In dit artikel zullen we de Microsoft Azure Directory Premium P1 en P2 plannen vergelijken om u te helpen bij het kiezen van de beste reeks identiteitsproducten voor uw organisatie. We zullen u helpen de verschillende functies tussen de Azure Active Directory (recentelijk hernoemd naar Microsoft Entra ID) Premium P1 en P2 plannen te begrijpen, evenals de prijsniveaus voor elk aanbod.
Als onderdeel van Microsoft’s nieuw gebrandmerkte identiteits- en toegangssuite, Microsoft Entra, is Azure Active Directory (Azure AD) het identiteits- en toegangsbeheer (IAM) platform dat de basis vormt voor alle Microsoft 365 services (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365 enzovoort). Voor een IT-professional maakt het gebruik van een gecentraliseerde identiteitsprovider zoals Azure Active Directory voor alle applicaties van een organisatie het mogelijk om alle identiteiten die beheerd moeten worden op één plek te beveiligen.
Azure Active Directory maakt ook de uitbreiding mogelijk van traditionele on-premises Windows Server Active Directory (WAD) servers met behulp van Azure AD Connect. Dit stelt organisaties in staat om single sign-on in te schakelen voor Microsoft-cloudtoepassingen, evenals andere leveranciers SaaS-toepassingen die moderne cloud-authenticatieprotocollen ondersteunen zoals OATH 2.0 en SAML. Met Azure Active Directory.
Elke organisatie die ten minste één gelicentieerde Microsoft 365-gebruiker heeft (met een E1, E3, E5, F1 en F3-abonnement) of Microsoft-cloudservices zoals Azure of Intune gebruikt, heeft ook een Azure Active Directory-tenant. Er zijn echter verschillende edities van Azure AD-licenties die de organisatie verschillende mogelijkheden bieden: Azure AD Free/Office 365, Premium P1 en Premium P2.
Azure AD Free en Azure AD Office 365 worden in dit artikel beide aangeduid als “Azure AD Free”. Azure Active Directory Premium P1 en Azure Active Directory Premium P2 zijn echter diensten die zijn ge Licentieerd en die de identiteitsbeschermingvereisten van de meeste bedrijfskundige organisaties aan. De editie van Azure AD die voor uw organisatie aanbevelenswaard is, hangt af van deze vereisten.
Het tableau dat volgt biedt een overzicht van de beschikbare functionaliteiten over de verschillende edities van Azure Active Directory:
Azure Active Directory Premium P1 bouwt op op de basisfuncties voor gebruikers- en groepenbeheer van de Azure AD Free editie. Bovendien garandeert Microsoft minstens 99,9% beschikbaarheid van de Azure Active Directory-dienst, een SLA dat niet beschikbaar is bij de gratis editie van Azure AD.
Geavanceerde groepsbeheer en wachtwoordbescherming
Met AAD Premium P1 krijg je geavanceerd groepsbeheer (dynamische groepen, naamgevingsbeleid, verloop, standaardclassificatie), evenals groepstoewijzingen voor applicaties.
Azure Active Directory Premium P1 maakt ook het gebruik van wereldwijde wachtwoordbeveiliging mogelijk, waardoor cloud- en on-premises AD-gebruikers geen zwakke wachtwoorden kunnen instellen die woorden bevatten die worden gebruikt in reguliere wachtwoord-sprayaanvallen.
Verboden wachtwoordenlijsten kunnen ook worden gegenereerd voor elke organisatie met woorden die specifiek voor hen zijn. Azure AD Premium P1 staat ook cloud- en on-premises gebruikers toe om de functie voor het opnieuw instellen van het wachtwoord via self-service te gebruiken om hun accounts te wijzigen en te ontgrendelen met on-premises terugschrijven op Windows Active Directory.
Azure Active Directory Conditional Access
Azure Active Directory Conditional Access is ook inbegrepen, waardoor een organisatie de toegang tot hun cloud-apps kan beheren op basis van de voorwaarde van de authenticatiepoging. De voorwaarden die worden gebruikt om toegang te beoordelen, omvatten gebruikers- of groepslidmaatschap, IP-locatiegegevens, het verbindende apparaat (Windows, iOS of Android) en de toepassing.
Het configureren van voorwaardelijke toegangspolicies op basis van deze voorwaarden stelt uw organisatie in staat om de toegang te blokkeren of toegang te verlenen met controles zoals MFA. AAD Conditional access is een krachtig instrument in het arsenaal van de beveiligingsbeheerder om gebruikersidentiteiten te beveiligen.
Microsoft Defender voor Cloud Apps
Ook inbegrepen bij Azure AD Premium P1 is Microsoft Defender voor Cloud Apps (voorheen Microsoft Cloud App Security). In de meeste organisaties zijn cloudapps uitgegroeid en het behouden van controle over hen is crucial voor de beveiligingsbeheer van een organisatie.
Microsoft Defender voor Cloud Apps is een cloudtoegangbeveiligingsmiddel (CASB) dat uw organisatie toestaat om schaduw-IT te detecteren,敏感 informatie te beschermen die over cloudapps verspreid is, en de activiteiten van gebruikers te monitoren voor afwijkend gedrag. Dit product is ideaal voor organisaties die hun grip op cloudapps willen versterken die in gebruik zijn, en het werkt op twee verschillende manieren.
Eerstens kunnen cloudverkeerslogs vanuit brandmuren en webproxy-apparaten naar Microsoft Defender voor Cloud Apps verzonden worden om vervolgens verkeer te analyseren. Deze passieve modus wordt ook “cloudontdekking” genoemd en maakt het mogelijk voor een organisatie om de gebruik van cloudapps te bekijken. Bovendien kan Microsoft Defender voor Cloud Apps ook actief toestaan en blokkeren van verkeer om breaches en lekken in real time te stoppen, door te werken in proxy-modus.
Microsoft Defender for Cloud Apps integreert met Azure AD Conditional Access door gebruik te maken van Conditional Access App Control. Deze functie maakt het mogelijk om app-toegang in realtime te monitoren en te beheren met behulp van sessiebeleid en een omgekeerde proxy-architectuur. Deze sessiebeleidsregels bieden gedetailleerde controle over wat gebruikers kunnen doen, mits zij aan het authenticatieverzoek voldoen. Controles omvatten het blokkeren van downloads, evenals het kopiëren of afdrukken van gevoelige documenten op niet-conforme apparaten.
Azure AD Application Proxy
De Toepassingsproxy-product dat deel uitmaakt van Azure AD Premium P1, laat on-premises webtoepassingen toe dat door gebruikers vanaf afstand worden aangetoond. De proxy werkt door de Azure AD-aanmeldings token van de gebruiker door on-premises webtoepassingen te laten stromen die Geïntegreerde Windows Authenticatie gebruiken. De toegang van de gebruiker tot de webtoepassing wordt dan via de Toepassingsproxy-service gemanipuleerd, waardoor het publiceren van de toepassing op het internet overbodig wordt.
Microsoft Identity Manager
Azure AD Premium P1-licenties bieden ook de mogelijkheid om Microsoft Identity Manager (MIM) te gebruiken. Dit is een hulpmiddel voor organisaties met geavanceerde behoeften voor identiteitssynchronisatie. Het is een krachtig hulpmiddel dat handige is voor het aanmaken van specifieke identiteitssynchronisatie in een organisatie.
AAD Premium P2 omvat alle producten op AAD Premium P1, voegt echter een paar extra producten toe voor verbeterde identiteitsbeveiliging.
Azure Active Directory Identity Protection
Azure Active Directory Identity Protection kan een gebruikersaanmeldingsverzoek analyseren tegen risicofactoren zoals bekende gelekte referenties, atypische reizen, malware-gekoppelde IP-adressen en onbekende aanmeldingseigenschappen. Deze aanvullende intelligentie is nuttig voor organisaties die op zoek zijn naar geautomatiseerde reacties op vermoedelijk gecompromitteerde gebruikersaccounts zonder te vertrouwen op gebruikers die vreemd gedrag melden of beheerders die achteraf logs controleren.
Toegangsbeoordelingen
Toegangsbeoordelingen maken beter beheer van groepslidmaatschappen en toegang tot bedrijfstoepassingen mogelijk door regelmatige toegangsbeoordelingen toe te wijzen aan specifieke beoordelaars om te bevestigen of de verstrekte toegang nog steeds vereist is. Dit is bijzonder nuttig voor beveiligingsgroepen met hoge privileges of toepassingen die gevoelige gegevens verwerken. Het is vaak een regelgevende en/of auditvereiste om effectieve toegangsbeheerprocessen te demonstreren.
Beheer van bevoorrechte identiteiten
Privileged Identity Management (PIM) is een andere functie van AAD Premium P2 die adminstrators in staat stelt om toegang op het moment zelf te krijgen tot bevoorrechte Azure AD-rollen zoals Global Administrator. Het ondersteunt ook Azure-rollen zoals Eigenaar en Bijdrager.
Met deze tool kunnen beheerders hun accounts alleen verhogen naar de vereiste rol wanneer dat nodig is, in plaats van dat de machtigingen permanent zijn toegewezen. Dit helpt bij het tegengaan van compromissen met hoogbevoorrechte accounts die vaak het doelwit zijn van aanvallers.
Het licentiëren van Azure AD Premium P1 en Premium P2 kan verwarrend zijn omdat deze aanbiedingen standalone kunnen worden aangeschaft, maar ze worden ook gebundeld met andere Microsoft 365- en Enterprise Mobility Suite (EMS)-pakketten.
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Als uw organisatie Microsoft 365 licentieert, dan bevatten Microsoft 365 E3-licenties Azure Active Directory Premium P1. Microsoft 365 E5-licenties bevatten ook Azure Active Directory Premium P2.
Als u niet noodzakelijk de volledige Microsoft 365 E5-licentie nodig heeft, kunt u een EMS E5-licentie aan Microsoft 365 E3 vastmaken om toegang te krijgen tot de Azure Active Directory Premium P2-functies.
Het plan dat het correct is voor uw organisatie, moet worden bepaald door de vereisten voor identiteit en toegangbeheer. Azure AD Premium P2-licenties zijn nuttig voor organisaties die verwachten een hoog niveau van governance van identiteiten te moeten tonen. Dit impliceert het beheren van gePrivileged toegang en het automatiseren van toegangsexamens en reacties op mogelijk gecompromitteerde accounts.
Als uw organisatie deze vereisten niet heeft, is een Azure AD Premium P1-licentie waarschijnlijk voldoende.
Wat kunt u doen met de gratis Azure AD-tier?
De kernauthenticatiescapabilitaten die worden verwacht van een in de cloud gehoste identiteit en toegangbeheerplatform zijn beschikbaar in de gratis Azure AD-tier. Hier zijn de belangrijkste functies die u met deze gratis tier kunt gebruiken:
- Cloudauthenticatie (zowel doorstroomauthenticatie als wachtwoordhashsynchronisatie)
- Gebiedelijke authenticatie met on-premises Active Directory Federation Services (ADFS).
- Basisbeveiliging en -beheer van gebruikers en groepen.
- Ondersteuning voor Single sign-on (SSO) naar een onbegrensd aantal apps en Multi-factor authentication (MFA) voor gebruikers
- Ondersteuning voor Directory sync in hybride omgevingen vanuit on-premises Windows Server Active Directory via Azure AD Connect-software. Welke de Azure AD gratis laag echter alleen Self-service password change biedt voor cloudgebruikers (niet voor on-premisesgebruikers).
- Passwordless authentication (met Windows Hello for Business, Microsoft Authenticator of FIDO2-sleutelintegraties) wordt ook ondersteund in de gratis laag, als organisaties een overgang willen beginnen.
Ten slotte moet u erop letten dat geen SLA wordt aangeboden voor de gratis laag van Azure Active Directory.
Conclusie
In totaal biedt Azure AD Premium-licentie een goed hulpmiddel aan beveiligingsbeheerders om identiteit en toegang binnen de organisatie veilig te beheren. Voor diegenen die Microsoft 365 en Azure AD gebruiken voor single sign-on, is het het optimale hulpmiddel aangezien alle Azure AD-producten goed zijn geïntegreerd met de rest van de Microsoft cloud stack.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/