Microsoft azure hodnotenie a hodnotenie aktívnych adresárov

Spoločnosť Microsoft je už desaťročia lídrom v niekoľkých kľúčových kategóriách IT a jednou z nich, v ktorej má spoločnosť efektívne uviaznuť, sú sieťové adresáre v priestoroch spoločnosti. Windows Server Active Directory (AD) používajú podniky a vlády na celom svete a predstavuje zlatý štandard pre správu podnikových identít (IDM) v podniku. Okrem pokročilých funkcií a úzkej integrácie s najobľúbenejším miestnym adresárom na mieste je cena Microsost Azure AD veľmi konkurencieschopná v priestore Identity Management-as-a-Service (IDaaS) a ponúka bezplatnú úroveň, základnú úroveň za 1 USD na používateľa mesačne a dve prémiové úrovne, ktoré bežia 6 USD a 9 USD mesačne. Zdokonalené funkcie, úzka integrácia s poprednou miestnou platformou IDM a nová a priateľská cena kombinujú všetko, čím sa zvyšuje Azure AD na voľbu editora v priestore IDaaS popri Okta Identity Management.

Nastavenie a pripojenie pomocou On-Prem AD

Zo zrejmých dôvodov je najbežnejším využívaním pre Azure AD spoločnosti, ktoré sa snažia integrovať existujúcu AD doménu v priestoroch s aplikáciami bežiacimi v cloude a dokonca aj používateľmi pripojenými cez internet. Na zabezpečenie vnútorností, ktoré premostia miestne AD s Azure AD, najobľúbenejším riešením spoločnosti Microsoft je Azure AD Connect, synchronizačný nástroj voľne dostupný od spoločnosti Microsoft. Mnoho konkurentov ponúka podobné synchronizačné nástroje na pripojenie svojich produktov IDaaS k doménam AD domén, ale Azure AD Connect je dobrým príkladom, ako to urobiť správne. Najväčší rozdiel medzi Azure AD Connect a ostatnými synchronizačnými nástrojmi je v tom, že Azure AD Connect ponúka bezpečnú synchronizáciu hesiel, ktorá umožňuje, aby sa proces autentifikácie uskutočňoval v rámci Azure AD, a nie aby sa poverenia používateľa overovali oproti firemným AD. Najväčší rozdiel medzi Azure AD Connect a ostatnými synchronizačnými nástrojmi je v tom, že Azure AD Connect štandardne synchronizuje heslá a proces autentifikácie sa deje skôr v Azure AD, než pri overovaní poverení používateľa oproti firemným AD. Mnoho organizácií môže mať problémy so synchronizáciou hashov hesiel do cloudu, čo môže z dôvodu synchronizácie hesla Azure AD Connect spôsobiť potenciálny problém.

Azure AD tiež podporuje používanie služieb ADFS (Active Directory Federation Services). Tradične používaný na poskytovanie funkcií overovania pre externé aplikácie alebo služby, služba ADFS vynúti žiadosti o overenie, ktoré sa majú vykonať pomocou vášho miestneho AD, má však vlastnú sadu požiadaviek a krokov konfigurácie, vďaka ktorým je oveľa zložitejšia ako konkurenčné produkty s podobnou funkciou overovania. Ideálnou možnosťou je niečo v súlade s PingFederate Ping Identity, ktoré poskytuje federáciu identity s minimálnou konfiguráciou, ale umožní vám doladiť všetky aspekty procesu federácie.

Najnovšia možnosť integrácie AD s Azure AD stále používa agent Azure AD Connect, ale ponúka federovanú možnosť. Jednou z bežných sťažností týkajúcich sa spoločnosti Azure AD medzi väčšími spoločnosťami je nedostatok sprostredkovania medzi synchronizáciou pomocou služby Azure AD Connect a federáciou pomocou služby ADFS. Pass-through Authentication používa Azure AD Connect a ponúka jednoduchú cestu k združenému prístupu k vašim identitám v AD. Teoreticky pass-through autentifikácia ponúka to najlepšie z oboch svetov, zachováva identity a autentifikáciu v priestoroch, ale vylučuje potrebu ADFS. Ďalšou výhodou pass-through overovania cez ADFS je to, že konektivita je založená na agentovi, čo eliminuje potrebu pravidiel brány firewall alebo umiestnenia v rámci DMZ. Táto funkcia je viac v súlade s konkurenciou spoločnosti Azure AD, vrátane spoločností Okta, OneLogin, Bitium a Centrify. Overovanie prostredníctvom pass-through je momentálne v dohľade a jeho všeobecná dostupnosť sa očakáva v najbližších mesiacoch.

Integrácia adresárov

Zdá sa bezpečné očakávať, že sa riešenie Microsoft IDaaS bude pevne integrovať do služby AD a Azure AD nesklame. Synchronizáciu atribútov je možné nakonfigurovať pomocou služby Azure AD Connect a neskôr ju možno mapovať v rámci jednotlivých konfigurácií aplikácií Softvér ako služba (SaaS). Azure AD tiež podporuje zapisovanie zmien hesla späť do AD, keď sa vyskytnú v Microsoft Office 365 alebo na užívateľskom portáli Azure AD. Táto funkcia je k dispozícii u konkurentov, ako je napríklad OneLogin alebo Editors 'Choice winner Okta Identity Management, ale môže vyžadovať ďalší softvér alebo zmeny predvolenej politiky synchronizácie.

Ďalším dôležitým integračným bodom pre Azure AD sú zákazníci používajúci Microsoft Exchange pre svoje poštové služby, najmä pre tých, ktorí používajú Exchange alebo Exchange Online v spojení s Office 365 v hybridnom cloudovom scenári, kde je celá alebo časť e-mailovej služby hostovaná v -premysľuje dátové centrum, zatiaľ čo ostatné zdroje sú hosťované v cloude. Pri inštalácii Azure AD Connect rozpozná ďalšie atribúty schémy, ktoré označujú inštaláciu Exchange, a tieto atribúty automaticky synchronizuje. Azure AD má tiež možnosť synchronizovať skupiny Office 365 späť do AD ako distribučné skupiny.

Windows 10 prináša aj nové možnosti integrácie s Azure AD. Windows 10 podporuje pripojenie zariadení k Azure AD ako alternatívu k vašej firemnej AD. Buďte opatrní, pretože funkčnosť sa výrazne líši medzi pripojením zariadenia k službe Azure AD a pripojením zariadenia k tradičnému miestnemu zariadeniu AD. Je to tak preto, že po pripojení k Azure AD sa zariadenie so systémom Windows 10 spravuje skôr pomocou Azure AD a nástrojov na správu mobilných zariadení (MDM) spoločnosti Microsoft, než skupinovej politiky. Veľkou výhodou pre používateľov Azure AD je to, že autentifikácia do užívateľského portálu je bezproblémová, pretože používateľ je už autentifikovaný v zariadení, a aplikácie systému Windows 10, napríklad Mail a Calendar, rozpoznajú, či je k dispozícii a automaticky nakonfigurovaný účet Office 365. Proces prihlásenia je veľmi podobný predvolenému štýlu prihlásenia v systéme Windows 8, kde vyžaduje podrobnosti o vašom účte Microsoft.

Microsoft Identity Manager

Veľký podnik sa zriedka spolieha na jediný zdroj identít. Či už ide o kombináciu služby Active Directory a systému ľudských zdrojov (HR), viacerých doménových štruktúr Active Directory alebo vzťahov s obchodnými partnermi, vo väčších podnikoch je nevyhnutná ďalšia zložitosť. Riešením spoločnosti Microsoft pre integráciu viacerých poskytovateľov identity je Microsoft Identity Manager. Aj keď ide o odlišný softvérový balík, licencie na prístup ku klientom sú zahrnuté do úrovní Azure AD Premium. Spolupráca spoločnosti Azure AD B2B (Azure AD B2B) predstavuje prostriedok, ktorý ponúka obchodným partnerom prístup k podnikovým aplikáciám. Aj keď je Azure AD B2B v súčasnosti v náhľade, uľahčuje spoluprácu s obchodnými partnermi a ponúka im prístup k aplikáciám bez toho, aby bolo potrebné vytvárať používateľské účty v službe Active Directory alebo dôvera v Active Directory.

Podpora skutočného jednotného prihlásenia (SSO) pomocou prihlasovacích údajov adresára je teraz podporovaná pomocou služby Azure AD, keď sa používa synchronizácia hesiel alebo overovanie pomocou pass-through. Túto funkciu predtým ponúkala iba služba ADFS. Používatelia sa teraz môžu autentifikovať do Azure AD a ich aplikácií SaaS bez poskytnutia poverení za predpokladu, že spĺňajú technické požiadavky (konkrétne počítač so systémom Windows s pripojenou doménou, podporovaná verzia prehľadávača atď.). V súčasnosti sa zobrazuje ukážka SSO pre podnikových používateľov stolných počítačov.

Consumer IDM

Azure AD B2C je IDM spoločnosti Microsoft zameraný na zákazníka. Umožňuje používateľom autentifikovať sa do vašich služieb alebo aplikácií pomocou existujúcich poverení, ktoré už vytvorili s inými cloudovými službami, ako sú Google alebo Facebook. Azure AD B2C podporuje OAuth 2.0 aj Open ID Connect a spoločnosť Microsoft ponúka rôzne možnosti na integráciu služby s vašou aplikáciou alebo službou.

Ceny za ponuku B2C sú nezávislé od štandardných úrovní Azure AD a sú rozdelené podľa počtu uložených používateľov na autentifikáciu a počtu autentifikácií. Uložení používatelia majú zadarmo až 50 000 používateľov a začínajú na 0, 0011 USD za overenie až do 1 milióna. Prvých 50 000 autentifikácií za mesiac je tiež zadarmo a začínajú na 0, 0028 USD za autentizáciu až do 1 milióna. Multifaktorové overovanie je k dispozícii aj pre Azure AD B2C a na jeho overenie sa používa štandardná 0, 03 USD.

Poskytovanie používateľov

Azure AD ponúka podobnú funkciu nastavenú pre väčšinu predajcov IDaaS, pokiaľ ide o nastavenie používateľov a skupín na priradenie a zabezpečenie prístupu k aplikáciám SaaS. Používatelia aj skupiny zabezpečenia môžu byť synchronizované pomocou Azure AD Connect alebo môžu byť používatelia a skupiny pridávaní manuálne do Azure AD. Bohužiaľ neexistuje spôsob, ako skryť používateľov alebo skupiny v službe Azure AD, takže zákazníci vo veľkých podnikoch budú musieť často využívať vyhľadávacie funkcie, aby mohli prejsť na konkrétnych používateľov alebo skupiny. Azure AD vám neumožňuje vytvárať dynamické skupiny na základe dopytov založených na atribútoch pomocou funkcie (momentálne v ukážke) nazývanej rozšírené pravidlá.

Azure AD podporuje automatické poskytovanie používateľov v aplikáciách SaaS a má výraznú výhodu v tom, že s nasadením balíka Office 365 výnimočne dobre pracuje. Ak je to možné, Azure AD tento proces zjednodušuje ako v prípade aplikácií Google Apps. Prostredníctvom jednoduchého procesu v štyroch krokoch vás Azure AD vyzve na prihlásenie do služby Google Apps a požiada o povolenie konfigurovať službu Google Apps na automatické zabezpečovanie používateľov.

Jednotné prihlásenie

Portál koncových používateľov spoločnosti Microsoft je podobný veľkej konkurencii a ponúka mriežku ikon aplikácií, ktorá nasmeruje používateľov na aplikácie SSO. Ak si správcovia zvolia, užívateľský portál Azure AD môže byť nakonfigurovaný tak, aby povoľoval samoobslužné akcie, ako sú obnovenie hesla, žiadosti o aplikáciu alebo žiadosti a schválenia členstva v skupine. Odberatelia balíka Office 365 majú ďalšiu výhodu v tom, že dokážu do aplikácií aplikácie Office 365 pridať aplikácie SSO, čím poskytujú pohodlný prístup k dôležitým obchodným aplikáciám v rámci programu Outlook alebo iných ponúk balíka Office 365.

Azure AD podporuje bezpečnostné politiky spojené s jednotlivými aplikáciami, čo vám umožňuje vyžadovať viacfaktorové overenie (MFA). Makrofinančná pomoc zvyčajne zahŕňa bezpečnostné zariadenie alebo token nejakého druhu (napríklad inteligentnú kartu) alebo dokonca aplikáciu pre smartfóny, ktorá musí byť pred prihlásením prítomná. Azure AD môže podporovať MFA pre jednotlivých používateľov, skupiny alebo na základe umiestnenia v sieti. Okta Identity Management zaobchádza s ich bezpečnostnými politikami rovnakým spôsobom. Vo všeobecnosti by sme radšej oddeľovali bezpečnostné politiky, aby sa rovnaké pravidlá mohli uplatňovať na viaceré aplikácie, ale aspoň máte možnosť nakonfigurovať viacero politík.

Jedna jedinečná funkcia, ktorú spoločnosť Microsoft ponúka v Azure AD Premium, môže pomôcť vašej spoločnosti začať s identifikáciou aplikácií SaaS, ktoré už používa vaša organizácia. Cloud App Discovery používa softvérových agentov, aby začal analyzovať správanie používateľov vo vzťahu k aplikáciám SaaS, pomáha vám vylepšovať aplikácie najbežnejšie používané vo vašej organizácii a začať ich spravovať na podnikovej úrovni.

Tradičný scenár riešení IDaaS spočíva v autentifikácii používateľov v cloudových aplikáciách pomocou poverení pochádzajúcich z lokálneho adresára. Azure AD posúva tieto hranice tým, že povoľuje autentifikáciu v miestnych aplikáciách pomocou Application Proxy, ktorý pomocou agenta umožňuje používateľom bezpečne sa pripájať k aplikáciám prostredníctvom Azure. Z dôvodu architektúry založenej na agentoch, ktorú používa Application Proxy, nie sú potrebné otvorené porty brány firewall pre interné podnikové aplikácie. Na záver možno využiť služby Azure AD Domain Services, aby ponúkali adresár obsiahnutý v Azure, čím poskytujú tradičné doménové prostredie na autentifikáciu používateľov na virtuálnych počítačoch hostených v Azure. Azure AD Application Proxy možno tiež nakonfigurovať tak, aby používal politiky podmieneného prístupu na vynútenie ďalších pravidiel autentifikácie (napríklad MFA), keď sú splnené určité podmienky.

Azure AD spracováva každý deň viac ako 1, 3 miliardy autentifikácií. Táto úplná škála umožňuje spoločnosti Microsoft ponúkať aspoň jednu službu, s ktorou v súčasnosti môže konkurovať len málo riešení IDM, a to je ochrana Azure AD Identity Protection. Táto funkcia využíva celú šírku cloudových služieb spoločnosti Microsoft (Outlook.com, Xbox Live, Office 365 a Azure), ako aj strojové učenie (ML), aby poskytla jedinečnú analýzu rizika pre identity uložené v Azure AD. Na základe týchto údajov spoločnosť Microsoft zisťuje vzorce a anomálie, pomocou ktorých môže vypočítať skóre rizika pre každého používateľa a každé prihlásenie. Spoločnosť Microsoft tiež aktívne monitoruje porušenia zabezpečenia týkajúce sa poverení, a to až do takej miery, aby vyhodnotila tieto porušenia pre poverenia vo vašej organizácii, ktoré sú potenciálne ohrozené. Po vypočítaní tohto skóre rizika ho môžu správcovia využiť v politikách autentifikácie, čo im umožňuje venovať sa ďalším požiadavkám na prihlásenie, ako je MFA alebo reset hesla.

hlásenie

Sada zostáv, ktorú spoločnosť Microsoft ponúka s Azure AD, závisí od vašej úrovne služieb. Dokonca aj bezplatná a základná úroveň ponúka základné bezpečnostné správy, ktoré sú konzervovanými správami zobrazujúcimi základné protokoly o činnosti a používaní. Odberatelia Premium získajú prístup k pokročilej skupine správ, ktoré využívajú schopnosti strojového učenia Azure poskytovať informácie o neobvyklom správaní, ako sú úspešné pokusy o autentifikáciu po opakovaných zlyhaniach, chyby z viacerých geografických oblastí alebo podozrivé adresy IP.

Azure AD neponúka úplnú sadu reportov, ale konzervované reporty dostupné pre zákazníkov Premium sú omnoho sofistikovanejšie ako to, čo ponúkajú konkurenti. Nakoniec sa mi veľmi páčil stupeň prehľadu, ktorý získate v prípade konzervovaných prehľadov v službe Azure AD Premium, dokonca aj v porovnaní s nedostatkom plánovania alebo vlastných prehľadov.

stanovenie ceny

Ceny Azure AD začínajú bezplatnou úrovňou, ktorá podporuje až 500 000 adresárových objektov (v tomto prípade to znamená používateľov a skupiny) a až 10 aplikácií jednotného prihlásenia (SSO) na používateľa. Bezplatná verzia služby Azure AD je automaticky zahrnutá do predplatného balíka Office 365, pričom sa na tento prípad nevzťahuje obmedzenie počtu objektov. S maloobchodnou cenou 1 $ za používateľa mesačne je základná úroveň Azure AD mimoriadne konkurencieschopná. Základná služba pridáva funkcie, ako je branding pre užívateľský portál a skupinový prístup k SSO a zabezpečenie, takže na automatické vytváranie užívateľských účtov v aplikáciách SaaS budete potrebovať základnú úroveň.

Základná úroveň zachováva limit 10 aplikácií na používateľa, ale pridáva možnosť podpory aplikácií v priestoroch pomocou aplikačného proxy. Úrovne Premium P1 a P2 v službe Azure AD odstraňujú limity z množstva aplikácií SSO, ktoré používatelia môžu mať, a pridávajú samoobslužné a MFA možnosti za 6 dolárov a 9 dolárov za používateľa za mesiac. Obe úrovne Azure AD Premium zahŕňajú aj užívateľské licencie na klientsky prístup (CAL) pre Microsoft Identity Manager (predtým Forefront Identity Manager), ktoré možno použiť na synchronizáciu a správu identít v databázach, aplikáciách, iných adresároch a ďalších. Prémiové úrovne tiež prinášajú licencie Conditional Access a Intune MDM na stôl, čím výrazne zvyšujú bezpečnostné možnosti. Hlavnými výhodami úrovne Premium P2 v porovnaní s prémiom P1 sú ochrana identity a správa privilegovaných identít, ktoré sa považujú za špičkové bezpečnostné funkcie.

Ďalším cenovým faktorom je možnosť licencovať službu Azure MFA oddelene od služby Azure AD, čo má dve výhody: Po prvé, MFA možno pridať do úrovní bezplatných alebo základných Azure AD za 1, 40 dolárov na používateľa mesačne alebo 10 autentifikácií (podľa toho, čo najlepšie vyhovuje vášmu použitiu). prípad), čím sa celkové náklady na základnú službu s MFA zvýšia na 2, 40 USD na používateľa. Po druhé, môžete si vybrať, či povolíte makrofinančnú pomoc iba pre podmnožinu svojej používateľskej základne, čo môže každý mesiac ušetriť značné množstvo peňazí.

Azure AD pokrýva väčšinu základných funkcií, ktoré by ste mali hľadať u poskytovateľa IDaaS. Prináša do tabuľky niektoré nástroje na úrovni podniku, ktoré by ste očakávali od spoločnosti ako Microsoft. Funkcie ako Application Proxy a Identity Protection patria medzi najlepšie v triede alebo jednoducho nemajú konkurenciu. Ceny sú veľmi konkurencieschopné a integrácia s balíkom Office 365 a ďalšími produktmi a službami spoločnosti Microsoft je pevná a neustále sa vyvíja. Azure AD sa pripojil k Okta Identity Management ako voľba editora v kategórii IDaaS.