Microsoft azurblått aktiv kataloganmeldelse og -vurdering

Microsoft har vært industriledende innen flere kjerne IT-kategorier i flere tiår, og en der selskapet har hatt et effektivt kvelertak er lokale nettverkskataloger. Windows Server Active Directory (AD) brukes av selskaper og myndigheter over hele verden og er gullstandarden for enterprise Identity Management (IDM) i bedriften. I tillegg til avanserte funksjoner og tett integrasjon med verdens mest populære lokale katalog, er Microsost Azure ADs priser veldig konkurransedyktige i IDaaS-plassen Identity Management-as-a-Service, og tilbyr et gratis lag, et grunnleggende nivå for $ 1 per bruker per måned og to premiumnivåer som henholdsvis har $ 6 og $ 9 per måned. Avanserte funksjoner, tett integrasjon med den ledende lokale IDM-plattformen, og en ny og vennlig pris, alle sammen for å heve Azure AD til et redaktørvalg i IDaaS-rommet sammen med Okta Identity Management.

Konfigurere og koble til med AD-Prem AD

Av åpenbare grunner er den vanligste bruken for Azure AD fortsatt selskaper som ønsker å integrere et eksisterende AD-domene på stedet med applikasjoner som kjører i nettskyen og til og med brukere som kobler seg til via internett. For å gi tarmen som vil bygge bro AD med Azure AD, er den mest populære Microsoft-løsningen Azure AD Connect, et synkroniseringsverktøy fritt tilgjengelig fra Microsoft. Mange konkurrenter tilbyr lignende synkverktøy for å koble IDaaS-produktene sine til lokale AD-domener, men Azure AD Connect er et godt eksempel på hvordan du gjør det riktig. Den største forskjellen mellom Azure AD Connect og andre synkroniseringsverktøy er at Azure AD Connect tilbyr sikker passordsynkronisering, som gjør at autentiseringsprosessen kan skje innenfor Azure AD i stedet for at brukerens legitimasjon blir validert mot bedriftens AD. Den største forskjellen mellom Azure AD Connect og andre synkroniseringsverktøy er at Azure AD Connect synkroniserer passord som standard, og autentiseringsprosessen skjer i Azure AD snarere enn at brukerens legitimasjon blir validert mot bedriftens AD. Mange organisasjoner kan ha policyproblemer med å synkronisere passord-hasj til skyen, noe som gjør Azure AD Connect-passordsynkronisering til et potensielt problem.

Azure AD støtter også bruk av Active Directory Federation Services (ADFS). Tradisjonelt brukt for å tilby autentiseringsfunksjoner for eksterne apper eller tjenester, tvinger ADFS godkjenningsforespørsler som skal utføres ved hjelp av din lokale AD, men har et eget sett med krav og konfigurasjonstrinn som gjør det langt mer komplekst enn konkurrerende produkter med lignende autentiseringsfunksjonalitet. Det ideelle alternativet er noe som følger med Ping Identitys PingFederate, som gir identitetsforening en minimal konfigurasjon, men som lar deg finjustere alle aspekter av føderasjonsprosessen.

Det nyeste alternativet for å integrere AD med Azure AD bruker fortsatt Azure AD Connect-agenten, men tilbyr et føderert alternativ. En vanlig klage på Azure AD blant større selskaper er mangelen på mellomgrunn mellom synkronisering ved bruk av Azure AD Connect og federation som bruker ADFS. Gjennomgangsgodkjenning bruker Azure AD Connect for å tilby en enkel bane til føderert tilgang til identitetene dine i AD. I teorien tilbyr passering-autentisering det beste fra begge verdener, ved å holde identiteter og autentisering lokalt, men eliminere behovet for ADFS. En ekstra fordel med pass-authentication over ADFS er at tilkobling er agentbasert, og eliminerer behovet for brannmurregler eller plassering i en DMZ. Denne funksjonaliteten er mer i tråd med mye av Azure ADs konkurranse, inkludert Okta, OneLogin, Bitium og Centrify. Gjennomgangsgodkjenning er for øyeblikket i forhåndsvisning, med generell tilgjengelighet forventet i løpet av de neste månedene.

Katalogintegrasjon

Det virker trygt å forvente at en Microsoft IDaaS-løsning integreres tett med AD, og ​​Azure AD skuffer ikke. Attributtsynkronisering kan konfigureres med Azure AD Connect og kan senere kartlegges i individuelle Software-as-a-Service (SaaS) appkonfigurasjoner. Azure AD støtter også å ha passordendringer skrevet tilbake til AD når de forekommer i Microsoft Office 365 eller Azure AD-brukerportalen. Denne funksjonen er tilgjengelig i konkurrenter som OneLogin og Editors 'Choice-vinner Okta Identity Management, men kan kreve ytterligere programvare eller endringer i standard synkroniseringspolicy.

Et annet viktig integrasjonspunkt for Azure AD er for kunder som bruker Microsoft Exchange for sine posttjenester, spesielt for de som bruker Exchange eller Exchange Online i forbindelse med Office 365 i et hybrid skyscenario, der hele eller deler av e-posttjenesten er vert i et on -priser datasenter mens de andre ressursene er vert i skyen. Ved installasjon vil Azure AD Connect gjenkjenne flere skjemaattributter som indikerer en Exchange-installasjon og automatisk synkroniserer disse attributtene. Azure AD har også muligheten til å synkronisere Office 365-grupper tilbake til AD som distribusjonsgrupper.

Windows 10 bringer også nye muligheter for å integrere med Azure AD. Windows 10 støtter sammenføyning av enheter til Azure AD som et alternativ til bedriftens AD. Vær imidlertid forsiktig, da funksjonaliteten skiller seg betydelig mellom å koble en enhet til Azure AD kontra å koble en enhet til tradisjonell lokal AD. Det er fordi når Windows 10-enheten en gang er koblet til Azure AD, administreres gjennom Azure AD og Microsofts verktøy for administrasjon av mobilenheter (MDM) i stedet for gruppepolicy. Den store fordelen for brukere av Azure AD er at godkjenning til brukerportalen er sømløs ettersom brukeren allerede er autentisert til enheten, og Windows 10-apper som Mail og Kalender vil gjenkjenne om en Office 365-konto er tilgjengelig og automatisk konfigureres. Påloggingsprosessen er veldig lik standard påloggingsstil i Windows 8 der den ber om Microsoft-kontoinformasjonen din.

Microsoft Identity Manager

En sjelden gang stoler et stort foretak på en enkelt kilde for identiteter. Enten det er en kombinasjon av Active Directory og et HR-system, flere Active Directory-skoger eller forhold til forretningspartnere, er ytterligere kompleksitet uunngåelig i større virksomheter. Microsofts løsning for å integrere flere identitetsleverandører er Microsoft Identity Manager. Selv om det er en distinkt programvarepakke, er klienttilgangslisenser inkludert i Azure AD Premium-lagene. Azure AD B2B-samarbeid (Azure AD B2B) gir et middel til å tilby forretningspartnere tilgang til bedriftsapper. Selv om det foreløpig er i forhåndsvisning, letter Azure AD B2B samarbeid med forretningspartnere, og tilbyr dem tilgang til apper uten å kreve opprettelse av brukerkontoer i Active Directory eller en Active Directory-tillit.

Ekte støtte for enkel pålogging (SSO) ved bruk av katalogopplysning støttes nå ved å bruke Azure AD når du bruker passordsynkronisering eller pass-godkjenning. Tidligere har bare ADFS tilbudt denne funksjonaliteten. Brukere kan nå autentisere til Azure AD og SaaS-appene sine uten å oppgi legitimasjon under forutsetning av at de oppfyller de tekniske kravene (nemlig en domeneforbundet Windows-datamaskin, støttet nettleserversjon, etc.). SSO for stasjonære brukere er for øyeblikket i forhåndsvisning.

Forbruker IDM

Azure AD B2C er Microsofts forbrukervendte IDM. Det gjør det mulig for brukere å autentisere til tjenestene eller appene dine ved å bruke eksisterende legitimasjon de allerede har opprettet med andre skytjenester som Google eller Facebook. Azure AD B2C støtter både OAuth 2.0 og Open ID Connect, og Microsoft tilbyr en rekke alternativer for å integrere tjenesten med appen eller tjenesten din.

Prisene for B2C-tilbudet er atskilt fra standard Azure AD-nivåene, og er fordelt på antall lagrede brukere per godkjenning og antall godkjenninger. Lagrede brukere har gratis opptil 50 000 brukere, og begynner på 0, 0011 USD per autentisering opp til 1 million. De første 50 000 autentiseringene per måned er også gratis, og begynner på $ 0, 0028 per autentisering opp til 1 million. Multifaktorautentisering er også tilgjengelig for Azure AD B2C, og kjører en standard på 0, 03 dollar per autentisering.

Brukerlevering

Azure AD tilbyr et lignende funksjonssett for de fleste IDaaS-leverandører når det gjelder å få brukere og grupper satt opp for å tilordne og gi tilgang til SaaS-apper. Både brukere og sikkerhetsgrupper kan synkroniseres ved hjelp av Azure AD Connect, eller brukere og grupper kan legges til manuelt i Azure AD. Dessverre er det ingen måte å skjule brukere eller grupper i Azure AD, slik at kunder i store bedrifter ofte må benytte seg av søkefunksjonene for å navigere til bestemte brukere eller grupper. Azure AD lar deg opprette dynamiske grupper basert på attribusjonsbaserte spørringer ved å bruke en funksjon (for tiden i forhåndsvisning) kalt avanserte regler.

Azure AD støtter automatisk levering av brukere i SaaS-apper og har den distinkte fordelen av å jobbe eksepsjonelt godt med Office 365-distribusjoner. Når det er mulig, forenkler Azure AD denne prosessen som for Google Apps. Med en enkel fire-trinns prosess ber Azure AD deg om Google Apps-påloggingen og ber om tillatelse til å konfigurere Google Apps for automatisk brukerstilling.

Enkelt pålogging

Microsofts sluttbrukerportal ligner mye av konkurransen, og tilbyr et rutenett med appikoner som leder brukerne til SSO-apper. Hvis administratorer velger, kan Azure AD-brukerportalen konfigureres for å tillate selvbetjeningshandlinger som tilbakestillinger av passord, appforespørsler eller gruppemedlemskapsforespørsler og godkjenninger. Office 365-abonnenter har den ekstra fordelen av å kunne legge SSO-applikasjoner til Office 365-appmenyen, noe som gir enkel tilgang til kritiske forretningsapper fra Outlook eller andre Office 365-tilbud.

Azure AD støtter sikkerhetspolicyer knyttet til individuelle apper, og lar deg kreve multifaktorautentisering (MFA). MFA innebærer vanligvis en sikkerhetsenhet eller et symbol av noe slag (for eksempel et smartkort) eller til og med en smarttelefonapp som må være til stede før du logger inn. Azure AD kan støtte MFA for enkeltbrukere, grupper eller basert på nettverksplassering. Okta Identity Management håndterer sikkerhetspolicyene sine på samme måte. Generelt sett foretrekker vi at sikkerhetspolicyer blir skilt ut, slik at den samme policyen kan brukes på flere apper, men i det minste har du muligheten til å konfigurere flere retningslinjer.

Én unik funksjon som Microsoft tilbyr i Azure AD Premium, kan hjelpe deg med å starte ditt firma med å identifisere SaaS-apper som allerede er i bruk av organisasjonen. Cloud App Discovery bruker programvareagenter for å begynne å analysere brukeratferd når det gjelder SaaS-apper, og hjelper deg med å finpusse på appene som er mest brukt i organisasjonen din og begynne å administrere dem på bedriftsnivå.

Det tradisjonelle scenariet for IDaaS-løsninger innebærer å autentisere brukere til skyapper ved å bruke legitimasjon som stammer fra en lokal katalog. Azure AD skyver disse grensene ved å aktivere autentisering til lokale apper ved å bruke Application Proxy, som bruker en agent for å tillate brukere å trygt koble seg til apper gjennom Azure. På grunn av den agentbaserte arkitekturen som brukes av Application Proxy, er det ikke behov for åpne brannmurporter til interne bedriftsapper. Endelig kan Azure AD Domain Services utnyttes til å tilby en katalog som finnes i Azure, og som gir et tradisjonelt domenemiljø for autentisering av brukere til virtuelle maskiner som er vert i Azure. Azure AD Application Proxy kan også konfigureres til å bruke retningslinjer for betinget tilgang for å håndheve flere autentiseringsregler (for eksempel MFA) når visse betingelser er oppfylt.

Azure AD håndterer mer enn 1, 3 milliarder autentiseringer hver dag. Denne store skalaen lar Microsoft tilby minst en tjeneste som få IDM-løsninger for øyeblikket kan konkurrere med, og det er Azure AD Identity Protection. Denne funksjonen bruker hele bredden av Microsofts skytjenester (Outlook.com, Xbox Live, Office 365 og Azure) samt maskinlæring (ML) for å gi en uovertruffen risikoanalyse for identiteter som er lagret i Azure AD. Ved å bruke disse dataene oppdager Microsoft mønstre og avvik som den kan beregne en risikoscore for hver bruker og hver pålogging. Microsoft overvåker også aktivt sikkerhetsbrudd som involverer legitimasjon, og går så langt som å evaluere disse bruddene for legitimasjon i organisasjonen som potensielt er kompromittert. Når denne risikoscoren er beregnet, kan administratorer utnytte den i autentiseringspolicyer, som deretter lar dem takle ytterligere påloggingskrav, for eksempel MFA eller en passord-tilbakestilling.

rapportering

Rapportsettet som Microsoft tilbyr med Azure AD, avhenger av servicenivået ditt. Selv de gratis og grunnleggende nivåene tilbyr grunnleggende sikkerhetsrapporter, som er hermetiske rapporter som viser grunnleggende aktivitets- og brukslogger. Premium-abonnenter får tilgang til et avansert sett med rapporter som utnytter Azures maskininnlæringsevner for å gi innsikt om anomal oppførsel som vellykkede autentiseringsforsøk etter gjentatte feil, de fra flere geografier, eller de fra mistenkelige IP-adresser.

Azure AD tilbyr ikke en fullstendig rapporteringssuite, men hermetikkrapportene som er tilgjengelige for Premium-kunder, er mye mer sofistikerte enn konkurrentene tilbyr. Til slutt likte jeg virkelig innsiktsnivået du får med de hermetiske rapportene i Azure AD Premium, til og med veide mot mangelen på planlegging eller tilpassede rapporter.

Priser

Prisene på Azure AD begynner med en gratis lagring som støtter opptil 500 000 katalogobjekter (i dette tilfellet, det betyr brukere og grupper) og opptil 10 single-sign-on (SSO) apper per bruker. Gratisversjonen av Azure AD er automatisk inkludert i Office 365-abonnement, i hvilken situasjon objektgrensen ikke gjelder. Med en utsalgspris på $ 1 per bruker per måned er Basic-nivået til Azure AD ekstremt konkurransedyktig. Basic-tjenesten legger til funksjoner som merkevarebygging for brukerportalen og gruppebasert SSO-tilgang og klargjøring, så for å opprette brukerkontoer automatisk i SaaS-apper, trenger du Basic-nivået.

Grunnnivået beholder 10-appen per brukergrense, men gir muligheten til å støtte lokale apper ved hjelp av Application Proxy. Premium P1- og P2-nivåene i Azure AD fjerner grensene for mengden SSO-apper brukere kan ha og legge til selvbetjenings- og MFA-funksjoner for henholdsvis $ 6 og $ 9 per bruker per måned. Begge Azure AD Premium-lagene inneholder også brukerklientadgangslisenser (CAL-er) for Microsoft Identity Manager (tidligere Forefront Identity Manager), som kan brukes til å synkronisere og administrere identiteter i databaser, apper, andre kataloger og mer. Premium-nivåer bringer også Conditional Access og Intune MDM-lisenser til bordet, og øker sikkerhetsfunksjonene på en stor måte. De største fordelene med Premium P2-nivået over Premium P1 er identitetsbeskyttelse og privilegert identitetsstyring, som begge kvalifiserer som bransjeledende sikkerhetsfunksjoner.

Et annet prishensyn er muligheten til å lisensiere Azures MFA-tjeneste separat fra Azure AD, som har to fordeler: For det første kan MFA legges til Free eller Basic Azure AD-nivåene for $ 1, 40 per bruker per måned eller 10 autentiseringer (avhengig av hva som passer best for din bruk sak), og bringer den totale kostnaden for Basic-tjenesten med MFA til $ 2, 40 per bruker. For det andre kan du velge å bare aktivere MFA for en undergruppe av brukerbasen din, og potensielt spare et betydelig beløp hver måned.

Azure AD dekker de fleste kjernefunksjonene du bør se etter i en IDaaS-leverandør. Det bringer til tabellen noen verktøy på bedriftsnivå du forventer av et selskap som Microsoft. Funksjoner som Application Proxy og Identity Protection er blant de beste i klassen, eller ganske enkelt har ingen konkurranse. Prisene er veldig konkurransedyktige, og integrasjonen med Office 365 og andre Microsoft-produkter og -tjenester er solid og i stadig utvikling. Azure AD blir medlem av Okta Identity Management som et redaktørens valg i IDaaS-kategorien.