Revisão e classificação do diretório ativo do Microsoft azure

A Microsoft é líder do setor em várias categorias principais de TI há décadas, e uma na qual a empresa teve uma presença efetiva é nos diretórios de rede locais. O Windows Server Active Directory (AD) é usado por empresas e governos em todo o mundo e é o padrão-ouro para o Gerenciamento de Identidade (IDM) da empresa. Além dos recursos avançados e da forte integração com o diretório local mais popular do mundo, os preços do Microsost Azure AD são muito competitivos no espaço de Gerenciamento de Identidade como Serviço (IDaaS), oferecendo uma camada gratuita, uma básica por US $ 1 por usuário por mês e duas camadas premium que custam US $ 6 e US $ 9 por mês, respectivamente. Recursos avançados, forte integração com a plataforma IDM local líder e um preço novo e amigável combinam-se para elevar o Azure AD à escolha dos editores no espaço IDaaS, ao lado do Okta Identity Management.

Configuração e conexão com o On-Prem AD

Por razões óbvias, o uso mais comum do Azure AD continua sendo as empresas que procuram integrar um domínio AD local existente com aplicativos em execução na nuvem e até usuários que se conectam via Internet. Para fornecer a coragem que unirá o AD local com o Azure AD, a solução mais popular da Microsoft é o Azure AD Connect, uma ferramenta de sincronização disponível gratuitamente na Microsoft. Muitos concorrentes oferecem ferramentas de sincronização semelhantes para conectar seus produtos IDaaS aos domínios do AD local, mas o Azure AD Connect é um bom exemplo de como fazê-lo corretamente. A maior diferença entre o Azure AD Connect e outras ferramentas de sincronização é que o Azure AD Connect oferece sincronização de senha segura, o que permite que o processo de autenticação ocorra no Azure AD, em vez de as credenciais do usuário serem validadas no AD corporativo. A maior diferença entre o Azure AD Connect e outras ferramentas de sincronização é que o Azure AD Connect sincroniza senhas por padrão e o processo de autenticação ocorre no Azure AD, em vez de as credenciais do usuário serem validadas no AD corporativo. Muitas organizações podem ter problemas de política com a sincronização de hashes de senha na nuvem, tornando a sincronização de senha do Azure AD Connect um possível problema.

O Azure AD também oferece suporte ao uso dos Serviços de Federação do Active Directory (ADFS). Tradicionalmente usado para fornecer recursos de autenticação para aplicativos ou serviços externos, o ADFS força solicitações de autenticação a serem executadas usando o AD local, no entanto, ele possui seu próprio conjunto de requisitos e etapas de configuração que o tornam muito mais complexo do que produtos concorrentes com funcionalidade de autenticação semelhante. A opção ideal é algo semelhante ao PingFederate do Ping Identity, que fornece à federação de identidades uma configuração mínima, mas permite que você ajuste todos os aspectos do processo de federação.

A opção mais recente para integrar o AD ao Azure AD ainda usa o agente do Azure AD Connect, mas oferece uma opção federada. Uma reclamação comum sobre o Azure AD entre grandes empresas é a falta de meio termo entre a sincronização usando o Azure AD Connect e a federação usando o ADFS. A autenticação de passagem usa o Azure AD Connect para oferecer um caminho simples para o acesso federado às suas identidades no AD. Em teoria, a autenticação de passagem oferece o melhor dos dois mundos, mantendo identidades e autenticação no local, mas eliminando a necessidade do ADFS. Um benefício adicional da autenticação de passagem pelo ADFS é que a conectividade é baseada em agente, eliminando a necessidade de regras de firewall ou posicionamento em uma DMZ. Essa funcionalidade está mais alinhada com grande parte da concorrência do Azure AD, incluindo Okta, OneLogin, Bitium e Centrify. Atualmente, a autenticação de passagem está em visualização, com disponibilidade geral esperada nos próximos meses.

Integração de Diretório

Parece seguro esperar que uma solução Microsoft IDaaS se integre totalmente ao AD, e o Azure AD não decepciona. A sincronização de atributos pode ser configurada com o Azure AD Connect e, posteriormente, pode ser mapeada nas configurações individuais de aplicativos de Software como Serviço (SaaS). O Azure AD também oferece suporte a alterações de senha gravadas no AD quando elas ocorrem no Microsoft Office 365 ou no portal do usuário do Azure AD. Esse recurso está disponível em concorrentes como o vencedor do OneLogin e do Editors Choice, o Okta Identity Management, mas pode exigir software adicional ou alterações na política de sincronização padrão.

Outro ponto importante de integração do Azure AD é para clientes que usam o Microsoft Exchange para seus serviços de email, principalmente para aqueles que usam o Exchange ou o Exchange Online em conjunto com o Office 365 em um cenário de nuvem híbrida, onde todo ou parte do serviço de email está hospedado em um -premessa o centro de dados enquanto os outros recursos estão hospedados na nuvem. Na instalação, o Azure AD Connect reconhecerá atributos de esquema adicionais que indicam uma instalação do Exchange e sincronizará automaticamente esses atributos. O Azure AD também tem a capacidade de sincronizar os grupos do Office 365 de volta ao AD como grupos de distribuição.

O Windows 10 também traz novos recursos para integração com o Azure AD. O Windows 10 oferece suporte à associação de dispositivos ao Azure AD como uma alternativa ao seu AD corporativo. No entanto, tenha cuidado, pois a funcionalidade difere significativamente entre conectar um dispositivo ao Azure AD e ingressar um dispositivo no AD local tradicional. Isso ocorre porque, uma vez conectado ao Azure AD, o dispositivo Windows 10 se torna gerenciado por meio das ferramentas do Azure AD e de gerenciamento de dispositivos móveis (MDM) da Microsoft, em vez da Política de Grupo. O grande benefício para os usuários do Azure AD é que a autenticação no portal do usuário é perfeita, já que o usuário já está autenticado no dispositivo, e os aplicativos do Windows 10, como Mail e Calendar, reconhecerão se uma conta do Office 365 está disponível e é configurada automaticamente. O processo de logon é muito semelhante ao estilo de logon padrão no Windows 8, onde ele solicita os detalhes da sua conta da Microsoft.

Microsoft Identity Manager

Raramente uma grande empresa depende de uma única fonte de identidades. Seja uma combinação do Active Directory e um sistema de recursos humanos (RH), várias florestas do Active Directory ou relacionamentos com parceiros de negócios, complexidade adicional é inevitável em empresas maiores. A solução da Microsoft para integrar vários provedores de identidade é o Microsoft Identity Manager. Embora seja um pacote de software distinto, as licenças de acesso para cliente estão incluídas nas camadas do Azure AD Premium. A Colaboração B2B do Azure AD (Azure AD B2B) fornece um meio de oferecer aos parceiros de negócios acesso a aplicativos corporativos. Embora esteja atualmente em visualização, o Azure AD B2B facilita a colaboração com parceiros de negócios, oferecendo acesso a aplicativos sem exigir a criação de contas de usuário no Active Directory ou uma confiança do Active Directory.

Agora, o suporte ao verdadeiro logon único (SSO) usando credenciais de diretório agora é suportado usando o Azure AD ao usar a sincronização de senha ou autenticação de passagem. Anteriormente, apenas o ADFS oferecia essa funcionalidade. Agora, os usuários podem se autenticar no Azure AD e seus aplicativos SaaS sem fornecer credenciais, desde que atendam aos requisitos técnicos (ou seja, um computador Windows ingressado no domínio, uma versão de navegador compatível etc.). O SSO para usuários corporativos de desktop também está em pré-visualização.

IDM do consumidor

O Azure AD B2C é o IDM voltado para o consumidor da Microsoft. Ele permite que os usuários se autentiquem em seus serviços ou aplicativos usando credenciais existentes que já estabeleceram com outros serviços em nuvem, como Google ou Facebook. O Azure AD B2C oferece suporte ao OAuth 2.0 e ao Open ID Connect, e a Microsoft fornece uma variedade de opções para integrar o serviço ao seu aplicativo ou serviço.

Os preços da oferta B2C são separados das camadas padrão do Azure AD e são divididos pelo número de usuários armazenados por autenticação e pelo número de autenticações. Os usuários armazenados podem liberar até 50.000 usuários e começam em US $ 0, 0011 por autenticação de até 1 milhão. As primeiras 50.000 autenticações por mês também são gratuitas e começam em US $ 0, 0028 por autenticação até 1 milhão. A autenticação multifator também está disponível para o Azure AD B2C e executa um padrão $ 0, 03 por autenticação.

Provisionamento de Usuário

O Azure AD oferece um recurso semelhante definido para a maioria dos fornecedores de IDaaS quando se trata de configurar usuários e grupos para atribuir e provisionar acesso a aplicativos SaaS. Usuários e grupos de segurança podem ser sincronizados usando o Azure AD Connect ou usuários e grupos podem ser adicionados manualmente no Azure AD. Infelizmente, não há como ocultar usuários ou grupos no Azure AD; portanto, os clientes de grandes empresas precisam aproveitar-se frequentemente dos recursos de pesquisa para navegar para usuários ou grupos específicos. O Azure AD permite que você crie grupos dinâmicos com base em consultas baseadas em atributos usando um recurso (atualmente em visualização) chamado regras avançadas.

O Azure AD oferece suporte ao provisionamento automático de usuários em aplicativos SaaS e tem a vantagem distinta de funcionar excepcionalmente bem com as implantações do Office 365. Quando possível, o Azure AD simplifica esse processo, como no caso do Google Apps. Com um processo simples de quatro etapas, o Azure AD solicita seu login no Google Apps e solicita sua permissão para configurar o Google Apps para provisionamento automático de usuários.

Logon único

O portal do usuário final da Microsoft é semelhante a grande parte da concorrência, oferecendo uma grade de ícones de aplicativos direcionando os usuários para aplicativos SSO. Se os administradores escolherem, o portal do usuário do Azure AD pode ser configurado para permitir ações de autoatendimento, como redefinições de senha, solicitações de aplicativos ou solicitações e aprovações de associação ao grupo. Os assinantes do Office 365 têm o benefício adicional de poder adicionar aplicativos SSO ao menu de aplicativos do Office 365, fornecendo acesso conveniente a aplicativos de negócios críticos no Outlook ou em outras ofertas do Office 365.

O Azure AD oferece suporte a políticas de segurança vinculadas a aplicativos individuais, permitindo que você exija autenticação multifator (MFA). Normalmente, o MFA envolve algum tipo de dispositivo ou token de segurança (como um cartão inteligente) ou até mesmo um aplicativo para smartphone que precisa estar presente antes do login. O Azure AD pode oferecer suporte ao MFA para usuários individuais, grupos ou com base no local da rede. O Okta Identity Management lida com suas políticas de segurança da mesma maneira. Em geral, preferimos que as políticas de segurança sejam separadas para que a mesma política possa ser aplicada a vários aplicativos, mas pelo menos você tem a capacidade de configurar várias políticas.

Um recurso exclusivo que a Microsoft oferece no Azure AD Premium pode ajudar sua empresa a identificar aplicativos SaaS já em uso por sua organização. O Cloud App Discovery usa agentes de software para começar a analisar o comportamento do usuário em relação aos aplicativos SaaS, ajudando a aprimorar os aplicativos mais usados ​​em sua organização e a gerenciar aqueles em nível corporativo.

O cenário tradicional para soluções IDaaS envolve a autenticação de usuários em aplicativos na nuvem usando credenciais originárias de um diretório local. O Azure AD ultrapassa esses limites, habilitando a autenticação para aplicativos locais usando o Proxy de Aplicativo, que usa um agente para permitir que os usuários se conectem com segurança aos aplicativos por meio do Azure. Devido à arquitetura baseada em agente usada pelo Application Proxy, não há necessidade de portas de firewall abertas para aplicativos corporativos internos. Por fim, os Serviços de Domínio Azure AD podem ser aproveitados para oferecer um diretório contido no Azure, fornecendo um ambiente de domínio tradicional para autenticar usuários em máquinas virtuais hospedadas no Azure. O Proxy de Aplicativo do Azure AD também pode ser configurado para usar diretivas de acesso condicional para impor regras de autenticação adicionais (como o MFA) quando determinadas condições forem atendidas.

O Azure AD lida com mais de 1, 3 bilhão de autenticações todos os dias. Essa escala completa permite que a Microsoft ofereça pelo menos um serviço com o qual poucas soluções IDM podem competir no momento, e isso é o Azure AD Identity Protection. Esse recurso usa toda a variedade de serviços em nuvem da Microsoft (Outlook.com, Xbox Live, Office 365 e Azure), bem como aprendizado de máquina (ML) para fornecer análise de risco incomparável para identidades armazenadas no Azure AD. Usando esses dados, a Microsoft detecta padrões e anomalias com os quais pode calcular uma pontuação de risco para cada usuário e cada entrada. A Microsoft também monitora ativamente as violações de segurança que envolvem credenciais, chegando ao ponto de avaliar essas violações em busca de credenciais em sua organização que estejam potencialmente comprometidas. Uma vez calculada essa pontuação de risco, os administradores podem aproveitá-la nas políticas de autenticação, o que lhes permite cumprir requisitos adicionais de entrada, como MFA ou redefinição de senha.

Comunicando

O conjunto de relatórios que a Microsoft oferece com o Azure AD depende do seu nível de serviço. Até as camadas gratuitas e básicas oferecem relatórios básicos de segurança, que são relatórios fixos mostrando os logs básicos de atividade e uso. Os assinantes premium obtêm acesso a um conjunto avançado de relatórios que aproveitam os recursos de aprendizado de máquina do Azure para fornecer informações sobre comportamentos anômalos, como tentativas de autenticação bem-sucedidas após falhas repetidas, de várias regiões geográficas ou de endereços IP suspeitos.

O Azure AD não oferece um conjunto completo de relatórios, mas os relatórios disponíveis para clientes Premium são muito mais sofisticados do que os concorrentes. No final, gostei muito do nível de insight que você obtém com os relatórios conservados no Azure AD Premium, mesmo com a falta de agendamento ou relatórios personalizados.

Preços

Os preços do Azure AD começam com um nível gratuito que suporta até 500.000 objetos de diretório (nesse caso, isso significa usuários e grupos) e até 10 aplicativos de logon único (SSO) por usuário. A versão gratuita do Azure AD é incluída automaticamente nas assinaturas do Office 365, situação em que o limite de objetos não se aplica. Com um preço de varejo de US $ 1 por usuário por mês, a camada Básica do Azure AD é extremamente competitiva. O serviço Básico adiciona recursos como criação de marca para o portal do usuário e acesso e provisionamento de SSO baseado em grupo. Para criar automaticamente contas de usuário em aplicativos SaaS, você precisará da camada Básica.

A camada Básica mantém o limite de 10 aplicativos por usuário, mas adiciona a capacidade de oferecer suporte a aplicativos locais usando o Proxy de Aplicativo. As camadas Premium P1 e P2 no Azure AD removem os limites da quantidade de aplicativos de SSO que os usuários podem ter e adicionam recursos de autoatendimento e MFA por US $ 6 e US $ 9 por usuário por mês, respectivamente. As duas camadas do Azure AD Premium também incluem CALs (Licenças de Acesso para Cliente) do Microsoft Identity Manager (anteriormente Forefront Identity Manager), que podem ser usadas para sincronizar e gerenciar identidades em bancos de dados, aplicativos, outros diretórios e muito mais. As camadas premium também trazem licenças de Acesso Condicional e Intune MDM para a tabela, aumentando os recursos de segurança em grande medida. Os principais benefícios da camada Premium P2 sobre o Premium P1 são o Proteção de Identidade e o Gerenciamento de Identidade Privilegiada, ambos qualificados como recursos de segurança líderes do setor.

Outra consideração de preço é a capacidade de licenciar o serviço MFA do Azure separadamente do Azure AD, que possui dois benefícios: Primeiro, o MFA pode ser adicionado às camadas Grátis ou Básica do Azure AD por US $ 1, 40 por usuário por mês ou por 10 autenticações (o que melhor se adequar ao seu uso caso), elevando o custo total do serviço Básico com MFA para US $ 2, 40 por usuário. Segundo, você pode optar por ativar o MFA apenas para um subconjunto da sua base de usuários, economizando uma quantia substancial de dinheiro todos os meses.

O Azure AD cobre a maioria dos principais recursos que você deve procurar em um provedor de IDaaS. Ele traz para a mesa algumas ferramentas de nível empresarial que você esperaria de uma empresa como a Microsoft. Recursos como Proxy de Aplicativo e Proteção de Identidade estão entre os melhores da classe ou, simplesmente, não têm concorrência. O preço é muito competitivo e a integração com o Office 365 e outros produtos e serviços da Microsoft é sólida e está em constante evolução. O Azure AD se une ao Okta Identity Management como uma opção dos editores na categoria IDaaS.