במאמר זה, נשווה בין תוכניות P1 ו-P2 של ספק השירותים של מיקרוסופט, Azure Directory Premium, כדי לעזור לך לבחור את החבילה הטובה ביותר של מוצרי זהות לארגון שלך. נעזור לך להבין את התכונות השונות בין תוכניות P1 ו-P2 של Azure Active Directory (הכולל לאחרונה Microsoft Entra ID), כמו גם את שכבות המחירים לכל הצעה.
חלק מהחבילה החדשה של זהות וגישה ששובצה לאחרונה של מיקרוסופט, Microsoft Entra, הוא ספק השירותים Azure Active Directory (Azure AD), המהווה את הבסיס לניהול הזהות והגישה (IAM) של כל שירותי Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365 וכו'). עבור מקצוען IT, שימוש בספק זהות מרכזי כגון Azure Active Directory עבור כל היישומים של הארגון מאפשר לאבטח את כל הזהויות שצריך לנהל במקום אחד.
פעילות ספק פעילות פעילות מאפשרת גם להרחיב את שרתי פעילות פעילות Windows Server המסורתיים באתר (WAD) באמצעות Azure AD Connect. זה מאפשר לארגונים לאפשר כניסה יחידה אל יישומי הענן של Microsoft, כמו גם ליישומי SaaS של ספקים אחרים שתומכים בפרוטוקולי אימות מודרניים של ענן כמו OATH 2.0 ו-SAML. עם פעילות פעילות פעילה.
כל ארגון שמכיל לפחות משתמש Microsoft 365 מרשם אחד (עם מינוי E1, E3, E5, F1 ו-F3) או משתמש בשירותי ענן של Microsoft כגון Azure או Intune גם יש דייר פעילות פעילות. עם זאת, ישנן גרסאות שונות של רישיונות פעילות פעילות שמספקות לארגון אפשרויות שונות: פעילות פעילות חינמית/Office 365, Premium P1 ו-Premium P2.
Azure AD Free ו-Azure AD Office 365 מתייחסים שניהם כ"Azure AD Free" במאמר זה. עם זאת, Azure Active Directory Premium P1 ו-Azure Active Directory Premium P2 הם שירותים מרושאים שעומדים בדרישות ההגנה על זהות של רוב הארגונים העסקיים. הגרסה של Azure AD שתתאים לארגון שלך תלווה בדרישות האלה.
הטבלה למטה מספקת סקירה כללית של התכונות הזמינות בין הגרסאות השונות של Azure Active Directory:
Azure Active Directory Premium P1 מבוסס על תכונות הניהול הבסיסיות של משתמשים וקבוצות בגרסת Azure AD Free. בנוסף, מיקרוסופט מבטיחה לפחות 99.9% זמינות של שירות Azure Active Directory, SLA שאינו זמין בגרסה החינמית של Azure AD.
ניהול קבוצות מתקדם והגנת סיסמאות
עם AAD Premium P1, אתה מקבל ניהול קבוצות מתקדם (קבוצות דינמיות, מדיניות שמות, תפוגה, סיווג ברירת מחדל), וגם הקצאות קבוצות ליישומים.
Azure Active Directory Premium P1 מאפשר גם את השימוש ב-הגנה על סיסמאות גלובלית, מונעת ממשתמשים ב-AD בענן ובסביבה פנימית להגדיר סיסמאות חלשות שמכילות מילים המשמשות בתקפי ספריי סיסמאות רגילים.
רשימות סיסמאות אסורות ניתן גם ליצור עבור כל ארגון עם מילים ספציפיות במיוחד לו. Azure AD Premium P1 מאפשר גם למשתמשים בענן ובמקומיים להשתמש בתכונת איפוס סיסמה בשירות עצמי כדי לשנות ולפתוח את החשבונות שלהם עם השתקת כתיבה במקום הפעלה של Windows Active Directory.
תנאי גישה פעיל של Azure Active Directory
תנאי גישה פעיל של Azure Active Directory כלול גם בזה, מאפשר לארגון לנהל גישה לאפליקציות הענן שלהם בהתבסס על תנאי הניסיון לאימות. התנאים המשמשים להערכת הגישה כוללים חבר או חברה, מידע על מיקום ה-IP, ההתחברות של המכשיר (Windows, iOS או Android) והיישום.
הגדרת מדיניות גישה תנאית על סמך התנאים הללו מאפשרת לארגון שלך לחסום גישה או להעניק גישה עם בקרות כגון MFA. תנאי הגישה של AAD הוא כלי עוצמתי בתיק הכלים של מנהל האבטחה לאבטחת זהויות המשתמשים.
Microsoft Defender ליישומי ענן
כלול גם ב-Azure AD Premium P1 הוא Microsoft Defender ליישומי ענן (בעבר Microsoft Cloud App Security). ברוב הארגונים, יישומים בענן פורצים גבולות ושמירה על שליטה בהם היא מרכזית לניהול האבטחה של הארגון.
Microsoft Defender ליישומי ענן הוא סוכן אבטחת גישה לענן (CASB) המאפשר לארגון שלך לזהות IT צלול, להגן על מידע רגיש בין יישומים בענן, וכן לצפות בפעילויות המשתמש לגילוי התנהגויות חריגות. מוצר זה מעולה לארגונים המחפשים להצמיד את קפיצת המרחק שלהם מיישומי הענן הפעילים, והוא פועל בשני אופנים שונים.
ראשית, יש לשלוח יומני תעבורה מהמכשירים של הגישה לענן ומפרוקסי אינטרנט אל Microsoft Defender ליישומי ענן כדי לנתח את התעבורה לאחר העובר. מצב זה, המכונה גם "גילוי ענן", מאפשר לארגון לסקור את השימוש ביישומי הענן. בנוסף, Microsoft Defender ליישומי ענן יכול גם לשמש להפעלת וחסימת תעבורה לצורך עצירת פריצות ונזילות בזמן אמת על ידי פעולה במצב פרוקסי.
מיקרוסופט הגנה עבור אפליקציות משתלב עם Azure AD Conditional Access באמצעות שליטה תנאית בגישה לאפליקציות. תכונה זו מאפשרת לנטור ולשלוט בגישה לאפליקציות בזמן אמת באמצעות מדיניות סשן ובארכיטקטורת פרוקסי הפוכה. מדיניות הסשן הן אשר מאפשרות שליטה פירוטית על מה שמשתמשים יכולים לעשות, כאשר הם מקיימים את בקשת האימות. השליטה כוללת חסימת הורדות, כמו גם העתקה או הדפסה של מסמכים רגישים על התקנים שאינם עומדים בדרישות התאימות.
פרוקסי אפליקציות של Azure AD
המוצר Application Proxy הכלול ב-Azure AD Premium P1 מאפשר למשתמשים לגשת מרחוק ליישומי אינטרנט באתר עסקי עם אימות משולב של Windows באמצעות עברת טוקן הכניסה של Azure AD של המשתמשים דרך היישומי אינטרנט באתר עסקי. גישת המשתמש ליישום האינטרנט מועברת דרך שירות Application Proxy, וכך מוסרת תחת הצורך לפרסם את היישום לאינטרנט.
Microsoft Identity Manager
רשיונות Azure AD Premium P1 מאפשרים גם שימוש ב-Microsoft Identity Manager (MIM). זהו כלי המשמש ארגונים הזקוקים לצרכים מתקדמים בסינכרון זהות. זהו כלי עוצמתי ביותר במידה ונדרשת סינכרון זהות מותאם אישית בארגון.
AAD Premium P2 כולל את כל המוצרים ב-AAD Premium P1, אך מוסיף מספר מוצרים נוספים לשיפור אבטחת הזהות.
הגנת זהות Azure Active Directory
הגנת זהות Azure Active Directory יכולה לנתח את בקשת הכניסה של משתמש בהשוואה לפקטורים סיכון כגון פרטי כניסה שחולפו, נסיעה אטיפית, כתובות IP המקושרות לנזקי תוכנות זדוניות ומאפייני כניסה לא מוכרים. המודעות הנוספת זו שימושית לארגונים שמחפשים לאוטומציה בתגובה לחששות של חשבונות משתמש שנראים כפוגעים בלא להסתמך על דיווחים של משתמשים על התנהגות מוזרה או בדיקת יומנים על התנהגות לאחר מכן.
סקירות גישה
סקירות גישה מאפשרות ניהול טוב יותר של חברי קבוצה וגישה ליישומי עסקיים באמצעות העברת סקירות גישה רגילות לבדיקת תקינות הגישה המסופקת עדיין נדרשת. זה מועיל במיוחד לקבוצות אבטחה בעלות הרשאות גבוהות או אפליקציות שעובדות עם נתונים רגישים. לעיתים קרובות זה דרישת חוק ו/או בדיקה להוכיח תהליכי ניהול גישה יעילים.
ניהול זהות עם הרשאות מוגבלות
ניהול זהות פריווילגי (PIM) הוא תכונת AAD Premium P2 נוספת שמאפשרת גישה בדיוק בעת הנדרשת למנהלים לתפקידים פריווילגיים ב-Azure AD כמו מנהל גלובלי. היא תומכת גם בתפקידים ב-Azure כמו בעלים ותורם.
כלי זה מאפשר למנהלים להגביר את חשבונותיהם לתפקיד הנדרש רק כאשר זה נדרש, במקום שההרשאות תועברנה ללא הפסקה. זה עוזר להפחית את הסיכון של פריצת חשבונות עם הרשאות פריווילגיות גבוהות שבדרך כלל מטרתם של מתקפים.
רישוי עבור Azure AD Premium P1 ו-Premium P2 יכול להיות מבלבל מאחר והם יכולים להיות נרכשים באופן עצמאי, אך הם גם נכללים בחבילות אחרות של Microsoft 365 ו-Enterprise Mobility Suite (EMS).
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
אם הארגון שלך מרישה את Microsoft 365, אז רישיונות Microsoft 365 E3 כוללים את Azure Active Directory Premium P1. רישיונות Microsoft 365 E5 כוללים גם את Azure Active Directory Premium P2.
אם אינך זקוק להתקדם לרישיון Microsoft 365 E5 מלא, אז רישיון EMS E5 יכול להתחבר ל-Microsoft 365 E3 כדי לגשת לתכונות Azure Active Directory Premium P2.
התוכנית המתאימה לארגון שלך צריכה להיות מונעת על ידי הצרכים שלך בניהול זהות וגישה. רישיונות Azure AD Premium P2 מועילים לארגונים שמצפים מהם להפגין רמה גבוהה של שליטה בזהויות. זה כולל ניהול גישה מיוחדת ואוטומציה של ביקורות גישה ותגובות לחשדניות חשופות.
אם הארגון שלך אינו זקוק לדרישות אלה, אז רישיון Azure AD Premium P1 יספיק כנראה.
מה אפשר לעשות עם הרמה החינמית של Azure AD?
היכולות הבסיסיות של שיטת זהות וניהול גישה מבוססת ענן זמינות ברמה החינמית של Azure AD. הנה התכונות העיקריות שאפשר להשתמש בהן עם הרמה החינמית:
- אוטנזציה ענן (גם אוטנזציה עקיפה ושידוך סיסמאות מעיפות)
- אימות מאוגד עם שירותי שירותי הפדרציה של Active Directory (ADFS) באתר
- בסיסי הבטחה וניהול משתמשים וקבוצות
- תמיכה בכניסה חד פעמית (SSO) למספר בלתי מוגבל של אפליקציות ובאימות מרובה גורמים (MFA) למשתמשים
- תמיכה בסנכרון ספרייה בסביבות היברידיות משרתי Active Directory של Windows באתר דרך תוכנת Azure AD Connect. אך שכבת החינם של Azure AD מציעה רק שינוי סיסמה לעצמה למשתמשים בענן (ולא משתמשים באתר)
- אימות ללא סיסמה (באמצעות Windows Hello for Business, מזהה Microsoft או אינטגרציות מפתח אבטחה FIDO2) נתמך גם בשכבה החינמית, אם תרצו להתחיל לעבור
ללא פחות משמעותי, עליך לשים לב שאין התחייבות שירות (SLA) עבור השכבה החינמית של Azure Active Directory
סיכום
בסיכום, רישיון Azure AD Premium מספק ערכי כלי טובים למנהלי אבטחה כדי לנהל באופן מאובטח את זהות וגישה בתוך הארגון. עבור המשתמשים ב-Microsoft 365 ו-Azure AD לצורך כניסה חד פעמית, זהו הכלי האופטימלי מכיוון שכל מוצרי Azure AD משולבים בצורה טובה עם שאר מגדר הענן של Microsoft.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/