modernes tels que OATH 2.0 et SAML. Avec Azure Active Directory.
Chaque organisation qui a au moins un utilisateur Microsoft 365 sous licence (avec un abonnement E1, E3, E5, F1 et F3) ou utilise des services cloud Microsoft tels que Azure ou Intune a également un locataire Azure Active Directory. Cependant, il existe différentes éditions de licences Azure AD qui offrent à l’organisation différentes capacités : Azure AD Free/Office 365, Premium P1 et Premium P2.
Azure AD Free et Azure AD Office 365 sont tous deux désignés sous le nom de « Azure AD Free » dans cet article. Azure Active Directory Premium P1 et Azure Active Directory Premium P2, cependant, sont des services sous licence qui répondent aux exigences de protection de l’identité de la plupart des organisations d’entreprise. L’édition d’Azure AD qui convient le mieux à votre organisation dépendra de ces exigences.
Le tableau ci-dessous donne un aperçu des fonctionnalités disponibles dans les différentes éditions d’Azure Active Directory :
Azure Active Directory Premium P1 s’appuie sur les fonctionnalités de base de gestion des utilisateurs et des groupes de l’édition Azure AD Free. De plus, Microsoft garantit une disponibilité d’au moins 99,9 % du service Azure Active Directory, un SLA qui n’est pas disponible avec l’édition gratuite d’Azure AD.
Gestion avancée des groupes et protection des mots de passe
Avec AAD Premium P1, vous obtenez une gestion avancée des groupes (groupes dynamiques, politiques de nommage, expiration, classification par défaut), ainsi que des attributions de groupe pour les applications.
Azure Active Directory Premium P1 permet également l’utilisation d’une protection de mot de passe globale, empêchant les utilisateurs AD cloud et sur site de définir des mots de passe faibles contenant des mots utilisés dans des attaques de pulvérisation de mots de passe régulières.
Listes de mots de passe interdits peuvent également être générées pour chaque organisation avec des mots spécifiques à elles. Azure AD Premium P1 permet également aux utilisateurs cloud et sur site d’utiliser la fonction de réinitialisation de mot de passe en libre-service pour modifier et déverrouiller leurs comptes avec un retour d’écriture sur site sur Windows Active Directory.
Azure Active Directory Conditional Access
Azure Active Directory Conditional Access est également inclus, permettant à une organisation de gérer l’accès à leurs applications cloud en fonction de la condition de la tentative d’authentification. Les conditions utilisées pour évaluer l’accès comprennent l’appartenance de l’utilisateur ou du groupe, les informations de localisation IP, le périphérique de connexion (Windows, iOS ou Android) et l’application.
La configuration des stratégies d’accès conditionnel basées sur ces conditions permet à votre organisation de bloquer l’accès ou d’accorder l’accès avec des contrôles tels que la MFA. L’accès conditionnel AAD est un outil puissant dans l’arsenal de l’administrateur de sécurité pour sécuriser les identités des utilisateurs.
Microsoft Defender for Cloud Apps
Aussi inclus avec Azure AD Premium P1 est Microsoft Defender for Cloud Apps (anciennement Microsoft Cloud App Security). Dans la plupart des organisations, les applications cloud sont nombreuses et maintenir le contrôle sur elles est essentiel pour la gestion de la sécurité d’une organisation.
Microsoft Defender for Cloud Apps est un courtier en sécurité d’accès cloud (CASB) qui permet à votre organisation de détecter les applications fantômes, de protéger les informations sensibles à travers les applications cloud, ainsi que de surveiller les activités des utilisateurs pour des comportements anormaux. Ce produit est idéal pour les organisations cherchant à renforcer leur contrôle sur les applications cloud utilisées, et il fonctionne de deux manières différentes.
Premièrement, les journaux de trafic cloud peuvent être envoyés depuis les pare-feu et les dispositifs proxy web vers Microsoft Defender for Cloud Apps pour analyser le trafic a posteriori. Ce mode passif est également appelé « découverte cloud » et permet à une organisation de passer en revue l’utilisation des applications cloud. De plus, Microsoft Defender for Cloud Apps peut également être utilisé pour permettre et bloquer activement le trafic afin d’arrêter les violations et les fuites en temps réel en fonctionnant en mode proxy.
Microsoft Defender for Cloud Apps s’intègre à Azure AD Conditional Access en utilisant Conditional Access App Control. Cette fonctionnalité permet de surveiller et de contrôler l’accès aux applications en temps réel en utilisant des politiques de session et une architecture de proxy inversé. Ces politiques de session permettent un contrôle granulaire sur ce que les utilisateurs peuvent faire, s’ils satisfont la demande d’authentification. Les contrôles incluent le blocage des téléchargements, ainsi que la copie ou l’impression de documents sensibles sur des appareils non conformes.
Azure AD Application Proxy
Le produit Application Proxy inclus dans Azure AD Premium P1 permet aux applications web sur site d’être accessibles à distance par les utilisateurs. Le proxy fonctionne en transmettant le jeton de connexion Azure AD des utilisateurs à travers les applications web sur site qui utilisent l’authentification Windows intégrée. L’accès d’un utilisateur à l’application web est ensuite relayé par le service Application Proxy, éliminant ainsi le besoin de publier l’application sur Internet.
Microsoft Identity Manager
Les licences Azure AD Premium P1 permettent également l’utilisation de Microsoft Identity Manager (MIM). Il s’agit d’un outil utilisé par les organisations ayant des besoins avancés de synchronisation des identités. Cet outil est vraiment puissant s’il est nécessaire de personnaliser la synchronisation des identités dans une organisation.
AAD Premium P2 inclut tous les produits de AAD Premium P1, cependant, ajoute quelques produits supplémentaires pour une sécurité d’identité renforcée.
Protection de l’identité Azure Active Directory
La Protection de l’identité Azure Active Directory peut analyser la demande de connexion d’un utilisateur par rapport à des facteurs de risque tels que des informations d’identification divulguées, des déplacements atypiques, des adresses IP liées aux logiciels malveillants et des propriétés de connexion inhabituelles. Cette intelligence supplémentaire est utile pour les organisations cherchant à automatiser les réponses aux comptes d’utilisateurs compromis suspectés sans se fier aux utilisateurs signalant un comportement étrange ou aux administrateurs examinant les journaux après coup.
Examens d’accès
Les examens d’accès permettent une meilleure gestion des appartenances à des groupes et de l’accès aux applications d’entreprise en déléguant des examens d’accès réguliers à des examinateurs spécifiques pour confirmer si l’accès fourni est toujours nécessaire. Cela est particulièrement utile pour les groupes de sécurité à haut privilège ou les applications traitant des données sensibles. Il est souvent requis réglementairement et/ou pour des audits de démontrer des processus efficaces de gestion des accès.
Gestion des identités privilégiées
Gestion des identités privilégiées (PIM) est une autre fonctionnalité AAD Premium P2 qui permet un accès juste-à-temps pour les administrateurs aux rôles Azure AD privilégiés tels que Administrateur global. Il prend également en charge les rôles Azure tels que Propriétaire et Contributeur.
Cet outil permet aux administrateurs d’élever leurs comptes au rôle requis uniquement lorsqu’ils en ont besoin, plutôt que d’avoir les autorisations attribuées de manière permanente. Cela aide à atténuer les compromissions de compte à haut privilège qui sont souvent la cible des attaquants.
La tarification de la licence Azure AD Premium P1 et Premium P2 peut être déroutante car ces offres peuvent être achetées individuellement, mais elles sont également regroupées avec d’autres packages Microsoft 365 et Enterprise Mobility Suite (EMS).
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Si votre organisation est titulaire de licences Microsoft 365, alors les licences Microsoft 365 E3 incluent Azure Active Directory Premium P1. Les licences Microsoft 365 E5 incluent également Azure Active Directory Premium P2.
Que pouvez-vous faire avec la couche gratuite d’Azure AD ?
-
Authentification cloud (à la fois authentification directe et synchronisation de hachage de mot de passe) - Authentification fédérée avec Active Directory Federation Services (ADFS) local.
- Sécurité de base et gestion des utilisateurs et des groupes.
- Prise en charge de la connexion unique (SSO) vers un nombre illimité d’applications et de l’authentification multifacteur (MFA) pour les utilisateurs
- Prise en charge de la synchronisation de répertoires dans les environnements hybrides à partir d’Active Directory Windows Server local via le logiciel Azure AD Connect. Cependant, la version gratuite d’Azure AD ne propose qu’un changement de mot de passe en libre-service pour les utilisateurs cloud (pas pour les utilisateurs local).
- L’authentification sans mot de passe (utilisant Windows Hello for Business, Microsoft Authenticator ou une clé de sécurité FIDO2) est également prise en charge dans la version gratuite, au cas où les organisations voudraient commencer la transition.
Enfin, il convient de garder à l’esprit qu’aucune SLA n’est fournie pour la version gratuite d’Azure Active Directory.
Conclusion
En résumé, la licence Azure AD Premium fournit un bon ensemble d’outils pour les administrateurs de sécurité pour gérer en toute sécurité l’identité et l’accès au sein de l’organisation. Pour ceux qui utilisent Microsoft 365 et Azure AD pour la connexion unique, c’est l’outil optimal car tous les produits Azure AD sont bien intégrés avec le reste de la pile cloud Microsoft.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/