סקירה ודירוג ספרייה פעילים של מיקרוסופט תכלת

מיקרוסופט הייתה מובילה בתעשייה בכמה קטגוריות IT מרכזיות מזה עשרות שנים, ואחת שהחברה קיבלה חנק יעיל היא ספריות רשת מקומיות. מדריך ה- Windows Server Active Directory (AD) משמש בתאגידים וממשלות ברחבי העולם והוא תקן הזהב לניהול זהויות ארגוניות (IDM) בארגון. בנוסף לתכונות מתקדמות ואינטגרציה הדוקה עם הספרייה המקומית הפופולרית בעולם, התמחור של Microsost Azure AD הוא תחרותי מאוד בחלל Identity Management-as-a-Service (IDaaS), ומציע שכבה בחינם, שכבה בסיסית במחיר של $ 1 למשתמש בחודש, ושני שכבות פרמיום שרצות $ 6 ו- $ 9 לחודש בהתאמה. תכונות מתקדמות, אינטגרציה הדוקה עם פלטפורמת IDM המקומית המובילה, ומחיר חדש וידידותי, כל אלה יחד כדי להעלות את Azure AD לבחירת העורכים במרחב IDaaS לצד ניהול זהויות Okta.

הגדרה וחיבור עם AD AD-Prem

מסיבות מובנות, השימוש הנפוץ ביותר עבור Azure AD נותר חברות שרוצות לשלב תחום AD מקומי מקומי עם יישומים הפועלים בענן ואפילו משתמשים המחברים דרך האינטרנט. כדי לספק את האומץ שיגשר על AD מקומי עם Azure AD, הפיתרון הפופולרי ביותר של מיקרוסופט הוא Azure AD Connect, כלי סינכרון הזמין בחינם ממיקרוסופט. מתחרים רבים מציעים כלי סינכרון דומה לחיבור מוצרי IDaaS שלהם לתחומי AD מקומיים, אך Azure AD Connect הוא דוגמא טובה כיצד לעשות זאת נכון. ההבדל הגדול ביותר בין Azure AD Connect לבין כלי סינכרון אחרים הוא ש- Azure AD Connect מציע סנכרון סיסמא מאובטח, המאפשר לתהליך האימות להתרחש בתוך Azure AD במקום שהתעודות של המשתמש יתקבלו כנגד ה- AD הארגוני. ההבדל הגדול ביותר בין Azure AD Connect לבין כלי סינכרון אחרים הוא ש- Azure AD Connect מסנכרן סיסמאות כברירת מחדל ותהליך האימות מתרחש בתוך Azure AD במקום שהתעודות של המשתמש מקבלות תוקף כנגד ה- AD הארגוני. ארגונים רבים עשויים להיתקל בבעיות מדיניות עם סינכרון חיפושי סיסמא לענן, מה שהופך את סנכרון הסיסמה של Azure AD Connect לבעיה אפשרית.

Azure AD תומך גם בשימוש בשירותי Active Directory Federation (ADFS). באופן מסורתי, המשמש כמספק יכולות אימות לאפליקציות או שירותים חיצוניים, ADFS מאלץ את בקשות האימות לבצע באמצעות המודעה המקומית שלך. עם זאת, יש לה סט של דרישות ושלבי תצורה משלו, שהופכים אותה למורכבת בהרבה ממוצרים מתחרים עם פונקציונליות אימות דומה. האפשרות האידיאלית היא משהו על פי PingFederate של Ping Identity, המספק פדרציה לזהות עם תצורה מינימלית, אך יאפשר לכם לכוונן את כל ההיבטים בתהליך הפדרציה.

האפשרות החדשה ביותר לשילוב AD עם Azure AD עדיין משתמשת בסוכן Azure AD Connect, אך מציעה אפשרות מאוחדת. תלונה אחת נפוצה על Azure AD בקרב חברות גדולות יותר היא היעדר אמצע קרקע בין סנכרון באמצעות Azure AD Connect לבין פדרציה המשתמשת ב- ADFS. אימות עובר משתמש ב- Azure AD Connect כדי להציע נתיב פשוט לגישה מאוחדת לזהויות שלך ב- AD. בתיאוריה, אימות מעבר מציע את הטוב שבשני העולמות, שמירה על זהויות ואימות באופן מקומי, אך מבטלת את הצורך ב- ADFS. יתרון נוסף של אימות מעבר באמצעות ADFS הוא שקישוריות מבוססת סוכן, ומבטלת את הצורך בכללי חומת אש או מיקום בתוך DMZ. פונקציונליות זו עולה בקנה אחד עם חלק גדול מהתחרות של Azure AD, כולל Okta, OneLogin, Bitium ו- Centrify. אימות מעבר נמצא כרגע בתצוגה מקדימה, עם זמינות כללית צפויה במהלך החודשים הקרובים.

שילוב ספריות

נראה בטוח לצפות שפתרון Microsoft IDaaS ישתלב בחוזקה עם AD, ו- Azure AD לא מאכזב. ניתן לקבוע את התצורה של סנכרון תכונות באמצעות Azure AD Connect ובהמשך ניתן יהיה למפות אותה בתצורות אפליקציה של תוכנה כשירות (SaaS). Azure AD תומך גם בהחזרת שינויים בסיסמאות ל- AD כאשר הם מתרחשים ב- Microsoft Office 365 או בפורטל המשתמשים Azure AD. תכונה זו זמינה במתחרים כמו OneLogin ומנצחת בחירת העורכים Okta Identity Management, אך עשויה לדרוש תוכנה נוספת או שינויים במדיניות ברירת המחדל לסנכרון.

נקודת אינטגרציה מרכזית נוספת עבור Azure AD היא ללקוחות המשתמשים ב- Microsoft Exchange לשירותי הדואר שלהם, במיוחד עבור אלה המשתמשים ב- Exchange או Exchange Online בשילוב עם Office 365 בתרחיש ענן היברידי, בו כל שירותי הדואר האלקטרוני או חלקם מתארחים במצב מקוון. -מבטא מרכז נתונים בזמן שהמשאבים האחרים מתארחים בענן. בהתקנה, Azure AD Connect יזהה תכונות סכימה נוספות המצביעות על התקנת Exchange ויסנכרן אוטומטית תכונות אלה. ל- Azure AD יש גם אפשרות לסנכרן את קבוצות Office 365 בחזרה לספירה כקבוצות הפצה.

Windows 10 מביא גם יכולות חדשות להשתלב עם Azure AD. Windows 10 תומך בחיבור מכשירים ל- Azure AD כחלופה לספירה העסקית שלך. עם זאת, היזהר מכיוון שהפונקציונליות שונה משמעותית בין חיבור מכשיר ל- Azure AD לעומת חיבור מכשיר ל- AD המקומי המסורתי. הסיבה לכך היא שמרגע שמחובר ל- Azure AD, מכשיר Windows 10 מנוהל באמצעות Azure AD וכלים לניהול התקנים ניידים של מיקרוסופט (MDM) ולא באמצעות מדיניות קבוצתית. היתרון הגדול עבור משתמשי Azure AD הוא שהאימות לפורטל המשתמשים הוא חלק מכיוון שהמשתמש כבר מאומת למכשיר, ויישומי Windows 10 כמו דואר ויומן יזהו אם חשבון Office 365 זמין ויוגדר אוטומטית. תהליך הכניסה דומה מאוד לסגנון הכניסה לברירת המחדל ב- Windows 8, שם הוא מבקש את פרטי חשבון Microsoft שלך.

מנהל זהויות של מיקרוסופט

לעיתים רחוקות, עסק גדול מסתמך על מקור זהויות אחד. בין אם מדובר בשילוב של Active Directory ומערכת משאבי אנוש (HR), יערות Active Directory מרובים, או קשרים עם שותפים עסקיים, מורכבות נוספת היא בלתי נמנעת בעסקים גדולים יותר. הפיתרון של מיקרוסופט לשילוב ספקי זהויות מרובים הוא Microsoft Identity Manager. אמנם מדובר בחבילת תוכנה מובחנת, אך רישיונות הגישה ללקוח כלולים ברובדים של Azure AD Premium. שיתוף פעולה Azure AD B2B (Azure AD B2B) מספק אמצעים להציע לשותפים עסקיים גישה ליישומים ארגוניים. למרות שכעת נמצא בתצוגה מקדימה, Azure AD B2B מאפשר שיתוף פעולה עם שותפים עסקיים, ומציע להם גישה ליישומים מבלי לדרוש יצירת חשבונות משתמשים ב- Active Directory או בנאמנות של Active Directory.

תמיכת כניסה יחידה אמיתית (SSO) המשתמשת בתעודות ספריות נתמכת כעת באמצעות Azure AD בעת שימוש בסנכרון סיסמה או אימות מעבר. בעבר רק ADFS הציעה פונקציונליות זו. משתמשים יכולים כעת לאמת ל- Azure AD וליישומי ה- SaaS שלהם מבלי לספק אישורים בהנחה שהם עומדים בדרישות הטכניות (כלומר מחשב הצטרף ל- Windows, גרסת דפדפן נתמכת וכו '). SSO למשתמשים שולחניים ארגוניים נמצא כעת בתצוגה מקדימה.

IDM לצרכן

Azure AD B2C הוא ה- IDM הפונה לצרכן של מיקרוסופט. זה מאפשר למשתמשים לבצע אימות לשירותים או לאפליקציות שלך באמצעות אישורים קיימים שכבר הקימו באמצעות שירותי ענן אחרים כמו גוגל או פייסבוק. Azure AD B2C תומך הן ב- OAuth 2.0 והן ב- Open ID Connect, ומיקרוסופט מספקת מגוון אפשרויות לשילוב השירות עם האפליקציה או השירות שלך.

התמחור עבור הצעת B2C נפרד משכבות ה- Azure AD הרגילות, ומחולק לפי מספר המשתמשים המאוחסנים לפי אימות ומספר האימותים. משתמשים מאוחסנים הם בחינם עד 50, 000 משתמשים, ומתחילים ב- 0.0011 $ לאימות עד מיליון. 50, 000 האימות הראשונים בחודש הם גם בחינם, ומתחילים ב- 0.0028 $ לאימות עד מיליון. אימות מולטי-פקטור זמין גם עבור Azure AD B2C, ומריץ 0, 03 $ סטנדרטיים לאימות.

הקצאת משתמשים

Azure AD מציע תכונה דומה למרבית ספקי IDaaS בכל מה שקשור להגדרת משתמשים וקבוצות להקצות ולהעניק גישה ליישומי SaaS. ניתן לסנכרן גם משתמשים וגם קבוצות אבטחה באמצעות Azure AD Connect, או להוסיף משתמשים וקבוצות ידנית בתוך Azure AD. לרוע המזל, אין דרך להסתיר משתמשים או קבוצות ב- Azure AD כך שלקוחות בארגונים גדולים יצטרכו להשתמש לעיתים קרובות מתכונות החיפוש על מנת לנווט למשתמשים או קבוצות ספציפיים. Azure AD מאפשרת לך ליצור קבוצות דינמיות המבוססות על שאילתות מבוססות מאפיינים באמצעות תכונה (כרגע בתצוגה מקדימה) הנקראת כללים מתקדמים.

Azure AD תומך בהקצאה אוטומטית של משתמשים ביישומי SaaS ויש לה את היתרון המובהק של עבודה יוצאת דופן עם פריסות Office 365. במידת האפשר, Azure AD מפשט תהליך זה כמו במקרה של Google Apps. בתהליך פשוט בן ארבעה שלבים, Azure AD מבקש ממך כניסה ל- Google Apps שלך ומבקש את אישורך להגדיר את Google Apps להקצאת משתמשים אוטומטית.

כניסה יחידה

פורטל משתמשי הקצה של מיקרוסופט דומה לחלק גדול מהתחרות, ומציע רשת אייקוני אפליקציות המפנה משתמשים לאפליקציות SSO. אם מנהלים בוחרים, ניתן להגדיר את פורטל המשתמשים Azure AD כך שהוא יאפשר פעולות בשירות עצמי כגון איפוס סיסמא, בקשות אפליקציות או בקשות ואישורים לחברות בקבוצה. למנויים של Office 365 יש יתרון נוסף בכך שהם יכולים להוסיף יישומי SSO לתפריט היישומים של Office 365, ומספקים גישה נוחה לאפליקציות עסקיות קריטיות מתוך Outlook או הצעות אחרות של Office 365.

Azure AD תומך במדיניות אבטחה הקשורה לאפליקציות בודדות, ומאפשר לך לדרוש אימות רב-גורמי (MFA). בדרך כלל MFA כרוך במכשיר אבטחה או אסימון מסוג כלשהו (כמו כרטיס חכם) או אפילו אפליקציית סמארטפון שצריכה להיות נוכחת לפני הכניסה. Azure AD יכול לתמוך ב- MFA למשתמשים פרטיים, קבוצות או מבוסס על מיקום רשת. Okta Identity Management מטפל באותה מדיניות במדיניות האבטחה שלהם. באופן כללי, אנו מעדיפים להפריד בין מדיניות אבטחה כך שניתן להחיל את אותה מדיניות על מספר אפליקציות, אך לפחות יש לך את היכולת להגדיר מדיניות מרובה.

תכונה ייחודית אחת שמיקרוסופט מציעה ב- Azure AD Premium יכולה לעזור לחברה שלך להתחיל לזהות אפליקציות SaaS שכבר נמצאות בשימוש על ידי הארגון שלך. Cloud App Discovery משתמש בסוכני תוכנה כדי לנתח את התנהגות המשתמשים ביחס לאפליקציות SaaS, ועוזר לך לחדד את היישומים הנפוצים ביותר בארגון שלך ולהתחיל לנהל אותם ברמה ארגונית.

התרחיש המסורתי של פתרונות IDaaS כולל אימות משתמשים ליישומי ענן באמצעות אישורים שמקורם בספרייה מקומית. Azure AD דוחף את הגבולות הללו על ידי הפעלת אימות ליישומים מקומיים באמצעות Application Proxy, המשתמש בסוכן כדי לאפשר למשתמשים להתחבר בצורה בטוחה ליישומים דרך Azure. בגלל הארכיטקטורה מבוססת הסוכן המשמשת את Application Proxy, אין צורך ביציאות חומת אש פתוחות לאפליקציות ארגוניות פנימיות. לבסוף, ניתן למנף את שירותי הדומיין של Azure AD כדי להציע ספרייה הכלולה ב- Azure, ומספקת סביבת דומיין מסורתית לאימות משתמשים למחשבים וירטואליים המתארחים ב- Azure. ניתן להגדיר את פרוקסי היישום Azure AD גם להשתמש במדיניות גישה מותנית לאכיפת כללי אימות נוספים (כגון MFA) כאשר מתקיימים תנאים מסוימים.

Azure AD מטפל ביותר מ -1.3 מיליארד אימות בכל יום. קנה המידה העצום הזה מאפשר למיקרוסופט להציע לפחות שירות אחד איתו כיום מעט פתרונות IDM יכולים להתחרות, וזה Azure AD Identity Protection. תכונה זו משתמשת ברוחב המלא של שירותי הענן של מיקרוסופט (Outlook.com, Xbox Live, Office 365 ו- Azure) וכן בלמידה של מכונות (ML) כדי לספק ניתוח סיכונים ללא תחרות עבור זהויות המאוחסנות ב- Azure AD. באמצעות נתונים אלה, מיקרוסופט מזהה דפוסים וחריגות בעזרתם היא יכולה לחשב ציון סיכון עבור כל משתמש וכל כניסה. מיקרוסופט גם עוקבת באופן פעיל אחר הפרות אבטחה הכרוכות בתעודות, ומרחיקות עד להערכת הפרות אלה לגבי אישורים בארגון שלך שנמצאות בסיכון. לאחר שחושב ציון הסיכון הזה, מנהלים יכולים למנף אותו במדיניות אימות, המאפשרת להם להתמודד עם דרישות כניסה נוספות כגון MFA או איפוס סיסמה.

דיווח

ערכת הדוחות שמציעה מיקרוסופט עם Azure AD תלויה ברמת השירות שלך. אפילו הרמות החינמיות והבסיסיות מציעות דוחות אבטחה בסיסיים, שהם דוחות משומרים המציגים יומני פעילות ושימוש בסיסי. מנויי פרימיום מקבלים גישה למערך דיווחים מתקדם שממנף את יכולות הלמידה של מכונה של Azure בכדי לתת תובנות על התנהגות חריגה כמו ניסיונות אימות מוצלחים לאחר כישלונות חוזרים ונשנים, כאלה ממספר גיאוגרפיות או כאלה שמגיעים מכתובות IP חשודות.

Azure AD אינו מציע חבילת דיווח מלאה אך הדוחות המשומרים הזמינים ללקוחות פרימיום הם הרבה יותר מתוחכמים ממה שמציעים המתחרים. בסופו של דבר מאוד אהבתי את רמת התובנה שתקבלו עם הדוחות המשומרים ב- Azure AD Premium, אפילו שקלו כנגד היעדר תזמון או דוחות מותאמים אישית.

תמחור

התמחור של Azure AD מתחיל עם שכבה חופשית התומכת בעד 500, 000 אובייקטים של ספריות (במקרה זה, זה אומר משתמשים וקבוצות) ועד 10 יישומי כניסה יחידה (SSO) למשתמש. הגרסה החינמית של Azure AD כלולה אוטומטית עם מנויי Office 365, באיזה מצב מגבלת האובייקט אינה חלה. עם מחיר קמעונאי של 1 $ למשתמש לחודש, הרמה הבסיסית של Azure AD היא תחרותית ביותר. השירות הבסיסי מוסיף יכולות כמו מיתוג לפורטל המשתמשים וגישה ל- SSO מבוססת-קבוצות, כך שיצור חשבונות משתמש באופן אוטומטי ביישומי SaaS, תזדקק לשכבה הבסיסית.

הרובד הבסיסי שומר על 10 היישומים לכל מגבלת משתמש, אך מוסיף את היכולת לתמוך באפליקציות מקומיות באמצעות Application Proxy. שכבות ה- Premium P1 ו- P2 ב- Azure AD מסירות את המגבלות מכמות היישומים של SSO שמשתמשים יכולים לקבל ולהוסיף יכולות שירות עצמי ו- MFA תמורת $ 6 ו- $ 9 למשתמש לחודש בהתאמה. שני שכבות ה- Azure AD Premium כוללות גם רישיונות גישה ללקוח של משתמשים (CAL) עבור Microsoft Identity Manager (לשעבר מנהל חזית זהות), בהם ניתן להשתמש כדי לסנכרן ולנהל זהויות במסדי נתונים, אפליקציות, ספריות אחרות ועוד. שכבות הפרימיום מביאות לשולחן גם רישיונות גישה מותנית ורשימות MDM אינטון, ומעלות את יכולות האבטחה בגדול. היתרונות העיקריים של שכבת Premium P2 על פני Premium P1 הם הגנה על זהות וניהול זהויות פריבילגיות, שתיהן מתאימות לתכונות אבטחה מובילות בתעשייה.

שיקול נוסף לתמחור הוא היכולת לרישיון שירות MFA של Azure בנפרד משירות Azure AD, שיש לו שני יתרונות: ראשית, ניתן להוסיף MFA לטבליות חינם או בסיסית Azure AD במחיר של $ 1.40 למשתמש למשתמש בחודש או 10 אימות (לפי המתאים ביותר לשימוש שלכם) מקרה), מה שמביא את העלות הכוללת של השירות הבסיסי עם MFA ל 2.40 $ למשתמש. שנית, אתה יכול לבחור לאפשר רק MFA עבור קבוצת משנה של בסיס המשתמשים שלך, ובכך עשוי לחסוך סכום כסף משמעותי בכל חודש.

Azure AD מכסה את רוב תכונות הליבה שעליך לחפש אצל ספק IDaaS. זה מביא לטבלה כמה כלים ברמת הארגון שהיית מצפה מחברה כמו מיקרוסופט. תכונות כמו פרוקסי יישומים והגנה על זהות הם מהטובים בכיתה, או בפשטות, אין להם תחרות. התמחור הוא תחרותי מאוד, והאינטגרציה עם Office 365 ומוצרים ושירותים אחרים של מיקרוסופט הינה איתנה ומתפתחת כל העת. Azure AD מצטרף לניהול זהויות Okta כבחירת עורכים בקטגוריית IDaaS.