Microsoft azurblå aktiv kataloganmeldelse og vurdering

Microsoft har været en af ​​de førende virksomheder inden for flere centrale IT-kategorier i årtier, og hvor virksomheden har haft et effektivt kvæg er lokale netværksmapper. Windows Server Active Directory (AD) bruges af virksomheder og regeringer over hele verden og er guldstandarden for enterprise Identity Management (IDM) i virksomheden. Ud over avancerede funktioner og stram integration med verdens mest populære lokal bibliotek, er Microsost Azure AD's priser meget konkurrencedygtige i IDaaS-pladsen Identity Management-as-a-Service, der tilbyder et gratis niveau, et grundlæggende niveau for $ 1 pr. bruger pr. måned og to premium-niveauer, der kører henholdsvis $ 6 og $ 9 per måned. Avancerede funktioner, tæt integration med den førende lokale IDM-platform og en ny og venlig pris kombineres alle til at hæve Azure AD til et redaktørvalg i IDaaS-rummet sammen med Okta Identity Management.

Opsætning og forbindelse med AD-Prem AD

Af åbenlyse grunde forbliver den mest almindelige brug for Azure AD virksomheder, der ønsker at integrere et eksisterende AD-domæne på stedet med applikationer, der kører i skyen og endda brugere, der opretter forbindelse via internettet. For at tilvejebringe de tarme, der vil bygge bro AD lokalt med Azure AD, er den mest populære Microsoft-løsning Azure AD Connect, et synkroniseringsværktøj, der frit kan fås fra Microsoft. Mange konkurrenter tilbyder lignende synkroniseringsværktøjer til at forbinde deres IDaaS-produkter til lokale AD-domæner, men Azure AD Connect er et godt eksempel på, hvordan man gør det rigtigt. Den største forskel mellem Azure AD Connect og andre synkroniseringsværktøjer er, at Azure AD Connect tilbyder sikker adgangskodssynkronisering, som gør det muligt for autentificeringsprocessen at ske inden for Azure AD snarere end at brugerens legitimationsoplysninger valideres mod virksomhedens AD. Den største forskel mellem Azure AD Connect og andre synkroniseringsværktøjer er, at Azure AD Connect synkroniserer adgangskoder som standard, og godkendelsesprocessen sker inden for Azure AD snarere end at brugerens legitimationsoplysninger valideres mod virksomhedens AD. Mange organisationer kan have politikproblemer med synkronisering af adgangskodehashes til skyen, hvilket gør Azure AD Connect adgangskodssynkronisering til et potentielt problem.

Azure AD understøtter også brugen af ​​Active Directory Federation Services (ADFS). Traditionelt brugt til at levere autentificeringsfunktioner til eksterne apps eller tjenester tvinger ADFS godkendelsesanmodninger, der skal udføres ved hjælp af din lokale AD, men det har sit eget sæt af krav og konfigurationstrin, der gør det langt mere kompliceret end konkurrerende produkter med lignende godkendelsesfunktionalitet. Den ideelle mulighed er noget i retning af Ping Identitys PingFederate, der giver identitetsforening en minimal konfiguration, men giver dig mulighed for at finjustere alle aspekter af føderationsprocessen.

Den nyeste mulighed for at integrere AD med Azure AD bruger stadig Azure AD Connect-agenten, men tilbyder en fødereret mulighed. En almindelig klage over Azure AD blandt større virksomheder er manglen på mellemgrund mellem synkronisering ved hjælp af Azure AD Connect og føderation ved hjælp af ADFS. Gennemgangsgodkendelse bruger Azure AD Connect til at tilbyde en enkel sti til fødereret adgang til dine identiteter i AD. I teorien tilbyder gennemgangsgodkendelse det bedste fra begge verdener, ved at holde identiteter og autentificering lokalt, men eliminere behovet for ADFS. En yderligere fordel ved gennemgangsgodkendelse over ADFS er, at forbindelse er agentbaseret, hvilket eliminerer behovet for firewallregler eller placering i en DMZ. Denne funktionalitet er mere i tråd med meget af Azure AD's konkurrence, herunder Okta, OneLogin, Bitium og Centrify. Gennemgangsgodkendelse er i øjeblikket under forhåndsvisning og forventes generel tilgængelighed inden for de næste par måneder.

Directory Integration

Det ser ud til at være sikkert at forvente, at en Microsoft IDaaS-løsning integreres tæt med AD, og ​​Azure AD skuffer ikke. Attributsynkronisering kan konfigureres med Azure AD Connect og kan senere kortlægges inden for individuelle Software-as-a-Service (SaaS) appkonfigurationer. Azure AD understøtter også, at adgangskodændringer bliver skrevet tilbage til AD, når de forekommer i Microsoft Office 365 eller Azure AD-brugerportalen. Denne funktion er tilgængelig i konkurrenter som OneLogin og Editors 'Choice-vinder Okta Identity Management, men kan muligvis kræve yderligere software eller ændringer i standardsynkroniseringspolitikken.

Et andet vigtigt integrationspunkt for Azure AD er for kunder, der bruger Microsoft Exchange til deres mailtjenester, især for dem, der bruger Exchange eller Exchange Online i forbindelse med Office 365 i et hybridskyscenario, hvor hele eller en del af e-mailtjenesten er vært i et on -priser datacentre, mens de andre ressourcer er vært i skyen. Ved installation genkender Azure AD Connect yderligere skemaattributter, der angiver en Exchange-installation og synkroniserer automatisk disse attributter. Azure AD har også muligheden for at synkronisere Office 365-grupper tilbage til AD som distributionsgrupper.

Windows 10 bringer også nye muligheder for at integrere med Azure AD. Windows 10 understøtter sammenføjning af enheder til Azure AD som et alternativ til din virksomheds-AD. Vær dog forsigtig, da funktionaliteten afviger markant mellem at forbinde en enhed til Azure AD versus sammenføjning af en enhed til traditionel lokal AD. Det skyldes, at når enheden er tilsluttet Azure AD, administreres Windows 10-enheden gennem Azure AD og Microsofts værktøjer til styring af mobilenheder (MDM) snarere end gruppepolitik. Den store fordel for Azure AD-brugere er, at godkendelse til brugerportalen er problemfri, da brugeren allerede er godkendt til enheden, og Windows 10-apps såsom Mail og Kalender genkender, hvis en Office 365-konto er tilgængelig og automatisk konfigureres. Log-in-processen ligner meget standard-login-stilen i Windows 8, hvor den beder om dine Microsoft-kontooplysninger.

Microsoft Identity Manager

En stor virksomhed er sjældent afhængig af en enkelt kilde til identiteter. Uanset om det er en kombination af Active Directory og et HR-system, flere Active Directory-skove eller forhold til forretningspartnere, er yderligere kompleksitet uundgåelig i større virksomheder. Microsofts løsning til at integrere flere identitetsudbydere er Microsoft Identity Manager. Selvom det er en distinkt softwarepakke, er klientadgangslicenser inkluderet i Azure AD Premium-lagene. Azure AD B2B-samarbejde (Azure AD B2B) er et middel til at tilbyde forretningspartnere adgang til forretningsapps. Selvom der for tiden er en forhåndsvisning, letter Azure AD B2B samarbejde med forretningspartnere og tilbyder dem adgang til apps uden at kræve oprettelse af brugerkonti i Active Directory eller en Active Directory-tillid.

Ægte understøttelse af single sign-on (SSO) ved hjælp af biblioteksoplysninger understøttes nu ved hjælp af Azure AD, når du bruger adgangskodssynkronisering eller gennemgå godkendelse. Tidligere har kun ADFS tilbudt denne funktionalitet. Brugere kan nu autentificere til Azure AD og deres SaaS-apps uden at give legitimationsoplysninger under forudsætning af, at de opfylder de tekniske krav (nemlig en domæneforbundet Windows-computer, understøttet browserversion osv.). SSO for firmabrugere er også i øjeblikket i forhåndsvisning.

Forbruger IDM

Azure AD B2C er Microsofts IDM med forbrugervendelse. Det giver brugerne mulighed for at autentificere til dine tjenester eller apps ved hjælp af eksisterende legitimationsoplysninger, de allerede har oprettet med andre cloud-tjenester såsom Google eller Facebook. Azure AD B2C understøtter både OAuth 2.0 og Open ID Connect, og Microsoft giver forskellige muligheder for at integrere tjenesten med din app eller tjeneste.

Prisfastsættelse for B2C-udbuddet er adskilt fra standard Azure AD-niveauer og er opdelt efter antallet af gemte brugere pr. Godkendelse og antallet af godkendelser. Gemte brugere er gratis op til 50.000 brugere og begynder på $ 0, 0011 pr. Godkendelse op til 1 million. De første 50.000 godkendelser pr. Måned er også gratis og begynder ved $ 0, 0028 pr. Godkendelse op til 1 million. Multifaktorgodkendelse er også tilgængelig for Azure AD B2C og kører en standard på 0, 03 $ pr. Godkendelse.

Brugervenliggørelse

Azure AD tilbyder en lignende funktion indstillet til de fleste IDaaS-leverandører, når det kommer til at få brugere og grupper indstillet til at tildele og give adgang til SaaS-apps. Både brugere og sikkerhedsgrupper kan synkroniseres ved hjælp af Azure AD Connect, eller brugere og grupper kan tilføjes manuelt i Azure AD. Desværre er der ingen måde at skjule brugere eller grupper i Azure AD, så kunder i store virksomheder bliver nødt til ofte at benytte sig af søgefunktionerne for at navigere til bestemte brugere eller grupper. Azure AD giver dig mulighed for at oprette dynamiske grupper baseret på attributbaserede forespørgsler ved hjælp af en funktion (i øjeblikket i preview) kaldet avancerede regler.

Azure AD understøtter automatisk levering af brugere i SaaS-apps og har den distinkte fordel ved at arbejde usædvanligt godt med Office 365-implementeringer. Når det er muligt, forenkler Azure AD denne proces som for Google Apps. Med en simpel fire-trins-proces beder Azure AD dig om dit Google Apps-login og anmoder om din tilladelse til at konfigurere Google Apps til automatisk brugerlevering.

Enkelt tilmelding

Microsofts slutbrugerportal ligner meget af konkurrencen og tilbyder et gitter af appikoner, der dirigerer brugere til SSO-apps. Hvis administratorer vælger det, kan Azure AD-brugerportalen konfigureres til at tillade selvbetjeningshandlinger som f.eks. Nulstilling af adgangskode, appanmodninger eller anmodninger om gruppemedlemskab og godkendelser. Office 365-abonnenter har den ekstra fordel at være i stand til at tilføje SSO-applikationer til Office 365-appmenuen, hvilket giver nem adgang til kritiske forretningsapps fra Outlook eller andre Office 365-tilbud.

Azure AD understøtter sikkerhedspolitikker bundet til individuelle apps, så du kræver multifaktor-godkendelse (MFA). MFA involverer typisk en sikkerhedsenhed eller token af ​​en eller anden art (f.eks. Et smart card) eller endda en smartphone-app, der skal være til stede inden log-in. Azure AD kan understøtte MFA for individuelle brugere, grupper eller baseret på netværksplacering. Okta Identity Management håndterer deres sikkerhedspolitikker på samme måde. Generelt foretrækker vi, at sikkerhedspolitikker bliver adskilt, så den samme politik kan anvendes på flere apps, men i det mindste har du muligheden for at konfigurere flere politikker.

En unik funktion, som Microsoft tilbyder i Azure AD Premium, kan hjælpe med at få din virksomhed i gang med at identificere SaaS-apps, der allerede er i brug af din organisation. Cloud App Discovery bruger softwareagenter til at begynde at analysere brugeradfærd med hensyn til SaaS-apps, hvilket hjælper dig med at finpudse på de apps, der oftest bruges i din organisation og begynde at administrere dem på virksomhedsniveau.

Det traditionelle scenario for IDaaS-løsninger involverer autentificering af brugere til cloud-apps ved hjælp af legitimationsoplysninger, der stammer fra en lokal katalog. Azure AD skubber disse grænser ved at aktivere godkendelse til lokale apps ved hjælp af Application Proxy, som bruger en agent til at give brugerne mulighed for sikkert at oprette forbindelse til apps gennem Azure. På grund af den agentbaserede arkitektur, der bruges af Application Proxy, er der ikke behov for åbne firewall-porte til interne virksomhedsapps. Endelig kan Azure AD Domain Services udnyttes til at tilbyde et bibliotek indeholdt i Azure, hvilket giver et traditionelt domænemiljø til autentificering af brugere til virtuelle maskiner, der er vært i Azure. Azure AD Application Proxy kan også konfigureres til at bruge betingede adgangspolitikker til at håndhæve yderligere godkendelsesregler (såsom MFA), når visse betingelser er opfyldt.

Azure AD håndterer mere end 1, 3 milliarder autentificeringer hver dag. Denne rene skala tillader Microsoft at tilbyde mindst en tjeneste, som få IDM-løsninger i øjeblikket kan konkurrere med, og det er Azure AD Identity Protection. Denne funktion bruger den fulde bredde af Microsofts cloud-tjenester (Outlook.com, Xbox Live, Office 365 og Azure) såvel som maskinindlæring (ML) til at give uovertruffen risikoanalyse for identiteter, der er gemt i Azure AD. Ved hjælp af disse data registrerer Microsoft mønstre og afvigelser, som det kan beregne en risikoscore for hver bruger og hver login. Microsoft overvåger også aktivt sikkerhedsbrud, der involverer legitimationsoplysninger, og går så langt som at evaluere disse overtrædelser for legitimationsoplysninger inden for din organisation, der potentielt er kompromitteret. Når denne risikoscore er beregnet, kan administratorer udnytte den i godkendelsespolitikker, som derefter lader dem tackle flere yderligere login-krav, såsom MFA eller en nulstilling af adgangskode.

Rapportering

Rapportsættet, Microsoft tilbyder med Azure AD, afhænger af dit serviceniveau. Selv de gratis og basale niveauer tilbyder grundlæggende sikkerhedsrapporter, som er konserverede rapporter, der viser grundlæggende aktivitets- og brugslogger. Premium-abonnenter får adgang til et avanceret sæt rapporter, der udnytter Azures maskinindlæringsfunktioner for at give indsigt i afvigende opførsel, såsom vellykkede godkendelsesforsøg efter gentagne fejl, dem fra flere geografier eller dem fra mistænkelige IP-adresser.

Azure AD tilbyder ikke en komplet rapporteringssuite, men de konserverede rapporter, der er tilgængelige for Premium-kunder, er meget mere sofistikerede end konkurrenterne tilbyder. I sidste ende kunne jeg virkelig godt lide det niveau af indsigt, du får med de konserverede rapporter i Azure AD Premium, selv vejet imod manglen på planlægning eller tilpassede rapporter.

Prisfastsættelse

Azure AD's priser begynder med et gratis niveau, der understøtter op til 500.000 biblioteksobjekter (i dette tilfælde betyder det brugere og grupper) og op til 10 apps til single sign-on (SSO) pr. Bruger. Den gratis version af Azure AD er automatisk inkluderet i Office 365-abonnementer, i hvilken situation objektgrænsen ikke finder anvendelse. Med en detailpris på $ 1 pr. Bruger pr. Måned er Basic-niveauet for Azure AD ekstremt konkurrencedygtigt. Basic-tjenesten tilføjer muligheder såsom branding til brugerportalen og gruppebaseret SSO-adgang og levering, så du har brug for Basic-niveauet for automatisk at oprette brugerkonti i SaaS-apps.

Grundlæggende niveau bevarer 10 app pr. Brugergrænse, men tilføjer muligheden for at understøtte lokale apps ved hjælp af Application Proxy. Premium P1- og P2-lagene i Azure AD fjerner grænserne fra mængden af ​​SSO-apps, som brugerne kan have og tilføje selvbetjenings- og MFA-kapaciteter til henholdsvis $ 6 og $ 9 pr. Bruger pr. Måned. Begge Azure AD Premium-niveauer inkluderer også brugerklientadgangslicenser (CAL'er) til Microsoft Identity Manager (tidligere Forefront Identity Manager), som kan bruges til at synkronisere og administrere identiteter i databaser, apps, andre mapper og mere. Premium-niveauer bringer også betinget adgang og Intune MDM-licenser til bordet, hvilket øger sikkerhedsfunktionerne på en stor måde. De største fordele ved Premium P2-niveauet over Premium P1 er identitetsbeskyttelse og privilegeret identitetsstyring, som begge kvalificerer sig som branchens førende sikkerhedsfunktioner.

En anden prisovervejelse er muligheden for at licensere Azures MFA-service separat fra Azure AD, som har to fordele: For det første kan MFA føjes til Gratis eller Basic Azure AD-niveauer for $ 1, 40 pr. Bruger pr. Måned eller 10 godkendelser (alt efter hvad der bedst passer til din brug sag), hvilket bringer de samlede omkostninger ved Basic-tjenesten med MFA til $ 2, 40 pr. bruger. For det andet kan du vælge kun at aktivere MFA til en undergruppe af din brugerbase og potentielt spare et betydeligt beløb hver måned.

Azure AD dækker størstedelen af ​​de kernefunktioner, du skal være på udkig efter i en IDaaS-udbyder. Det bringer til tabellen nogle værktøjer på virksomhedsniveau, du kan forvente af et firma som Microsoft. Funktioner som Application Proxy og Identity Protection er blandt de bedste i klassen eller har ganske enkelt ingen konkurrence. Priserne er meget konkurrencedygtige, og integration med Office 365 og andre Microsoft-produkter og -tjenester er solid og udvikler sig konstant. Azure AD tilslutter sig Okta Identity Management som et redaktørens valg i IDaaS-kategorien.