Microsoftov položaj v svetu podjetništva in ra?unalništva v oblaku je tako prevladujo? kot dobro dokumentiran: ponuja ve? najbolj priljubljenih svetovnih operacijskih sistemov, poslovnih aplikacij in storitev v oblaku.
S tega vidika je Microsoft edinstveno pripravljen zagotavljati celovit paket za upravljanje identitet (IDM), ki ga ponuja v obliki Azure Active Directory (Azure AD).
S tesno integracijo v preostali del programske opreme, združljivostjo z velikim številom neodvisnih aplikacij in virov ter odli?no osnovno varnostno arhitekturo Azure Active Directory skupaj s konkurenco Okta v tej kategoriji zasluži nagrado Editors 'Choice Upravljanje identitete.
Ravni storitev in cene
Eno podro?je, na katerem Microsoft nikoli ne bo vodil, je o?itno pregledno in enostavno razumljivo oblikovanje cen.
Azure AD je še enkrat premešal svojo cenovno strukturo in je zdaj na voljo v treh razli?nih cenah.
Brezpla?na stopnja podpira do pol milijona predmetov (uporabniki, skupine itd.), Enotna prijava (SSO) v do 10 aplikacij v oblaku, integracija z obstoje?im imenikom ali shrambo identitet s sinhronizacijo ali združevanjem, samopostrežno geslo sprememba za uporabnike v oblaku, ve?faktorsko overjanje (MFA), ki temelji na mobilnih aplikacijah, in podpora za gostujo?e uporabnike.
Kupci poslovnih nivojev Microsoftove platforme Office 365 (E1, E3, E5 ali F1) lahko brezpla?no izkoristijo nekaj dodatnih ugodnosti Azure AD, vklju?no s samopostrežno ponastavitvijo gesla (za izgubljena ali pozabljena gesla) in sporazumom o ravni storitve (SLA ).
Cene Premium P1 in P2 so na voljo za 6 in 9 USD mese?no na uporabnika in ponujajo množico orodij za integracijo z lokalnimi okolji Active Directory.
Azure AD P1 in P2 ponujata možnost prepre?evanja uporabe nekaterih gesel znotraj identitet v oblaku in ra?unov, ki temeljijo na imeniku Active Directory, ter možnost, da lokalni uporabniki Active Directory upravljajo obi?ajna dejanja ra?una (ponastavitev / sprememba gesla , odklepanje ra?una) s samopostrežbo.
Rešitve, kot so Microsoft Cloud App Discovery, Azure AD join in proxy aplikacije, pa tudi številne funkcije upravljanja, kot so dinami?ne skupine, in varnostna orodja, kot je pogojni dostop, so na voljo tudi za naro?nike do najvišje ravni storitev.
Naro?niki Premium P2 dobijo dostop do dodatnih varnostnih zmogljivosti, kot so odkrivanje ranljivosti in tveganih ra?unov, pogojni dostop na podlagi tveganj, upravljanje privilegiranih identitet in upravljanje pravic.
Kako za?eti
Ko se vaš um o?isti razumevanja njegovih cen, se izkaže, da Azure AD ponuja eno najpreprostejših in najbolj prilagodljivih metod integracije z obstoje?im okoljem Active Directory v obliki Azure AD Connect.
Azure AD Connect sinhronizira predmete iz Active Directory v Azure AD in olajša preverjanje pristnosti bodisi s sinhronizacijo zgoš?enega gesla, posredovano overitvijo ali združevanjem z uporabo Active Directory Federation Services (AD FS).
Vsaka od teh metod ima svoje prednosti in pomanjkljivosti, ki segajo od varnosti, odpornosti do zapletenosti konfiguracije, vendar je klju?no, da lahko prilagodite razli?ne metode, ki temeljijo na poslovnih prioritetah.
Namestitev in konfiguracija Azure AD Connect je podobna drugim orodjem, ki jih ponujajo Okta in Idaptive, in vklju?uje namestitev programskega agenta, konfiguriranje povezave do storitve Azure AD in lokalnega imenika ter po želji prilagajanje nastavitev sinhronizacije identitete in preverjanje pristnosti.
Nekatere klju?ne nastavitve poleg prej omenjenih na?inov preverjanja pristnosti vklju?ujejo stvari, kot je omejevanje identitet znotraj Active Directory za sinhronizacijo (dolo?eno tako z omejevanjem obsega domenske strukture, ki jo je treba sinhronizirati, kot z uporabo skupin za omejitev sinhronizacije).
Atribute, ki jih je treba sinhronizirati, je mogo?e prilagoditi in omejiti z uporabo Azure AD Connect.
Omogo?anje overjanja SSO za aplikacije v oblaku znotraj Azure AD je podobno kot pri drugih platformah, ki smo jih preizkusili, s katalogom aplikacij, ki vas po korakih vodi skozi postopek konfiguracije.
Ena od zna?ilnosti, ki jo ponuja Azure AD, je zmožnost lepljenja napak pri preverjanju pristnosti in storitev bodisi odpravi težavo za vas bodisi ponudi smernice glede osnovnega vzroka.
To bi lahko pomenilo velik plus za odpravljanje napak pri preverjanju pristnosti med Azure AD in kriti?nimi poslovnimi aplikacijami.
Zaš?ita overjanja v oblaku
Upravljanje identitete je namenjeno izboljšanju vaše varnostne drže in Azure AD in drugi IDM-ji ponujajo ve? zmogljivosti, da to olajšajo.
Kon?ni cilj mnogih upravljavcev varnosti je omogo?iti MFA v obla?ne aplikacije ali celo v lokalne vire, kot so aplikacije, navidezna zasebna omrežja (VPN) ali celo poslovna namizja.
MVP je zagotovo plemenit cilj, zelo dosegljiv in nedvomno izboljšuje vašo splošno varnostno držo, vendar je le ena komponenta uspešne strategije IDM.
Ko so vaše identitete na voljo Azure AD in imate za preverjanje pristnosti konfigurirano eno ali ve? aplikacij, je naslednji velik korak konfiguriranje pravilnikov pogojnega dostopa.
Politika pogojnega dostopa cilja na nabor uporabnikov ali skupin, na izbor aplikacij v oblaku in na pogoje, za katere se politika uporablja.
Ko je podro?je politike nastavljeno, je naslednji korak dolo?iti, kaj se zgodi, ko poskus preverjanja pristnosti uporabnika ustreza merilom.
Azure AD ponuja možnost, da ne samo uveljavi dolo?ene dejavnike preverjanja pristnosti (ali zavrne poskus v nekaterih scenarijih), temve? lahko pravilnik konfigurirate strogo za na?in samo poro?ila, kar vam omogo?a enostavno preverjanje poskusov preverjanja pristnosti, ki se vam zdijo tvegani ali sumljivi.
Za pogojni dostop je potrebna premium licenca, pri ?emer so stranke storitve Office 365 in brezpla?ne stopnje preusmerjene v konfiguracijo, imenovano varnostne privzete vrednosti, ki zahteva vpis in preverjanje pristnosti MFA za vnaprej dolo?en niz pogojev.
Paketi IDM najbolje delujejo, ?e so del ve?je varnostne infrastrukture podjetja.
Zlasti paket za upravljanje mobilnih naprav (MDM) je še ena klju?na komponenta, ki se lepo ujema z vašim IDM.
Azure AD podpira integracijo z Microsoft Intune in razli?nimi neodvisnimi rešitvami MDM, kot sta VMware AirWatch by VMWare in Microsoftova lastna Intune.
Ko je MDM povezan, lahko v svojih pravilnikih pogojnega dostopa izkoristite skladnost naprave, na primer zahtevate MFA samo, ?e naprava ni skladna.
Ogrožene identitete je težko prepoznati, preden se napad prepozna, ne da bi bilo za to izdelano orodje.
Številni paketi IDM, ki smo jih pregledali, ponujajo oceno tveganja, ki temelji na vedenju pri preverjanju pristnosti, zgodovini sprememb gesla, v?lanitvi v MFA in v nekaterih primerih uporabnikovem obstoju v bazi ogroženih identitet.
Azure AD naredi ta korak naprej s podporo samodejnim korakom sanacije v obliki blokiranega dostopa ali zahteva spremembo gesla, ?e je dosežena dolo?ena stopnja tveganja.
Drug pogost vektor groženj prihaja od uporabnikov, ki jim je bil zakonito omogo?en dolo?en dostop, bodisi v obliki uporabnikov, ki so zamenjali vlogo v organizaciji ali nezadovoljnih zaposlenih, ki so zapustili podjetje.
Omejitev dostopa uporabnikov je del kontrolnega seznama, ki ne obdeluje ve? organizacij, in uporabniki, ki spreminjajo oddelke ali vloge, obi?ajno imajo nekoga, ki gleda na njihove pravice, vendar imajo poslovni procesi razli?ne stopnje uspešnosti, kar lahko uporabniku omogo?i, da ohrani dovoljenja za vire, ki jih ima.
nimajo dostopa do podjetja.
Zbirka orodij za upravljanje identitet Azure AD podpira upravljanje pravic in pregled dostopa, kar olajša razbremenitev upravljanja uporabniških pravic s skrbnikov na nadzornika ali drugo odgovorno stranko.
Zlasti pregledi dostopa lahko nadzornika ob?asno pozovejo, da preveri uporabnike, ki imajo dostop do virov, ki so v njihovi lasti.
Za posebej ob?utljive vire lahko celo prekli?ete uporabniški dostop do teh aplikacij, ?e se pregledovalec ne odzove na pregled dostopa.
Dobro zaokrožen in tesno integriran
Microsoft na splošno še naprej ohranja Azure AD na sprednji strani paketa za upravljanje identitet, še posebej, ?e ste že stranka Microsoft Azure.
V povezavi z obstoje?o infrastrukturo, ki se izvaja na Microsoftovih platformah, kot sta Intune in Office 365, je težko, da vam ni vše?, kaj Microsoft prinaša na mizo za upravljanje in zaš?ito vašega podjetja.
Microsoft Azure Active Directory
Prednosti
Neposredna imeniška povezava, ki jo je mogo?e kon?ati v nekaj minutah
Brezhibno se integrira s tretjimi ponudniki MFA in MDM
Upravljanje identitete lahko sprosti informacijske vire z avtomatizacijo periodi?nih nadzornih pregledov
Isti skrbniški portal za obstoje?e stranke Azure
Prikaži ve?
Spodnja ?rta
Microsoft je mo?an igralec v obla?nih storitvah, Azure AD pa lahko zaš?iti identitete in preverjanje pristnosti v celotni infrastrukturi podjetja, ne da bi to bistveno vplivalo na obremenitve upravljanja, še posebej, ?e že vlagate v platformo Microsoft Cloud.
Specifikacije Microsoft Azure Active Directory
Uporabniško prilagodljiv portal SSO
Da
Samopostrežba uporabnikov
Da
Ve? politik SSO
Da
Sinhronizacija gesla
Da
Zagotavljanje SaaS
Da
Povezava imenika
Da
Integracija ve? imenikov
Da
Preverjanje pristnosti aplikacij v prostorih
Da
Nezavisni ve?faktorski ponudniki
Ne
Integracija neodvisnih MDM
Da
Knjižnica poro?il
Da
Microsoftov položaj v svetu podjetništva in ra?unalništva v oblaku je tako prevladujo? kot dobro dokumentiran: ponuja ve? najbolj priljubljenih svetovnih operacijskih sistemov, poslovnih aplikacij in storitev v oblaku.
S tega vidika je Microsoft edinstveno pripravljen zagotavljati celovit paket za upravljanje identitet (IDM), ki ga ponuja v obliki Azure Active Directory (Azure AD).
S tesno integracijo v preostali del programske opreme, združljivostjo z velikim številom neodvisnih aplikacij in virov ter odli?no osnovno varnostno arhitekturo Azure Active Directory skupaj s konkurenco Okta v tej kategoriji zasluži nagrado Editors 'Choice Upravljanje identitete.
Ravni storitev in cene
Eno podro?je, na katerem Microsoft nikoli ne bo vodil, je o?itno pregledno in enostavno razumljivo oblikovanje cen.
Azure AD je še enkrat premešal svojo cenovno strukturo in je zdaj na voljo v treh razli?nih cenah.
Brezpla?na stopnja podpira do pol milijona predmetov (uporabniki, skupine itd.), Enotna prijava (SSO) v do 10 aplikacij v oblaku, integracija z obstoje?im imenikom ali shrambo identitet s sinhronizacijo ali združevanjem, samopostrežno geslo sprememba za uporabnike v oblaku, ve?faktorsko overjanje (MFA), ki temelji na mobilnih aplikacijah, in podpora za gostujo?e uporabnike.
Kupci poslovnih nivojev Microsoftove platforme Office 365 (E1, E3, E5 ali F1) lahko brezpla?no izkoristijo nekaj dodatnih ugodnosti Azure AD, vklju?no s samopostrežno ponastavitvijo gesla (za izgubljena ali pozabljena gesla) in sporazumom o ravni storitve (SLA ).
Cene Premium P1 in P2 so na voljo za 6 in 9 USD mese?no na uporabnika in ponujajo množico orodij za integracijo z lokalnimi okolji Active Directory.
Azure AD P1 in P2 ponujata možnost prepre?evanja uporabe nekaterih gesel znotraj identitet v oblaku in ra?unov, ki temeljijo na imeniku Active Directory, ter možnost, da lokalni uporabniki Active Directory upravljajo obi?ajna dejanja ra?una (ponastavitev / sprememba gesla , odklepanje ra?una) s samopostrežbo.
Rešitve, kot so Microsoft Cloud App Discovery, Azure AD join in proxy aplikacije, pa tudi številne funkcije upravljanja, kot so dinami?ne skupine, in varnostna orodja, kot je pogojni dostop, so na voljo tudi za naro?nike do najvišje ravni storitev.
Naro?niki Premium P2 dobijo dostop do dodatnih varnostnih zmogljivosti, kot so odkrivanje ranljivosti in tveganih ra?unov, pogojni dostop na podlagi tveganj, upravljanje privilegiranih identitet in upravljanje pravic.
Kako za?eti
Ko se vaš um o?isti razumevanja njegovih cen, se izkaže, da Azure AD ponuja eno najpreprostejših in najbolj prilagodljivih metod integracije z obstoje?im okoljem Active Directory v obliki Azure AD Connect.
Azure AD Connect sinhronizira predmete iz Active Directory v Azure AD in olajša preverjanje pristnosti bodisi s sinhronizacijo zgoš?enega gesla, posredovano overitvijo ali združevanjem z uporabo Active Directory Federation Services (AD FS).
Vsaka od teh metod ima svoje prednosti in pomanjkljivosti, ki segajo od varnosti, odpornosti do zapletenosti konfiguracije, vendar je klju?no, da lahko prilagodite razli?ne metode, ki temeljijo na poslovnih prioritetah.
Namestitev in konfiguracija Azure AD Connect je podobna drugim orodjem, ki jih ponujajo Okta in Idaptive, in vklju?uje namestitev programskega agenta, konfiguriranje povezave do storitve Azure AD in lokalnega imenika ter po želji prilagajanje nastavitev sinhronizacije identitete in preverjanje pristnosti.
Nekatere klju?ne nastavitve poleg prej omenjenih na?inov preverjanja pristnosti vklju?ujejo stvari, kot je omejevanje identitet znotraj Active Directory za sinhronizacijo (dolo?eno tako z omejevanjem obsega domenske strukture, ki jo je treba sinhronizirati, kot z uporabo skupin za omejitev sinhronizacije).
Atribute, ki jih je treba sinhronizirati, je mogo?e prilagoditi in omejiti z uporabo Azure AD Connect.
Omogo?anje overjanja SSO za aplikacije v oblaku znotraj Azure AD je podobno kot pri drugih platformah, ki smo jih preizkusili, s katalogom aplikacij, ki vas po korakih vodi skozi postopek konfiguracije.
Ena od zna?ilnosti, ki jo ponuja Azure AD, je zmožnost lepljenja napak pri preverjanju pristnosti in storitev bodisi odpravi težavo za vas bodisi ponudi smernice glede osnovnega vzroka.
To bi lahko pomenilo velik plus za odpravljanje napak pri preverjanju pristnosti med Azure AD in kriti?nimi poslovnimi aplikacijami.
Zaš?ita overjanja v oblaku
Upravljanje identitete je namenjeno izboljšanju vaše varnostne drže in Azure AD in drugi IDM-ji ponujajo ve? zmogljivosti, da to olajšajo.
Kon?ni cilj mnogih upravljavcev varnosti je omogo?iti MFA v obla?ne aplikacije ali celo v lokalne vire, kot so aplikacije, navidezna zasebna omrežja (VPN) ali celo poslovna namizja.
MVP je zagotovo plemenit cilj, zelo dosegljiv in nedvomno izboljšuje vašo splošno varnostno držo, vendar je le ena komponenta uspešne strategije IDM.
Ko so vaše identitete na voljo Azure AD in imate za preverjanje pristnosti konfigurirano eno ali ve? aplikacij, je naslednji velik korak konfiguriranje pravilnikov pogojnega dostopa.
Politika pogojnega dostopa cilja na nabor uporabnikov ali skupin, na izbor aplikacij v oblaku in na pogoje, za katere se politika uporablja.
Ko je podro?je politike nastavljeno, je naslednji korak dolo?iti, kaj se zgodi, ko poskus preverjanja pristnosti uporabnika ustreza merilom.
Azure AD ponuja možnost, da ne samo uveljavi dolo?ene dejavnike preverjanja pristnosti (ali zavrne poskus v nekaterih scenarijih), temve? lahko pravilnik konfigurirate strogo za na?in samo poro?ila, kar vam omogo?a enostavno preverjanje poskusov preverjanja pristnosti, ki se vam zdijo tvegani ali sumljivi.
Za pogojni dostop je potrebna premium licenca, pri ?emer so stranke storitve Office 365 in brezpla?ne stopnje preusmerjene v konfiguracijo, imenovano varnostne privzete vrednosti, ki zahteva vpis in preverjanje pristnosti MFA za vnaprej dolo?en niz pogojev.
Paketi IDM najbolje delujejo, ?e so del ve?je varnostne infrastrukture podjetja.
Zlasti paket za upravljanje mobilnih naprav (MDM) je še ena klju?na komponenta, ki se lepo ujema z vašim IDM.
Azure AD podpira integracijo z Microsoft Intune in razli?nimi neodvisnimi rešitvami MDM, kot sta VMware AirWatch by VMWare in Microsoftova lastna Intune.
Ko je MDM povezan, lahko v svojih pravilnikih pogojnega dostopa izkoristite skladnost naprave, na primer zahtevate MFA samo, ?e naprava ni skladna.
Ogrožene identitete je težko prepoznati, preden se napad prepozna, ne da bi bilo za to izdelano orodje.
Številni paketi IDM, ki smo jih pregledali, ponujajo oceno tveganja, ki temelji na vedenju pri preverjanju pristnosti, zgodovini sprememb gesla, v?lanitvi v MFA in v nekaterih primerih uporabnikovem obstoju v bazi ogroženih identitet.
Azure AD naredi ta korak naprej s podporo samodejnim korakom sanacije v obliki blokiranega dostopa ali zahteva spremembo gesla, ?e je dosežena dolo?ena stopnja tveganja.
Drug pogost vektor groženj prihaja od uporabnikov, ki jim je bil zakonito omogo?en dolo?en dostop, bodisi v obliki uporabnikov, ki so zamenjali vlogo v organizaciji ali nezadovoljnih zaposlenih, ki so zapustili podjetje.
Omejitev dostopa uporabnikov je del kontrolnega seznama, ki ne obdeluje ve? organizacij, in uporabniki, ki spreminjajo oddelke ali vloge, obi?ajno imajo nekoga, ki gleda na njihove pravice, vendar imajo poslovni procesi razli?ne stopnje uspešnosti, kar lahko uporabniku omogo?i, da ohrani dovoljenja za vire, ki jih ima.
nimajo dostopa do podjetja.
Zbirka orodij za upravljanje identitet Azure AD podpira upravljanje pravic in pregled dostopa, kar olajša razbremenitev upravljanja uporabniških pravic s skrbnikov na nadzornika ali drugo odgovorno stranko.
Zlasti pregledi dostopa lahko nadzornika ob?asno pozovejo, da preveri uporabnike, ki imajo dostop do virov, ki so v njihovi lasti.
Za posebej ob?utljive vire lahko celo prekli?ete uporabniški dostop do teh aplikacij, ?e se pregledovalec ne odzove na pregled dostopa.
Dobro zaokrožen in tesno integriran
Microsoft na splošno še naprej ohranja Azure AD na sprednji strani paketa za upravljanje identitet, še posebej, ?e ste že stranka Microsoft Azure.
V povezavi z obstoje?o infrastrukturo, ki se izvaja na Microsoftovih platformah, kot sta Intune in Office 365, je težko, da vam ni vše?, kaj Microsoft prinaša na mizo za upravljanje in zaš?ito vašega podjetja.
Microsoft Azure Active Directory
Prednosti
Neposredna imeniška povezava, ki jo je mogo?e kon?ati v nekaj minutah
Brezhibno se integrira s tretjimi ponudniki MFA in MDM
Upravljanje identitete lahko sprosti informacijske vire z avtomatizacijo periodi?nih nadzornih pregledov
Isti skrbniški portal za obstoje?e stranke Azure
Prikaži ve?
Spodnja ?rta
Microsoft je mo?an igralec v obla?nih storitvah, Azure AD pa lahko zaš?iti identitete in preverjanje pristnosti v celotni infrastrukturi podjetja, ne da bi to bistveno vplivalo na obremenitve upravljanja, še posebej, ?e že vlagate v platformo Microsoft Cloud.
