In questo articolo, confrontiamo i piani Premium P1 e P2 di Microsoft Azure Directory per aiutarti a scegliere la migliore suite di prodotti per l’identità per la tua organizzazione. Ti aiuteremo a capire le diverse funzionalità tra i piani Premium P1 e P2 di Azure Active Directory (recentemente rinominato Microsoft Entra ID), così come le fasce di prezzo per ciascuna offerta.
Parte della nuova suite di identità e accesso di Microsoft, Microsoft Entra, Azure Active Directory (Azure AD) è la piattaforma di gestione delle identità e degli accessi (IAM) che sottende tutti i servizi Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365, ecc.). Per un professionista IT, l’uso di un provider di identità centralizzato come Azure Active Directory per tutte le applicazioni di un’organizzazione rende possibile proteggere tutte le identità che devono essere gestite in un unico luogo.
Azure Active Directory consente anche l’estensione dei tradizionali server Windows Server Active Directory (WAD) in locale utilizzando Azure AD Connect. Ciò consente alle organizzazioni di abilitare l’accesso single sign-on alle applicazioni cloud Microsoft, nonché ad altre applicazioni SaaS di fornitori che supportano protocolli di autenticazione cloud moderni come OATH 2.0 e SAML. Con Azure Active Directory.
Ogni organizzazione che ha almeno un utente con licenza Microsoft 365 (con una sottoscrizione E1, E3, E5, F1 e F3) o che utilizza servizi cloud Microsoft come Azure o Intune ha anche un tenant di Azure Active Directory. Tuttavia, esistono diverse edizioni delle licenze di Azure AD che forniscono all’organizzazione diverse capacità: Azure AD Free/Office 365, Premium P1 e Premium P2.
Azure AD Free e Azure AD Office 365 sono entrambi indicati come “Azure AD Free” in questo articolo. Tuttavia, Azure Active Directory Premium P1 e Azure Active Directory Premium P2 sono servizi con licenza che soddisfano i requisiti di protezione dell’identità della maggior parte delle organizzazioni aziendali. La versione di Azure AD adatta alla tua organizzazione dipenderà da tali requisiti.
La tabella qui sotto fornisce una panoramica delle funzionalità disponibili nelle diverse edizioni di Azure Active Directory:
Azure Active Directory Premium P1 si basa sulle funzionalità di base di gestione degli utenti e dei gruppi dell’edizione gratuita di Azure AD. Inoltre, Microsoft garantisce almeno il 99,9% di disponibilità del servizio Azure Active Directory, un SLA non disponibile con l’edizione gratuita di Azure AD.
Gestione avanzata dei gruppi e protezione delle password
Con AAD Premium P1, ottieni gestione avanzata dei gruppi (gruppi dinamici, politiche di denominazione, scadenza, classificazione predefinita), così come assegnazioni di gruppo per le applicazioni.
Azure Active Directory Premium P1 consente anche l’uso della protezione delle password globale, impedendo agli utenti di AD cloud e on-premises di impostare password deboli che contengono parole utilizzate in comuni attacchi di password spray.
Liste di password bandite possono anche essere generate per ogni organizzazione con parole specifiche ad esse. Azure AD Premium P1 consente inoltre agli utenti cloud e on-premises di utilizzare la funzione self-service password reset per cambiare e sbloccare i loro account con scrittura rientrante su Windows Active Directory.
Accesso condizionato di Azure Active Directory
Accesso condizionato di Azure Active Directory è incluso, permettendo all’organizzazione di governare l’accesso alle loro app cloud in base alle condizioni dell’attempto di autenticazione. Le condizioni utilizzate per valutare l’accesso comprendono l’iscrizione all’utente o al gruppo, le informazioni sulla posizione IP, il dispositivo di connessione (Windows, iOS o Android) e l’applicazione.
Configurare le politiche di accesso condizionato in base a queste condizioni consente all’organizzazione di bloccare l’accesso o di concederlo con controlli come la MFA. L’accesso condizionato di AAD è un potente strumento negli armi dell’amministratore di sicurezza per proteggere le identità utente.
Microsoft Defender per le App Cloud
Incluso anche in Azure AD Premium P1 c’è Microsoft Defender per le App Cloud (formalmente Microsoft Cloud App Security). Nella maggior parte delle organizzazioni, le app cloud sono diffuse e mantenere il controllo su di esse è fondamentale per la gestione della sicurezza dell’organizzazione.
Microsoft Defender per le App Cloud è un broker di sicurezza per l’accesso alle app cloud (CASB) che consente alla tua organizzazione di rilevare l’IT fantasma, proteggere informazioni sensibili tra le app cloud e monitorare le attività degli utenti per comportamenti anomali. Questo prodotto è ottimo per le organizzazioni che desiderano stringere la presa sulle app cloud in uso e funziona in due modi diversi.
In primo luogo, i log del traffico cloud possono essere inviati dai dispositivi firewall e proxy web a Microsoft Defender per le App Cloud per analizzare il traffico in seguito. Questa modalità passiva è anche detta “scoperta cloud” e consente a un’organizzazione di esaminare l’uso delle app cloud. Inoltre, Microsoft Defender per le App Cloud può essere utilizzato anche per consentire e bloccare attivamente il traffico per fermare intrusioni e perdite in tempo reale operando in modalità proxy.
Microsoft Defender for Cloud Apps si integra con Azure AD Conditional Access utilizzando Conditional Access App Control. Questa funzionalità consente di monitorare e controllare l’accesso alle app in tempo reale utilizzando le policy di sessione e un’architettura di reverse proxy. Queste policy di sessione consentono un controllo dettagliato su ciò che gli utenti possono fare, qualora soddisfino la richiesta di autenticazione. I controlli includono il blocco dei download, così come la copia o la stampa di documenti sensibili su dispositivi non conformi.
Azure AD Application Proxy
Il prodotto Application Proxy incluso in Azure AD Premium P1 consente alle applicazioni web locali di essere accessibili in remoto dagli utenti. Il proxy funziona passando il token di accesso di Azure AD degli utenti attraverso le applicazioni web locali che utilizzano Autenticazione Integrata di Windows. L’accesso dell’utente all’applicazione web viene quindi inoltrato attraverso il servizio Application Proxy, eliminando la necessità di pubblicare l’applicazione su Internet.
Microsoft Identity Manager
Le licenze Azure AD Premium P1 consentono anche l’uso di Microsoft Identity Manager (MIM). Questo è uno strumento utilizzato dalle organizzazioni che hanno esigenze avanzate di sincronizzazione delle identità. Questo è uno strumento molto potente nel caso sia necessaria una sincronizzazione delle identità personalizzata in un’organizzazione.
AAD Premium P2 include tutti i prodotti su AAD Premium P1, tuttavia, aggiunge alcuni prodotti aggiuntivi per una maggiore sicurezza dell’identità.
Azure Active Directory Identity Protection
Azure Active Directory Identity Protection può analizzare la richiesta di accesso di un utente contro fattori di rischio come credenziali trapelate conosciute, viaggi atipici, indirizzi IP collegati a malware e proprietà di accesso sconosciute. Questa intelligenza aggiuntiva è utile per le organizzazioni che desiderano automatizzare le risposte ai conti utente sospettati compromessi senza dover fare affidamento sugli utenti che segnalano comportamenti strani o sugli amministratori che revisionano i log successivamente.
Revisioni di accesso
Le revisioni di accesso consentono una migliore gestione delle appartenenze a gruppi e dell’accesso alle applicazioni aziendali delegando regolarmente le revisioni di accesso specifici revisori per confermare se l’accesso fornito è ancora necessario. Questo è particolarmente utile per gruppi di sicurezza ad alto privilegio o applicazioni che elaborano dati sensibili. Spesso è un requisito regolatorio e/o di audit dimostrare processi di gestione dell’accesso efficaci.
Gestione delle identità privilegiate
Gestione delle identità privilegiate (PIM) è un’altra funzionalità di AAD Premium P2 che consente l’accesso on-demand per gli amministratori ai ruoli privilegiati di Azure AD come Amministratore globale. Supporta anche ruoli di Azure come Proprietario e Collaboratore.
Questo strumento consente agli amministratori di elevarsi ai ruoli richiesti solo quando ne hanno bisogno, anziché assegnare le autorizzazioni in modo permanente. Questo aiuta a mitigare le compromissioni degli account ad alto privilegio, che sono spesso il bersaglio degli attaccanti.
Il licensing di Azure AD Premium P1 e Premium P2 può essere confusionario poiché queste offerte possono essere acquistate separatamente, ma sono anche incluse in pacchetti di Microsoft 365 e Enterprise Mobility Suite (EMS).
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Se la tua organizzazione ha una licenza Microsoft 365, allora le licenze Microsoft 365 E3 includono Azure Active Directory Premium P1. Le licenze Microsoft 365 E5 includono anche Azure Active Directory Premium P2
Se non è necessario passare alla licenza Microsoft 365 E5 completa, è possibile aggiungere una licenza EMS E5 a Microsoft 365 E3 per accedere alle funzioni di Azure Active Directory Premium P2.
La scelta del piano più adatto alla vostra organizzazione dovrebbe dipendere dai requisiti di gestione delle identità e degli accessi. Le licenze di Azure AD Premium P2 sono consigliate alle organizzazioni che devono dimostrare un alto livello di governance delle identità, il che implica la gestione dell’accesso privilegiato e l’automazione delle verifiche di accesso e delle risposte agli account potenzialmente compromessi.
Se la vostra organizzazione non ha questi requisiti, è probabile che una licenza di Azure AD Premium P1 sia sufficiente.
Cosa si può fare con il livello gratuito di Azure AD?
Le funzioni di autenticazione cloud che ci si aspetta da una piattaforma di gestione delle identità e degli accessi based sono disponibili nel livello gratuito di Azure AD. Ecco le funzioni principali che è possibile utilizzare con questo livello gratuito:
- Autenticazione cloud (sia l’autenticazione pass-through che la sincronizzazione degli hash delle password).
- Autenticazione federata con Active Directory Federation Services (ADFS) in locale.
- Sicurezza di base e gestione degli utenti e dei gruppi.
- Supporto per l’accesso Single sign-on (SSO) a un numero illimitato di app e autenticazione multi-fattore (MFA) per gli utenti
- Supporto per la sincronizzazione delle directory in ambienti ibridi da Active Directory di Windows Server in locale tramite il software Azure AD Connect. Tuttavia, il livello gratuito di Azure AD offre solo la modifica della password self-service per gli utenti cloud (non per gli utenti in locale).
- L’autenticazione senza password (utilizzando Windows Hello for Business, Microsoft Authenticator o integrazioni con chiavi di sicurezza FIDO2) è supportata anche nel livello gratuito, nel caso in cui le organizzazioni vogliano iniziare a effettuare la transizione.
Ultimo ma non meno importante, è importante tenere presente che per il livello gratuito di Azure Active Directory non è previsto alcun SLA.
Conclusione
In sintesi, la licenza Premium di Azure AD fornisce un buon set di strumenti per gli amministratori della sicurezza per gestire in modo sicuro l’identità e l’accesso all’interno dell’organizzazione. Per coloro che utilizzano Microsoft 365 e Azure AD per il single sign-on, è lo strumento ottimale poiché tutti i prodotti di Azure AD sono ben integrati con il resto dello stack cloud di Microsoft.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/