De positie van Microsoft in de wereld van enterprise en cloud computing is zowel dominant als goed gedocumenteerd: het biedt een aantal van 's werelds populairste besturingssystemen, bedrijfstoepassingen en cloudservices.
Vanuit dit gezichtspunt is Microsoft uniek gepositioneerd om een ??uitgebreide suite voor identiteitsbeheer (IDM) te bieden, die ze aanbieden in de vorm van Azure Active Directory (Azure AD).
Dankzij de nauwe integratie met de rest van zijn softwaresuite, compatibiliteit met een groot aantal apps en bronnen van derden, en een uitstekende onderliggende beveiligingsarchitectuur, verdient Azure Active Directory onze Editors 'Choice-prijs in deze categorie, samen met concurrent Okta Identiteitsbeheer.
Serviceniveaus en prijzen
Een gebied waar Microsoft blijkbaar nooit de leiding zal nemen, is de transparante en gemakkelijk te begrijpen prijsstelling.
Azure AD heeft de prijsstructuur opnieuw geschud en is nu beschikbaar in 3 verschillende prijsniveaus.
De gratis laag ondersteunt maximaal een half miljoen objecten (gebruikers, groepen, enz.), Single sign-on (SSO) in maximaal 10 cloudapplicaties, integratie met een bestaande directory of identiteitsopslag via synchronisatie of federatie, selfservice-wachtwoord wijziging voor cloudgebruikers, op mobiele apps gebaseerde multifactor-authenticatie (MFA) en ondersteuning voor gastgebruikers.
Klanten van ondernemingslagen van het Office 365-platform van Microsoft (E1, E3, E5 of F1) krijgen gratis een paar extra voordelen van Azure AD, waaronder selfservice voor het opnieuw instellen van wachtwoorden (voor verloren of vergeten wachtwoorden) en een serviceniveau-overeenkomst (SLA) ).
De Premium P1- en P2-prijsniveaus zijn beschikbaar voor $ 6 en $ 9 per maand per gebruiker en bieden een scala aan tools om te integreren met lokale Active Directory-omgevingen.
Azure AD P1 en P2 bieden beide de mogelijkheid om het gebruik van bepaalde wachtwoorden binnen zowel uw cloudidentiteiten als op Active Directory gebaseerde accounts te voorkomen, evenals de mogelijkheid voor on-premises Active Directory-gebruikers om algemene accountacties te beheren (wachtwoord opnieuw instellen / wijzigen , account ontgrendelen) via selfservice.
Oplossingen zoals Microsoft Cloud App Discovery, Azure AD-deelname en toepassingsproxy, evenals tal van beheerfuncties zoals dynamische groepen en beveiligingstools zoals voorwaardelijke toegang zijn ook ingeschakeld voor abonnees met een premium serviceniveau.
Premium P2-abonnees krijgen toegang tot aanvullende beveiligingsmogelijkheden, zoals detectie van kwetsbaarheden en risicovolle accounts, op risico gebaseerde voorwaardelijke toegang, privileged identity management en rechtenbeheer.
Beginnen
Zodra u de prijs niet begrijpt, blijkt dat Azure AD een van de eenvoudigste en meest flexibele methoden biedt voor integratie met een bestaande Active Directory-omgeving in de vorm van Azure AD Connect.
Azure AD Connect synchroniseert objecten van Active Directory naar Azure AD en vergemakkelijkt verificatie via wachtwoord-hash-synchronisatie, pass-through-verificatie of federatie met behulp van Active Directory Federation Services (AD FS).
Elk van deze methoden heeft zijn eigen voor- en nadelen, variërend van beveiliging tot veerkracht tot configuratiecomplexiteit, maar het belangrijkste is dat u over de flexibiliteit beschikt om verschillende methoden in te schakelen op basis van zakelijke prioriteiten.
Het installeren en configureren van Azure AD Connect is vergelijkbaar met andere tools die worden aangeboden door Okta en Idaptive en omvat de installatie van de softwareagent, het configureren van de verbinding met de Azure AD-service en de lokale directory, en optioneel het aanpassen van instellingen voor hoe identiteitssynchronisatie en authenticatie worden afgehandeld.
Enkele belangrijke instellingen, afgezien van de eerder genoemde authenticatiemethoden, omvatten zaken als het beperken van welke identiteiten binnen Active Directory moeten worden gesynchroniseerd (gespecificeerd door zowel het bereik van de te synchroniseren domeinstructuur te beperken als het gebruik van groepen om de synchronisatie te beperken).
Te synchroniseren kenmerken kunnen ook worden aangepast en beperkt met behulp van Azure AD Connect.
Het inschakelen van SSO-verificatie voor cloudtoepassingen vanuit Azure AD is vergelijkbaar met andere platforms die we hebben getest, met een applicatiecatalogus die u stap voor stap door het configuratieproces leidt.
Een van de voordelen die Azure AD biedt, is de mogelijkheid om verificatiefouten in te plakken en de service het probleem voor u te laten oplossen of advies te geven over de hoofdoorzaak.
Dit kan een groot pluspunt zijn voor het oplossen van verificatiefouten tussen Azure AD en kritieke bedrijfstoepassingen.
Cloudverificatie beveiligen
Identiteitsbeheer heeft alles te maken met het verbeteren van de beveiligingshouding van uw bedrijf, en er zijn verschillende mogelijkheden die Azure AD en andere IDM's bieden om dit mogelijk te maken.
Het uiteindelijke doel voor veel beveiligingsmanagers is om MFA mogelijk te maken in cloudtoepassingen, of zelfs on-premises bronnen zoals toepassingen, virtuele privénetwerken (VPN's) of zelfs zakelijke desktops.
MFA is zeker een nobel doel, zeer haalbaar en verbetert ongetwijfeld uw algehele beveiligingshouding, maar het is slechts één onderdeel van een succesvolle IDM-strategie.
Zodra uw identiteiten beschikbaar zijn gemaakt voor Azure AD en u een of meer toepassingen hebt geconfigureerd voor verificatie, is de volgende grote stap het configureren van beleid voor voorwaardelijke toegang.
Een beleid voor voorwaardelijke toegang is gericht op een reeks gebruikers of groepen, een selectie van cloudapplicaties en de voorwaarden waarop het beleid van toepassing is.
Zodra het beleidsbereik is ingesteld, is de volgende stap om te definiëren wat er gebeurt wanneer een poging tot gebruikersauthenticatie overeenkomt met de criteria.
Azure AD biedt de mogelijkheid om niet alleen specifieke verificatiefactoren af ??te dwingen (of de poging in bepaalde scenario's te weigeren), maar u kunt ook een beleid configureren dat uitsluitend bedoeld is voor de rapportmodus, waarmee u eenvoudig verificatiepogingen kunt controleren die u mogelijk riskant of verdacht vindt.
Voorwaardelijke toegang vereist een premium-licentie, waarbij Office 365- en gratis-tier-klanten worden gedegradeerd naar een configuratie die bekend staat als beveiligingsstandaards, die MFA-inschrijving en authenticatie vereist voor een vooraf gedefinieerde reeks voorwaarden.
IDM-suites werken het beste als ze deel uitmaken van een grotere zakelijke beveiligingsinfrastructuur.
Met name een MDM-suite (Mobile Device Management) is een ander belangrijk onderdeel dat goed samengaat met uw IDM.
Azure AD ondersteunt integratie met zowel Microsoft Intune als een verscheidenheid aan MDM-oplossingen van derden, zoals VMware AirWatch door VMWare en Microsoft's eigen Intune.
Zodra een MDM is gekoppeld, kunt u apparaatconformiteit gebruiken in uw beleid voor voorwaardelijke toegang, bijvoorbeeld door MFA alleen te vereisen als een apparaat niet compatibel is.
Gecompromitteerde identiteiten zijn moeilijk te identificeren voordat een aanval wordt geïdentificeerd zonder dat daarvoor een tooling is ontwikkeld.
Verschillende van de IDM-suites die we hebben beoordeeld, bieden een risicoscore op basis van authenticatiegedrag, geschiedenis van wachtwoordwijzigingen, MFA-inschrijving en in sommige gevallen het bestaan ??van een gebruiker in een database met gecompromitteerde identiteiten.
Azure AD gaat nog een stap verder door automatische herstelstappen te ondersteunen in de vorm van geblokkeerde toegang of door een wachtwoordwijziging te vereisen als bepaalde risiconiveaus worden bereikt.
Een andere veel voorkomende bedreigingsvector is afkomstig van gebruikers die op legitieme wijze bepaalde toegang hebben gekregen, hetzij in de vorm van gebruikers die van rol zijn veranderd binnen een organisatie of ontevreden werknemers die het bedrijf hebben verlaten.
Het intrekken van gebruikerstoegang maakt deel uit van een controlelijst voor out-processing bij veel organisaties, en bij gebruikers die van afdeling of rol veranderen, kijkt doorgaans iemand naar hun rechten, maar bedrijfsprocessen hebben verschillende slagingspercentages, waardoor een gebruiker machtigingen kan behouden voor bronnen die zij hebben geen bedrijf toegang tot.
De reeks hulpprogramma's voor identiteitsbeheer van Azure AD ondersteunen zowel rechtenbeheer als toegangsbeoordelingen, die beide het beheer van gebruikersrechten van beheerders naar een supervisor of andere verantwoordelijke partij vergemakkelijken.
In het bijzonder kunnen toegangsbeoordelingen de supervisor periodiek vragen om de gebruikers te valideren die toegang hebben tot bronnen waarvan ze eigenaar zijn.
Voor bronnen die bijzonder gevoelig zijn, kunt u de gebruikerstoegang tot deze toepassingen zelfs laten intrekken als de recensent niet reageert op de toegangsbeoordeling.
Goed afgerond en strak geïntegreerd
Over het algemeen blijft Microsoft Azure AD vooraan houden in het identiteitsbeheerpakket, vooral als u al een Microsoft Azure-klant bent.
In combinatie met een bestaande infrastructuur die draait op Microsoft-platforms zoals Intune en Office 365, is het moeilijk om niet te genieten van wat Microsoft op tafel brengt voor het beheren en beveiligen van uw bedrijf.
Microsoft Azure Active Directory
Voordelen
Eenvoudige directory-verbinding die binnen enkele minuten kan worden voltooid
Integreert naadloos met MFA- en MDM-providers van derden
Identiteitsbeheer kan IT-middelen vrijmaken door periodieke toezichtsbeoordelingen te automatiseren
Dezelfde admin-portal voor bestaande Azure-klanten
Bekijk meer
Het komt neer op
Microsoft is een krachtige speler op het gebied van cloudservices en Azure AD heeft de mogelijkheid om identiteiten en authenticatie in uw hele bedrijfsinfrastructuur te beveiligen zonder de overhead van het beheer aanzienlijk te beïnvloeden, vooral als u al in het Microsoft-cloudplatform hebt geïnvesteerd.
Microsoft Azure Active Directory-specificaties
Door de gebruiker aanpasbare SSO-portal
Ja
Selfservice voor gebruikers
Ja
Meerdere SSO-beleidsregels
Ja
Wachtwoordsynchronisatie
Ja
SaaS-inrichting
Ja
Directory-connector
Ja
Meerdere directory-integratie
Ja
Authenticatie voor lokale apps
Ja
Externe multifactor-providers
Nee
MDM-integratie van derden
Ja
Rapportbibliotheek
Ja
De positie van Microsoft in de wereld van enterprise en cloud computing is zowel dominant als goed gedocumenteerd: het biedt een aantal van 's werelds populairste besturingssystemen, bedrijfstoepassingen en cloudservices.
Vanuit dit gezichtspunt is Microsoft uniek gepositioneerd om een ??uitgebreide suite voor identiteitsbeheer (IDM) te bieden, die ze aanbieden in de vorm van Azure Active Directory (Azure AD).
Dankzij de nauwe integratie met de rest van zijn softwaresuite, compatibiliteit met een groot aantal apps en bronnen van derden, en een uitstekende onderliggende beveiligingsarchitectuur, verdient Azure Active Directory onze Editors 'Choice-prijs in deze categorie, samen met concurrent Okta Identiteitsbeheer.
Serviceniveaus en prijzen
Een gebied waar Microsoft blijkbaar nooit de leiding zal nemen, is de transparante en gemakkelijk te begrijpen prijsstelling.
Azure AD heeft de prijsstructuur opnieuw geschud en is nu beschikbaar in 3 verschillende prijsniveaus.
De gratis laag ondersteunt maximaal een half miljoen objecten (gebruikers, groepen, enz.), Single sign-on (SSO) in maximaal 10 cloudapplicaties, integratie met een bestaande directory of identiteitsopslag via synchronisatie of federatie, selfservice-wachtwoord wijziging voor cloudgebruikers, op mobiele apps gebaseerde multifactor-authenticatie (MFA) en ondersteuning voor gastgebruikers.
Klanten van ondernemingslagen van het Office 365-platform van Microsoft (E1, E3, E5 of F1) krijgen gratis een paar extra voordelen van Azure AD, waaronder selfservice voor het opnieuw instellen van wachtwoorden (voor verloren of vergeten wachtwoorden) en een serviceniveau-overeenkomst (SLA) ).
De Premium P1- en P2-prijsniveaus zijn beschikbaar voor $ 6 en $ 9 per maand per gebruiker en bieden een scala aan tools om te integreren met lokale Active Directory-omgevingen.
Azure AD P1 en P2 bieden beide de mogelijkheid om het gebruik van bepaalde wachtwoorden binnen zowel uw cloudidentiteiten als op Active Directory gebaseerde accounts te voorkomen, evenals de mogelijkheid voor on-premises Active Directory-gebruikers om algemene accountacties te beheren (wachtwoord opnieuw instellen / wijzigen , account ontgrendelen) via selfservice.
Oplossingen zoals Microsoft Cloud App Discovery, Azure AD-deelname en toepassingsproxy, evenals tal van beheerfuncties zoals dynamische groepen en beveiligingstools zoals voorwaardelijke toegang zijn ook ingeschakeld voor abonnees met een premium serviceniveau.
Premium P2-abonnees krijgen toegang tot aanvullende beveiligingsmogelijkheden, zoals detectie van kwetsbaarheden en risicovolle accounts, op risico gebaseerde voorwaardelijke toegang, privileged identity management en rechtenbeheer.
Beginnen
Zodra u de prijs niet begrijpt, blijkt dat Azure AD een van de eenvoudigste en meest flexibele methoden biedt voor integratie met een bestaande Active Directory-omgeving in de vorm van Azure AD Connect.
Azure AD Connect synchroniseert objecten van Active Directory naar Azure AD en vergemakkelijkt verificatie via wachtwoord-hash-synchronisatie, pass-through-verificatie of federatie met behulp van Active Directory Federation Services (AD FS).
Elk van deze methoden heeft zijn eigen voor- en nadelen, variërend van beveiliging tot veerkracht tot configuratiecomplexiteit, maar het belangrijkste is dat u over de flexibiliteit beschikt om verschillende methoden in te schakelen op basis van zakelijke prioriteiten.
Het installeren en configureren van Azure AD Connect is vergelijkbaar met andere tools die worden aangeboden door Okta en Idaptive en omvat de installatie van de softwareagent, het configureren van de verbinding met de Azure AD-service en de lokale directory, en optioneel het aanpassen van instellingen voor hoe identiteitssynchronisatie en authenticatie worden afgehandeld.
Enkele belangrijke instellingen, afgezien van de eerder genoemde authenticatiemethoden, omvatten zaken als het beperken van welke identiteiten binnen Active Directory moeten worden gesynchroniseerd (gespecificeerd door zowel het bereik van de te synchroniseren domeinstructuur te beperken als het gebruik van groepen om de synchronisatie te beperken).
Te synchroniseren kenmerken kunnen ook worden aangepast en beperkt met behulp van Azure AD Connect.
Het inschakelen van SSO-verificatie voor cloudtoepassingen vanuit Azure AD is vergelijkbaar met andere platforms die we hebben getest, met een applicatiecatalogus die u stap voor stap door het configuratieproces leidt.
Een van de voordelen die Azure AD biedt, is de mogelijkheid om verificatiefouten in te plakken en de service het probleem voor u te laten oplossen of advies te geven over de hoofdoorzaak.
Dit kan een groot pluspunt zijn voor het oplossen van verificatiefouten tussen Azure AD en kritieke bedrijfstoepassingen.
Cloudverificatie beveiligen
Identiteitsbeheer heeft alles te maken met het verbeteren van de beveiligingshouding van uw bedrijf, en er zijn verschillende mogelijkheden die Azure AD en andere IDM's bieden om dit mogelijk te maken.
Het uiteindelijke doel voor veel beveiligingsmanagers is om MFA mogelijk te maken in cloudtoepassingen, of zelfs on-premises bronnen zoals toepassingen, virtuele privénetwerken (VPN's) of zelfs zakelijke desktops.
MFA is zeker een nobel doel, zeer haalbaar en verbetert ongetwijfeld uw algehele beveiligingshouding, maar het is slechts één onderdeel van een succesvolle IDM-strategie.
Zodra uw identiteiten beschikbaar zijn gemaakt voor Azure AD en u een of meer toepassingen hebt geconfigureerd voor verificatie, is de volgende grote stap het configureren van beleid voor voorwaardelijke toegang.
Een beleid voor voorwaardelijke toegang is gericht op een reeks gebruikers of groepen, een selectie van cloudapplicaties en de voorwaarden waarop het beleid van toepassing is.
Zodra het beleidsbereik is ingesteld, is de volgende stap om te definiëren wat er gebeurt wanneer een poging tot gebruikersauthenticatie overeenkomt met de criteria.
Azure AD biedt de mogelijkheid om niet alleen specifieke verificatiefactoren af ??te dwingen (of de poging in bepaalde scenario's te weigeren), maar u kunt ook een beleid configureren dat uitsluitend bedoeld is voor de rapportmodus, waarmee u eenvoudig verificatiepogingen kunt controleren die u mogelijk riskant of verdacht vindt.
Voorwaardelijke toegang vereist een premium-licentie, waarbij Office 365- en gratis-tier-klanten worden gedegradeerd naar een configuratie die bekend staat als beveiligingsstandaards, die MFA-inschrijving en authenticatie vereist voor een vooraf gedefinieerde reeks voorwaarden.
IDM-suites werken het beste als ze deel uitmaken van een grotere zakelijke beveiligingsinfrastructuur.
Met name een MDM-suite (Mobile Device Management) is een ander belangrijk onderdeel dat goed samengaat met uw IDM.
Azure AD ondersteunt integratie met zowel Microsoft Intune als een verscheidenheid aan MDM-oplossingen van derden, zoals VMware AirWatch door VMWare en Microsoft's eigen Intune.
Zodra een MDM is gekoppeld, kunt u apparaatconformiteit gebruiken in uw beleid voor voorwaardelijke toegang, bijvoorbeeld door MFA alleen te vereisen als een apparaat niet compatibel is.
Gecompromitteerde identiteiten zijn moeilijk te identificeren voordat een aanval wordt geïdentificeerd zonder dat daarvoor een tooling is ontwikkeld.
Verschillende van de IDM-suites die we hebben beoordeeld, bieden een risicoscore op basis van authenticatiegedrag, geschiedenis van wachtwoordwijzigingen, MFA-inschrijving en in sommige gevallen het bestaan ??van een gebruiker in een database met gecompromitteerde identiteiten.
Azure AD gaat nog een stap verder door automatische herstelstappen te ondersteunen in de vorm van geblokkeerde toegang of door een wachtwoordwijziging te vereisen als bepaalde risiconiveaus worden bereikt.
Een andere veel voorkomende bedreigingsvector is afkomstig van gebruikers die op legitieme wijze bepaalde toegang hebben gekregen, hetzij in de vorm van gebruikers die van rol zijn veranderd binnen een organisatie of ontevreden werknemers die het bedrijf hebben verlaten.
Het intrekken van gebruikerstoegang maakt deel uit van een controlelijst voor out-processing bij veel organisaties, en bij gebruikers die van afdeling of rol veranderen, kijkt doorgaans iemand naar hun rechten, maar bedrijfsprocessen hebben verschillende slagingspercentages, waardoor een gebruiker machtigingen kan behouden voor bronnen die zij hebben geen bedrijf toegang tot.
De reeks hulpprogramma's voor identiteitsbeheer van Azure AD ondersteunen zowel rechtenbeheer als toegangsbeoordelingen, die beide het beheer van gebruikersrechten van beheerders naar een supervisor of andere verantwoordelijke partij vergemakkelijken.
In het bijzonder kunnen toegangsbeoordelingen de supervisor periodiek vragen om de gebruikers te valideren die toegang hebben tot bronnen waarvan ze eigenaar zijn.
Voor bronnen die bijzonder gevoelig zijn, kunt u de gebruikerstoegang tot deze toepassingen zelfs laten intrekken als de recensent niet reageert op de toegangsbeoordeling.
Goed afgerond en strak geïntegreerd
Over het algemeen blijft Microsoft Azure AD vooraan houden in het identiteitsbeheerpakket, vooral als u al een Microsoft Azure-klant bent.
In combinatie met een bestaande infrastructuur die draait op Microsoft-platforms zoals Intune en Office 365, is het moeilijk om niet te genieten van wat Microsoft op tafel brengt voor het beheren en beveiligen van uw bedrijf.
Microsoft Azure Active Directory
Voordelen
Eenvoudige directory-verbinding die binnen enkele minuten kan worden voltooid
Integreert naadloos met MFA- en MDM-providers van derden
Identiteitsbeheer kan IT-middelen vrijmaken door periodieke toezichtsbeoordelingen te automatiseren
Dezelfde admin-portal voor bestaande Azure-klanten
Bekijk meer
Het komt neer op
Microsoft is een krachtige speler op het gebied van cloudservices en Azure AD heeft de mogelijkheid om identiteiten en authenticatie in uw hele bedrijfsinfrastructuur te beveiligen zonder de overhead van het beheer aanzienlijk te beïnvloeden, vooral als u al in het Microsoft-cloudplatform hebt geïnvesteerd.
