La posición de Microsoft en el mundo de la informática empresarial y en la nube es dominante y está bien documentada: ofrece varios de los sistemas operativos, aplicaciones empresariales y servicios en la nube más populares del mundo.
Desde este punto de vista, Microsoft se encuentra en una posición única para proporcionar una suite integral de administración de identidades (IDM), que ofrecen en forma de Azure Active Directory (Azure AD).
Con una estrecha integración con el resto de su paquete de software, compatibilidad con una gran cantidad de aplicaciones y recursos de terceros, así como una excelente arquitectura de seguridad subyacente, Azure Active Directory gana nuestro premio Editors 'Choice en esta categoría junto con su competidor, Okta.
Gestión de identidad.
Niveles de servicio y precios
Un área en la que Microsoft nunca liderará, aparentemente, es en los precios transparentes y fáciles de entender.
Azure AD ha reorganizado su estructura de precios una vez más y ahora viene en 3 niveles de precios distintos.
El nivel gratuito admite hasta medio millón de objetos (usuarios, grupos, etc.), inicio de sesión único (SSO) en hasta 10 aplicaciones en la nube, integración con un directorio o almacén de identidad existente mediante sincronización o federación, contraseña de autoservicio cambio para usuarios de la nube, autenticación multifactor (MFA) basada en aplicaciones móviles y soporte para usuarios invitados.
Los clientes de los niveles empresariales de la plataforma Office 365 de Microsoft (E1, E3, E5 o F1) obtienen algunos beneficios adicionales de Azure AD gratis, incluido el restablecimiento de contraseña de autoservicio (para contraseñas perdidas u olvidadas) y un acuerdo de nivel de servicio (SLA).
).
Los niveles de precios Premium P1 y P2 están disponibles por $ 6 y $ 9 mensuales por usuario y brindan una gran cantidad de herramientas para integrarse con entornos de Active Directory locales.
Azure AD P1 y P2 ofrecen la capacidad de evitar el uso de ciertas contraseñas tanto en sus identidades en la nube como en las cuentas basadas en Active Directory, así como la capacidad para que los usuarios locales de Active Directory administren acciones comunes de la cuenta (restablecimiento / cambio de contraseña , desbloqueo de cuenta) mediante autoservicio.
Las soluciones como Microsoft Cloud App Discovery, Azure AD join y proxy de aplicación, así como una gran cantidad de funciones de administración como grupos dinámicos y herramientas de seguridad como el acceso condicional, también están habilitadas para suscriptores a un nivel de servicio premium.
Los suscriptores de Premium P2 obtienen acceso a capacidades de seguridad adicionales, como la detección de vulnerabilidades y cuentas de riesgo, acceso condicional basado en riesgos, administración de identidades privilegiadas y administración de derechos.
Empezando
Una vez que su mente se aclara al comprender su precio, resulta que Azure AD ofrece uno de los métodos más simples y flexibles de integración con un entorno de Active Directory existente en la forma de Azure AD Connect.
Azure AD Connect sincroniza objetos de Active Directory en Azure AD y facilita la autenticación a través de la sincronización de hash de contraseña, la autenticación de paso a través o la federación mediante los servicios de federación de Active Directory (AD FS).
Cada uno de estos métodos tiene sus propios beneficios e inconvenientes que van desde la seguridad hasta la resistencia y la complejidad de la configuración, pero la conclusión clave es que tiene la flexibilidad para habilitar varios métodos según las prioridades comerciales.
La instalación y configuración de Azure AD Connect es similar a otras herramientas ofrecidas por empresas como Okta e Idaptive e implica la instalación del agente de software, la configuración de la conexión al servicio de Azure AD, así como el directorio local y, opcionalmente, la personalización de la configuración de cómo sincronizar la identidad.
y se maneja la autenticación.
Algunas configuraciones clave, además de los métodos de autenticación anteriormente aludidos, implican cosas como limitar qué identidades dentro de Active Directory sincronizar (especificadas mediante la limitación del alcance de la estructura del dominio que se sincronizará y el uso de grupos para limitar la sincronización).
Los atributos que se van a sincronizar también se pueden personalizar y limitar mediante Azure AD Connect.
Habilitar la autenticación SSO para aplicaciones en la nube desde Azure AD es similar a otras plataformas que hemos probado, con un catálogo de aplicaciones que lo guía a través del proceso de configuración paso a paso.
Un detalle que ofrece Azure AD es la capacidad de pegar errores de autenticación y hacer que el servicio resuelva el problema por usted u ofrecer orientación sobre la causa raíz.
Esto tiene el potencial de ser una gran ventaja para solucionar problemas de autenticación entre Azure AD y aplicaciones comerciales críticas.
Asegurar la autenticación en la nube
La administración de identidades se trata de mejorar su postura de seguridad corporativa, y existen varias capacidades que ofrecen Azure AD y otros IDM para facilitar esto.
El objetivo final de muchos gerentes de seguridad es habilitar MFA en aplicaciones en la nube, o incluso en recursos locales como aplicaciones, redes privadas virtuales (VPN) o incluso escritorios comerciales.
MFA es sin duda un objetivo noble, altamente alcanzable y, sin duda, mejora su postura de seguridad general, pero es solo un componente en una estrategia de IDM exitosa.
Una vez que sus identidades están disponibles para Azure AD y tiene una o más aplicaciones configuradas para la autenticación, el siguiente gran paso es configurar las políticas de acceso condicional.
Una política de acceso condicional se dirige a un conjunto de usuarios o grupos, una selección de aplicaciones en la nube y las condiciones a las que se aplica la política.
Una vez que se establece el alcance de la política, el siguiente paso es definir qué sucede cuando un intento de autenticación de usuario coincide con los criterios.
Azure AD ofrece la capacidad no solo de aplicar factores de autenticación específicos (o denegar el intento en ciertos escenarios), sino que puede configurar una política estrictamente para el modo de solo informe, lo que le permite auditar fácilmente los intentos de autenticación que puede encontrar riesgosos o sospechosos.
El acceso condicional requiere una licencia premium, con Office 365 y los clientes de nivel gratuito relegados a una configuración conocida como valores predeterminados de seguridad, que requiere la inscripción y autenticación MFA para un conjunto predefinido de condiciones.
Las suites IDM funcionan mejor cuando forman parte de una infraestructura de seguridad corporativa más grande.
En particular, una suite de administración de dispositivos móviles (MDM) es otro componente clave que se combina muy bien con su IDM.
Azure AD admite la integración con Microsoft Intune y una variedad de soluciones MDM de terceros, como VMware AirWatch de VMWare y el propio Intune de Microsoft.
Una vez que se asocia un MDM, puede aprovechar el cumplimiento del dispositivo en sus políticas de acceso condicional, por ejemplo, requiriendo MFA solo si un dispositivo no es compatible.
Las identidades comprometidas son difíciles de identificar antes de que se identifique un ataque sin las herramientas creadas para tal fin.
Varias de las suites de IDM que hemos revisado ofrecen una puntuación de riesgo basada en el comportamiento de autenticación, el historial de cambios de contraseña, la inscripción en MFA y, en algunos casos, la existencia de un usuario en una base de datos de identidades comprometidas.
Azure AD lleva esto un paso más allá al admitir pasos de corrección automatizados en forma de acceso bloqueado o requiriendo un cambio de contraseña si se alcanzan ciertos niveles de riesgo.
Otro vector de amenaza común proviene de los usuarios a los que se les ha otorgado cierto acceso legítimamente, ya sea en forma de usuarios que han cambiado de roles dentro de una organización o empleados descontentos que han dejado la empresa.
Desaprovisionar el acceso de los usuarios es parte de una lista de verificación de procesamiento externo en muchas organizaciones, y los usuarios que cambian de departamento o roles generalmente tienen a alguien que revisa sus derechos, pero los procesos comerciales tienen tasas de éxito variables que tienen el potencial de permitir que un usuario retenga los permisos sobre los recursos que no tengo derecho a acceder a.
El conjunto de herramientas de gobierno de identidad de Azure AD admite tanto la administración de derechos como las revisiones de acceso, las cuales facilitan la transferencia de la administración de derechos de usuario de los administradores a un supervisor u otra parte responsable.
En particular, las revisiones de acceso pueden solicitar periódicamente al supervisor que valide a los usuarios que tienen acceso a los recursos que poseen.
Para los recursos que son particularmente sensibles, puede incluso revocar el acceso de los usuarios a estas aplicaciones si el revisor no responde a la revisión de acceso.
Bien redondeado y bien integrado
En general, Microsoft continúa manteniendo Azure AD al frente del paquete de administración de identidades, especialmente si ya es cliente de Microsoft Azure.
Cuando se combina con la infraestructura existente que se ejecuta en plataformas de Microsoft como Intune y Office 365, es difícil que no le guste lo que Microsoft trae a la mesa para administrar y proteger su negocio.
Microsoft Azure Active Directory
Pros
Conexión de directorio sencilla que se puede completar en minutos
Se integra a la perfección con proveedores de MFA y MDM de terceros
El gobierno de la identidad puede liberar recursos de TI mediante la automatización de revisiones periódicas de supervisión
El mismo portal de administración para los clientes de Azure existentes
Ver más
La línea de fondo
Microsoft es un actor poderoso en los servicios en la nube, y Azure AD tiene la capacidad de proteger las identidades y la autenticación en toda su infraestructura corporativa sin afectar significativamente los gastos generales de administración, especialmente si ya ha invertido en la plataforma en la nube de Microsoft.
Especificaciones de Microsoft Azure Active Directory
Portal SSO personalizable por el usuario
sí
Autoservicio de usuario
sí
Varias políticas de SSO
sí
Sincronización de contraseña
sí
Aprovisionamiento de SaaS
sí
Conector de directorio
sí
Integración de múltiples directorios
sí
Autenticación para aplicaciones locales
sí
Proveedores de terceros de múltiples factores
No
Integración MDM de terceros
sí
Biblioteca de informes
sí
La posición de Microsoft en el mundo de la informática empresarial y en la nube es dominante y está bien documentada: ofrece varios de los sistemas operativos, aplicaciones empresariales y servicios en la nube más populares del mundo.
Desde este punto de vista, Microsoft se encuentra en una posición única para proporcionar una suite integral de administración de identidades (IDM), que ofrecen en forma de Azure Active Directory (Azure AD).
Con una estrecha integración con el resto de su paquete de software, compatibilidad con una gran cantidad de aplicaciones y recursos de terceros, así como una excelente arquitectura de seguridad subyacente, Azure Active Directory gana nuestro premio Editors 'Choice en esta categoría junto con su competidor, Okta.
Gestión de identidad.
Niveles de servicio y precios
Un área en la que Microsoft nunca liderará, aparentemente, es en los precios transparentes y fáciles de entender.
Azure AD ha reorganizado su estructura de precios una vez más y ahora viene en 3 niveles de precios distintos.
El nivel gratuito admite hasta medio millón de objetos (usuarios, grupos, etc.), inicio de sesión único (SSO) en hasta 10 aplicaciones en la nube, integración con un directorio o almacén de identidad existente mediante sincronización o federación, contraseña de autoservicio cambio para usuarios de la nube, autenticación multifactor (MFA) basada en aplicaciones móviles y soporte para usuarios invitados.
Los clientes de los niveles empresariales de la plataforma Office 365 de Microsoft (E1, E3, E5 o F1) obtienen algunos beneficios adicionales de Azure AD gratis, incluido el restablecimiento de contraseña de autoservicio (para contraseñas perdidas u olvidadas) y un acuerdo de nivel de servicio (SLA).
).
Los niveles de precios Premium P1 y P2 están disponibles por $ 6 y $ 9 mensuales por usuario y brindan una gran cantidad de herramientas para integrarse con entornos de Active Directory locales.
Azure AD P1 y P2 ofrecen la capacidad de evitar el uso de ciertas contraseñas tanto en sus identidades en la nube como en las cuentas basadas en Active Directory, así como la capacidad para que los usuarios locales de Active Directory administren acciones comunes de la cuenta (restablecimiento / cambio de contraseña , desbloqueo de cuenta) mediante autoservicio.
Las soluciones como Microsoft Cloud App Discovery, Azure AD join y proxy de aplicación, así como una gran cantidad de funciones de administración como grupos dinámicos y herramientas de seguridad como el acceso condicional, también están habilitadas para suscriptores a un nivel de servicio premium.
Los suscriptores de Premium P2 obtienen acceso a capacidades de seguridad adicionales, como la detección de vulnerabilidades y cuentas de riesgo, acceso condicional basado en riesgos, administración de identidades privilegiadas y administración de derechos.
Empezando
Una vez que su mente se aclara al comprender su precio, resulta que Azure AD ofrece uno de los métodos más simples y flexibles de integración con un entorno de Active Directory existente en la forma de Azure AD Connect.
Azure AD Connect sincroniza objetos de Active Directory en Azure AD y facilita la autenticación a través de la sincronización de hash de contraseña, la autenticación de paso a través o la federación mediante los servicios de federación de Active Directory (AD FS).
Cada uno de estos métodos tiene sus propios beneficios e inconvenientes que van desde la seguridad hasta la resistencia y la complejidad de la configuración, pero la conclusión clave es que tiene la flexibilidad para habilitar varios métodos según las prioridades comerciales.
La instalación y configuración de Azure AD Connect es similar a otras herramientas ofrecidas por empresas como Okta e Idaptive e implica la instalación del agente de software, la configuración de la conexión al servicio de Azure AD, así como el directorio local y, opcionalmente, la personalización de la configuración de cómo sincronizar la identidad.
y se maneja la autenticación.
Algunas configuraciones clave, además de los métodos de autenticación anteriormente aludidos, implican cosas como limitar qué identidades dentro de Active Directory sincronizar (especificadas mediante la limitación del alcance de la estructura del dominio que se sincronizará y el uso de grupos para limitar la sincronización).
Los atributos que se van a sincronizar también se pueden personalizar y limitar mediante Azure AD Connect.
Habilitar la autenticación SSO para aplicaciones en la nube desde Azure AD es similar a otras plataformas que hemos probado, con un catálogo de aplicaciones que lo guía a través del proceso de configuración paso a paso.
Un detalle que ofrece Azure AD es la capacidad de pegar errores de autenticación y hacer que el servicio resuelva el problema por usted u ofrecer orientación sobre la causa raíz.
Esto tiene el potencial de ser una gran ventaja para solucionar problemas de autenticación entre Azure AD y aplicaciones comerciales críticas.
Asegurar la autenticación en la nube
La administración de identidades se trata de mejorar su postura de seguridad corporativa, y existen varias capacidades que ofrecen Azure AD y otros IDM para facilitar esto.
El objetivo final de muchos gerentes de seguridad es habilitar MFA en aplicaciones en la nube, o incluso en recursos locales como aplicaciones, redes privadas virtuales (VPN) o incluso escritorios comerciales.
MFA es sin duda un objetivo noble, altamente alcanzable y, sin duda, mejora su postura de seguridad general, pero es solo un componente en una estrategia de IDM exitosa.
Una vez que sus identidades están disponibles para Azure AD y tiene una o más aplicaciones configuradas para la autenticación, el siguiente gran paso es configurar las políticas de acceso condicional.
Una política de acceso condicional se dirige a un conjunto de usuarios o grupos, una selección de aplicaciones en la nube y las condiciones a las que se aplica la política.
Una vez que se establece el alcance de la política, el siguiente paso es definir qué sucede cuando un intento de autenticación de usuario coincide con los criterios.
Azure AD ofrece la capacidad no solo de aplicar factores de autenticación específicos (o denegar el intento en ciertos escenarios), sino que puede configurar una política estrictamente para el modo de solo informe, lo que le permite auditar fácilmente los intentos de autenticación que puede encontrar riesgosos o sospechosos.
El acceso condicional requiere una licencia premium, con Office 365 y los clientes de nivel gratuito relegados a una configuración conocida como valores predeterminados de seguridad, que requiere la inscripción y autenticación MFA para un conjunto predefinido de condiciones.
Las suites IDM funcionan mejor cuando forman parte de una infraestructura de seguridad corporativa más grande.
En particular, una suite de administración de dispositivos móviles (MDM) es otro componente clave que se combina muy bien con su IDM.
Azure AD admite la integración con Microsoft Intune y una variedad de soluciones MDM de terceros, como VMware AirWatch de VMWare y el propio Intune de Microsoft.
Una vez que se asocia un MDM, puede aprovechar el cumplimiento del dispositivo en sus políticas de acceso condicional, por ejemplo, requiriendo MFA solo si un dispositivo no es compatible.
Las identidades comprometidas son difíciles de identificar antes de que se identifique un ataque sin las herramientas creadas para tal fin.
Varias de las suites de IDM que hemos revisado ofrecen una puntuación de riesgo basada en el comportamiento de autenticación, el historial de cambios de contraseña, la inscripción en MFA y, en algunos casos, la existencia de un usuario en una base de datos de identidades comprometidas.
Azure AD lleva esto un paso más allá al admitir pasos de corrección automatizados en forma de acceso bloqueado o requiriendo un cambio de contraseña si se alcanzan ciertos niveles de riesgo.
Otro vector de amenaza común proviene de los usuarios a los que se les ha otorgado cierto acceso legítimamente, ya sea en forma de usuarios que han cambiado de roles dentro de una organización o empleados descontentos que han dejado la empresa.
Desaprovisionar el acceso de los usuarios es parte de una lista de verificación de procesamiento externo en muchas organizaciones, y los usuarios que cambian de departamento o roles generalmente tienen a alguien que revisa sus derechos, pero los procesos comerciales tienen tasas de éxito variables que tienen el potencial de permitir que un usuario retenga los permisos sobre los recursos que no tengo derecho a acceder a.
El conjunto de herramientas de gobierno de identidad de Azure AD admite tanto la administración de derechos como las revisiones de acceso, las cuales facilitan la transferencia de la administración de derechos de usuario de los administradores a un supervisor u otra parte responsable.
En particular, las revisiones de acceso pueden solicitar periódicamente al supervisor que valide a los usuarios que tienen acceso a los recursos que poseen.
Para los recursos que son particularmente sensibles, puede incluso revocar el acceso de los usuarios a estas aplicaciones si el revisor no responde a la revisión de acceso.
Bien redondeado y bien integrado
En general, Microsoft continúa manteniendo Azure AD al frente del paquete de administración de identidades, especialmente si ya es cliente de Microsoft Azure.
Cuando se combina con la infraestructura existente que se ejecuta en plataformas de Microsoft como Intune y Office 365, es difícil que no le guste lo que Microsoft trae a la mesa para administrar y proteger su negocio.
Microsoft Azure Active Directory
Pros
Conexión de directorio sencilla que se puede completar en minutos
Se integra a la perfección con proveedores de MFA y MDM de terceros
El gobierno de la identidad puede liberar recursos de TI mediante la automatización de revisiones periódicas de supervisión
El mismo portal de administración para los clientes de Azure existentes
Ver más
La línea de fondo
Microsoft es un actor poderoso en los servicios en la nube, y Azure AD tiene la capacidad de proteger las identidades y la autenticación en toda su infraestructura corporativa sin afectar significativamente los gastos generales de administración, especialmente si ya ha invertido en la plataforma en la nube de Microsoft.
Especificaciones de Microsoft Azure Active Directory
