В этой статье мы сравним планы Премиум P1 и P2 директории Azure Microsoft (переименовано в Microsoft Entra ID) от Microsoft, чтобы помочь вам выбрать лучший набор продуктов для управления идентификацией в вашей организации. Мы поможем вам понять различия между функциями планов директории Azure Active Directory (Azure AD) Премиум P1 и P2, а также тарифные планы для каждого предложения.
Часть новой маркированной суites идентификации и доступа Microsoft Entra, Azure Active Directory (Azure AD) – это платформа управления идентификацией и доступом (IAM), которая лежит в основе всех служб Microsoft 365 (Exchange Online, SharePoint Online. OneDrive for Business, Microsoft Teams, Dynamics 365 и т.д.). Для ИТ-специалиста использование централизованного поставщика удостоверений, такого как Azure Active Directory, для всех приложений организации делает возможным обеспечение безопасности всех удостоверений, которые необходимо управлять в одном месте.
“Азур Active Directory также позволяет расширять традиционные серверы локальной Windows Server Active Directory (WAD) при помощи Azure AD Connect. Это позволяет организациям включать единый вход в облачные приложения Microsoft, а также в другие облачные приложения SaaS, поддерживающие современные протоколы облачной аутентификации, такие как OATH 2.0 и SAML. С помощью Азур Active Directory.
Каждая организация, имеющая хотя бы одного лицензированного пользователя Microsoft 365 (с подпиской E1, E3, E5, F1 или F3) или использующая облачные услуги Microsoft, такие как Азур или Интун, также имеет арендатора Азур Active Directory. Тем не менее, существуют различные издания лицензий Азур AD, которые предоставляют организации различные возможности: Азур AD Бесплатная/Office 365, Премиум P1 и Премиум P2.”
Azure AD Free и Azure AD Office 365 оба называются “Azure AD Free” в этой статье. Однако Azure Active Directory Premium P1 и Azure Active Directory Premium P2 – это лицензионные службы, которые соответствуют требованиям по защите идентичности большинства предприятий. Выбор версии Azure AD, подходящей для вашей организации, будет зависеть от этих требований.
Ниже приведена обзорная таблица особенностей, доступных в различных версиях Azure Active Directory:
Azure Active Directory Premium P1 расширяет базовые функции управления пользователями и группами версии Azure AD Free. Более того, Microsoft гарантирует доступность службы Azure Active Directory не менее 99,9%, что недоступно в бесплатной версии Azure AD.
Расширенное управление группами и защита паролей
С AAD Premium P1 вы получаете расширенное управление группами (динамические группы, правила именования, сроки действия, классификация по умолчанию), а также назначения групп для приложений.
Премиум-подписка Azure Active Directory P1 также позволяет использовать глобальную защиту пароля, предотвращая установку слабых паролей пользователями облачных и локальных служб AD, содержащих слова, используемые в обычных атаках методом “попробуй все пароли”.
Списки запрещённых паролей также могут быть сгенерированы для каждой организации с использованием специфичных для неё слов. Azure AD Premium P1 позволяет пользователям как в облаке, так и на премисных ресурсах использовать функцию самообслуживания для смены и разблокировки учетных записей с возможностью записи назад в локальный Active Directory Windows.
Условный доступ Azure Active Directory
Условный доступ Azure Active Directory также включен, позволяя организации управлять доступом к их облачным приложениям на основе условий аутентификации. Для оценки доступа используются условия, такие как членство в пользовательской или групповой группе, информация об IP-расположении, подключающее устройство (Windows, iOS или Android) и приложение.
Настройка политик условного доступа на основе этих условий позволяет вашей организации блокировать доступ или предоставлять доступ с ограничениями, такими как многофакторная аутентификация. Условный доступ AAD является мощным инструментом в арсенале системного администратора безопасности для обеспечения безопасности пользовательских идентификаторов.
Microsoft Defender для облачных приложений
Также включен в Azure AD Premium P1 Microsoft Defender для облачных приложений (ранее известный как Microsoft Cloud App Security). В большинстве организаций облачные приложения разрастаются, и поддержание контроля над ними является ключом к управлению безопасностью организации.
Microsoft Defender для облачных приложений – это брокер безопасности доступа к облаку (CASB), который позволяет вашей организации обнаруживать теневые ИТ, защищать конфиденциальную информацию в облачных приложениях, а также отслеживать действия пользователей для обнаружения аномального поведения. Этот продукт отлично подходит для организаций, стремящихся ужесточить контроль за используемыми облачными приложениями, и работает по двум различным направлениям.
Во-первых, журналы облачного трафика могут быть отправлены с устройств брандмауэра и веб-прокси в Microsoft Defender для облачных приложений для анализа трафика после факта. Этот пассивный режим также называется “обнаружение облаков” и позволяет организации рассмотреть использование облачных приложений. Кроме того, Microsoft Defender для облачных приложений также может использоваться для активного разрешения и блокирования трафика для предотвращения нарушений и утечек в реальном времени, работая в режиме прокси.
Контроль доступа Conditional Access интегрируется в Microsoft Defender for Cloud Apps с помощью Контроля приложений Conditional Access. Эта функция позволяет наблюдать и управлять доступом к приложениям на реальном времени с помощью политик сеанса и архитектуры обратного прокси-сервера. Эти политики сеанса позволяют управлять гранулярно тем, что пользователи могут делать, если они удовлетворяют запросу проверки подлинности. Контроли включают блокировку загрузок, а также копирование или печать чувствительных документов на несоответствующих устройствах.
Прокси-сервер приложений Azure AD
Продукт Application Proxy, включенный в Azure AD Premium P1, позволяет пользователям удаленно получать доступ к веб-приложениям, размещенным на собственном сервере. Прокси-сервис передает маркер аутентификации Azure AD пользователя через веб-приложения, использующие Integrated Windows Authentication. Затем доступ пользователя к веб-приложению осуществляется через службу Application Proxy, что позволяет избежать необходимости публикации приложения в Интернете.
Microsoft Identity Manager
Лицензии Azure AD Premium P1 также позволяют использовать Microsoft Identity Manager (MIM). Это инструмент, который используется организациями с расширенными потребностями в синхронизации идентификации. Этот мощный инструмент может быть необходим при необходимости настройки синхронизации идентификации в организации.
AAD Premium P2 включает все продукты AAD Premium P1, однако добавляет несколько дополнительных продуктов для улучшенной безопасности идентификации.
Защита идентификации Azure Active Directory
Защита идентификации Azure Active Directory может анализировать запрос пользователя на вход с учетом рисков, таких как известные скомпрометированные учетные данные, атипичные поездки, IP-адреса, связанные с вредоносным ПО, и незнакомые свойства входа. Эта дополнительная информация полезна для организаций, которые хотят автоматизировать ответы на подозрительные скомпрометированные учетные записи пользователей, не полагаясь на пользователей, сообщающих о странном поведении, или администраторов, проверяющих журналы после того, как произошло событие.
Проверки доступа
Проверки доступа позволяют более эффективно управлять членством в группах и доступом к корпоративным приложениям, делегируя регулярные проверки доступа определенным рецензентам для подтверждения того, что предоставленный доступ все еще необходим. Это особенно полезно для групп с высокими привилегиями или приложений, обрабатывающих конфиденциальные данные. Часто это требование регуляторов и/или аудита, чтобы продемонстрировать эффективные процессы управления доступом.
Управление привилегированными идентификациями
Управление привилегированными учетными записями (PIM) – это еще одна функция AAD Premium P2, которая обеспечивает доступ к привилегированным ролям Azure AD для администраторов, таким как Глобальный администратор. Он также поддерживает роли Azure, такие как Владелец и Участник.
Этот инструмент позволяет администраторам повышать свои учетные записи до требуемой роли только в тех случаях, когда это необходимо, а не назначать разрешения постоянно. Это помогает снизить риск компрометации учетных записей с высокими привилегиями, которые часто являются целью атакующих.
Лицензирование Azure AD Premium P1 и Premium P2 может быть запутанным, так как эти предложения могут быть приобретены отдельно, но они также включены в пакеты Microsoft 365 и Enterprise Mobility Suite (EMS).
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
Если ваша организация использует лицензии Microsoft 365, то лицензии Microsoft 365 E3 включают Azure Active Directory Premium P1. Лицензии Microsoft 365 E5 также включают Azure Active Directory Premium P2.
Если вам не нужно перейти на полную лицензию Microsoft 365 E5, то лицензию EMS E5 можно добавить к Microsoft 365 E3 для доступа к функциям Azure Active Directory Premium P2.
План, который подходит вашей организации, должен определяться требованиями к управлению идентификацией и доступом. Лицензии Azure AD Premium P2 полезны для организаций, которые должны продемонстрировать высокий уровень управления идентичностями. Это включает управление привилегированным доступом и автоматизацию проверки доступа и реагирования на возможно скомпрометированные аккаунты.
Если у вашей организации нет таких требований, то вероятно, лицензия Azure AD Premium P1 будет достаточной.
Что вы можете делать с бесплатным уровнем Azure AD?
Основные возможности аутентификации, ожидаемые от облачной платформы управления идентичностями и доступом, доступны в бесплатном уровне Azure AD. Вот основные функции, которыми вы можете пользоваться с этим бесплатным уровнем:
- Облачная аутентификация (как прохождение аутентификации, так и синхронизация хэшей паролей)
- Федеративная аутентификация с локальной службой управления учетными записями Active Directory Federation Services (ADFS).
- Основная безопасность и управление пользователями и группами.
- Поддержка единого входа (SSO) для неограниченного числа приложений и многократная аутентификация (MFA) для пользователей.
- Поддержка синхронизации каталога в гибридных средах с использованием локальной службы учетных записей Windows Server Active Directory через программное обеспечение Azure AD Connect. Однако бесплатный уровень Azure AD предлагает только самообслуживание изменения пароля для облачных пользователей (не для локальных пользователей).
- Также в бесплатном уровне поддерживается аутентификация без пароля (с использованием Windows Hello для бизнеса, Microsoft Authenticator или интеграций с ключами безопасности FIDO2), если организации захотят начать переход.
Наконец, стоит иметь в виду, что для бесплатного уровня Azure Active Directory не предоставляется SLA.
Заключение
В заключение, лицензирование Azure AD Premium предоставляет набор удобных инструментов для администраторов безопасности для безопасного управления идентификацией и доступом в организации. Для тех, кто использует Microsoft 365 и Azure AD для единого входа, это оптимальный инструмент, так как все продукты Azure AD хорошо интегрированы с остальным облачным стеком Microsoft.
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/