Microsofti positsioon ettevõtete ja pilvandmetöötluse maailmas on nii domineeriv kui ka hästi dokumenteeritud: pakkudes mitmeid maailma populaarseimaid operatsioonisüsteeme, ettevõtte rakendusi ja pilveteenuseid.
Sellest vaatepunktist on Microsoftil ainulaadne positsioon pakkuda igakülgset identiteedi haldamise (IDM) komplekti, mida nad pakuvad Azure Active Directory (Azure AD) kujul.
Tugeva integreerimisega ülejäänud tarkvarakomplekti, ühilduvuse tohutu hulga kolmandate osapoolte rakenduste ja ressurssidega ning suurepärase aluseks oleva turvaarhitektuuriga teenib Azure Active Directory selles kategoorias meie redaktorite valiku auhinna koos konkurendi Okta Identiteedi haldamine.
Teenuse tasemed ja hinnakujundus
Üks valdkond, kuhu Microsoft kunagi ei juhi, on ilmselt läbipaistev ja hõlpsasti mõistetav hinnakujundus.
Azure AD on oma hinnastruktuuri uuesti segamini ajanud ja nüüd on see kolmes erinevas hinnatasemes.
Tasuta tase toetab kuni pool miljonit objekti (kasutajad, rühmad jne), ühekordse sisselogimise (SSO) kuni 10 pilverakendust, integreerimist olemasoleva kataloogi või identiteedipoega sünkroonimise või liitmise kaudu, iseteeninduse parooli muutus pilvekasutajate jaoks, mobiilirakenduspõhine mitmeteguriline autentimine (MFA) ja külalistele mõeldud kasutajate tugi.
Microsofti Office 365 platvormi (E1, E3, E5 või F1) ettevõtlustasandite kliendid saavad Azure AD free'ist mõned lisahüved, sealhulgas iseteeninduse parooli lähtestamine (kaotatud või unustatud paroolide jaoks) ja teenustaseme leping (SLA) ).
Premium P1 ja P2 hinnatasemed on saadaval 6 ja 9 dollari eest kuus kasutaja kohta ning pakuvad hulgaliselt tööriistu kohapealse Active Directory keskkonnaga integreerimiseks.
Mõlemad Azure AD P1 ja P2 pakuvad võimalust takistada teatud paroolide kasutamist nii teie pilveidentiteetides kui ka Active Directory-põhistel kontodel, samuti kohalike Active Directory kasutajate võimalust hallata tavalisi konto toiminguid (parooli lähtestamine / muutmine , konto avamine) iseteeninduse kaudu.
Lisatasu teenustasemele tellijatele on lubatud ka sellised lahendused nagu Microsoft Cloud App Discovery, Azure AD join ja rakenduse puhverserver, samuti haldusfunktsioonide nagu dünaamilised rühmad ja turbetööriistad, näiteks tingimusjuurdepääs.
Premium P2 tellijad saavad juurdepääsu täiendavatele turvavõimalustele, nagu haavatavuste ja riskantsete kontode tuvastamine, riskipõhine tingimusjuurdepääs, privilegeeritud identiteedi haldamine ja õiguste haldamine.
Alustamine
Kui teie mõte on hinnakujundusest aru saanud, selgub, et Azure AD pakub Azure AD Connecti näol üht lihtsamat ja paindlikumat meetodit olemasoleva Active Directory keskkonnaga integreerimiseks.
Azure AD Connect sünkroonib Active Directory objektid Azure AD-ks ja hõlbustab autentimist kas parooli räsimise sünkroonimise, läbipääsu autentimise või liitmise abil Active Directory föderatsiooniteenuste (AD FS) abil.
Kõigil nendel meetoditel on oma eelised ja puudused, mis ulatuvad turvalisusest elastsuse ja konfiguratsiooni keerukuse juurde, kuid peamine äravõtmisvõimalus on see, et teil on paindlikkus lubada erinevaid meetodeid, mis põhinevad ettevõtte prioriteetidel.
Azure AD Connecti installimine ja konfigureerimine sarnaneb muude Okta ja Idaptive'i sarnaste tööriistadega ning hõlmab tarkvaraagendi installimist, ühenduse konfigureerimist Azure AD-teenusega ja kohalikku kataloogi ning valikuliselt seadete kohandamist identiteedi sünkroonimise viiside jaoks ja autentimist.
Mõned peamised seaded, välja arvatud varem viidatud autentimismeetoditele, hõlmavad näiteks sünkroonitavate Active Directory identiteetide piiramist (määratletud nii sünkroonitava domeenistruktuuri ulatuse piiramise kui ka sünkroonimise piiramiseks rühmade abil).
Sünkroonitavaid atribuute võib Azure AD Connecti abil kohandada ja piirata.
SSO-autentimise lubamine pilverakendustele Azure AD-s on sarnane teiste testitud platvormidega koos rakenduste kataloogiga, mis juhendab teid konfiguratsiooniprotsessi järk-järgult.
Üks Azure AD pakutav oskus on võime kleepida autentimisvead ja lasta teenusel probleem teie eest lahendada või pakkuda juhiseid algpõhjuse kohta.
See võib olla Azure AD ja kriitiliste ärirakenduste vaheliste autentimisvigade tõrkeotsinguks suur pluss.
Pilveautentimise kindlustamine
Identiteedi haldamise eesmärk on ettevõtte turvaasendi parandamine ja selle hõlbustamiseks pakuvad Azure AD ja muud IDM-id mitut võimalust.
Paljude turbehaldurite lõppeesmärk on võimaldada makromajandusliku finantsabi pilverakendustesse või isegi kohapealsetesse ressurssidesse, näiteks rakendustesse, virtuaalsetesse privaatvõrkudesse (VPN) või isegi ärilaudadesse.
Makromajanduslik finantsabi on kindlasti üllas eesmärk, väga saavutatav ja parandab kahtlemata teie üldist turvaasendit, kuid see on vaid üks komponent edukas IDM-i strateegias.
Kui teie identiteedid on Azure AD-le kättesaadavaks tehtud ja teil on autentimiseks konfigureeritud üks või mitu rakendust, on järgmine suur samm tingimusjuurdepääsu poliitikate konfigureerimine.
Tingimusliku juurdepääsu poliitika sihib kasutajate või rühmade komplekti, valikut pilverakendusi ja tingimusi, millele poliitika kehtib.
Kui poliitika ulatus on määratud, on järgmine samm määratleda, mis juhtub, kui kasutaja autentimiskatse vastab kriteeriumidele.
Azure AD pakub võimalust mitte ainult jõustada konkreetseid autentimistegureid (või keelata katse teatud stsenaariumides), vaid saate konfigureerida poliitika rangelt ainult aruandlusrežiimi jaoks, mis võimaldab teil hõlpsalt kontrollida autentimist, mis võib teile osutuda riskantseks või kahtlaseks.
Tingimuslik juurdepääs nõuab lisatasu litsentsi, kusjuures Office 365 ja tasuta taseme kliendid viiakse turvalisuse vaikeväärtustena tuntud konfiguratsiooni, mis nõuab eelnevalt määratletud tingimuste jaoks MFA registreerimist ja autentimist.
IDM-sviidid toimivad kõige paremini siis, kui nad on osa suuremast ettevõtte turvalisuse infrastruktuurist.
Eelkõige on mobiilseadmete haldamise (MDM) komplekt veel üks võtmekomponent, mis sobib teie IDM-iga hästi.
Azure AD toetab integreerimist nii Microsofti Intune'i kui ka mitmete kolmandate osapoolte MDM-lahendustega, nagu VMware AirWatch by VMWare ja Microsofti enda Intune.
Kui MDM on seotud, saate oma tingimusjuurdepääsu eeskirjades kasutada seadme vastavust, näiteks nõudes MFA-d ainult siis, kui seade ei ühildu.
Rikutud identiteete on enne rünnaku tuvastamist ilma selleks loodud tööriistadeta raske tuvastada.
Mitmed IDM-i komplektid, mida oleme läbi vaadanud, pakuvad riskiskoori, mis põhineb autentimiskäitumisel, parooli muutmise ajalool, MFA registreerumisel ja mõnel juhul kasutaja olemasolul rikutud identiteetide andmebaasis.
Azure AD teeb selle sammu edasi, toetades automaatseid parandusetappe blokeeritud juurdepääsu vormis või nõudes parooli muutmist teatud riskitaseme saavutamisel.
Teine levinud ohuvektor pärineb kasutajatelt, kellele on õiguspäraselt antud teatud juurdepääs, kas kasutajate näol, kes on organisatsioonis rolle vahetanud või ettevõttest lahkunud rahulolematud töötajad.
Kasutaja juurdepääsu eemaldamine on paljude organisatsioonide osa töötlemata kontrollnimekirjast ja osakondi või rolle vahetavatel kasutajatel on tavaliselt keegi vaatamas nende õigusi, kuid äriprotsesside edukuse määr on erinev, mis võimaldab kasutajal säilitada õigusi ressurssidele kellel pole juurdepääsu omavat ettevõtet.
Azure AD identiteedi haldamise tööriistade komplekt toetab nii õiguste haldamist kui ka juurdepääsu ülevaatusi, mis mõlemad hõlbustavad kasutajaõiguste halduse allalaadimist administraatoritelt järelevaatajale või muule vastutavale osapoolele.
Eelkõige võivad juurdepääsukontrollid ajendada järelevaatajat perioodiliselt valideerima kasutajaid, kellel on juurdepääs neile kuuluvatele ressurssidele.
Eriti tundlike ressursside korral võite isegi lubada kasutajal juurdepääsu nendele rakendustele, kui ülevaataja ei vasta juurdepääsu ülevaatusele.
Hästi ümardatud ja tihedalt integreeritud
Üldiselt hoiab Microsoft jätkuvalt Azure AD-d identiteedihalduspaki esiküljel, eriti kui olete juba Microsofti Azure'i klient.
Koos olemasoleva infrastruktuuriga, mis töötab Microsofti platvormidel, nagu Intune ja Office 365, on raske mitte meeldida see, mida Microsoft teie ettevõtte haldamiseks ja turvalisuse tagamiseks tabelisse toob.
Microsoft Azure Active Directory
Plussid
Lihtne kataloogiühendus, mille saab luua mõne minutiga
Integreerub sujuvalt kolmandate osapoolte makromajandusliku finantsabi ja MDM-i pakkujatega
Identiteedi haldamine võib vabastada IT-ressursse, automatiseerides perioodilisi järelevalveülevaateid
Sama administraatori portaal olemasolevatele Azure'i klientidele
View More
Alumine rida
Microsoft on pilveteenuste võimsusemängija ning Azure AD suudab kogu ettevõtte infrastruktuuris identiteete ja autentimist kaitsta, ilma et see mõjutaks oluliselt halduse üldkulusid, eriti kui olete juba Microsofti pilveplatvormi investeerinud.
Microsoft Azure Active Directory spetsifikatsioonid
Kasutaja poolt kohandatav SSO portaal
Jah
Kasutaja iseteenindus
Jah
Mitu SSO-poliitikat
Jah
Parooli sünkroonimine
Jah
SaaS-i pakkumine
Jah
Kataloogi pistik
Jah
Mitme kataloogi integreerimine
Jah
Kohalike rakenduste autentimine
Jah
Kolmanda osapoole mitmetegurite pakkujad
Ei
Kolmanda osapoole MDM-i integreerimine
Jah
Teata raamatukogust
Jah
Microsofti positsioon ettevõtete ja pilvandmetöötluse maailmas on nii domineeriv kui ka hästi dokumenteeritud: pakkudes mitmeid maailma populaarseimaid operatsioonisüsteeme, ettevõtte rakendusi ja pilveteenuseid.
Sellest vaatepunktist on Microsoftil ainulaadne positsioon pakkuda igakülgset identiteedi haldamise (IDM) komplekti, mida nad pakuvad Azure Active Directory (Azure AD) kujul.
Tugeva integreerimisega ülejäänud tarkvarakomplekti, ühilduvuse tohutu hulga kolmandate osapoolte rakenduste ja ressurssidega ning suurepärase aluseks oleva turvaarhitektuuriga teenib Azure Active Directory selles kategoorias meie redaktorite valiku auhinna koos konkurendi Okta Identiteedi haldamine.
Teenuse tasemed ja hinnakujundus
Üks valdkond, kuhu Microsoft kunagi ei juhi, on ilmselt läbipaistev ja hõlpsasti mõistetav hinnakujundus.
Azure AD on oma hinnastruktuuri uuesti segamini ajanud ja nüüd on see kolmes erinevas hinnatasemes.
Tasuta tase toetab kuni pool miljonit objekti (kasutajad, rühmad jne), ühekordse sisselogimise (SSO) kuni 10 pilverakendust, integreerimist olemasoleva kataloogi või identiteedipoega sünkroonimise või liitmise kaudu, iseteeninduse parooli muutus pilvekasutajate jaoks, mobiilirakenduspõhine mitmeteguriline autentimine (MFA) ja külalistele mõeldud kasutajate tugi.
Microsofti Office 365 platvormi (E1, E3, E5 või F1) ettevõtlustasandite kliendid saavad Azure AD free'ist mõned lisahüved, sealhulgas iseteeninduse parooli lähtestamine (kaotatud või unustatud paroolide jaoks) ja teenustaseme leping (SLA) ).
Premium P1 ja P2 hinnatasemed on saadaval 6 ja 9 dollari eest kuus kasutaja kohta ning pakuvad hulgaliselt tööriistu kohapealse Active Directory keskkonnaga integreerimiseks.
Mõlemad Azure AD P1 ja P2 pakuvad võimalust takistada teatud paroolide kasutamist nii teie pilveidentiteetides kui ka Active Directory-põhistel kontodel, samuti kohalike Active Directory kasutajate võimalust hallata tavalisi konto toiminguid (parooli lähtestamine / muutmine , konto avamine) iseteeninduse kaudu.
Lisatasu teenustasemele tellijatele on lubatud ka sellised lahendused nagu Microsoft Cloud App Discovery, Azure AD join ja rakenduse puhverserver, samuti haldusfunktsioonide nagu dünaamilised rühmad ja turbetööriistad, näiteks tingimusjuurdepääs.
Premium P2 tellijad saavad juurdepääsu täiendavatele turvavõimalustele, nagu haavatavuste ja riskantsete kontode tuvastamine, riskipõhine tingimusjuurdepääs, privilegeeritud identiteedi haldamine ja õiguste haldamine.
Alustamine
Kui teie mõte on hinnakujundusest aru saanud, selgub, et Azure AD pakub Azure AD Connecti näol üht lihtsamat ja paindlikumat meetodit olemasoleva Active Directory keskkonnaga integreerimiseks.
Azure AD Connect sünkroonib Active Directory objektid Azure AD-ks ja hõlbustab autentimist kas parooli räsimise sünkroonimise, läbipääsu autentimise või liitmise abil Active Directory föderatsiooniteenuste (AD FS) abil.
Kõigil nendel meetoditel on oma eelised ja puudused, mis ulatuvad turvalisusest elastsuse ja konfiguratsiooni keerukuse juurde, kuid peamine äravõtmisvõimalus on see, et teil on paindlikkus lubada erinevaid meetodeid, mis põhinevad ettevõtte prioriteetidel.
Azure AD Connecti installimine ja konfigureerimine sarnaneb muude Okta ja Idaptive'i sarnaste tööriistadega ning hõlmab tarkvaraagendi installimist, ühenduse konfigureerimist Azure AD-teenusega ja kohalikku kataloogi ning valikuliselt seadete kohandamist identiteedi sünkroonimise viiside jaoks ja autentimist.
Mõned peamised seaded, välja arvatud varem viidatud autentimismeetoditele, hõlmavad näiteks sünkroonitavate Active Directory identiteetide piiramist (määratletud nii sünkroonitava domeenistruktuuri ulatuse piiramise kui ka sünkroonimise piiramiseks rühmade abil).
Sünkroonitavaid atribuute võib Azure AD Connecti abil kohandada ja piirata.
SSO-autentimise lubamine pilverakendustele Azure AD-s on sarnane teiste testitud platvormidega koos rakenduste kataloogiga, mis juhendab teid konfiguratsiooniprotsessi järk-järgult.
Üks Azure AD pakutav oskus on võime kleepida autentimisvead ja lasta teenusel probleem teie eest lahendada või pakkuda juhiseid algpõhjuse kohta.
See võib olla Azure AD ja kriitiliste ärirakenduste vaheliste autentimisvigade tõrkeotsinguks suur pluss.
Pilveautentimise kindlustamine
Identiteedi haldamise eesmärk on ettevõtte turvaasendi parandamine ja selle hõlbustamiseks pakuvad Azure AD ja muud IDM-id mitut võimalust.
Paljude turbehaldurite lõppeesmärk on võimaldada makromajandusliku finantsabi pilverakendustesse või isegi kohapealsetesse ressurssidesse, näiteks rakendustesse, virtuaalsetesse privaatvõrkudesse (VPN) või isegi ärilaudadesse.
Makromajanduslik finantsabi on kindlasti üllas eesmärk, väga saavutatav ja parandab kahtlemata teie üldist turvaasendit, kuid see on vaid üks komponent edukas IDM-i strateegias.
Kui teie identiteedid on Azure AD-le kättesaadavaks tehtud ja teil on autentimiseks konfigureeritud üks või mitu rakendust, on järgmine suur samm tingimusjuurdepääsu poliitikate konfigureerimine.
Tingimusliku juurdepääsu poliitika sihib kasutajate või rühmade komplekti, valikut pilverakendusi ja tingimusi, millele poliitika kehtib.
Kui poliitika ulatus on määratud, on järgmine samm määratleda, mis juhtub, kui kasutaja autentimiskatse vastab kriteeriumidele.
Azure AD pakub võimalust mitte ainult jõustada konkreetseid autentimistegureid (või keelata katse teatud stsenaariumides), vaid saate konfigureerida poliitika rangelt ainult aruandlusrežiimi jaoks, mis võimaldab teil hõlpsalt kontrollida autentimist, mis võib teile osutuda riskantseks või kahtlaseks.
Tingimuslik juurdepääs nõuab lisatasu litsentsi, kusjuures Office 365 ja tasuta taseme kliendid viiakse turvalisuse vaikeväärtustena tuntud konfiguratsiooni, mis nõuab eelnevalt määratletud tingimuste jaoks MFA registreerimist ja autentimist.
IDM-sviidid toimivad kõige paremini siis, kui nad on osa suuremast ettevõtte turvalisuse infrastruktuurist.
Eelkõige on mobiilseadmete haldamise (MDM) komplekt veel üks võtmekomponent, mis sobib teie IDM-iga hästi.
Azure AD toetab integreerimist nii Microsofti Intune'i kui ka mitmete kolmandate osapoolte MDM-lahendustega, nagu VMware AirWatch by VMWare ja Microsofti enda Intune.
Kui MDM on seotud, saate oma tingimusjuurdepääsu eeskirjades kasutada seadme vastavust, näiteks nõudes MFA-d ainult siis, kui seade ei ühildu.
Rikutud identiteete on enne rünnaku tuvastamist ilma selleks loodud tööriistadeta raske tuvastada.
Mitmed IDM-i komplektid, mida oleme läbi vaadanud, pakuvad riskiskoori, mis põhineb autentimiskäitumisel, parooli muutmise ajalool, MFA registreerumisel ja mõnel juhul kasutaja olemasolul rikutud identiteetide andmebaasis.
Azure AD teeb selle sammu edasi, toetades automaatseid parandusetappe blokeeritud juurdepääsu vormis või nõudes parooli muutmist teatud riskitaseme saavutamisel.
Teine levinud ohuvektor pärineb kasutajatelt, kellele on õiguspäraselt antud teatud juurdepääs, kas kasutajate näol, kes on organisatsioonis rolle vahetanud või ettevõttest lahkunud rahulolematud töötajad.
Kasutaja juurdepääsu eemaldamine on paljude organisatsioonide osa töötlemata kontrollnimekirjast ja osakondi või rolle vahetavatel kasutajatel on tavaliselt keegi vaatamas nende õigusi, kuid äriprotsesside edukuse määr on erinev, mis võimaldab kasutajal säilitada õigusi ressurssidele kellel pole juurdepääsu omavat ettevõtet.
Azure AD identiteedi haldamise tööriistade komplekt toetab nii õiguste haldamist kui ka juurdepääsu ülevaatusi, mis mõlemad hõlbustavad kasutajaõiguste halduse allalaadimist administraatoritelt järelevaatajale või muule vastutavale osapoolele.
Eelkõige võivad juurdepääsukontrollid ajendada järelevaatajat perioodiliselt valideerima kasutajaid, kellel on juurdepääs neile kuuluvatele ressurssidele.
Eriti tundlike ressursside korral võite isegi lubada kasutajal juurdepääsu nendele rakendustele, kui ülevaataja ei vasta juurdepääsu ülevaatusele.
Hästi ümardatud ja tihedalt integreeritud
Üldiselt hoiab Microsoft jätkuvalt Azure AD-d identiteedihalduspaki esiküljel, eriti kui olete juba Microsofti Azure'i klient.
Koos olemasoleva infrastruktuuriga, mis töötab Microsofti platvormidel, nagu Intune ja Office 365, on raske mitte meeldida see, mida Microsoft teie ettevõtte haldamiseks ja turvalisuse tagamiseks tabelisse toob.
Microsoft Azure Active Directory
Plussid
Lihtne kataloogiühendus, mille saab luua mõne minutiga
Integreerub sujuvalt kolmandate osapoolte makromajandusliku finantsabi ja MDM-i pakkujatega
Identiteedi haldamine võib vabastada IT-ressursse, automatiseerides perioodilisi järelevalveülevaateid
Sama administraatori portaal olemasolevatele Azure'i klientidele
View More
Alumine rida
Microsoft on pilveteenuste võimsusemängija ning Azure AD suudab kogu ettevõtte infrastruktuuris identiteete ja autentimist kaitsta, ilma et see mõjutaks oluliselt halduse üldkulusid, eriti kui olete juba Microsofti pilveplatvormi investeerinud.
Microsoft Azure Active Directory spetsifikatsioonid
