Welches ist das Richtige für Sie?

Wenn Sie sich für einen Identitäts- und Zugriffsverwaltungsdienst entscheiden, müssen Sie die Kosten und Funktionen der einzelnen Ebenen berücksichtigen, die Microsoft anbietet, um sicherzustellen, dass Sie die Abdeckung erhalten, die Sie zu einem Preis benötigen, den Sie sich leisten können.

Microsoft hat Azure Active Directory (Azure AD) 2013 für die allgemeine Verfügbarkeit freigegeben, und viele IT-Mitarbeiter sind sich dessen zumindest bewusst, wenn sie es nicht aktiv verwenden. Es gibt einige Verwirrung über dieses Produkt aufgrund seines Namens; Azure AD ist kein Active Directory in der Cloud. Beide haben Identitätsmanagementsysteme als Schlüsselkomponente, aber sie sind sehr unterschiedliche Systeme. Sobald Sie zu dieser Erkenntnis gekommen sind, möchten Sie noch weiter gehen und einen Vergleich zwischen Azure AD Premium P1 und P2 durchführen.

Was ist Active Directory?

Active Directory ist der Microsoft-Verzeichnisdienst, der für die lokale Ausführung auf dem Windows Server-Betriebssystem entwickelt wurde und den Zugriff auf die Organisation und ihre Ressourcen steuert. Teil von Active Directory ist die Active Directory-Domänendienste-Serverrolle, auch als Domänencontroller bezeichnet, die die Funktionalität zum Speichern von Daten im Verzeichnis enthält, z. B. Benutzerkennwörter, und die Autorisierungs- und Authentifizierungsaufgaben für die Domäne ausführt. Die Verzeichnisstruktur verwendet Objekte, bei denen es sich um Computerkonten, Server oder Drucker handeln kann – im Wesentlichen jedes Gerät oder jeder Benutzer, der eine Verbindung zum Netzwerk des Unternehmens herstellt.
Sie können Active Directory-Domänendienste auf mehreren Windows Server-Bereitstellungen installieren, die dann die Rolle von Domänencontrollern in der Active Directory-Gesamtstruktur übernehmen, die die oberste Ebene in der Verzeichnishierarchie darstellt. Active Directory bietet Authentifizierungs-, Zugriffssteuerungs- und Sicherheitsdienste (Gruppenrichtlinien) für Ressourcen in der Gesamtstruktur.

Was ist Azure Active Directory?

Azure Active Directory, das allgemein als Azure AD bezeichnet wird, ist ein Cloud-basierter Dienst für den Identitätszugriff und die Verwaltungssteuerung. Es ist in Office 365- und Microsoft 365-Abonnements enthalten, Microsoft verkauft jedoch auch andere Azure AD-Editionen mit unterschiedlichen Funktionsstufen. Wie Active Directory bietet Azure AD Authentifizierungs- und Zugriffssteuerungsdienste, wurde jedoch speziell entwickelt, um die besonderen Anforderungen von Cloud-Benutzern und Cloud-Apps zu erfüllen.

Obwohl es viele Ähnlichkeiten zwischen Active Directory und Azure AD gibt, ist Azure AD nicht einfach Active Directory in der Cloud. Azure AD bietet Cloud-spezifische Funktionen, die in einer herkömmlichen Active Directory-Umgebung nicht vorhanden sind. Beispielsweise bietet Active Directory keine Möglichkeit zum Domänenbeitritt zu mobilen Geräten, Azure AD lässt sich jedoch in Azure AD integrieren Microsoft Intune mobile Geräte zu verwalten. In ähnlicher Weise unterstützt Active Directory keine Nicht-Windows-Systeme, aber Azure AD ermöglicht Linux-Computern den Zugriff auf verschiedene Ressourcen mithilfe verwalteter Identitäten. Weitere Informationen zu den Unterschieden zwischen Active Directory und Azure AD finden Sie unter dieser Dokumentationslink von Microsoft.

Wie funktioniert Azure AD mit lokalem Active Directory?

Obwohl sowohl Active Directory als auch Azure AD als unabhängige Verzeichnisumgebungen vorhanden sein können, erstellen Unternehmen häufig hybride Verzeichnisse, die sowohl mit lokalen Domänencontrollern als auch mit Azure AD funktionieren.
Microsoft bietet ein kostenloses Tool namens Azure AD Connect an, um diese beiden Umgebungen zu verbinden. Azure AD Connect repliziert Active Directory-Benutzerkonten in Azure AD, sodass ein Benutzer über eine einzige Identität verfügt, die sowohl auf lokale als auch auf Cloud-basierte Ressourcen zugreifen kann.

Welche Arten von Azure AD-Lizenzen bietet Microsoft an?

Microsoft verkauft derzeit vier Optionen für die Azure AD-Lizenzierung. Die erste ist die kostenlose Option, die für kleinere Organisationen empfohlen wird und auf 500.000 Verzeichnisobjekte begrenzt ist. Es ist in erster Linie als Authentifizierungs- und Zugriffskontrollmechanismus gedacht und unterstützt die Benutzerbereitstellung und grundlegende Benutzerverwaltungsfunktionen wie das Erstellen, Löschen und Ändern von Benutzerkonten. Diese Benutzer können die Self-Service-Kennwortänderung nutzen, und Administratoren können globale Listen gesperrter Kennwörter erstellen oder eine Multifaktorauthentifizierung (MFA) erfordern.
Die kostenlose Stufe von Azure AD unterstützt auch erweiterte Funktionen, einschließlich der Unterstützung von Azure AD Connect und der Pass-Through-Cloud-Authentifizierung. Darüber hinaus ermöglicht die Azure AD Free Edition Active Directory Federation Services-basiert oder Verbundauthentifizierung von Drittanbietern sowie Single Sign-On-Funktionen. Administratoren können grundlegende Sicherheits- und Verwendungsberichte in der kostenlosen Version erstellen.
Microsoft umfasst Azure AD mit Office 365 und Microsoft 365 – insbesondere die Abonnements E1, E3, E5, F1 und F3 – als zugrunde liegenden Verzeichnisdienst, der zum Ausführen der Anwendungen auf der Plattform erforderlich ist, z. B. Exchange Online für E-Mail und SharePoint Online für das Content Management.
Microsoft nennt dies die Office 365 Apps Edition von Azure AD. Es verfügt über dieselben Funktionen und Fähigkeiten wie die kostenlose Version, hält sich jedoch auch an eine Service Level Agreement (SLA) mit einer Verfügbarkeit von 99,9%. Die Free Edition hat keine SLA.
Die Office 365 Apps Edition ermöglicht auch verschiedene Anpassungen, z. B. das Branding von Unternehmen. Vielleicht noch wichtiger ist, dass die Office 365 Apps-Version die bidirektionale Synchronisierung für Geräteobjekte unterstützt. Dies bedeutet, dass in Azure AD vorgenommene Änderungen in die Active Directory-Umgebung im Rechenzentrum des Unternehmens übertragen werden und umgekehrt.
Neben der kostenlosen und Office 365 Apps-Edition von Azure AD bietet Microsoft auch zwei Premium-Versionen an, die als Premium P1 und Premium P2 bekannt sind. (Premium war früher eine Ebene, aber Microsoft hat sie in zwei Editionen aufgeteilt.) Die Premium-Versionen enthalten alles, was in der Office 365 Apps Edition enthalten ist, sowie zusätzliche Funktionen, die sich auf hybride Identitäten, erweiterte gruppenbasierte Zugriffsverwaltung und bedingten Zugriff konzentrieren. Die Premium-Editionen enthalten auch Unterstützung für Microsoft Identity Manager, um Datensätze aus lokalen Human Capital Management-Softwareanwendungen wie Oracle PeopleSoft abzurufen.
Die P2-Version bietet die meisten Funktionen und Funktionen, die auf Identitätsschutz und Identitätsverwaltung ausgerichtet sind.

Wie sich die Azure Active Directory-Editionen stapeln

Microsoft entfernt die Azure AD Basic-Edition

Microsoft hatte eine weitere Azure AD-Stufe namens Basic angeboten, diese Edition jedoch Ende 2019 entfernt. Organisationen, die Azure AD Basic vor dieser Änderung abonniert haben, können die Lizenz weiterhin verwenden. Diese Schicht hatte die gleichen Funktionen wie die Azure AD Office 365 Apps-Edition, mit einer Ausnahme: Es fehlte die Multifaktorauthentifizierung.

Auswählen einer Azure AD-Lizenz

Wie bereits erwähnt, gibt es vier Azure AD-Optionen. Die kostenlose Version eignet sich am besten für kleine Organisationen und Entwicklungs- / TestumgebungenDie Office 365 / Microsoft 365-Version verfügt zwar über zusätzliche Funktionen, um mit den Funktionen der Microsoft Collaboration-Plattform zu arbeiten, aber nicht mehr.
Die Editionen Azure AD Premium P1 und P2 richten sich an Umgebungen der Unternehmensklasse, für die erweiterte Zugriffssteuerungsfunktionen erforderlich sind. Azure AD Premium P2 eignet sich gut für Unternehmen in stark regulierten Branchen wie Behörden oder im Gesundheitswesen oder für Unternehmen, die die größtmögliche Sicherheit benötigen.

Vergleich der Funktionen von Azure AD Premium P1 und P2

Nachdem Sie sich mit Azure AD und seinen vier Editionen vertraut gemacht haben, schauen wir uns an, was Sie mit Azure AD Premium P1 vs. P2 erhalten. Es gibt vier Hauptgründe, sich für Premium P2 zu entscheiden:

1. Die Identitätsschutzfunktion in Premium P2 bietet einen Überblick über fragwürdige Authentifizierungsversuche. Es werden Anmeldungen untersucht und bewertet, wie riskant sie sein können, z. B. das Erkennen einer Kontoanmeldung aus einem Land und 10 Minuten später aus einem anderen Land. Administratoren können damit umgehen verdächtige Authentifizierungsversuche automatisch mit Richtlinien, die MFA erzwingen oder den Zugriff vollständig blockieren können. Der Identitätsschutz ist eines der besten Argumente für den Wechsel zu P2, da er viele Risiken im Zusammenhang mit dem Benutzerzugriff erheblich reduziert.

Anmelderisikorichtlinie für den Azure AD-Identitätsschutz
Der Identitätsschutz von Azure AD Premium P2 enthält eine Anmelde-Risikorichtlinienfunktion, die verdächtige Anmeldeversuche blockiert.

2. Privileged Identity Management (PIM) ist eine Reihe von Steuerelementen zum Verwalten von Zugriffskonten auf höherer Ebene in Azure AD. Es enthält Sicherheitsfunktionen wie Just-in-Time-Zugriff vorübergehend Rechte zu gewähren und diese mit vollständiger Protokollierung und Überwachung zu entfernen. Workflows mit Begründung und Benachrichtigungen können auch bei Aktivierung dieser Berechtigungen ausgelöst werden. Wenn Sie mit vielen betrügerischen Änderungen in Ihrer Umgebung zu kämpfen haben, kann PIM Ihnen helfen, die Kontrolle wiederzugewinnen.

3. Die Funktion für Zugriffsüberprüfungen stellt sicher, dass nur die richtigen Mitarbeiter bestimmte Ressourcen verwenden können. Dies ist hilfreich beim Ein- und Aussteigen von Mitarbeitern oder beim Personalwechsel. Sie können auch vorhandene Benutzer überprüfen, um deren Zugriff auf Ressourcen zu überprüfen und diese Entscheidungen an die Eigentümer der Anwendung weiterzuleiten. Sie können wiederkehrende Prüfungen so anpassen, dass sie den Geschäftsanforderungen entsprechen oder die Compliance-Regeln erfüllen. Es ist eine nette Funktion, mit der Sie mehr Kontrolle haben, um den Zugriff auf wichtige Ressourcen zuzulassen oder zu blockieren, ohne sich daran erinnern zu müssen.

4. Das Berechtigungsmanagement ist eine Identitätsverwaltungsfunktion, die mithilfe der Automatisierung Identitätslebenszyklen, Zugriffslebenszyklen und privilegierten Zugriff verwaltet. Es bietet Steuerelemente, mit denen interne und externe Benutzer auf die Ressourcen des Unternehmens zugreifen können, z. B. Gruppen und Anwendungen. Die Berechtigungsverwaltung verwendet ein Zugriffspaket, das die verschiedenen Ressourcen bündelt, z. B. SharePoint Online-Websites und Zugriffsrechte für Cloud-Apps, die im Anforderungsprozess verwendet werden.

Preisvergleich zwischen Azure AD Premium P1 und P2

Azure AD Premium P1 ist Teil der Office 365 / Microsoft 365 E3-Suite, und Azure AD Premium P2 ist in der Office 365 / Microsoft 365 E5-Suite enthalten. Microsoft bietet die Ebenen auch als separaten Kauf an. Azure AD Premium P1 kostet 6 USD pro Benutzer und Monat, während Azure AD Premium P2 9 USD pro Benutzer und Monat kostet.
Microsoft bietet unterschiedliche Preise für die P1- und P2-Editionen für einen monatlich aktiven Benutzer (MAU) an – jemanden, der sich beim Mandanten anmeldet oder eine identitätsbezogene Aktivität für den Mandanten ausführt. Für die ersten 50.000 MAUs wird keine Gebühr erhoben. Darüber hinaus berechnet Microsoft für die P1-Edition 0,00325 USD pro MAU und für die P2-Edition 0,01625 USD pro MAU.
Eine weitere erwägenswerte Option ist das Microsoft 365-Paket für Identitäts- und Bedrohungsschutz (12 US-Dollar pro Benutzer und Monat) mit Azure AD Premium P2, Microsoft Cloud App Security und Microsoft 365 Defender – früher Microsoft Threat Protection genannt -, das Azure Sentinel bereitstellt , Microsoft Defender für Identität (vormals Azure Advanced Threat Protection), Microsoft Defender für Endpoint (vormals Microsoft Defender ATP) und Microsoft Defender für Office 365 (vormals Office 365 Advanced Threat Protection). Diese Kombination bietet umfassendere Sicherheitsvorteile und kostet nicht viel mehr als die Azure AD Premium P2-Lizenz.
Die Entscheidung, welches Paket Sie kaufen möchten, erfordert viel Recherche und Verständnis, um sicherzustellen, dass Sie das beste Preis-Leistungs-Verhältnis erhalten. Kaufen Sie nicht die absolut beste verfügbare Lizenzstufe, bis Sie wissen, dass Sie sie verwenden werden.

Testen Sie Azure AD mit der kostenlosen Edition

Azure AD wächst weiter und sammelt regelmäßig neue Funktionen und Fähigkeiten. Zu den Identitätsverwaltungsfunktionen von Azure AD gehört eine Mischung aus Benutzerverwaltung für interne und externe Benutzer, Anwendungszugriffsverwaltung und Kontoschutz. Die meisten Unternehmen verwenden sowohl lokales Active Directory als auch Azure AD, um unterschiedliche Systemanforderungen zu erfüllen, und beide Systeme ergänzen sich gut.
Sie können Azure AD kostenlos testen, indem Sie einen kostenlosen Azure-Mandanten einrichten, falls Sie noch keinen haben, und dann ein Verzeichnis erstellen. Anschließend können Sie optional den Azure AD Connect-Client installieren, um Ihre lokalen Active Directory-Objekte zu synchronisieren.
Diese kostenlose Azure AD-Stufe eignet sich hervorragend für Testzwecke, jedoch nicht für die Live-Umgebung eines Unternehmens. Die kostenlose Edition verfügt nicht über wesentliche Sicherheitsfunktionen wie bedingten Zugriff und MFA. Sie möchten vermeiden, Identitäten ohne MFA-Schutz in die Cloud zu stellen. Bei einer flüchtigen Online-Suche wird eine kürzlich durchgeführte Black Hat-Konferenzsitzung gefunden, in der erläutert wird, wie einfach es ist, diese Azure AD-Setups anzugreifen. Es wird daher dringend empfohlen, den Azure AD-Mandanten zu sperren, bevor Sie mit dem Experimentieren beginnen.

Similar Posts

Leave a Reply