Microsoft azure xem xét và đánh giá thư mục hoạt động

Microsoft đã dẫn đầu ngành trong một số danh mục CNTT cốt lõi trong nhiều thập kỷ và một trong đó công ty đã có một sự bóp nghẹt hiệu quả là các thư mục mạng tại chỗ. Windows Server Active Directory (AD) được sử dụng bởi các tập đoàn và chính phủ trên toàn thế giới và là tiêu chuẩn vàng cho Quản lý nhận dạng doanh nghiệp (IDM) trong doanh nghiệp. Ngoài các tính năng nâng cao và tích hợp chặt chẽ với thư mục tại chỗ phổ biến nhất thế giới, giá của microsost Azure AD rất cạnh tranh trong không gian Quản lý nhận dạng (IDaaS), cung cấp một tầng miễn phí, một tầng cơ bản với giá 1 đô la mỗi người dùng mỗi tháng và hai tầng cao cấp tương ứng chạy $ 6 và $ 9 mỗi tháng. Các tính năng nâng cao, tích hợp chặt chẽ với nền tảng IDM tại chỗ hàng đầu và một mức giá mới và thân thiện, tất cả kết hợp để nâng Azure AD lên Sự lựa chọn của biên tập viên trong không gian IDaaS cùng với Quản lý nhận dạng Okta.

Thiết lập và kết nối với AD tại chỗ

Vì các lý do rõ ràng, việc sử dụng phổ biến nhất cho Azure AD vẫn là các công ty đang tìm cách tích hợp một miền AD tại chỗ, hiện có với các ứng dụng chạy trên đám mây và thậm chí cả người dùng kết nối qua internet. Để cung cấp can đảm sẽ kết nối AD tại chỗ với Azure AD, giải pháp phổ biến nhất của Microsoft là Azure AD Connect, một công cụ đồng bộ hóa có sẵn miễn phí từ Microsoft. Nhiều đối thủ cạnh tranh cung cấp các công cụ đồng bộ tương tự để kết nối các sản phẩm IDaaS của họ với các miền AD tại chỗ, nhưng Azure AD Connect là một ví dụ điển hình về cách thực hiện đúng. Sự khác biệt lớn nhất giữa Azure AD Connect và các công cụ đồng bộ hóa khác là Azure AD Connect cung cấp đồng bộ hóa mật khẩu an toàn, cho phép quá trình xác thực diễn ra trong Azure AD thay vì thông tin xác thực của người dùng được xác thực theo AD của công ty. Sự khác biệt lớn nhất giữa Azure AD Connect và các công cụ đồng bộ hóa khác là Azure AD Connect đồng bộ hóa mật khẩu theo mặc định và quá trình xác thực xảy ra trong Azure AD thay vì thông tin xác thực của người dùng được xác thực theo AD của công ty. Nhiều tổ chức có thể gặp sự cố chính sách với việc đồng bộ hóa băm mật khẩu lên đám mây, khiến việc đồng bộ hóa mật khẩu Azure AD Connect trở thành một vấn đề tiềm ẩn.

Azure AD cũng hỗ trợ sử dụng Dịch vụ Liên kết Active Directory (ADFS). Theo truyền thống được sử dụng để cung cấp khả năng xác thực cho các ứng dụng hoặc dịch vụ bên ngoài, ADFS buộc các yêu cầu xác thực được thực hiện bằng AD cục bộ của bạn, tuy nhiên, nó có các yêu cầu và các bước cấu hình riêng khiến nó phức tạp hơn nhiều so với các sản phẩm cạnh tranh có chức năng xác thực tương tự. Tùy chọn lý tưởng là một cái gì đó dọc theo dòng PingFed Cả của Ping Identity, cung cấp liên kết nhận dạng với cấu hình tối thiểu, nhưng sẽ cho phép bạn tinh chỉnh mọi khía cạnh của quy trình liên kết.

Tùy chọn mới nhất để tích hợp AD với Azure AD vẫn sử dụng tác nhân Azure AD Connect, nhưng cung cấp tùy chọn liên kết. Một khiếu nại phổ biến về Azure AD giữa các công ty lớn hơn là thiếu trung gian giữa đồng bộ hóa bằng Azure AD Connect và liên kết sử dụng ADFS. Xác thực thông qua sử dụng Kết nối Azure AD để cung cấp một đường dẫn đơn giản để truy cập được liên kết đến danh tính của bạn trong AD. Về lý thuyết, xác thực thông qua cung cấp tốt nhất của cả hai thế giới, giữ bản sắc và xác thực tại chỗ, nhưng loại bỏ sự cần thiết của ADFS. Một lợi ích bổ sung của xác thực thông qua qua ADFS là kết nối dựa trên tác nhân, loại bỏ sự cần thiết của các quy tắc tường lửa hoặc vị trí trong DMZ. Chức năng này phù hợp hơn với nhiều đối thủ của Azure AD, bao gồm Okta, OneLogin, Bitium và Centrify. Xác thực thông qua hiện đang được xem trước, với tính khả dụng chung dự kiến ​​trong vài tháng tới.

Tích hợp thư mục

Có vẻ an toàn khi mong đợi một giải pháp Microsoft IDaaS tích hợp chặt chẽ với AD và Azure AD không làm bạn thất vọng. Đồng bộ hóa thuộc tính có thể được định cấu hình với Azure AD Connect và sau đó có thể được ánh xạ trong các cấu hình ứng dụng Phần mềm dưới dạng dịch vụ (SaaS) riêng lẻ. Azure AD cũng hỗ trợ có các thay đổi mật khẩu được ghi lại thành AD khi chúng xảy ra trong Microsoft Office 365 hoặc cổng thông tin người dùng Azure AD. Tính năng này có sẵn trong các đối thủ cạnh tranh như Quản lý nhận dạng Okta của OneLogin và Biên tập viên, nhưng có thể yêu cầu phần mềm bổ sung hoặc thay đổi chính sách đồng bộ hóa mặc định.

Một điểm tích hợp chính khác cho Azure AD là dành cho khách hàng sử dụng Microsoft Exchange cho các dịch vụ thư của họ, đặc biệt đối với những người sử dụng Exchange hoặc Exchange Online kết hợp với Office 365 trong một kịch bản đám mây lai, trong đó tất cả hoặc một phần của dịch vụ email được lưu trữ trên -premises trung tâm dữ liệu trong khi các tài nguyên khác được lưu trữ trên đám mây. Khi cài đặt, Azure AD Connect sẽ nhận ra các thuộc tính lược đồ bổ sung cho biết cài đặt Exchange và sẽ tự động đồng bộ hóa các thuộc tính này. Azure AD cũng có khả năng đồng bộ hóa các nhóm Office 365 trở lại AD dưới dạng các nhóm phân phối.

Windows 10 cũng mang đến khả năng mới để tích hợp với Azure AD. Windows 10 hỗ trợ kết nối các thiết bị với Azure AD thay thế cho AD công ty của bạn. Tuy nhiên, hãy cẩn thận vì chức năng khác biệt đáng kể giữa việc kết nối thiết bị với Azure AD so với việc kết nối thiết bị với AD tại chỗ truyền thống. Đó là bởi vì một khi đã kết nối với Azure AD, thiết bị Windows 10 sẽ được quản lý thông qua các công cụ quản lý thiết bị di động (MDM) của Azure AD và thay vì Chính sách nhóm. Lợi ích lớn cho người dùng Azure AD là xác thực với cổng thông tin người dùng là liền mạch vì người dùng đã được xác thực với thiết bị và các ứng dụng Windows 10 như Mail và Lịch sẽ nhận ra nếu tài khoản Office 365 khả dụng và được cấu hình tự động. Quá trình đăng nhập rất giống với kiểu đăng nhập mặc định trong Windows 8 nơi nó yêu cầu chi tiết tài khoản Microsoft của bạn.

Trình quản lý danh tính Microsoft

Hiếm khi một doanh nghiệp lớn dựa vào một nguồn duy nhất cho danh tính. Cho dù đó là sự kết hợp giữa Active Directory và hệ thống nhân sự (HR), nhiều rừng Active Directory hoặc mối quan hệ với các đối tác kinh doanh, sự phức tạp bổ sung là không thể tránh khỏi trong các doanh nghiệp lớn hơn. Giải pháp của Microsoft để tích hợp nhiều nhà cung cấp nhận dạng là Trình quản lý danh tính Microsoft. Mặc dù là gói phần mềm riêng biệt, giấy phép truy cập máy khách được bao gồm trong các tầng Azure AD Premium. Cộng tác Azure AD B2B (Azure AD B2B) cung cấp phương tiện để cung cấp cho các đối tác kinh doanh quyền truy cập vào các ứng dụng của công ty. Mặc dù hiện đang ở chế độ xem trước, Azure AD B2B tạo điều kiện hợp tác với các đối tác kinh doanh, cung cấp cho họ quyền truy cập vào các ứng dụng mà không yêu cầu tạo tài khoản người dùng trong Active Directory hoặc ủy thác Active Directory.

Hỗ trợ đăng nhập một lần (SSO) thực sự bằng thông tin xác thực thư mục hiện được hỗ trợ bằng Azure AD khi sử dụng đồng bộ hóa mật khẩu hoặc xác thực thông qua. Trước đây chỉ có ADFS cung cấp chức năng này. Người dùng hiện có thể xác thực với Azure AD và các ứng dụng SaaS của họ mà không cần cung cấp thông tin xác thực rằng họ đáp ứng các yêu cầu kỹ thuật (cụ thể là máy tính Windows gia nhập miền, phiên bản trình duyệt được hỗ trợ, v.v.). SSO cho người dùng máy tính để bàn của công ty hiện đang được xem trước.

IDM tiêu dùng

Azure AD B2C là IDM hướng tới người tiêu dùng của Microsoft. Nó cho phép người dùng xác thực các dịch vụ hoặc ứng dụng của bạn bằng thông tin đăng nhập hiện có mà họ đã thiết lập với các dịch vụ đám mây khác như Google hoặc Facebook. Azure AD B2C hỗ trợ cả OAuth 2.0 và Open ID Connect và Microsoft cung cấp nhiều tùy chọn để tích hợp dịch vụ với ứng dụng hoặc dịch vụ của bạn.

Giá cho việc cung cấp B2C tách biệt với các tầng Azure AD tiêu chuẩn và được chia nhỏ theo số lượng người dùng được lưu trữ trên mỗi xác thực và số lượng xác thực. Người dùng được lưu trữ miễn phí lên tới 50.000 người dùng và bắt đầu ở mức 0, 0011 đô la cho mỗi lần xác thực lên tới 1 triệu. 50.000 xác thực đầu tiên mỗi tháng cũng miễn phí và bắt đầu ở mức 0, 0028 đô la mỗi lần xác thực lên tới 1 triệu. Xác thực đa yếu tố cũng có sẵn cho Azure AD B2C và chạy $ 0, 03 tiêu chuẩn cho mỗi xác thực.

Cung cấp người dùng

Azure AD cung cấp một tính năng tương tự được thiết lập cho hầu hết các nhà cung cấp IDaaS khi nói đến việc người dùng và các nhóm được thiết lập để gán và cung cấp quyền truy cập vào các ứng dụng SaaS. Cả người dùng và nhóm bảo mật đều có thể được đồng bộ hóa bằng Azure AD Connect hoặc người dùng và nhóm có thể được thêm thủ công trong Azure AD. Thật không may, không có cách nào để ẩn người dùng hoặc nhóm trong Azure AD, vì vậy khách hàng trong các doanh nghiệp lớn sẽ cần thường xuyên tận dụng các tính năng tìm kiếm để điều hướng đến người dùng hoặc nhóm cụ thể. Azure AD không cho phép bạn tạo các nhóm động dựa trên các truy vấn dựa trên thuộc tính bằng cách sử dụng một tính năng (hiện đang được xem trước) được gọi là quy tắc nâng cao.

Azure AD hỗ trợ cung cấp tự động cho người dùng trong các ứng dụng SaaS và có lợi thế khác biệt là hoạt động cực kỳ tốt với các triển khai Office 365. Khi có thể, Azure AD đơn giản hóa quy trình này như trong trường hợp Google Apps. Với quy trình bốn bước đơn giản, Azure AD sẽ nhắc bạn đăng nhập Google Apps và yêu cầu bạn cho phép định cấu hình Google Apps để cung cấp người dùng tự động.

Dấu hiệu duy nhất trên

Cổng thông tin người dùng cuối của Microsoft tương tự như phần lớn đối thủ, cung cấp một loạt các biểu tượng ứng dụng hướng người dùng đến các ứng dụng SSO. Nếu quản trị viên chọn, cổng thông tin người dùng Azure AD có thể được cấu hình để cho phép các hành động tự phục vụ như đặt lại mật khẩu, yêu cầu ứng dụng hoặc yêu cầu thành viên nhóm và phê duyệt. Người đăng ký Office 365 có thêm lợi ích là có thể thêm ứng dụng SSO vào menu ứng dụng Office 365, cung cấp quyền truy cập thuận tiện vào các ứng dụng kinh doanh quan trọng từ trong Outlook hoặc các dịch vụ Office 365 khác.

Azure AD hỗ trợ các chính sách bảo mật được liên kết với các ứng dụng riêng lẻ, cho phép bạn yêu cầu xác thực đa yếu tố (MFA). Thông thường, MFA liên quan đến một thiết bị bảo mật hoặc mã thông báo thuộc loại nào đó (chẳng hạn như thẻ thông minh) hoặc thậm chí là một ứng dụng điện thoại thông minh cần phải có mặt trước khi đăng nhập. Azure AD có thể hỗ trợ MFA cho người dùng cá nhân, nhóm hoặc dựa trên vị trí mạng. Quản lý danh tính Okta xử lý các chính sách bảo mật của họ theo cùng một cách. Nói chung, chúng tôi muốn tách biệt các chính sách bảo mật để có thể áp dụng chính sách tương tự cho nhiều ứng dụng, nhưng ít nhất bạn có khả năng định cấu hình nhiều chính sách.

Một tính năng độc đáo mà Microsoft cung cấp trong Azure AD Premium có thể giúp công ty của bạn bắt đầu xác định các ứng dụng SaaS đã được sử dụng bởi tổ chức của bạn. Cloud App Discovery sử dụng các tác nhân phần mềm để bắt đầu phân tích hành vi của người dùng liên quan đến các ứng dụng SaaS, giúp bạn trau dồi các ứng dụng được sử dụng phổ biến nhất trong tổ chức của bạn và bắt đầu quản lý các ứng dụng ở cấp doanh nghiệp.

Kịch bản truyền thống cho các giải pháp IDaaS liên quan đến việc xác thực người dùng với các ứng dụng đám mây bằng thông tin đăng nhập có nguồn gốc từ một thư mục tại chỗ. Azure AD đẩy các ranh giới đó bằng cách cho phép xác thực các ứng dụng tại chỗ bằng Proxy ứng dụng, sử dụng một tác nhân để cho phép người dùng kết nối an toàn với các ứng dụng thông qua Azure. Do kiến ​​trúc dựa trên tác nhân được sử dụng bởi Proxy ứng dụng, không cần cổng tường lửa mở cho các ứng dụng nội bộ của công ty. Cuối cùng, Dịch vụ miền Azure AD có thể được tận dụng để cung cấp một thư mục có trong Azure, cung cấp môi trường miền truyền thống để xác thực người dùng với các máy ảo được lưu trữ trong Azure. Proxy ứng dụng Azure AD cũng có thể được cấu hình để sử dụng các chính sách truy cập có điều kiện để thực thi các quy tắc xác thực bổ sung (như MFA) khi các điều kiện nhất định được đáp ứng.

Azure AD xử lý hơn 1, 3 tỷ xác thực mỗi ngày. Thang đo tuyệt đối này cho phép Microsoft cung cấp ít nhất một dịch vụ mà ít giải pháp IDM hiện có thể cạnh tranh và đó là Bảo vệ danh tính Azure AD. Tính năng này sử dụng toàn bộ các dịch vụ đám mây của Microsoft (Outlook.com, Xbox Live, Office 365 và Azure) cũng như học máy (ML) để cung cấp phân tích rủi ro vô song cho các danh tính được lưu trữ trong Azure AD. Sử dụng dữ liệu này, Microsoft phát hiện các mẫu và sự bất thường mà nó có thể tính toán điểm rủi ro cho từng người dùng và mỗi lần đăng nhập. Microsoft cũng chủ động giám sát các vi phạm bảo mật liên quan đến thông tin đăng nhập, đi xa tới mức đánh giá các vi phạm này đối với thông tin đăng nhập trong tổ chức của bạn có khả năng bị xâm phạm. Khi điểm rủi ro này đã được tính toán, quản trị viên có thể tận dụng nó trong các chính sách xác thực, sau đó cho phép họ giải quyết các yêu cầu đăng nhập bổ sung như MFA hoặc đặt lại mật khẩu.

Báo cáo

Báo cáo do Microsoft cung cấp với Azure AD tùy thuộc vào cấp độ dịch vụ của bạn. Ngay cả các tầng cơ bản và miễn phí cũng cung cấp các báo cáo bảo mật cơ bản, đó là các báo cáo đóng hộp hiển thị nhật ký hoạt động và sử dụng cơ bản. Những người đăng ký cao cấp có quyền truy cập vào một bộ báo cáo nâng cao, tận dụng khả năng học máy của Azure để cung cấp thông tin chuyên sâu về hành vi bất thường như cố gắng xác thực thành công sau những thất bại lặp đi lặp lại, từ nhiều địa lý hoặc từ địa chỉ IP đáng ngờ.

Azure AD không cung cấp bộ báo cáo đầy đủ nhưng các báo cáo đóng hộp dành cho khách hàng Premium phức tạp hơn nhiều so với những gì đối thủ cung cấp. Cuối cùng, tôi thực sự thích mức độ hiểu biết bạn nhận được với các báo cáo đóng hộp trong Azure AD Premium, thậm chí cân nhắc với việc thiếu lập lịch hoặc báo cáo tùy chỉnh.

Giá cả

Giá của Azure AD bắt đầu bằng một lớp miễn phí hỗ trợ tới 500.000 đối tượng thư mục (trong trường hợp này, có nghĩa là người dùng và nhóm) và tối đa 10 ứng dụng đăng nhập (SSO) cho mỗi người dùng. Phiên bản Azure AD miễn phí được tự động đưa vào đăng ký Office 365, trong trường hợp giới hạn đối tượng không áp dụng. Với giá bán lẻ $ 1 mỗi người dùng mỗi tháng, tầng cơ bản của Azure AD cực kỳ cạnh tranh. Dịch vụ Cơ bản bổ sung các khả năng như xây dựng thương hiệu cho cổng thông tin người dùng và truy cập và cung cấp SSO theo nhóm, do đó, để tự động tạo tài khoản người dùng trong ứng dụng SaaS, bạn sẽ cần tầng Cơ bản.

Tầng cơ bản giữ lại 10 ứng dụng cho mỗi giới hạn người dùng, nhưng thêm khả năng hỗ trợ các ứng dụng tại chỗ bằng Proxy ứng dụng. Các bậc cao cấp P1 và P2 trong Azure AD loại bỏ các giới hạn khỏi số lượng ứng dụng SSO mà người dùng có thể có và thêm các khả năng tự phục vụ và MFA với giá tương ứng là 6 và 9 đô la mỗi người dùng mỗi tháng. Cả các tầng Azure AD Premium cũng bao gồm Giấy phép truy cập khách hàng (CAL) của người dùng cho Trình quản lý danh tính Microsoft (trước đây là Trình quản lý danh tính hàng đầu), có thể được sử dụng để đồng bộ hóa và quản lý danh tính trong cơ sở dữ liệu, ứng dụng, thư mục khác, v.v. Các bậc cao cấp cũng mang các giấy phép MDM truy cập có điều kiện và Intune vào bảng, nâng cao khả năng bảo mật một cách lớn. Những lợi ích chính của lớp P2 cao cấp so với Premium P1 là Bảo vệ danh tính và Quản lý danh tính đặc quyền, cả hai đều đủ điều kiện là các tính năng bảo mật hàng đầu trong ngành.

Một cân nhắc khác về giá là khả năng cấp phép dịch vụ MFA của Azure tách biệt với Azure AD, có hai lợi ích: Thứ nhất, MFA có thể được thêm vào các tầng Azure AD miễn phí hoặc cơ bản với giá $ 1, 40 mỗi người dùng mỗi tháng hoặc 10 xác thực phù hợp nhất trường hợp), nâng tổng chi phí của dịch vụ Cơ bản với MFA lên $ 2, 40 mỗi người dùng. Thứ hai, bạn có thể chọn chỉ bật MFA cho một tập hợp con của cơ sở người dùng của mình, có khả năng tiết kiệm một khoản tiền đáng kể mỗi tháng.

Azure AD bao gồm phần lớn các tính năng cốt lõi mà bạn nên tìm kiếm trong nhà cung cấp IDaaS. Nó mang đến cho bảng một số công cụ cấp doanh nghiệp mà bạn mong đợi từ một công ty như Microsoft. Các tính năng như Proxy ứng dụng và Bảo vệ danh tính là một trong những tính năng tốt nhất trong lớp hoặc, khá đơn giản, không có cạnh tranh. Giá cả rất cạnh tranh và việc tích hợp với Office 365 và các sản phẩm và dịch vụ khác của Microsoft rất vững chắc và không ngừng phát triển. Azure AD tham gia Quản lý danh tính Okta với tư cách là sự lựa chọn của biên tập viên trong danh mục IDaaS.