Neste artigo, estaremos comparando os planos Premium P1 e P2 do Azure Directory da Microsoft para ajudá-lo a escolher o melhor conjunto de produtos de identidade para a sua organização. Vamos ajudá-lo a entender as diferentes funcionalidades entre os planos Premium P1 e P2 do Azure Active Directory (recentemente renomeado Microsoft Entra ID), bem como os níveis de preços para cada oferta.
Parte do novo conjunto de identidade e acesso da Microsoft, Microsoft Entra, o Azure Active Directory (Azure AD) é a plataforma de gerenciamento de identidade e acesso (IAM) que sustenta todos os serviços do Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365 e assim por diante). Para um profissional de TI, usar um provedor de identidade centralizado como o Azure Active Directory para todas as aplicações de uma organização torna possível proteger todas as identidades que precisam ser gerenciadas em um só lugar.
O Azure Active Directory também permite a extensão dos servidores tradicionais do Active Directory do Windows Server local (WAD) usando Azure AD Connect. Isso permite que as organizações habilitem o logon único em aplicativos de nuvem da Microsoft, bem como em outros aplicativos SaaS de fornecedores que suportam protocolos modernos de autenticação em nuvem, como OATH 2.0 e SAML. Com o Azure Active Directory.
Toda organização que tenha pelo menos um usuário licenciado do Microsoft 365 (com uma assinatura E1, E3, E5, F1 e F3) ou que use serviços de nuvem da Microsoft, como Azure ou Intune, também possui um locatário do Azure Active Directory. No entanto, existem diferentes edições de licenças do Azure AD que fornecem à organização diferentes capacidades: Azure AD Free/Office 365, Premium P1 e Premium P2.
Azure AD Free e Azure AD Office 365 são ambos referidos como “Azure AD Free” neste artigo. No entanto, o Azure Active Directory Premium P1 e o Azure Active Directory Premium P2 são serviços licenciados que atendem aos requisitos de proteção de identidade da maioria das organizações empresariais. A edição do Azure AD adequada para a sua organização dependerá desses requisitos.
A tabela abaixo fornece uma visão geral dos recursos disponíveis nas diferentes edições do Azure Active Directory:
O Azure Active Directory Premium P1 baseia-se nos recursos básicos de gerenciamento de usuários e grupos da edição gratuita do Azure AD. Além disso, a Microsoft garante pelo menos 99,9% de disponibilidade do serviço do Azure Active Directory, um SLA que não está disponível na edição gratuita do Azure AD.
Gerenciamento avançado de grupos e proteção de senhas
Com o AAD Premium P1, você obtém gerenciamento avançado de grupos (grupos dinâmicos, políticas de nomeação, expiração, classificação padrão), bem como atribuições de grupo para aplicativos.
O Azure Active Directory Premium P1 também possibilita o uso de proteção de senha global, impedindo que usuários de AD na nuvem e local definam senhas fracas que contenham palavras usadas em ataques de pulverização de senha regulares.
Listas de senhas proibidas também podem ser geradas para cada organização com palavras específicas para elas. O Azure AD Premium P1 também permite que usuários em nuvem e locais usem o recurso de redefinição de senha de autoatendimento para alterar e desbloquear suas contas com retorno de gravação local no Active Directory do Windows.
Acesso Condicional ao Azure Active Directory
O Acesso Condicional ao Azure Active Directory também está incluído, permitindo que uma organização governe o acesso às suas aplicativos em nuvem com base na condição da tentativa de autenticação. As condições usadas para avaliar o acesso incluem a associação do usuário ou grupo, informações de localização IP, o dispositivo de conexão (Windows, iOS ou Android) e a aplicação.
A configuração de políticas de acesso condicional com base nessas condições permite que sua organização bloqueie o acesso ou conceda acesso com controles como MFA. O acesso condicional do AAD é uma ferramenta poderosa no arsenal do administrador de segurança para proteger identidades de usuários.
Defender da Microsoft para Aplicações em Nuvem
Também incluso com o Azure AD Premium P1 está o Defender da Microsoft para Aplicações em Nuvem (antigamente chamado de Segurança das Aplicações em Nuvem da Microsoft). Na maioria das organizações, as aplicações em nuvem estão expandindo-se e manter o controle delas é chave para a gestão de segurança da organização.
O Defender da Microsoft para Aplicações em Nuvem é um broker de acesso à nuvem de segurança (CASB) que permite à sua organização detectar o IT fantasma, proteger informações sensíveis em aplicações em nuvem, bem como monitorizar atividades de usuários para comportamentos anômalos. Este produto é ótimo para organizações que procuram apertar o controle sobre as aplicações em nuvem em uso e funciona de duas maneiras diferentes.
Primeiro, os logs de tráfego de nuvem podem ser enviados dos dispositivos de firewall e proxy da web para o Defender da Microsoft para Aplicações em Nuvem para analisar o tráfego depois do fato. Este modo passivo também é chamado de “descoberta em nuvem” e permite que uma organização revise o uso de aplicações em nuvem. Além disso, o Defender da Microsoft para Aplicações em Nuvem também pode ser usado para permitir e bloquear tráfego ativamente para parar brechas e vazamentos em tempo real, operando no modo proxy.
O Microsoft Defender for Cloud Apps integra-se com o Azure AD Conditional Access usando Controle de Aplicativo de Acesso Condicional. Essa funcionalidade permite monitorar e controlar o acesso de aplicativos em tempo real usando políticas de sessão e uma arquitetura de proxy reverso. Essas políticas de sessão possibilitam controle granular sobre o que os usuários podem fazer, caso satisfaçam a solicitação de autenticação. Os controles incluem bloquear downloads, assim como copiar ou imprimir documentos sensíveis em dispositivos não compatíveis.
Azure AD Application Proxy
O produto Proxy de Aplicação incluído no Azure AD Premium P1 permite que aplicações web em nuvem sejam acessadas remotamente por usuários. O proxy funciona passando o token de login do Azure AD dos usuários através de aplicações web em nuvem que usam Autenticação Integrada do Windows. Acesso do usuário à aplicação web é então encaminhado pelo serviço de Proxy de Aplicação, eliminando a necessidade de publicar a aplicação na Internet.
Gerenciador de Identidade da Microsoft
As licenças do Azure AD Premium P1 também permitem o uso do Gerenciador de Identidade da Microsoft (MIM). Este é um tool usado por organizações que têm necessidades avançadas de sincronização de identidade. Esse é um tool muito poderoso que deve ser usado se for necessária sincronização de identidade personalizada em uma organização.
AAD Premium P2 inclui todos os produtos do AAD Premium P1, no entanto, adiciona alguns produtos adicionais para segurança aprimorada de identidade.
Proteção de Identidade do Azure Active Directory
Proteção de Identidade do Azure Active Directory pode analisar a solicitação de logon de um usuário em relação a fatores de risco, como credenciais vazadas conhecidas, viagens atípicas, endereços IP vinculados a malware e propriedades de logon desconhecidas. Esta inteligência adicional é útil para organizações que buscam automatizar respostas a contas de usuário comprometidas suspeitas sem depender de relatos de comportamento estranho por parte dos usuários ou da revisão de logs pelos administradores após o fato.
Revisões de Acesso
Revisões de Acesso permitem melhor gerenciamento de associações a grupos e acesso a aplicativos corporativos, delegando revisões regulares de acesso a revisores específicos para confirmar se o acesso fornecido ainda é necessário. Isso é particularmente útil para grupos de segurança de alto privilégio ou aplicativos que processam dados sensíveis. Muitas vezes, é um requisito regulatório e/ou de auditoria demonstrar processos eficazes de gerenciamento de acesso.
Gerenciamento de Identidade Privilegiada
O Gerenciamento de Identidade Privilegiada (PIM) é mais um recurso do AAD Premium P2 que permite acesso sob demanda para administradores a funções privilegiadas do Azure AD, como Administrador Global. Ele também suporta funções do Azure, como Proprietário e Colaborador.
Esta ferramenta permite que os administradores elevem suas contas para a função necessária apenas quando precisarem, em vez de terem as permissões atribuídas permanentemente. Isso ajuda a mitigar comprometimentos de contas altamente privilegiadas, que frequentemente são alvo de ataques.
A licença do Azure AD Premium P1 e Premium P2 pode ser confusa, pois essas ofertas podem ser adquiridas separadamente, mas também são incluídas em pacotes do Microsoft 365 e Enterprise Mobility Suite (EMS).
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Se a sua organização licencia o Microsoft 365, então as licenças do Microsoft 365 E3 incluem o Azure Active Directory Premium P1. As licenças do Microsoft 365 E5 também incluem o Azure Active Directory Premium P2.
Se você não precisa avançar para a licença completa do Microsoft 365 E5, então uma licença EMS E5 pode ser adicionada ao Microsoft 365 E3 para acessar os recursos do Azure Active Directory Premium P2.
O plano ideal para a sua organização deve ser determinado pelos requisitos de gerenciamento de identidade e acesso. As licenças do Azure AD Premium P2 são benéficas para organizações que precisam demonstrar um alto nível de governança de identidades. Isso implica gerenciar acesso privilegiado e automatizar revisões de acesso e respostas a contas potencialmente comprometidas.
Se a sua organização não tem esses requisitos, então uma licença do Azure AD Premium P1 provavelmente será suficiente.
O que você pode fazer com o nível gratuito do Azure AD?
As capacidades de autenticação principais esperadas de uma plataforma de gerenciamento de identidade e acesso baseada em nuvem estão disponíveis no nível gratuito do Azure AD. Aqui estão os principais recursos que você pode usar com este nível gratuito:
- Autenticação em nuvem (tanto autenticação de passagem quanto sincronização de hash de senha)
- Autenticação federada com Active Directory Federation Services (ADFS) no local.
- Segurança básica e gerenciamento de usuários e grupos.
- Suporte para logon único (SSO) a um número ilimitado de aplicativos e autenticação multifator (MFA) para usuários
- Suporte para sincronização de diretório em ambientes híbridos do Active Directory do Windows Server local via software Azure AD Connect. No entanto, a camada gratuita do Azure AD oferece apenas alteração de senha de autoatendimento para usuários em nuvem (não para usuários no local).
- A autenticação sem senha (usando Windows Hello for Business, Microsoft Authenticator ou integrações de chave de segurança FIDO2) também é suportada na camada gratuita, caso as organizações queiram começar a fazer a transição.
Por último, mas não menos importante, é importante lembrar que nenhum SLA é fornecido para a camada gratuita do Azure Active Directory.
Conclusão
Em resumo, a licença do Azure AD Premium fornece um bom conjunto de ferramentas para administradores de segurança gerenciarem com segurança a identidade e o acesso dentro da organização. Para aqueles que usam o Microsoft 365 e o Azure AD para logon único, é a ferramenta ideal, pois todos os produtos Azure AD estão bem integrados com o restante da plataforma de nuvem da Microsoft.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/