Neste artigo, estaremos comparando os planos Premium P1 e P2 do Azure Directory da Microsoft para ajudá-lo a escolher o melhor conjunto de produtos de identidade para a sua organização. Vamos ajudá-lo a entender as diferentes características entre os planos Premium P1 e P2 do Azure Active Directory (recentemente renomeado Microsoft Entra ID), bem como os níveis de preços para cada oferta.
Parte do recém-nomeado conjunto de identidade e acesso da Microsoft, Microsoft Entra, o Azure Active Directory (Azure AD) é a plataforma de gerenciamento de identidade e acesso (IAM) que sustenta todos os serviços do Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365, etc.). Para um profissional de TI, usar um provedor de identidade centralizado como o Azure Active Directory para todas as aplicações de uma organização torna possível proteger todas as identidades que precisam ser gerenciadas em um só lugar.
O Azure Active Directory também permite a extensão dos servidores tradicionais do Active Directory do Windows Server local (WAD) usando o Azure AD Connect. Isso permite que as organizações ativem o logon único para aplicativos em nuvem da Microsoft, bem como para outros aplicativos SaaS de fornecedores que suportam protocolos modernos de autenticação em nuvem, como OATH 2.0 e SAML. Com o Azure Active Directory.
Toda organização que possui pelo menos um usuário licenciado do Microsoft 365 (com uma assinatura E1, E3, E5, F1 e F3) ou usa serviços em nuvem da Microsoft, como Azure ou Intune, também possui um locatário do Azure Active Directory. No entanto, existem diferentes edições de licenças do Azure AD que oferecem à organização diferentes capacidades: Azure AD Free/Office 365, Premium P1 e Premium P2.
Azure AD Free e Azure AD Office 365 são ambos referidos como “Azure AD Free” neste artigo. No entanto, Azure Active Directory Premium P1 e Azure Active Directory Premium P2 são serviços com licença que atendem aos requisitos de proteção de identidade de organizações empresariais em sua maioria. A edição do Azure AD que é apropriada para sua organização depende desses requisitos.
A tabela abaixo fornece uma visão geral das funcionalidades disponíveis em diferentes edições do Azure Active Directory:
O Azure Active Directory Premium P1 é baseado nas funcionalidades básicas de gerenciamento de usuários e grupos do Azure AD Free edition. Além disso, a Microsoft garante ao menos 99,9% de disponibilidade do serviço Azure Active Directory, um SLA que não está disponível com a edição gratuita do Azure AD.
Gerenciamento de grupos avançado e proteção de senhas
Com o AAD Premium P1, você obtém gerenciamento avançado de grupos (grupos dinâmicos, políticas de nomeação, expiração, classificação padrão), bem como atribuições de grupo para aplicativos.
O Azure Active Directory Premium P1 também permite o uso de proteção avançada de senha, evitando que usuários de AD em nuvem e local definam senhas fracas que contenham palavras usadas em ataques regulares de pulverização de senha.
Listas de palavras-passe banidas também podem ser geradas para cada organização com palavras específicas delas. O Azure AD Premium P1 também permite que usuários em nuvem e local usem a funcionalidade de redefinição de senha autosservida para alterar e desbloquear suas contas com gravação de volta no Active Directory Windows local.
Acesso Condicional ao Azure Active Directory
Acesso Condicional ao Azure Active Directory também está incluído, permitindo que uma organização governar o acesso a seus aplicativos em nuvem com base na condição da tentativa de autenticação. As condições usadas para avaliar o acesso incluem membros de usuário ou grupo, informações de localização de IP, o dispositivo conectado (Windows, iOS ou Android) e o aplicativo.
Configurar políticas de acesso condicional com base nestas condições permite que sua organização bloqueie o acesso ou conceda acesso com controles como MFA. O Acesso Condicional do AAD é uma ferramenta poderosa no arsenal do administrador de segurança para proteger as identidades dos usuários.
Microsoft Defender para Aplicativos na Nuvem
Também incluído no Azure AD Premium P1 está o Microsoft Defender para Aplicativos na Nuvem (anteriormente conhecido como Microsoft Cloud App Security). Na maioria das organizações, os aplicativos na nuvem estão se expandindo e manter o controle sobre eles é fundamental para a gestão de segurança de uma organização.
O Microsoft Defender para Aplicativos na Nuvem é um corretor de segurança de acesso à nuvem (CASB) que permite que sua organização detecte TI invisível, proteja informações confidenciais em aplicativos na nuvem, além de monitorar as atividades do usuário em busca de comportamentos anômalos. Este produto é ótimo para organizações que desejam reforçar o controle sobre os aplicativos na nuvem em uso, e funciona de duas maneiras diferentes.
Em primeiro lugar, os registros de tráfego na nuvem podem ser enviados de dispositivos de firewall e proxy da web para o Microsoft Defender para Aplicativos na Nuvem para analisar o tráfego após o fato. Este modo passivo também é conhecido como “descoberta de nuvem” e permite que uma organização revise o uso de aplicativos na nuvem. Além disso, o Microsoft Defender para Aplicativos na Nuvem também pode ser usado para permitir e bloquear ativamente o tráfego a fim de evitar violações e vazamentos em tempo real, operando no modo de proxy.
O Microsoft Defender para Aplicativos na Nuvem se integra ao Azure AD Conditional Access usando Controle de Aplicativo de Acesso Condicional. Esse recurso permite monitorar e controlar o acesso a aplicativos em tempo real usando políticas de sessão e uma arquitetura de proxy reverso. Essas políticas de sessão permitem controle granular sobre o que os usuários podem fazer, caso satisfaçam a solicitação de autenticação. Os controles incluem bloquear downloads, assim como copiar ou imprimir documentos confidenciais em dispositivos não conformes.
Azure AD Application Proxy
O produto Application Proxy incluído no Azure AD Premium P1 permite que aplicativos web locais sejam acessados remotamente pelos usuários. O proxy funciona passando o token de login do Azure AD dos usuários através de aplicativos web locais que usam Autenticação Integrada do Windows. O acesso do usuário ao aplicativo web é então intermediado pelo serviço de Application Proxy, eliminando a necessidade de publicar o aplicativo na Internet.
Microsoft Identity Manager
As licenças do Azure AD Premium P1 também permitem o uso do Microsoft Identity Manager (MIM). Esta é uma ferramenta usada por organizações que possuem necessidades avançadas de sincronização de identidade. Esta é uma ferramenta realmente poderosa caso a sincronização de identidade personalizada seja necessária em uma organização.
AAD Premium P2 inclui todos os produtos do AAD Premium P1, contudo, adiciona alguns produtos adicionais para melhorar a segurança da identidade.
Proteção de Identidade do Azure Active Directory
Proteção de Identidade do Azure Active Directory pode analisar solicitações de login de usuários em relação a fatores de risco como credenciais divulgadas conhecidas, viagens anormais, endereços IP relacionados a malware e propriedades de login desconhecidas. Esta inteligência adicional é útil para organizações que procuram automatizar as respostas a contas de usuário suspeitas de ter sido comprometidas sem depender dos usuários reportarem comportamento estranho ou administradores revisarem logs após o fato.
Reviews de Acesso
Reviews de Acesso permitem melhor gerenciamento de membros de grupos e acesso a aplicativos empresariais atribuindo revisões de acesso regulares a avaliadores específicos para confirmar se o acesso fornecido ainda é necessário. Isto é particularmente útil para grupos de segurança de privilégios altos ou aplicativos que processam dados sensíveis. Geralmente, é um requisito regulatório e/ou de auditoria demonstrar processos efetivos de gerenciamento de acesso.
Gestão de Identidade de Privilégios
Gestão de Identidade Privilégios (PIM) é outra funcionalidade do AAD Premium P2 que permite ao Administrador acesso just-in-time a funções privilegiadas do Azure AD, como o Administrador Global. Também suporta funções do Azure, como Proprietário e Colaborador.
Este ferramenta permite aos Administradores elevar suas contas à função necessária apenas quando forem precisar, em vez de ter permissões atribuídas permanentemente. Isso ajuda a mitigar as contas de alto privilégio comprometidas, que são frequentemente alvo de ataques.
A licença do Azure AD Premium P1 e Premium P2 pode ser confuso, pois estes fornecimentos podem ser adquiridos individualmente, mas também estão embutidos em outros pacotes Microsoft 365 e Enterprise Mobility Suite (EMS).
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Se a sua organização licenciar o Microsoft 365, então as licenças Microsoft 365 E3 incluem o Azure Active Directory Premium P1. As licenças Microsoft 365 E5 também incluem o Azure Active Directory Premium P2.
Se você não precisa avançar para a licença completa do Microsoft 365 E5, então uma licença EMS E5 pode ser adicionada ao Microsoft 365 E3 para acessar os recursos do Azure Active Directory Premium P2.
O plano certo para a sua organização deve ser determinado pelos requisitos de gerenciamento de identidade e acesso. As licenças do Azure AD Premium P2 são benéficas para organizações que precisam demonstrar um alto nível de governança de identidades. Isso implica gerenciar acesso privilegiado e automatizar revisões de acesso e respostas a contas potencialmente comprometidas.
Se a sua organização não tem esses requisitos, então uma licença do Azure AD Premium P1 provavelmente será suficiente.
O que você pode fazer com o nível gratuito do Azure AD?
As capacidades básicas de autenticação esperadas de uma plataforma de gerenciamento de identidade e acesso baseada em nuvem estão disponíveis no nível gratuito do Azure AD. Aqui estão os principais recursos que você pode usar com este nível gratuito:
- Autenticação em nuvem (tanto autenticação de passagem como sincronização de hash de senha)
- Autenticação federada com Active Directory Federation Services (ADFS) locais.
- Segurança básica e gerenciamento de usuários e grupos.
- Suporte para logon único (SSO) para um número ilimitado de aplicativos e autenticação multifatorial (MFA) para usuários
- Suporte para sincronização de diretórios em ambientes híbridos a partir do Active Directory do Windows Server locais via software Azure AD Connect. No entanto, o nível gratuito do Azure AD oferece apenas alteração de senha de autoatendimento para usuários na nuvem (não para usuários locais).
- A autenticação sem senha (usando Windows Hello for Business, Microsoft Authenticator ou integrações de chave de segurança FIDO2) também é suportada no nível gratuito, caso as organizações queiram começar a fazer a transição.
Por fim, é importante ter em mente que nenhum SLA é fornecido para o nível gratuito do Azure Active Directory.
Conclusão
Em resumo, a licença Premium do Azure AD fornece um bom conjunto de ferramentas para administradores de segurança gerenciarem com segurança a identidade e o acesso dentro da organização. Para aqueles que usam o Microsoft 365 e o Azure AD para logon único, é a ferramenta ideal, pois todos os produtos do Azure AD estão bem integrados com o restante da pilha de nuvem da Microsoft.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/