Microsoft azurblå aktiv kataloggranskning och betyg

Microsoft har varit branschledande inom flera kärnkategorier inom IT-kategorier i årtionden, och en där företaget har haft ett effektivt stryphållning är lokala nätverkskataloger. Windows Server Active Directory (AD) används av företag och regeringar över hela världen och är guldstandarden för företagets identitetshantering (IDM) i företaget. Förutom avancerade funktioner och tät integration med världens mest populära lokala katalog, är Microsost Azure AD: s prissättning mycket konkurrenskraftig i IDaaS-utrymmet (Identity Management-as-a-Service) och erbjuder en gratis nivå, en grundläggande nivå för $ 1 per användare per månad och två premiumnivåer som kör $ 6 respektive $ 9 per månad. Avancerade funktioner, tät integration med den ledande lokala IDM-plattformen och ett nytt och vänligt pris kombineras för att höja Azure AD till ett redaktörsval i IDaaS-rymden tillsammans med Okta Identity Management.

Inställning och anslutning med AD-Prem AD

Av uppenbara skäl förblir den vanligaste användningen för Azure AD företag som vill integrera en befintlig, lokal AD-domän med applikationer som körs i molnet och till och med användare som ansluter via internet. För att tillhandahålla tarmarna som kommer att överbrygga lokal AD med Azure AD är den mest populära Microsoft-lösningen Azure AD Connect, ett synkroniseringsverktyg fritt tillgängligt från Microsoft. Många konkurrenter erbjuder liknande synkningsverktyg för att ansluta sina IDaaS-produkter till lokala AD-domäner, men Azure AD Connect är ett bra exempel på hur man gör det rätt. Den största skillnaden mellan Azure AD Connect och andra synkroniseringsverktyg är att Azure AD Connect erbjuder säker lösenordssynkronisering, vilket gör att autentiseringsprocessen kan ske inom Azure AD snarare än att användarens referenser valideras mot företagets AD. Den största skillnaden mellan Azure AD Connect och andra synkroniseringsverktyg är att Azure AD Connect synkroniserar lösenord som standard och autentiseringsprocessen sker inom Azure AD snarare än att användarens referenser valideras mot företagets AD. Många organisationer kan ha politiska problem med att synkronisera lösenord hash till molnet, vilket gör Azure AD Connect lösenordsynkronisering till ett potentiellt problem.

Azure AD stöder också användningen av Active Directory Federation Services (ADFS). Traditionellt används för att tillhandahålla autentiseringsfunktioner för externa appar eller tjänster, tvingar ADFS att verifieringsbegäranden ska utföras med din lokala AD, men har sin egen uppsättning krav och konfigurationssteg som gör det mycket mer komplex än konkurrerande produkter med liknande autentiseringsfunktionalitet. Det perfekta alternativet är något enligt Ping Identitys PingFederate, som ger identitetsförbund en minimal konfiguration, men gör att du kan finjustera alla aspekter av federationsprocessen.

Det senaste alternativet för att integrera AD med Azure AD använder fortfarande Azure AD Connect-agenten, men erbjuder ett federerat alternativ. Ett vanligt klagomål om Azure AD bland större företag är bristen på mellangrund mellan synkronisering med Azure AD Connect och federation med ADFS. Genomgångsverifiering använder Azure AD Connect för att erbjuda en enkel sökväg till federerad åtkomst till dina identiteter i AD. I teorin erbjuder genomgångsgodkännande det bästa från båda världar, att hålla identiteter och autentisering lokalt, men eliminera behovet av ADFS. En ytterligare fördel med genomgångsgodkännande över ADFS är att anslutning är agentbaserad, vilket eliminerar behovet av brandväggsregler eller placering i en DMZ. Denna funktion är mer i linje med mycket av Azure AD: s konkurrens, inklusive Okta, OneLogin, Bitium och Centrify. Genomgång av autentisering är för närvarande i förhandsgranskning, och allmän tillgänglighet förväntas inom de närmaste månaderna.

Katalogintegration

Det verkar säkert att förvänta sig att en Microsoft IDaaS-lösning kommer att integreras tätt med AD, och Azure AD gör ingen besvikelse. Attributsynkronisering kan konfigureras med Azure AD Connect och kan senare kartläggas inom enskilda SaaS-appkonfigurationer för Software-as-a-Service. Azure AD stöder också att lösenordsändringar skrivs tillbaka till AD när de förekommer i Microsoft Office 365 eller Azure AD-användarportalen. Den här funktionen är tillgänglig i konkurrenter som OneLogin och Editors 'Choice-vinnare Okta Identity Management, men kan kräva ytterligare programvara eller ändringar i standardsynkroniseringspolicyn.

En annan viktig integrationspunkt för Azure AD är för kunder som använder Microsoft Exchange för sina mailtjänster, särskilt för dem som använder Exchange eller Exchange Online i samband med Office 365 i ett hybridmolnscenario, där hela eller delar av e-posttjänsten är värd i en on -premier datacenter medan de andra resurserna är värd i molnet. Vid installation kommer Azure AD Connect att känna igen ytterligare schematattribut som indikerar en Exchange-installation och automatiskt synkroniserar dessa attribut. Azure AD har också möjligheten att synkronisera Office 365-grupper tillbaka till AD som distributionsgrupper.

Windows 10 ger också nya möjligheter att integrera med Azure AD. Windows 10 stöder anslutning av enheter till Azure AD som ett alternativ till ditt företags AD. Var dock försiktig eftersom funktionaliteten skiljer sig väsentligt mellan att ansluta en enhet till Azure AD jämfört med att ansluta en enhet till traditionell lokal AD. Det beror på att när Windows 10-enheten en gång är ansluten till Azure AD, hanteras genom Azure AD och Microsofts verktyg för hantering av mobilenheter (MDM) snarare än grupppolicy. Den stora fördelen för Azure AD-användare är att autentisering till användarportalen är sömlös eftersom användaren redan är autentiserad till enheten och Windows 10-appar som Mail och Kalender kommer att känna igen om ett Office 365-konto är tillgängligt och automatiskt konfigureras. Inloggningsprocessen liknar den vanliga inloggningsstilen i Windows 8 där den ber om dina Microsoft-kontouppgifter.

Microsoft Identity Manager

Sällan litar ett stort företag på en enda källa för identiteter. Oavsett om det är en kombination av Active Directory och ett HR-system, flera Active Directory-skogar eller förhållanden till affärspartners är ytterligare komplexitet oundviklig i större företag. Microsofts lösning för att integrera flera identitetsleverantörer är Microsoft Identity Manager. Även om det är ett distinkt programvarupaket ingår klientåtkomstlicenser i Azure AD Premium-nivåerna. Azure AD B2B-samarbete (Azure AD B2B) ger ett sätt att erbjuda affärspartners åtkomst till företagets appar. Även om de för närvarande är i förhandsgranskning, underlättar Azure AD B2B samarbete med affärspartners, vilket ger dem åtkomst till appar utan att kräva att användarkonton skapas i Active Directory eller ett Active Directory-förtroende.

Sann stöd för enkel inloggning (SSO) med kataloguppgifter stöds nu med Azure AD när du använder lösenordsynkronisering eller pass-authentication. Tidigare erbjöd endast ADFS denna funktion. Användare kan nu verifiera till Azure AD och deras SaaS-appar utan att tillhandahålla referenser förutsatt att de uppfyller de tekniska kraven (nämligen en domänförenad Windows-dator, en webbläsarversion som stöds osv.). SSO för företagets stationära användare är för närvarande också i förhandsgranskning.

Konsument IDM

Azure AD B2C är Microsofts IDM för konsumenten. Det gör att användare kan autentisera till dina tjänster eller appar med hjälp av befintliga referenser som de redan har upprättat med andra molntjänster som Google eller Facebook. Azure AD B2C stöder både OAuth 2.0 och Open ID Connect, och Microsoft erbjuder olika alternativ för att integrera tjänsten med din app eller tjänst.

Priserna för B2C-erbjudandet är separata från standard Azure AD-nivåerna och delas upp efter antalet lagrade användare per autentisering och antalet autentiseringar. Lagrade användare är gratis upp till 50 000 användare och börjar på 0, 0011 $ per autentisering upp till 1 miljon. De första 50 000 autentiseringarna per månad är också gratis och börjar på 0, 0028 $ per autentisering upp till 1 miljon. Multifaktor-autentisering är också tillgänglig för Azure AD B2C och kör en standard på 0, 03 USD per autentisering.

Användarförsörjning

Azure AD erbjuder en liknande funktionsuppsättning för de flesta IDaaS-leverantörer när det gäller att få användare och grupper inställda för att tilldela och tillhandahålla åtkomst till SaaS-appar. Både användare och säkerhetsgrupper kan synkroniseras med Azure AD Connect, eller användare och grupper kan läggas till manuellt i Azure AD. Tyvärr finns det inget sätt att dölja användare eller grupper i Azure AD så att kunder i stora företag ofta måste använda sig av sökfunktionerna för att navigera till specifika användare eller grupper. Med Azure AD kan du skapa dynamiska grupper baserade på attributbaserade frågor med en funktion (för närvarande i förhandsgranskning) som kallas avancerade regler.

Azure AD stöder automatisk tillhandahållande av användare i SaaS-appar och har den distinkta fördelen att fungera exceptionellt bra med Office 365-distributioner. När det är möjligt förenklar Azure AD denna process som för Google Apps. Med en enkel fyrstegsprocess ber du Azure AD om din inloggning på Google Apps och begär ditt tillstånd att konfigurera Google Apps för automatisk användarleverans.

Enskilt inloggning

Microsofts slutanvändarportal liknar mycket av konkurrensen och erbjuder ett rutnät med appikoner som leder användare till SSO-appar. Om administratörer väljer, kan Azure AD-användarportalen konfigureras för att tillåta självbetjäningsåtgärder som återställningar av lösenord, appbegäranden eller begäranden om gruppmedlemskap och godkännanden. Office 365-prenumeranter har den extra fördelen att de kan lägga till SSO-applikationer till Office 365-appmenyn, vilket ger bekväm åtkomst till kritiska affärsappar från Outlook eller andra Office 365-erbjudanden.

Azure AD stöder säkerhetspolicy som är knuten till enskilda appar, vilket gör att du behöver multifaktorautentisering (MFA). Vanligtvis involverar MFA en säkerhetsenhet eller token av något slag (t.ex. ett smartkort) eller till och med en smartphone-app som måste finnas när du loggar in. Azure AD kan stödja MFA för enskilda användare, grupper eller baserat på nätverksplats. Okta Identity Management hanterar deras säkerhetspolicy på samma sätt. I allmänhet föredrar vi att säkerhetspolicyn separeras så att samma policy kan tillämpas på flera appar, men åtminstone har du möjlighet att konfigurera flera policyer.

En unik funktion som Microsoft erbjuder i Azure AD Premium kan hjälpa ditt företag att börja identifiera SaaS-appar som redan används av din organisation. Cloud App Discovery använder programvaruagenter för att börja analysera användarnas beteende när det gäller SaaS-appar, vilket hjälper dig att finslipa till de appar som oftast används i din organisation och börja hantera dem på företagsnivå.

Det traditionella scenariot för IDaaS-lösningar innebär autentisering av användare till molnappar med referenser från en lokal katalog. Azure AD trycker på dessa gränser genom att aktivera autentisering till lokala appar med Application Proxy, som använder en agent för att låta användare säkert ansluta till appar via Azure. På grund av den agentbaserade arkitekturen som används av Application Proxy, finns det inget behov av öppna brandväggsportar till interna företagsappar. Slutligen kan Azure AD Domain Services utnyttjas för att erbjuda en katalog som finns i Azure, vilket ger en traditionell domänmiljö för autentisering av användare till virtuella maskiner som är värda i Azure. Azure AD Application Proxy kan också konfigureras för att använda villkorade åtkomstpolicyer för att upprätthålla ytterligare autentiseringsregler (t.ex. MFA) när vissa villkor är uppfyllda.

Azure AD hanterar mer än 1, 3 miljarder autentiseringar varje dag. Denna stora skala gör att Microsoft kan erbjuda minst en tjänst med vilken få IDM-lösningar för närvarande kan konkurrera, och det är Azure AD Identity Protection. Denna funktion använder hela bredden av Microsofts molntjänster (Outlook.com, Xbox Live, Office 365 och Azure) samt maskininlärning (ML) för att tillhandahålla enastående riskanalys för identiteter lagrade i Azure AD. Med hjälp av denna information upptäcker Microsoft mönster och avvikelser med vilka de kan beräkna en riskpoäng för varje användare och varje inloggning. Microsoft övervakar också aktivt säkerhetsöverträdelser som inbegriper referenser, och går så långt som att utvärdera dessa överträdelser för referenser inom din organisation som potentiellt äventyras. När denna riskpoäng har beräknats kan administratörer utnyttja den i autentiseringsprinciper, som sedan låter dem klara på ytterligare inloggningskrav som MFA eller en lösenordsåterställning.

rapportering

Rapporten som Microsoft erbjuder med Azure AD beror på din servicenivå. Även de gratis och grundläggande nivåerna erbjuder grundläggande säkerhetsrapporter, som är konserverade rapporter som visar grundläggande aktivitets- och användarloggar. Premiumabonnenter får tillgång till en avancerad uppsättning rapporter som utnyttjar Azures maskininlärningsmöjligheter för att ge insikter om anomalt beteende som framgångsrika autentiseringsförsök efter upprepade fel, de från flera geografier eller de från misstänkta IP-adresser.

Azure AD erbjuder inte en fullständig rapporteringssvit men de konserveringsrapporter som finns tillgängliga för Premiumkunder är mycket mer sofistikerade än vad konkurrenterna erbjuder. Till slut gillade jag verkligen nivån på insikt som du får med de konserverade rapporterna i Azure AD Premium, till och med vägt mot bristen på schemaläggning eller anpassade rapporter.

Prissättning

Azure AD: s prissättning börjar med en kostnadsfri nivå som stöder upp till 500 000 katalogobjekt (i detta fall betyder det användare och grupper) och upp till 10 appar för enkel inloggning (SSO) per användare. Gratisversionen av Azure AD ingår automatiskt i Office 365-prenumerationer, i vilken situation objektgränsen inte gäller. Med ett detaljhandelspris på $ 1 per användare per månad är Bas-nivån för Azure AD extremt konkurrenskraftig. Basic-tjänsten lägger till funktioner som branding för användarportalen och gruppbaserad SSO-åtkomst och tillhandahållande, så för att automatiskt skapa användarkonton i SaaS-appar behöver du Basic-nivån.

Grundnivån behåller 10-appen per användargräns, men lägger till möjligheten att stödja lokala appar med Application Proxy. Premium P1 och P2-nivåerna i Azure AD tar bort gränserna från mängden SSO-appar som användare kan ha och lägga till självbetjänings- och MFA-kapacitet för $ 6 respektive $ 9 per användare per månad. Båda Azure AD Premium-nivåerna innehåller också användarklientlicenser (CAL) för Microsoft Identity Manager (tidigare Forefront Identity Manager), som kan användas för att synkronisera och hantera identiteter i databaser, appar, andra kataloger och mer. Premium-nivåer ger också villkorad åtkomst och Intune MDM-licenser till bordet, vilket ökar säkerhetsfunktionerna på ett stort sätt. De största fördelarna med Premium P2-nivån jämfört med Premium P1 är identitetsskydd och privilegierad identitetshantering, som båda kvalificerar sig som branschledande säkerhetsfunktioner.

En annan prissättning är möjligheten att licensiera Azures MFA-tjänst separat från Azure AD, som har två fördelar: För det första kan MFA läggas till Free- eller Basic Azure AD-nivåerna för $ 1, 40 per användare per månad eller 10 autentiseringar (vilket som bäst passar din användning fall), vilket ger den totala kostnaden för Basic-tjänsten med MFA till 2, 40 $ per användare. För det andra kan du välja att bara aktivera MFA för en delmängd av din användarbas, vilket potentiellt kan spara en betydande summa pengar varje månad.

Azure AD täcker huvuddelen av kärnfunktionerna du bör leta efter i en IDaaS-leverantör. Det ger tabellen några verktyg på företagsnivå du kan förvänta dig av ett företag som Microsoft. Funktioner som Application Proxy och Identity Protection är bland de bästa i klassen eller har helt enkelt ingen konkurrens. Prissättningen är mycket konkurrenskraftig och integrationen med Office 365 och andra Microsoft-produkter och tjänster är solida och utvecklas ständigt. Azure AD går med i Okta Identity Management som redaktörens val i kategorin IDaaS.