在本文中,我們將比較微軟的Azure Directory Premium P1和P2計劃,以幫助您選擇最適合您組織的身份產品套件。我們將幫助您了解Azure Active Directory(最近更名為Microsoft Entra ID)Premium P1和P2計劃之間的不同功能,以及每個產品的定價層級。
作為微軟新品牌的身份和訪問套件的一部分,Microsoft Entra,Azure Active Directory(Azure AD)是支撐所有Microsoft 365服務(Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams、Dynamics 365等)的身份和訪問管理(IAM)平台。對於IT專業人士來說,使用集中的身份提供者,如Azure Active Directory,為組織的所有應用程序使得可以在一個地方安全地管理所有需要管理的身份。
Azure Active Directory 也允許使用 Azure AD Connect 擴展傳統的本地 Windows Server Active Directory (WAD) 伺服器。這使組織能夠啟用對 Microsoft 雲應用程式的單一登入,以及支援現代雲身份驗證協議(如 OATH 2.0 和 SAML)的其他供應商 SaaS 應用程式。有了 Azure Active Directory。
每個至少有一個授權的 Microsoft 365 使用者(具有 E1、E3、E5、F1 和 F3 訂閱)或使用 Microsoft 雲服務(如 Azure 或 Intune)的組織也擁有 Azure Active Directory 租戶。然而,Azure AD 授權有不同版本,為組織提供不同的功能:Azure AD Free/Office 365、Premium P1 和 Premium P2。
Azure AD Free 和 Azure AD Office 365 在本文中都被称为“Azure AD Free”。Azure Active Directory Premium P1 和 Azure Active Directory Premium P2,然而,是符合大多数企业组织身份保护要求的许可服务。适合您组织的 Azure AD 版本将取决于这些要求。
下表概述了 Azure Active Directory 不同版本提供的功能:
Azure Active Directory Premium P1 在 Azure AD Free 版本的基本用户和组管理功能基础上进行了扩展。此外,微软保证 Azure Active Directory 服务至少可用性达到 99.9%,这是免费版 Azure AD 不提供的 SLA。
高级组管理和密码保护
使用AAD Premium P1,您可以获得高级群组管理(动态群组、命名策略、到期、默认分类),以及应用程序的群组分配。
Azure Active Directory Premium P1还支持全局密码保护,防止云端和本地AD用户设置包含常用密码喷洒攻击中使用的单词的弱密码。
禁用密碼列表也可以為每個組織生成特定於他們的詞語。Azure AD Premium P1還允許雲端和本地用戶使用自助密碼重置功能來更改和解鎖其帳戶,並在Windows Active Directory上進行本地寫回。
Azure Active Directory條件式訪問
Azure Active Directory條件式訪問也包括在內,允許組織根據身份驗證嘗試的條件來管理對其雲應用程序的訪問。用於評估訪問權限的條件包括用戶或組成員資格、IP位置信息、連接設備(Windows、iOS或Android)和應用程序。
根據這些條件配置條件式訪問策略,使您的組織能夠阻止訪問或通過諸如MFA之類的控制授予訪問權限。AAD條件式訪問是安全管理員保護用戶身份的強大工具。
Microsoft Defender for Cloud Apps
包含在Azure AD Premium P1中的還有Microsoft Defender for Cloud Apps(原名Microsoft Cloud App Security)。在大多數組織中,雲應用程式的使用範圍很廣,保持對其的控制對組織的安全管理至關重要。
Microsoft Defender for Cloud Apps是一個雲訪問安全代理(CASB),允許您的組織檢測影子IT,保護跨雲應用程式的敏感信息,並監控用戶的異常活動。這款產品非常適合希望加強對使用中的雲應用程式控制的組織,並且以兩種不同的方式運作。
首先,可以將來自防火牆和網絡代理設備的雲流量日誌發送到Microsoft Defender for Cloud Apps以分析事後流量。這種被動模式也被稱為“雲發現”,它使組織能夠審查雲應用程式的使用情況。此外,Microsoft Defender for Cloud Apps還可以用於主動允許和阻止流量,以實時操作代理模式來阻止違規和泄漏。
Microsoft Defender for Cloud Apps 通過使用 條件式存取應用程式控制 與 Azure AD 條件式存取進行整合。此功能可使用會話原則和反向代理架構實時監控和控制應用程式存取。這些會話原則可對用戶的操作進行細粒度控制,只要他們滿足驗證請求。控制功能包括阻止下載,以及在不符合標準的設備上複製或列印敏感文件。
Azure AD 應用程式代理
應用程式代理 產品包含在 Azure AD Premium P1 中,允許用戶遠程訪問本地網絡應用程式。代理通過將用戶的 Azure AD 登錄令牌通過使用 集成式 Windows 身份驗證 的本地網絡應用程式來工作。用戶對網絡應用程式的訪問然後通過應用程式代理服務進行代理,無需將應用程式發布到互聯網上。
Microsoft 身份管理員
Azure AD Premium P1 授權還允許使用 Microsoft 身份管理員(MIM)。這是一個由具有高級身份同步需求的組織使用的工具。這個功能非常強大,如果組織需要定製的身份同步,這個工具就非常實用。
AAD Premium P2 包含 AAD Premium P1 上的所有產品,但是還添加了一些額外的產品,以增強身份安全性。
Azure Active Directory Identity Protection
Azure Active Directory Identity Protection 可以分析使用者的登入請求,對風險因素進行評估,如已知的洩露憑證、非典型的旅行、與惡意軟體相關的 IP 位址以及不熟悉的登入屬性。這種額外的智能對於希望自動化回應對懷疑被入侵的使用者帳戶的組織非常有用,而無需依賴使用者報告異常行為或管理員事後審查日誌。
存取審查
存取審查 通過將定期存取審查委派給特定審查者,以確認所提供的存取權是否仍然需要,從而更好地管理群組成員資格和對企業應用程式的存取。這對於處理敏感資料的高特權安全群組或應用程式特別有用。展示有效的存取管理流程通常是法規和/或審計要求。
特權身份管理
特權身份管理(PIM)是另一個 AAD Premium P2 功能,可讓管理員僅在需要時訪問特權 Azure AD 角色,如全域管理員。它還支持 Azure 角色,如擁有者和貢獻者。
此工具允許管理員僅在需要時將其帳戶提升到所需角色,而不是永久分配權限。這有助於減輕經常成為攻擊者目標的高特權帳戶妥協問題。
購買 Azure AD Premium P1 和 Premium P2 的許可可能會讓人感到困惑,因為這些產品可以獨立購買,但它們也與其他 Microsoft 365 和企業移動性套件(EMS)捆綁在一起。
A standalone Azure Premium P1 license costs $6 per user / per month, whereas Azure Premium P2 license cost $9 per user / per month. All member user accounts in the Azure AD tenant must be licensed.
如果您的組織購買了 Microsoft 365,那麼 Microsoft 365 E3 許可包括 Azure Active Directory Premium P1。Microsoft 365 E5 許可還包括 Azure Active Directory Premium P2。
如果您不需要升级到完整的Microsoft 365 E5许可证,那么可以将EMS E5许可证附加到Microsoft 365 E3上,以访问Azure Active Directory Premium P2功能。
适合您组织的计划应由身份和访问管理要求驱动。Azure AD Premium P2许可证对于需要展示高级别身份治理的组织是有益的。这意味着管理特权访问和自动化访问审查以及对潜在受损帐户的响应。
如果您的组织没有这些要求,那么Azure AD Premium P1许可证可能就足够了。
您可以使用Azure AD免费层做什么?
云身份和访问管理平台所期望的核心身份验证功能在Azure AD免费层中可用。以下是您可以使用此免费层的主要功能:
- 云身份验证(包括透传身份验证和密码哈希同步)
- 使用本地 Active Directory 聯合身份驗證服務(ADFS)進行聯合身份驗證。
- 基本的用戶和群組安全性和管理。
- 支持無限數量應用程式的單一登錄(SSO)和用戶的多因素身份驗證(MFA)。
- 支持從本地 Windows Server Active Directory 通過 Azure AD Connect 軟件在混合環境中進行目錄同步。但是,Azure AD 免費版僅為雲用戶提供自助更改密碼功能(而非本地用戶)。
- 無密碼身份驗證(使用 Windows Hello for Business、Microsoft Authenticator 或 FIDO2 安全密鑰集成)也受到免費版的支持,如果組織希望開始過渡的話。
最後,您應該牢記,Azure Active Directory 的免費版不提供服務等級協議(SLA)。
結論
總之,Azure AD Premium 授權為安全管理員提供了一套良好的工具,用於在組織內安全地管理身份和訪問權限。對於那些使用 Microsoft 365 和 Azure AD 進行單一登錄的用戶來說,這是最佳工具,因為所有 Azure AD 產品都與 Microsoft 雲堆棧的其他部分良好集成。
Source:
https://petri.com/azure-active-directory-premium-p1-vs-p2/