この記事では、MicrosoftのAzureディレクトリプレミアムP1とP2プランを比較し、組織に最適なアイデンティティ製品スイートを選択するのに役立ちます。Azure Active Directory(最近の名称はMicrosoft Entra ID)プレミアムP1とP2プランの間の異なる機能、および各提供の価格層を理解するのに役立ちます。
Microsoftの新しくブランド化されたアイデンティティおよびアクセススイートの一部であるMicrosoft Entra、Azure Active Directory(Azure AD)は、すべてのMicrosoft 365サービス(Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams、Dynamics 365など)を支えるアイデンティティおよびアクセス管理(IAM)プラットフォームです。 ITプロとして、組織のすべてのアプリケーションに対してAzure Active Directoryなどの中央集権型アイデンティティプロバイダーを使用することで、管理する必要があるすべてのアイデンティティを一か所で安全に確保できます。
Azure Active Directoryは、Azure AD Connectを使用して、伝統的なオンプレミスのWindows Server Active Directory(WAD)サーバーを拡張することもできます。これにより、組織は、Microsoft クラウドアプリケーションに单一のサインオンを有効にすることができます。また、OATH 2.0やSAMLなどの現代的なクラウド認証プロトコルをサポートする他のベンダーのSaaS アプリケーションにも適用できます。Azure Active Directoryを使用することで。
少なくとも1人の有料のMicrosoft 365 ユーザー(E1、E3、E5、F1、F3 スubsription)を持つ組織や、AzureやIntuneなどのMicrosoft クラウドサービスを使用している組織には、Azure Active Directory テナントがあります。しかしながら、Azure AD ライセンスには、組織に異なる機能を提供する異なるエディションがあります:Azure AD Free/Office 365、Premium P1、およびPremium P2です。
Azure AD FreeとAzure AD Office 365は、この記述ではどちらも「Azure AD Free」と称されています。しかし、Azure Active Directory Premium P1およびAzure Active Directory Premium P2は、ほとんどの enterprise 組織のID保護要件を満たすライセンスサービスです。あなたの組織に適したAzure ADのエディションは、それら要件に応じて決まります。
以下の表は、Azure Active Directoryの異なるエディションにある機能の概要を提供しています。
Azure Active Directory Premium P1は、Azure AD Free editionの基本的なユーザーとグループ管理機能に基づいています。さらに、MicrosoftはAzure Active Directoryサービスの少なくとも99.9%の可用性を保証しています。これはAzure ADの無料版では利用できないSLAです。
高度なグループ管理とパスワード保護
AADプレミアムP1では、高度なグループ管理(動的グループ、命名ポリシー、有効期限、デフォルトの分類)およびアプリケーションのグループ割り当てが利用できます。
Azure Active Directory Premium P1では、グローバルなパスワード保護も利用でき、クラウドおよびオンプレミスのADユーザーが一般的なパスワードスプレイ攻撃で使用される単語を含む弱いパスワードを設定することを防止します。
禁止されたパスワードリストは、組織ごとに特定の単語を使用して生成することもできます。Azure AD Premium P1では、クラウドおよびオンプレミスのユーザーが自己サービスパスワードリセット機能を使用して、Windows Active Directory上のオンプレミスの書き込みバックを使用してアカウントの変更やアンロックを行うことができます。
Azure Active Directory Conditional Access
Azure Active Directory Conditional Accessも含まれており、組織は認証試行の条件に基づいてクラウドアプリへのアクセスを管理することができます。アクセスの評価に使用される条件には、ユーザーまたはグループのメンバーシップ、IPの位置情報、接続デバイス(Windows、iOS、またはAndroid)、およびアプリケーションが含まれます。
これらの条件に基づいて条件付きアクセスポリシーを設定することで、組織はアクセスをブロックしたり、MFAなどの制御を使用してアクセスを許可したりすることができます。AAD条件付きアクセスは、セキュリティ管理者がユーザーのアイデンティティを保護するための強力なツールです。
Microsoft Defender for Cloud Apps
また、Azure AD Premium P1にはMicrosoft Defender for Cloud Apps(旧Microsoft Cloud App Security)も含まれています。ほとんどの組織では、クラウドアプリが拡大しており、それらの管理を維持することが組織のセキュリティ管理にとって重要です。
Microsoft Defender for Cloud Appsは、クラウドアクセスセキュリティブローカー(CASB)であり、組織がシャドウITを検出し、クラウドアプリ全体で機密情報を保護し、異常なユーザーアクティビティを監視することができます。この製品は、使用されているクラウドアプリにしっかりと制約を加えたい組織に適しており、2つの異なる方法で機能します。
まず、ファイアウォールやウェブプロキシデバイスからのクラウドトラフィックログをMicrosoft Defender for Cloud Appsに送信して、後でトラフィックを分析できます。この受動モードは「クラウドディスカバリ」とも呼ばれ、クラウドアプリの使用状況を確認できるようにします。さらに、Microsoft Defender for Cloud Appsは、プロキシモードで動作してリアルタイムに侵害や情報漏えいを防ぐためのトラフィックをアクティブに許可およびブロックするためにも使用できます。
Microsoft Defender for Cloud Appsは、Conditional Access App Controlを使用してAzure AD Conditional Accessと統合します。この機能により、セッションポリシーとリバースプロキシアーキテクチャを使用して、アプリのアクセスをリアルタイムで監視および制御することができます。これらのセッションポリシーにより、ユーザーが認証リクエストを満たす場合に、どのような操作を行うことができるかについての細かな制御が可能です。制御内容には、ダウンロードのブロックや、非準拠デバイスでの機密文書のコピーまたは印刷の禁止などが含まれます。
Azure AD Application Proxy
Azure AD Premium P1に含まれるアプリケーションプロキシ製品は、オンプレミスのWebアプリケーションにユーザーがリモートでアクセスできるようにします。プロキシは、統合Windows認証を使用するオンプレミスのWebアプリケーションを介してユーザーのAzure ADサインイントークンを送信することで動作します。ユーザーのWebアプリケーションへのアクセスは、アプリケーションプロキシサービスを介してプロキシされます。これにより、アプリケーションをインターネットに公開する必要がなくなります。
Microsoft Identity Manager
Azure AD Premium P1ライセンスでは、Microsoft Identity Manager(MIM)も使用できます。これは、高度なアイデンティティ同期ニーズを持つ組織で使用されるツールです。組織で特定のアイデンティティ同期が必要な場合には、この本当に強力なツールです。
AAD Premium P2 は、AAD Premium P1 に含まれるすべての製品を含み、さらに強化されたアイデンティティセキュリティのための数々の製品を追加したものである。
Azure Active Directory Identity Protection
Azure Active Directory Identity Protection は、ユーザーによるログイン要求を、既知の漏えいクレデンシャルや異常に旅行、マルウェアに関連するIPアドレス、慣れないログイン属性など、リスクファクターと比較して分析できる。管理者が後でログを確認するのではなく、疑わしい компромイスされたユーザーアカウントに自動で対応したいと考えている組織にとって、この追加の知見は有用である。
アクセスレビュー
アクセスレビュー は、グループメンバーシップや企業アプリケーションへのアクセスをより細かく管理するために、特定のレビュアーにアクセスが必要かどうかを定期的にレビューしてもらい、高権限セキュリティグループや機密データを処理するアプリケーションに役立つ。これは、アクセス管理プロセスの有効性をデモするのに役立つ、規制および/または監査要件であることが多い。
特権ID管理
特権アイデンティティ管理(PIM)は、AAD Premium P2の機能の1つであり、管理者に特権のあるAzure ADロール(例:グローバル管理者)へのジャストインタイムアクセスを可能にします。また、OwnerやContributorなどのAzureロールもサポートしています。
このツールにより、管理者は必要なロールにアカウントを昇格させることができますが、常に権限が割り当てられるわけではありません。これにより、攻撃者のターゲットとなる高特権アカウントの侵害を軽減するのに役立ちます。
Azure AD Premium P1およびPremium P2のライセンスには、単独で購入することもできますが、Microsoft 365およびEnterprise Mobility Suite(EMS)パッケージにもバンドルされています。
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
組織がMicrosoft 365のライセンスを取得している場合、Microsoft 365 E3ライセンスにはAzure Active Directory Premium P1が含まれています。また、Microsoft 365 E5ライセンスにはAzure Active Directory Premium P2も含まれています。
Microsoft 365 E5ライセンスに upgrade する必要がない場合、EMS E5 ライセンスを Microsoft 365 E3 に追加することで、Azure Active Directory Premium P2の機能にアクセスすることができます。
適切なプランを組織に選ぶことは、ID とアクセス管理の要求に基づいて行われなければなりません。Azure AD Premium P2 ライセンスは、ID の高レベルの治理を示すことが予想される組織に有益です。これは、特权のアクセスを管理し、アクセスレビューと潜在的に侵害されたアカウントに対する対応を自動化することを意味します。
もし組織にこれらの要求がない場合、Azure AD Premium P1 ライセンスが十分であることが予想されます。
Azure AD free tierで何をすることができますか?
クラウドベースの ID とアクセス管理プラットフォームに期待される基本的な認証機能は、Azure AD free tierに含まれます。この無料プランで使用できる主要な機能は以下の通りです:
- クラウド認証(パススルー認証とパスワードハッシュ同期)
- 企業内部のActive Directory 联邦服務(ADFS)との联邦認証。
- ユーザーとグループの基本的な安全保障と管理。
- 一度のサインオン(SSO)をサポートし、无限的なアプリに対して、またはユーザーに対してマルチ要素認証(MFA)をサポートしています。
- ハイブリッド環境でのディレクトリ同期をサポートしています。これは、Azure AD Connect ソフトウェアを通じて、企業内部のWindows Server Active Directoryから行います。しかし、Azure ADの無料プランは、クラウド用に作成されたユーザーには自服务能力のパスワード変更だけを提供します( enterprise のユーザーはありません)。
- 無料プランでは、組織が移行を開始したい場合、パスワードなしの認証(Windows Hello for Business、Microsoft Authenticator、またはFIDO2 セキュリティキーの統合)もサポートされています。
最後に、Azure Active Directoryの無料プランにはSLAが提供されていません。
結論
要するに、Azure AD Premium ライセンスは、組織内でアクセスと身份管理を安全に行うために、安全管理者にとって良いツールセットを提供します。Microsoft 365 と Azure AD を single sign-on に使用している人たちにとって、Azure AD のすべての製品が Microsoft クラウドスタックの他の部分と良く統合されているため、最適なツールとなります。
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/