Revisió i classificació del directori actiu de Microsoft azure

Microsoft ha estat líder líder en la indústria en diverses categories informàtiques bàsiques durant dècades, i una de les quals la companyia ha tingut un efecte estranger efectiu són els directoris de xarxa locals. El directori actiu del Windows Server (AD) és utilitzat per les corporacions i governs de tot el món i és l'estàndard d'or per a la gestió de la identitat empresarial (IDM) de l'empresa. A més de funcions avançades i una estricta integració amb el directori local més popular del món, el preu de Microsost Azure AD és molt competitiu a l’espai Identity Management-as-a-Service (IDaaS) que ofereix un nivell gratuït, un nivell bàsic per 1 $ per usuari al mes i dos nivells premium que corren 6 i 9 dòlars mensuals, respectivament. Les funcions avançades, una integració estreta amb la plataforma líder IDM local i un nou preu amigable combinen per elevar Azure AD a una elecció d'Editors a l'espai IDaaS al costat d'Okta Identity Management.

Configuració i connexió amb AD-On-Prem

Per raons òbvies, l’ús més comú per a Azure AD continua sent les empreses que busquen integrar un domini AD existent, local, amb aplicacions que s’executen al núvol i fins i tot usuaris que es connectin a través d’internet. Per proveir les opcions que relacionaran els anuncis locals amb Azure AD, la solució de Microsoft més popular és Azure AD Connect, una eina de sincronització disponible lliurement des de Microsoft. Molts competidors ofereixen eines de sincronització similars per connectar els seus productes IDaaS a dominis AD locals, però Azure AD Connect és un bon exemple de com fer-ho bé. La diferència més gran entre Azure AD Connect i altres eines de sincronització és que Azure AD Connect ofereix una sincronització de contrasenya segura, cosa que permet que el procés d’autenticació es produeixi a Azure AD en lloc que es validin les credencials de l’usuari amb l’AD corporativa. La diferència més gran entre Azure AD Connect i altres eines de sincronització és que Azure AD Connect sincronitza les contrasenyes de manera predeterminada i el procés d'autenticació es produeix dins d'Azure AD en lloc de que les credencials de l'usuari es validin en contra de l'AD corporativa. Moltes organitzacions poden tenir problemes de política amb la sincronització dels hashes de contrasenya al núvol i fan que la sincronització de contrasenya d'Azure AD Connect sigui un problema potencial.

Azure AD també admet l'ús dels serveis Active Directory Federation (ADFS). Usat tradicionalment per proporcionar funcions d'autorització per a aplicacions o serveis externs, ADFS obliga a realitzar les sol·licituds d'autenticació mitjançant el vostre AD local, però té un conjunt propi de requisits i passos de configuració que el fan molt més complex que els productes que competeixen amb una funcionalitat d'autenticació similar. L’opció ideal és quelcom segons la línia de PingFederate de Ping Identity, que proporciona a la federació d’identitat una configuració mínima, però us permetrà afinar tots els aspectes del procés de federació.

La més nova opció per integrar AD amb Azure AD segueix utilitzant l'agent Azure AD Connect, però ofereix una opció federada. Una queixa habitual sobre Azure AD entre les empreses més grans és la manca de terreny mitjà entre la sincronització mitjançant Azure AD Connect i la federació amb ADFS. L’autenticació de pas fa servir Azure AD Connect per oferir una ruta senzilla a l’accés federat a les vostres identitats a AD. En teoria, l’autenticació de pas ofereix el millor d’ambdós mons, mantenint les identitats i l’autenticació locals, però eliminant la necessitat d’ADFS. Un avantatge addicional de l’autenticació de transmissió mitjançant ADFS és que la connectivitat es basa en l’agent, eliminant la necessitat de regles de tallafoc o col·locació dins d’un DMZ. Aquesta funcionalitat s'ajusta més a la competència d'Azure AD, com ara Okta, OneLogin, Bitium i Centrify. L’autenticació de pas es troba en previsualització, amb previsió de disponibilitat general en els propers mesos.

Integració de directoris

Sembla segur esperar que una solució de Microsoft IDaaS s’integri estretament amb AD, i Azure AD no decebre. La sincronització d’atributs es pot configurar amb Azure AD Connect i posteriorment es pot associar en configuracions d’aplicació SaaS (Software-as-a-Service) individuals. Azure AD també admet tenir canvis de contrasenya escrits de nou a AD quan es produeixen a Microsoft Office 365 o al portal d'usuaris d'Azure AD. Aquesta funció està disponible en competidors com ara OneLogin i Editors 'Choice guanyador Okta Identity Management, però pot requerir programari addicional o canvis a la política de sincronització predeterminada.

Un altre punt d’integració important per a Azure AD és per als clients que utilitzin Microsoft Exchange per als seus serveis de correu, particularment per a aquells que utilitzen Exchange o Exchange Online conjuntament amb Office 365 en un escenari de núvol híbrid, on tot o part del servei de correu electrònic està allotjat en un. -valora el centre de dades mentre els altres recursos estan allotjats al núvol. A la instal·lació, Azure AD Connect reconeixerà atributs d’esquema addicionals que indiquen una instal·lació d’Exchange i sincronitzaran automàticament aquests atributs. Azure AD també té la capacitat de sincronitzar els grups d'Office 365 de nou a AD com a grups de distribució.

Windows 10 també aporta noves funcions per integrar-se amb Azure AD. Windows 10 admet unir dispositius a Azure AD com a alternativa al vostre anunci corporatiu. Tingueu cura, però, ja que la funcionalitat difereix significativament entre connectar un dispositiu a Azure AD versus unir-se a un dispositiu tradicional AD local. Això passa perquè un cop connectat a Azure AD, el dispositiu Windows 10 es gestiona a través de les eines de gestió de dispositius mòbils (MDM) de Azure AD i no de la Política de grup. El gran avantatge per als usuaris d’Azure AD és que l’autenticació al portal d’usuaris és perfecta ja que l’usuari ja està autenticat al dispositiu i les aplicacions de Windows 10 com Mail i Calendar reconeixeran si un compte d’Office 365 està disponible i es configurarà automàticament. El procés d’inici de sessió és molt semblant a l’estil d’inici de sessió predeterminat a Windows 8 on sol·liciteu els detalls del vostre compte de Microsoft.

Gestor d’identitat de Microsoft

Rarament una gran empresa es basa en una única font d’identitats. Tant si es tracta d’una combinació de Active Directory com un sistema de recursos humans (HR), diversos boscos d’Active Directory o relacions amb socis comercials, és imprescindible una complexitat addicional a les empreses més grans. La solució de Microsoft per integrar diversos proveïdors d’identitat és Microsoft Identity Manager. Tot i que es tracta d’un paquet de programari diferent, les llicències d’accés al client s’inclouen als nivells d’Azure AD Premium. La col·laboració Azure AD B2B (Azure AD B2B) proporciona un mitjà per oferir als socis comercials accés a aplicacions corporatives. Tot i que actualment es troba en previsualització, Azure AD B2B facilita la col·laboració amb els socis comercials, oferint-los accés a aplicacions sense necessitat de crear comptes d’usuari a Active Directory o en un trust d’Active Directory.

El veritable servei d’inici de sessió (SSO) que s’utilitza amb credencials de directori ara és compatible amb Azure AD quan s’utilitza la sincronització de contrasenya o l’autenticació de pas. Anteriorment només ADFS oferia aquesta funcionalitat. Els usuaris ara poden autenticar-se a Azure AD i les seves aplicacions SaaS sense proporcionar credencials al suposar que compleixen els requisits tècnics (és a dir, un ordinador Windows unit al domini, la versió del navegador compatible, etc.). Actualment, la SSO per als usuaris d'escriptori corporatiu també es troba en previsualització.

Identificador del consumidor

Azure AD B2C és l'IDM de cara al consumidor de Microsoft. Permet als usuaris autenticar-se als vostres serveis o aplicacions mitjançant les credencials existents que ja han establert amb altres serveis al núvol, com Google o Facebook. Azure AD B2C és compatible amb OAuth 2.0 i Open ID Connect i Microsoft ofereix diverses opcions per integrar el servei amb l'aplicació o el servei.

Els preus per a l’oferta B2C estan separats dels nivells estàndard d’Azure AD i es desglossen pel nombre d’usuaris emmagatzemats per autenticació i pel nombre d’autentificacions. Els usuaris emmagatzemats són gratuïts de fins a 50.000 usuaris, i comencen per 0, 0011 dòlars per autenticació fins a un milió. Les primeres 50.000 autenticacions al mes també són gratuïtes i comencen per 0, 0028 dòlars per autenticació fins a un milió. L’autenticació multifactor també està disponible per a Azure AD B2C i té un valor de 0, 03 dòlars estàndard per autenticació.

Provisió d'usuaris

Azure AD ofereix un conjunt de funcions similar a la majoria de proveïdors IDaaS quan es tracta d’obtenir usuaris i grups configurats per assignar i subministrar accés a les aplicacions SaaS. Tant els usuaris com els grups de seguretat es poden sincronitzar mitjançant Azure AD Connect o els usuaris i grups es poden afegir manualment a Azure AD. Malauradament, no hi ha manera d’amagar usuaris o grups a Azure AD, per la qual cosa els clients de les grans empreses hauran d’aprofitar-se amb freqüència de les funcions de cerca per anar a grups o usuaris determinats. Azure AD us permet crear grups dinàmics basats en consultes basades en atributs mitjançant una funció (actualment en previsualització) anomenada regles avançades.

Azure AD admet el subministrament automàtic d’usuaris a les aplicacions SaaS i té l’avantatge diferent de treballar excepcionalment bé amb els desplegaments d’Office 365. Quan sigui possible, Azure AD simplifica aquest procés com en el cas de Google Apps. Amb un senzill procés de quatre passos, Azure AD us demana que inicieu la sessió de Google Apps i sol·liciti el vostre permís per configurar Google Apps per a la provisió automàtica d'usuaris.

Inici de sessió únic

El portal d’usuaris finals de Microsoft és similar a bona part de la competència, i ofereix una graella d’icones d’aplicacions dirigint els usuaris a aplicacions SSO. Si els administradors trien, el portal d'usuaris d'Azure AD es pot configurar per permetre accions d'autoservei com ara restabliments de contrasenyes, sol·licituds d'aplicacions o sol·licituds i aprovacions de membres de grup. Els subscriptors d'Office 365 tenen el benefici afegit de poder afegir aplicacions SSO al menú d'aplicacions d'Office 365, proporcionant un accés còmode a aplicacions comercials crítiques des de l'Outlook o altres ofertes d'Office 365.

Azure AD admet polítiques de seguretat vinculades a aplicacions individuals, fet que necessita autenticació multi-factor (MFA). Normalment, MFA implica un dispositiu de seguretat o un símbol d’alguna mena (com ara una targeta intel·ligent) o fins i tot una aplicació per a telèfons intel·ligents que ha d’estar present abans d’iniciar la sessió. Azure AD pot donar suport a MFA per a usuaris, grups o en funció de la ubicació de la xarxa. Okta Identity Management gestiona les seves polítiques de seguretat de la mateixa manera. En general, preferiríem que es diferencien les polítiques de seguretat de manera que es pugui aplicar la mateixa política a diverses aplicacions, però almenys teniu la possibilitat de configurar diverses polítiques.

Una característica única que Microsoft ofereix a Azure AD Premium pot ajudar a que la vostra empresa comenci a identificar les aplicacions SaaS que ja utilitza l'organització. Cloud App Discovery utilitza els agents de programari per començar a analitzar el comportament dels usuaris pel que fa a les aplicacions SaaS, ajudant-vos a accedir a les aplicacions més utilitzades a la vostra organització i a començar a gestionar-les a nivell d’empresa.

L’escenari tradicional de les solucions IDaaS consisteix en autenticar els usuaris a les aplicacions al núvol mitjançant les credencials provinents d’un directori local. Azure AD empeny aquests límits habilitant l'autenticació a aplicacions locals amb Application Proxy, que utilitza un agent per permetre als usuaris connectar-se de forma segura a les aplicacions mitjançant Azure. A causa de l'arquitectura basada en l'agent que fa servir l'aplicació del servidor intermediari, no hi ha necessitat de ports de tallafoc oberts per a aplicacions corporatives internes. Finalment, Azure AD Domain Services es pot aprofitar per oferir un directori contingut a Azure, proporcionant un entorn de domini tradicional per autenticar usuaris a màquines virtuals allotjades a Azure. El proxy d'aplicacions Azure AD també es pot configurar per utilitzar polítiques d'accés condicionals per aplicar les regles d'autenticació addicionals (com ara MFA) quan es compleixen algunes condicions.

Azure AD gestiona més d’1.300 milions d’autenticacions cada dia. Aquesta magnífica escala permet a Microsoft oferir almenys un servei amb el qual poques solucions IDM poden competir actualment, i això és Azure AD Identity Protection. Aquesta característica utilitza tota l’amplitud dels serveis al núvol de Microsoft (Outlook.com, Xbox Live, Office 365 i Azure) i també l’aprenentatge automàtic (ML) per proporcionar anàlisis de risc sense igual per a identitats emmagatzemades a Azure AD. Utilitzant aquestes dades, Microsoft detecta patrons i anomalies amb les quals pot calcular una puntuació de risc per a cada usuari i per a la sessió d’inici. Microsoft també fa un seguiment actiu de les infraccions de seguretat que impliquen credencials, fins a avaluar aquests incompliments per a les credencials de l’organització que puguin estar compromeses. Un cop calculat aquest punt de risc, els administradors poden aprofitar-los en les polítiques d’autenticació, cosa que els permet abordar requisits d’inici d’inici de sessió com ara MFA o un restabliment de contrasenya.

Informes

El conjunt d’informes que ofereix Microsoft amb Azure AD depèn del vostre nivell de servei. Fins i tot els nivells gratuïts i bàsics ofereixen informes bàsics de seguretat, que són informes enllaunats que mostren registres bàsics d’activitat i ús. Els subscriptors premium tenen accés a un conjunt avançat d’informes que aprofiten les capacitats d’aprenentatge automàtic d’Azure per proporcionar informació sobre un comportament anòmal, com ara intents d’autenticació d’èxit després de repetits errors, els de diverses geografies o els d’adreces IP sospitoses.

Azure AD no ofereix una suite completa d’informes, però els informes en conserva disponibles per als clients Premium són molt més sofisticats que els que ofereixen els competidors. Al final, em va agradar molt el nivell d’informació que obteniu amb els informes enllaçats a Azure AD Premium, fins i tot es va ponderar davant la falta de programar o informes personalitzats.

Preu

El preu de Azure AD comença amb un nivell gratuït que suporta fins a 500.000 objectes de directori (en aquest cas, això significa usuaris i grups) i fins a 10 aplicacions d’inici de sessió (SSO) per usuari. La versió gratuïta d'Azure AD s'inclou automàticament amb les subscripcions d'Office 365, en les quals no s'aplica el límit d'objecte. Amb un preu al detall d'1 $ per usuari al mes, el nivell bàsic d'Azure AD és extremadament competitiu. El servei bàsic afegeix funcions com ara el marcatge del portal d’usuaris i l’accés i aprovisionament de SSO basats en grups, per la qual cosa, per crear automàticament comptes d’usuari a les aplicacions SaaS, necessitareu el nivell bàsic.

El nivell bàsic conserva l’aplicació de 10 per límit d’usuari, però afegeix la possibilitat de donar suport a aplicacions locals que utilitzen el servidor intermediari d’aplicacions. Els nivells Premium P1 i P2 d'Azure AD eliminen els límits de la quantitat d'aplicacions SSO que els usuaris poden tenir i afegir funcions d'autoservei i MFA per 6 i 9 dòlars per usuari al mes respectivament. Els dos nivells d'Azure AD Premium també inclouen llicències d'accés al client de l'usuari per a Microsoft Identity Manager (abans Forefront Identity Manager), que es pot utilitzar per sincronitzar i gestionar identitats en bases de dades, aplicacions, altres directoris i molt més. Els nivells premium també inclouen les llicències Accés Condicional i Intune MDM a la taula, cosa que permet millorar les capacitats de seguretat. Els avantatges principals del nivell P2 Premium sobre la P1 Premium són la Protecció de la Identitat i la Gestió Privada de la Identitat, que es classifiquen com a funcions de seguretat líders del sector.

Una altra consideració de preus és la possibilitat de llicenciar el servei MFA d'Azure per separat d'Azure AD, que té dos avantatges: En primer lloc, es pot afegir MFA als nivells AD o Free Azure AD per 1, 40 dòlars per usuari al mes o 10 autenticacions (el que millor s'adapti al seu ús. cas), portant el cost total del servei bàsic amb MFA a 2, 40 dòlars per usuari. En segon lloc, podeu optar per habilitar MFA només per a un subconjunt de la vostra base d’usuaris, podent estalviar una quantitat important de diners cada mes.

Azure AD cobreix la majoria de les funcions bàsiques que heu de buscar en un proveïdor IDaaS. Afegeix a la taula algunes eines a nivell d’empresa que espereu d’una empresa com Microsoft. Característiques com el proxy d’aplicacions i la protecció d’identitat són dels millors de la classe o, senzillament, no tenen competència. El preu és molt competitiu i la integració amb Office 365 i altres productes i serveis Microsoft són sòlids i en constant evolució. Azure AD s'uneix a Okta Identity Management com a elecció dels editors a la categoria IDaaS.