Revisione e valutazione di Active Directory di Microsoft Azure

Microsoft è da decenni leader del settore in diverse categorie IT di base e quella in cui l'azienda ha avuto una stretta efficace è la directory di rete locale. Windows Server Active Directory (AD) è utilizzato da aziende e governi di tutto il mondo ed è lo standard di riferimento per l'identità aziendale (IDM) aziendale. Oltre alle funzionalità avanzate e alla stretta integrazione con la directory locale più popolare al mondo, i prezzi di Microsost Azure AD sono molto competitivi nello spazio Identity Management-as-a-Service (IDaaS), offrendo un livello gratuito, un livello base per $ 1 per utente al mese e due livelli premium che eseguono rispettivamente $ 6 e $ 9 al mese. Funzionalità avanzate, stretta integrazione con la principale piattaforma IDM locale e un prezzo nuovo e amichevole si combinano per elevare Azure AD a una scelta degli editori nello spazio IDaaS insieme a Okta Identity Management.

Installazione e connessione con AD locale

Per ovvi motivi, l'uso più comune per Azure AD rimane per le aziende che desiderano integrare un dominio AD locale esistente con applicazioni in esecuzione nel cloud e persino utenti che si connettono tramite Internet. Per fornire l'intestino che collegherà AD locale con Azure AD, la soluzione Microsoft più popolare è Azure AD Connect, uno strumento di sincronizzazione disponibile gratuitamente da Microsoft. Molti concorrenti offrono strumenti di sincronizzazione simili per connettere i loro prodotti IDaaS ai domini AD locali, ma Azure AD Connect è un buon esempio di come farlo correttamente. La differenza principale tra Azure AD Connect e altri strumenti di sincronizzazione è che Azure AD Connect offre la sincronizzazione sicura delle password, che consente il processo di autenticazione all'interno di Azure AD piuttosto che le credenziali dell'utente vengano convalidate rispetto all'AD aziendale. La differenza principale tra Azure AD Connect e altri strumenti di sincronizzazione è che Azure AD Connect sincronizza le password per impostazione predefinita e che il processo di autenticazione avviene all'interno di Azure AD anziché che le credenziali dell'utente vengano convalidate rispetto all'AD aziendale. Molte organizzazioni potrebbero avere problemi di politica con la sincronizzazione degli hash delle password nel cloud, rendendo la sincronizzazione delle password di Azure AD Connect un potenziale problema.

Azure AD supporta anche l'uso di Active Directory Federation Services (ADFS). Tradizionalmente utilizzato per fornire funzionalità di autenticazione per app o servizi esterni, ADFS impone che le richieste di autenticazione vengano eseguite utilizzando l'AD locale, tuttavia ha una propria serie di requisiti e passaggi di configurazione che lo rendono molto più complesso rispetto ai prodotti concorrenti con funzionalità di autenticazione simili. L'opzione ideale è qualcosa sulla falsariga del PingFederate di Ping Identity, che fornisce alla federazione delle identità una configurazione minima, ma ti permetterà di mettere a punto ogni aspetto del processo di federazione.

L'opzione più recente per l'integrazione di AD con Azure AD usa ancora l'agente Azure AD Connect, ma offre un'opzione federata. Una lamentela comune su Azure AD tra le aziende più grandi è la mancanza di una via di mezzo tra la sincronizzazione tramite Azure AD Connect e la federazione tramite ADFS. L'autenticazione pass-through usa Azure AD Connect per offrire un semplice percorso di accesso federato alle identità in AD. In teoria, l'autenticazione pass-through offre il meglio di entrambi i mondi, mantenendo identità e autenticazione locali, ma eliminando la necessità di ADFS. Un ulteriore vantaggio dell'autenticazione pass-through su ADFS è che la connettività è basata su agenti, eliminando la necessità di regole firewall o posizionamento all'interno di una DMZ. Questa funzionalità è più in linea con gran parte della concorrenza di Azure AD, tra cui Okta, OneLogin, Bitium e Centrify. L'autenticazione pass-through è attualmente in anteprima, con disponibilità generale prevista entro i prossimi mesi.

Integrazione di directory

Sembra sicuro aspettarsi che una soluzione IDaaS di Microsoft si integri strettamente con AD e Azure AD non delude. La sincronizzazione degli attributi può essere configurata con Azure AD Connect e in seguito può essere mappata all'interno di singole configurazioni di app Software-as-a-Service (SaaS). Azure AD supporta inoltre la modifica delle password riscritte in AD quando si verificano in Microsoft Office 365 o nel portale utenti di Azure AD. Questa funzione è disponibile in concorrenti come OneLogin e Okta Identity Management, vincitrice della redazione, ma potrebbe richiedere software aggiuntivo o modifiche alla politica di sincronizzazione predefinita.

Un altro importante punto di integrazione per Azure AD è per i clienti che usano Microsoft Exchange per i loro servizi di posta, in particolare per quelli che usano Exchange o Exchange Online in combinazione con Office 365 in uno scenario di cloud ibrido, in cui tutto o parte del servizio di posta elettronica è ospitato in un -premia il data center mentre le altre risorse sono ospitate nel cloud. Durante l'installazione, Azure AD Connect riconoscerà ulteriori attributi dello schema che indicano un'installazione di Exchange e sincronizzerà automaticamente questi attributi. Azure AD ha anche la possibilità di sincronizzare i gruppi di Office 365 in AD come gruppi di distribuzione.

Windows 10 offre anche nuove funzionalità per l'integrazione con Azure AD. Windows 10 supporta l'unione dei dispositivi ad Azure AD come alternativa all'AD aziendale. Fare attenzione, tuttavia, poiché la funzionalità differisce in modo significativo tra la connessione di un dispositivo ad Azure AD rispetto all'unione di un dispositivo con AD locale tradizionale. Questo perché una volta connesso ad Azure AD, il dispositivo Windows 10 viene gestito tramite Azure AD e gli strumenti di gestione dei dispositivi mobili (MDM) di Microsoft anziché i Criteri di gruppo. Il grande vantaggio per gli utenti di Azure AD è che l'autenticazione al portale degli utenti è fluida poiché l'utente è già autenticato sul dispositivo e le app di Windows 10 come Posta e Calendario riconosceranno se un account di Office 365 è disponibile e saranno automaticamente configurate. Il processo di accesso è molto simile allo stile di accesso predefinito in Windows 8, dove richiede i dettagli dell'account Microsoft.

Microsoft Identity Manager

Raramente una grande impresa fa affidamento su un'unica fonte per le identità. Sia che si tratti di una combinazione di Active Directory e di un sistema di risorse umane (HR), di più foreste di Active Directory o di relazioni con i partner aziendali, un'ulteriore complessità è inevitabile nelle grandi aziende. La soluzione di Microsoft per l'integrazione di più provider di identità è Microsoft Identity Manager. Sebbene si tratti di un pacchetto software distinto, le licenze di accesso client sono incluse nei livelli di Azure AD Premium. La collaborazione B2B di Azure AD (Azure AD B2B) offre un mezzo per offrire ai partner commerciali l'accesso alle app aziendali. Sebbene attualmente in anteprima, Azure AD B2B facilita la collaborazione con i partner commerciali, offrendo loro l'accesso alle app senza richiedere la creazione di account utente in Active Directory o un trust di Active Directory.

Il vero supporto Single Sign-On (SSO) usando le credenziali di directory è ora supportato usando Azure AD quando si usa la sincronizzazione password o l'autenticazione pass-through. In precedenza solo ADFS offriva questa funzionalità. Gli utenti possono ora autenticarsi in Azure AD e nelle loro app SaaS senza fornire credenziali presupponendo che soddisfino i requisiti tecnici (vale a dire un computer Windows aggiunto al dominio, versione del browser supportata, ecc.). Anche SSO per utenti desktop aziendali è attualmente in anteprima.

IDM consumatore

Azure AD B2C è l'IDM rivolto al consumatore di Microsoft. Consente agli utenti di autenticarsi sui tuoi servizi o app utilizzando le credenziali esistenti che hanno già stabilito con altri servizi cloud come Google o Facebook. Azure AD B2C supporta sia OAuth 2.0 che Open ID Connect e Microsoft offre una varietà di opzioni per l'integrazione del servizio con l'app o il servizio.

I prezzi per l'offerta B2C sono separati dai livelli standard di Azure AD e sono suddivisi per numero di utenti memorizzati per autenticazione e numero di autenticazioni. Gli utenti memorizzati sono gratuiti fino a 50.000 utenti e iniziano a $ 0, 0011 per autenticazione fino a 1 milione. Anche le prime 50.000 autenticazioni al mese sono gratuite e partono da $ 0, 0028 per autenticazione fino a 1 milione. L'autenticazione a più fattori è disponibile anche per Azure AD B2C ed esegue uno standard di $ 0, 03 per autenticazione.

Provisioning utente

Azure AD offre una funzionalità simile impostata per la maggior parte dei fornitori IDaaS quando si tratta di configurare utenti e gruppi per assegnare e fornire l'accesso alle app SaaS. Sia gli utenti che i gruppi di sicurezza possono essere sincronizzati tramite Azure AD Connect oppure utenti e gruppi possono essere aggiunti manualmente in Azure AD. Sfortunatamente, non è possibile nascondere utenti o gruppi in Azure AD, quindi i clienti delle grandi aziende dovranno avvalersi frequentemente delle funzionalità di ricerca per passare a utenti o gruppi specifici. Azure AD ti consente di creare gruppi dinamici basati su query basate sugli attributi usando una funzionalità (attualmente in anteprima) chiamata regole avanzate.

Azure AD supporta il provisioning automatico degli utenti nelle app SaaS e ha il netto vantaggio di lavorare eccezionalmente bene con le distribuzioni di Office 365. Quando possibile, Azure AD semplifica questo processo come nel caso di Google Apps. Con una semplice procedura in quattro passaggi, Azure AD richiede il tuo accesso a Google Apps e richiede l'autorizzazione per configurare Google Apps per il provisioning automatico degli utenti.

Single Sign-On

Il portale degli utenti finali di Microsoft è simile a gran parte della concorrenza, offrendo una griglia di icone di app che indirizzano gli utenti alle app SSO. Se gli amministratori scelgono, il portale utenti di Azure AD può essere configurato per consentire azioni self-service come reimpostazioni di password, richieste di app o richieste e approvazioni di appartenenza a gruppi. Gli abbonati a Office 365 hanno l'ulteriore vantaggio di poter aggiungere applicazioni SSO al menu dell'app di Office 365, fornendo un comodo accesso alle app aziendali critiche da Outlook o altre offerte di Office 365.

Azure AD supporta i criteri di sicurezza associati alle singole app, consentendo di richiedere l'autenticazione a più fattori (MFA). In genere, MFA comporta un dispositivo di sicurezza o un token di qualche tipo (come una smart card) o persino un'app per smartphone che deve essere presente prima dell'accesso. Azure AD può supportare MFA per singoli utenti, gruppi o in base alla posizione della rete. Okta Identity Management gestisce le proprie politiche di sicurezza allo stesso modo. In generale, preferiremmo separare le politiche di sicurezza in modo che la stessa politica potesse essere applicata a più app, ma almeno hai la possibilità di configurare più politiche.

Una funzionalità unica offerta da Microsoft in Azure AD Premium può aiutare la tua azienda a identificare le app SaaS già utilizzate dalla tua organizzazione. Cloud App Discovery utilizza agenti software per iniziare ad analizzare il comportamento degli utenti rispetto alle app SaaS, aiutandoti ad affinare le app più comunemente utilizzate nella tua organizzazione e a iniziare a gestirle a livello aziendale.

Lo scenario tradizionale per le soluzioni IDaaS prevede l'autenticazione degli utenti su app cloud mediante credenziali provenienti da una directory locale. Azure AD supera questi limiti abilitando l'autenticazione per le app locali usando Proxy applicazione, che usa un agente per consentire agli utenti di connettersi in modo sicuro alle app tramite Azure. A causa dell'architettura basata su agente utilizzata da Proxy applicazione, non è necessario aprire porte firewall per le app aziendali interne. Infine, è possibile sfruttare i Servizi di dominio Azure AD per offrire una directory contenuta in Azure, fornendo un ambiente di dominio tradizionale per l'autenticazione degli utenti su macchine virtuali ospitate in Azure. Il proxy di applicazione di Azure AD può anche essere configurato per usare criteri di accesso condizionale per applicare regole di autenticazione aggiuntive (come MFA) quando sono soddisfatte determinate condizioni.

Azure AD gestisce oltre 1, 3 miliardi di autenticazioni ogni giorno. Questa scala pura consente a Microsoft di offrire almeno un servizio con cui poche soluzioni IDM possono attualmente competere, e cioè Azure AD Identity Protection. Questa funzionalità usa l'intera gamma dei servizi cloud di Microsoft (Outlook.com, Xbox Live, Office 365 e Azure) nonché l'apprendimento automatico (ML) per fornire un'analisi dei rischi senza pari per le identità archiviate in Azure AD. Utilizzando questi dati, Microsoft rileva modelli e anomalie con cui può calcolare un punteggio di rischio per ciascun utente e ciascun accesso. Microsoft monitora attivamente anche le violazioni della sicurezza che coinvolgono le credenziali, arrivando al punto di valutare tali violazioni per le credenziali all'interno dell'organizzazione che sono potenzialmente compromesse. Una volta calcolato questo punteggio di rischio, gli amministratori possono sfruttarlo nelle politiche di autenticazione, il che consente loro di affrontare requisiti di accesso aggiuntivi come MFA o reimpostazione della password.

Segnalazione

Il set di report che Microsoft offre con Azure AD dipende dal tuo livello di servizio. Anche i livelli gratuiti e di base offrono report di sicurezza di base, che sono report fissi che mostrano i log di attività e utilizzo di base. Gli abbonati premium ottengono l'accesso a una serie avanzata di report che sfruttano le funzionalità di machine learning di Azure per fornire approfondimenti su comportamenti anomali come tentativi di autenticazione riusciti dopo ripetuti fallimenti, quelli provenienti da più aree geografiche o quelli da indirizzi IP sospetti.

Azure AD non offre una suite di reportistica completa, ma i report predefiniti disponibili per i clienti Premium sono molto più sofisticati di quelli offerti dalla concorrenza. Alla fine, mi è piaciuto molto il livello di conoscenza che si ottiene con i report predefiniti in Azure AD Premium, anche se confrontato con la mancanza di pianificazione o report personalizzati.

Prezzi

Il prezzo di Azure AD inizia con un livello gratuito che supporta fino a 500.000 oggetti directory (in questo caso, ciò significa utenti e gruppi) e fino a 10 app SSO (single sign-on) per utente. La versione gratuita di Azure AD è automaticamente inclusa negli abbonamenti di Office 365, in cui non si applica il limite di oggetti. Con un prezzo al dettaglio di $ 1 per utente al mese, il livello Basic di Azure AD è estremamente competitivo. Il servizio di base aggiunge funzionalità come il branding per il portale utenti e l'accesso SSO basato su gruppi e il provisioning, quindi, per creare automaticamente account utente nelle app SaaS, è necessario il livello Basic.

Il livello di base mantiene il limite di 10 app per utente, ma aggiunge la possibilità di supportare app locali utilizzando il proxy dell'applicazione. I livelli Premium P1 e P2 in Azure AD rimuovono i limiti dalla quantità di app SSO che gli utenti possono avere e aggiungono funzionalità self-service e MFA rispettivamente a $ 6 e $ 9 per utente al mese. Entrambi i livelli di Azure AD Premium includono anche licenze di accesso client (CAL) dell'utente per Microsoft Identity Manager (precedentemente Forefront Identity Manager), che possono essere usate per sincronizzare e gestire le identità in database, app, altre directory e altro. I livelli Premium portano anche sul tavolo le condizioni di accesso condizionato e Intune MDM, aumentando notevolmente le funzionalità di sicurezza. I principali vantaggi del livello Premium P2 rispetto a Premium P1 sono la protezione dell'identità e la gestione dell'identità privilegiata, entrambi qualificati come caratteristiche di sicurezza leader del settore.

Un'altra considerazione sui prezzi è la possibilità di concedere in licenza il servizio MFA di Azure separatamente da Azure AD, che presenta due vantaggi: in primo luogo, l'MFA può essere aggiunto ai livelli di Azure AD gratuito o di base per $ 1, 40 per utente al mese o 10 autenticazioni (a seconda del caso che meglio si adatta al proprio uso caso), portando il costo totale del servizio di base con AMF a $ 2, 40 per utente. In secondo luogo, puoi scegliere di abilitare l'AMF solo per un sottoinsieme della tua base di utenti, risparmiando potenzialmente una notevole quantità di denaro ogni mese.

Azure AD copre la maggior parte delle funzionalità principali che dovresti cercare in un provider IDaaS. Porta in tavola alcuni strumenti di livello aziendale che ti aspetteresti da un'azienda come Microsoft. Funzionalità come Application Proxy e Identity Protection sono tra le migliori della categoria o, semplicemente, non hanno concorrenza. Il prezzo è molto competitivo e l'integrazione con Office 365 e altri prodotti e servizi Microsoft è solida e in costante evoluzione. Azure AD si unisce a Okta Identity Management come scelta dei redattori nella categoria IDaaS.