Огляд та рейтинг активних каталогів Microsoft Azur

Microsoft протягом десятиліть була лідером галузі в декількох основних ІТ-категоріях, і одна, в якій компанія мала ефективний задух, - це локальні мережеві каталоги. Windows Server Active Directory (AD) використовується корпораціями та урядами по всьому світу і є золотим стандартом для управління ідентичністю підприємства (IDM) на підприємстві. Окрім вдосконалених функцій та тісної інтеграції з найпопулярнішим у світі локальним каталогом, ціна Microsost Azure AD є дуже конкурентоспроможною у просторі управління ідентифікацією як послуга (IDaaS), пропонуючи безкоштовний рівень, базовий рівень за 1 долар на одного користувача на місяць та два преміум-рівня, що мають 6 та 9 доларів США на місяць відповідно. Вдосконалені можливості, тісна інтеграція з провідною локальною платформою IDM, а також нова дружня ціна - все це поєднує піднесення Azure AD до вибору редакторів у просторі IDaaS, поряд із управлінням Identity Okta.

Налаштування та підключення до вбудованої AD

З очевидних причин, найбільш поширеним використанням для Azure AD залишаються компанії, які прагнуть інтегрувати існуючий локальний домен AD із програмами, що працюють у хмарі, і навіть користувачами, що підключаються через Інтернет. Щоб забезпечити кишки, які будуть перетинати локальну рекламу з Azure AD, найпопулярнішим рішенням Microsoft є Azure AD Connect, інструмент синхронізації, який вільно доступний у Microsoft. Багато конкурентів пропонують подібні інструменти синхронізації для підключення своїх продуктів IDaaS до локальних доменів AD, але Azure AD Connect - хороший приклад того, як це зробити правильно. Найбільша різниця між Azure AD Connect та іншими інструментами синхронізації полягає в тому, що Azure AD Connect пропонує захищену синхронізацію паролів, що дозволяє пройти процес автентифікації в Azure AD, а не перевірити облікові дані користувача щодо корпоративних AD. Найбільша відмінність між Azure AD Connect та іншими інструментами синхронізації полягає в тому, що Azure AD Connect синхронізує паролі за замовчуванням, а процес аутентифікації відбувається в Azure AD, а не перевіряються облікові дані користувача щодо корпоративного AD. У багатьох організацій можуть виникнути проблеми з політикою щодо синхронізації хешей паролів у хмару, що робить синхронізацію паролів Azure AD Connect потенційною проблемою.

Azure AD також підтримує використання служб федерації Active Directory (ADFS). Традиційно використовується для надання можливостей аутентифікації для зовнішніх додатків чи служб, ADFS змушує запити аутентифікації виконуватись із локальним AD, однак, він має власний набір вимог та кроків налаштування, які роблять його набагато складнішим, ніж конкурентоспроможні продукти з аналогічною функцією аутентифікації. Ідеальний варіант - це щось уздовж PingFederate Ping Identity, що забезпечує федерацію ідентичності з мінімальною конфігурацією, але дозволить вам точно налаштувати кожен аспект процесу федерації.

Найновіший варіант інтеграції AD з Azure AD досі використовує агент Azure AD Connect, але пропонує федеративний варіант. Однією з поширених скарг на Azure AD серед більших компаній є відсутність середнього рівня між синхронізацією за допомогою Azure AD Connect та федерацією з використанням ADFS. Для аутентифікації за допомогою Azure AD Connect пропонується простий шлях до об'єднаного доступу до вашої особи в AD. Теоретично автентифікація проходить через найкращі з обох світів, зберігаючи ідентичність та автентифікацію на місцях, але усуваючи потребу в ADFS. Додатковою перевагою аутентифікації через ADFS є те, що підключення засноване на агентах, що виключає потребу в правилах брандмауера або розміщенні в DMZ. Ця функціональність більшою мірою відповідає конкуренції Azure AD, включаючи Okta, OneLogin, Bitium та Centrify. Аутентифікація проходження на даний момент знаходиться в режимі попереднього перегляду, загальна доступність очікується протягом наступних кількох місяців.

Інтеграція каталогів

Здається безпечно очікувати, що рішення Microsoft IDaaS тісно інтегруватиметься з AD, і Azure AD не розчарує. Синхронізацію атрибутів можна налаштувати за допомогою Azure AD Connect, а згодом їх можна буде відобразити в рамках конфігурацій додатків Software-as-a-Service (SaaS). Azure AD також підтримує запит змін пароля до AD, коли вони відбуваються в Microsoft Office 365 або на порталі користувачів Azure AD. Ця функція доступна у таких конкурентів, як OneLogin та редактор з вибору редактора Okta Identity Management, але може вимагати додаткового програмного забезпечення або змін у політиці синхронізації за замовчуванням.

Іншим важливим моментом інтеграції Azure AD є клієнти, які використовують Microsoft Exchange для своїх поштових сервісів, особливо для тих, хто використовує Exchange або Exchange Online спільно з Office 365 за гібридним хмарним сценарієм, де вся або частина служби електронної пошти розміщується в - надає центр обробки даних, тоді як інші ресурси розміщуються у хмарі. Під час встановлення Azure AD Connect розпізнає додаткові атрибути схеми, які вказують на установку Exchange, і автоматично синхронізує ці атрибути. Azure AD також має можливість синхронізувати групи Office 365 назад до AD як групи розподілу.

Windows 10 також пропонує нові можливості інтеграції з Azure AD. Windows 10 підтримує приєднання пристроїв до Azure AD як альтернативу вашій корпоративній AD. Однак будьте обережні, оскільки функціональність значно відрізняється між підключенням пристрою до Azure AD порівняно з приєднанням пристрою до традиційного локального AD. Це тому, що після підключення до Azure AD пристроєм Windows 10 стає керовано через інструменти управління Azure AD та Microsoft для мобільних пристроїв (MDM), а не групову політику. Великою перевагою для користувачів Azure AD є те, що автентифікація на порталі користувачів проходить безперервно, оскільки користувач уже автентифікований на пристрої, а додатки Windows 10, такі як Пошта та Календар, розпізнають, чи доступний обліковий запис Office 365 та автоматично налаштовуються. Процес входу дуже схожий на стиль входу за замовчуванням у Windows 8, де він запитує дані вашого облікового запису Microsoft.

Microsoft Identity Manager

Рідко велике підприємство покладається на єдине джерело для ідентичності. Незалежно від того, чи це поєднання Active Directory та системи людських ресурсів (HR), декількох лісів Active Directory, чи стосунки з діловими партнерами, додаткова складність неминуча у великих підприємствах. Рішенням Microsoft для інтеграції декількох постачальників ідентифікаційних даних є Microsoft Identity Manager. Хоча це окремий програмний пакет, клієнтські ліцензії на доступ включені до рівнів Azure AD Premium. Співпраця Azure AD B2B (Azure AD B2B) - це спосіб запропонувати діловим партнерам доступ до корпоративних програм. Хоча зараз Azure AD B2B полегшує співпрацю з діловими партнерами, пропонуючи їм доступ до додатків, не вимагаючи створення облікових записів користувачів в Active Directory або довірі Active Directory.

Істинна підтримка єдиного входу (SSO) з використанням облікових даних каталогів тепер підтримується за допомогою Azure AD при використанні синхронізації пароля або аутентифікації проходження. Раніше лише ADFS пропонував цю функціональність. Тепер користувачі можуть аутентифікуватися на Azure AD та їх додатки SaaS, не надаючи облікові дані, якщо вони відповідають технічним вимогам (а саме до комп’ютера Windows, що приєднався до домену, підтримується версія браузера тощо). Наразі SSO для корпоративних користувачів настільних комп'ютерів переглядається.

Споживчі товари

Azure AD B2C - це IDM, орієнтований на споживачів Microsoft. Це дозволяє користувачам пройти автентифікацію до ваших служб або додатків за допомогою наявних даних, які вони вже створили, використовуючи інші хмарні служби, такі як Google або Facebook. Azure AD B2C підтримує як OAuth 2.0, так і Open ID Connect, а Microsoft надає різноманітні варіанти інтеграції послуги з вашим додатком чи послугою.

Ціни на пропозицію B2C є окремими від стандартних рівнів Azure AD та розбиваються на кількість збережених користувачів на аутентифікацію та кількість автентифікацій. Користувачі, що зберігаються, безкоштовні до 50 000 користувачів, починаючи з 0, 0011 доларів за аутентифікацію до 1 мільйона. Перші 50 000 аутентифікацій на місяць також безкоштовні і починаються з 0, 0028 доларів за кожну аутентифікацію до 1 мільйона. Багатофакторна автентифікація також доступна для Azure AD B2C і працює за стандартну 0, 03 дол. США за аутентифікацію.

Забезпечення користувачів

Azure AD пропонує подібну функцію для більшості постачальників IDaaS, коли справа доходить до того, щоб користувачі та групи були налаштовані на призначення та надання доступу до програм SaaS. Як користувачі, так і групи безпеки можуть бути синхронізовані за допомогою Azure AD Connect, або користувачів і груп можна додавати вручну в Azure AD. На жаль, немає можливості приховати користувачів або групи в Azure AD, тому клієнтам великих підприємств потрібно буде часто користуватися функціями пошуку, щоб перейти до конкретних користувачів або груп. Azure AD дозволяє створювати динамічні групи на основі запитів на основі атрибутів за допомогою функції (наразі в попередньому перегляді), що називається розширеними правилами.

Azure AD підтримує автоматичне забезпечення користувачів програмами SaaS і має чітку перевагу в надзвичайній роботі з розгортанням Office 365. По можливості Azure AD спрощує цей процес, як у випадку з Google Apps. Завдяки простому чотиришаговому процесу, Azure AD запропонує вам ввійти в Google Apps і просить вашого дозволу налаштувати Google Apps для автоматичного надання користувачеві послуг.

Єдиний вхід

Портал кінцевих користувачів Microsoft схожий на більшу частину конкуренції, пропонуючи сітку значків додатків, що спрямовують користувачів на додатки SSO. Якщо адміністратори вибирають, портал користувачів Azure AD може бути налаштований так, щоб дозволити дії самообслуговування, такі як скидання паролів, запити програм або запити та схвалення членства в групі. Передплатники Office 365 мають додаткову перевагу від можливості додавати додатки SSO до меню додатків Office 365, забезпечуючи зручний доступ до критичних бізнес-додатків з Outlook або інших пропозицій Office 365.

Azure AD підтримує політику безпеки, пов’язану з окремими програмами, дозволяючи вимагати багатофакторної автентифікації (MFA). Зазвичай MFA включає в себе пристрій безпеки або маркер певного типу (наприклад, смарт-картку) або навіть додаток для смартфонів, яке повинно бути присутнім перед входом у систему. Azure AD може підтримувати MFA для окремих користувачів, груп або на основі мережевого розташування. Okta Identity Management керує політикою безпеки так само. Загалом, ми вважаємо за краще розділити політику безпеки, щоб та ж політика могла бути застосована до кількох додатків, але принаймні у вас є можливість налаштування декількох політик.

Одна унікальна функція, яку Microsoft пропонує в Azure AD Premium, може допомогти вашій компанії розпочати роботу з визначення програм SaaS, які вже використовуються вашою організацією. Cloud App Discovery використовує програмні агенти, щоб почати аналізувати поведінку користувачів щодо програм SaaS, допомагаючи вам відточуватися у програмах, які найчастіше використовуються у вашій організації, і починати керувати ними на рівні підприємства.

Традиційний сценарій для рішень IDaaS включає аутентифікацію користувачів на хмарні програми, використовуючи облікові дані, що походять з локального каталогу. Azure AD розсуває ці межі, дозволяючи аутентифікувати локальні програми за допомогою Application Proxy, який використовує агент, що дозволяє користувачам безпечно підключатися до програм через Azure. Через архітектуру на основі агентів, що використовується програмою Application Proxy, немає необхідності у відкритих портах брандмауера для внутрішніх корпоративних додатків. Нарешті, доменні послуги Azure AD можна використовувати, щоб запропонувати каталог, що міститься в Azure, надаючи традиційне доменне середовище для автентифікації користувачів на віртуальних машинах, розміщених у Azure. Проксі-сервер додатка Azure AD також може бути налаштований на використання політик умовного доступу для застосування додаткових правил аутентифікації (наприклад, MFA), коли дотримуються певні умови.

Azure AD щодня обробляє більше 1, 3 мільярда автентифікацій. Ця чітка шкала дозволяє корпорації Майкрософт запропонувати принаймні одну службу, з якою на сьогоднішній день може конкурувати мало рішень IDM, і це захист ідентичності Azure AD. Ця функція використовує повну широту хмарних сервісів Microsoft (Outlook.com, Xbox Live, Office 365 та Azure), а також машинного навчання (ML) для забезпечення безпрецедентного аналізу ризиків для особи, що зберігається в Azure AD. Використовуючи ці дані, Microsoft виявляє закономірності та аномалії, за допомогою яких може обчислювати оцінку ризику для кожного користувача та кожного входу. Microsoft також активно стежить за порушеннями безпеки, пов’язаними з обліковими даними, ідучи настільки далеко, щоб оцінити ці порушення на предмет облікових даних у вашій організації, які можуть бути порушені. Після того, як цей показник ризику буде підрахований, адміністратори можуть використовувати його в політиці аутентифікації, яка потім дозволяє їм дотримуватися додаткових вимог входу, таких як МЗС або скидання пароля.

Звітність

Набір звітів, які Microsoft пропонує з Azure AD, залежить від вашого рівня обслуговування. Навіть вільний і базовий яруси пропонують основні звіти про безпеку, які представляють собою консервовані звіти, що показують основні журнали активності та використання. Передплатники преміум-класу отримують доступ до розширеного набору звітів, які використовують можливості машинного навчання Azure, щоб давати уявлення про аномальну поведінку, наприклад, успішні спроби аутентифікації після неодноразових збоїв, ті, що знаходяться в кількох географіях, або підозрілі IP-адреси.

Azure AD не пропонує повного набору звітів, але консервовані звіти, доступні клієнтам Premium, значно складніші, ніж те, що пропонують конкуренти. Врешті-решт, мені дуже сподобався рівень розуміння, який ви отримуєте з консервованих звітів у Azure AD Premium, навіть зважившись на відсутність планових чи спеціальних звітів.

Ціноутворення

Ціноутворення Azure AD починається з безкоштовного рівня, який підтримує до 500 000 об'єктів каталогів (в даному випадку це означає користувачів та груп) та до 10 програм для єдиного входу (SSO) на користувача. Безкоштовна версія Azure AD автоматично включається в підписки на Office 365, в цьому випадку обмеження об'єкта не застосовується. З роздрібною ціною $ 1 на користувача на місяць, базовий рівень Azure AD є надзвичайно конкурентоспроможним. Сервіс Basic додає такі можливості, як брендинг для користувацького порталу та груповий доступ і надання SSO, а також для автоматичного створення облікових записів користувачів у додатках SaaS вам знадобиться базовий рівень.

Основний рівень зберігає ліміт 10 додатків на користувача, але додає можливість підтримувати локальні додатки за допомогою Application Proxy. Рівні Premium P1 та P2 в Azure AD знімають обмеження щодо кількості додатків SSO, які користувачі можуть мати, та додають можливості самообслуговування та MFA у розмірі 6 та 9 доларів США на місяць відповідно. Обидва рівні Azure AD Premium також містять ліцензії доступу клієнтських клієнтів (CAL) для Microsoft Identity Manager (раніше Forefront Identity Manager), які можна використовувати для синхронізації та управління ідентифікаціями в базах даних, додатках, інших каталогах тощо. Преміум-яруси також приносять до столу ліцензії умовного доступу та Intune MDM, що значно покращує можливості безпеки. Основними перевагами рівня Premium P2 над Premium P1 є захист ідентичності та привілейоване управління ідентичністю, обидва вони кваліфікуються як провідні функції безпеки.

Інший розгляд цін - це можливість ліцензувати послугу МЗС Azure окремо від Azure AD, яка має дві переваги: ​​По-перше, MFA може бути доданий до вільних або базових рівнів Azure AD за 1, 40 долара на користувача на місяць або 10 аутентифікацій (що найкраще відповідає вашому використанню. кейс), що приводить загальну вартість базової послуги з МЗС до 2, 40 дол. США на користувача. По-друге, ви можете ввімкнути MFA лише для підмножини бази користувачів, потенційно заощаджуючи значну суму грошей щомісяця.

Azure AD охоплює більшість основних функцій, які вам слід шукати у провайдера IDaaS. Він вносить до таблиці деякі інструменти на рівні підприємства, яких ви очікуєте від такої компанії, як Microsoft. Такі функції, як Application Proxy та Identity Protection - одні з найкращих у класі або, просто кажучи, не мають конкуренції. Ціноутворення дуже конкурентоспроможне, а інтеграція з Office 365 та іншими продуктами та послугами Microsoft є міцною і постійно розвивається. Azure AD приєднується до управління Identity Okta як вибір редакторів у категорії IDaaS.