微软在企业和云计算领域的地位既占主导地位,又有良好的记录:提供几个世界上最流行的操作系统、企业应用程序和云服务。从这个有利的角度来看,微软处于独特的位置,可以提供全面的身份管理(IDM)套件,他们以Azure活动目录(Azure AD)的形式提供该套件。凭借与其他软件套件的紧密集成,与大量第三方应用和资源的兼容性,以及出色的底层安全架构,Azure Active Directory与竞争对手一道,赢得了我们的编辑选择奖。Okta身份管理.
服务水平和价格
显然,微软永远不会领先的一个领域是透明且容易理解的定价。Azure AD再次调整了定价结构,现在有3个不同的定价层次。免费层支持多达50万个对象(用户、组等)、单点登录(SSO)到至多10个云应用程序、通过同步或联合与现有目录或身份存储集成、云用户自助密码更改、基于移动应用程序的多因素身份验证(MFA)以及对guest用户的支持。企业的客户层微软的Office 365平台(E1、E3、E5或F1)从Azure AD免费中获得了一些额外的好处,包括自助密码重置(用于丢失或忘记密码)和服务水平协议(SLA)。
高级P1和P2定价级别为每个用户每月6美元和9美元,并带来了与本地Active Directory环境集成的一系列工具。Azure AD P1和P2都提供了防止在您的云身份和基于Active Directory的帐户中使用某些密码的能力,以及通过自助服务让本地Active Directory用户管理常用帐户操作(重置/更改密码,帐户解锁)的能力。微软云应用程序发现、Azure AD加入和应用程序代理等解决方案,以及动态组等管理特性的主机,以及有条件访问等安全工具,也为高级服务级别的订阅者启用了。高级P2订阅用户可以访问额外的安全功能,例如漏洞和风险帐户的检测、基于风险的条件访问、特权身份管理和授权管理。
开始
一旦你理清了它的定价,你会发现Azure AD以Azure AD Connect的形式提供了与现有Active Directory环境集成的最简单、最灵活的方法之一。Azure AD Connect将对象从Active Directory同步到Azure AD,并通过密码哈希同步、直通身份验证或使用Active Directory联合服务(AD FS)的联合来促进身份验证。每一种方法都有自己的优点和缺点,从安全性到弹性再到配置复杂性,但主要的收获是您可以根据业务优先级灵活地启用各种方法。
类似的产品
LastPass企业
Okta身份管理
OneLogin
Ping身份
Bitium
集中身份识别服务
EmpowerID
Identacor
最优IdM
BIO-key PortalGuard
安装和配置Azure AD Connect类似于Okta和提供的其他工具Idaptive包括安装软件代理、配置到Azure AD服务和本地目录的连接,以及可选地定制如何处理身份同步和身份验证的设置。除了前面提到的身份验证方法之外,一些关键设置还包括限制要同步的Active Directory中的哪些标识(通过限制要同步的域结构的范围和使用组限制同步来指定)。要同步的属性也可以使用Azure AD Connect进行自定义和限制。
从Azure AD中向云应用程序启用SSO身份验证与我们测试过的其他平台类似,它有一个应用程序目录,可以逐步指导您完成配置过程。Azure AD提供的一个优点是能够粘贴身份验证错误,让服务为您解决问题或提供关于根本原因的指导。这对于解决Azure AD和关键业务应用程序之间的身份验证故障有很大的帮助。
确保云认证安全
身份管理完全是为了增强企业的安全态势,为了促进这一点,Azure AD和其他idm提供了一些功能。许多安全管理器的最终目标是使MFA进入云应用程序,甚至像应用程序这样的内部资源,虚拟专用网(vpn),甚至企业桌面.MFA当然是一个崇高的目标,是完全可以实现的,并且毫无疑问可以改善您的整体安全状况,但它只是一个成功的IDM策略的组成部分。
一旦您的身份对Azure AD可用,并且为身份验证配置了一个或多个应用程序,下一步就是配置条件访问策略。条件访问策略的目标是一组用户或组、一组云应用程序的选择以及策略所适用的条件。设置了策略范围之后,下一步是定义当用户身份验证尝试匹配条件时会发生什么。Azure AD不仅提供了强制执行特定身份验证因素(或在某些场景下拒绝尝试)的能力,而且还可以为仅报告模式严格配置策略,这让您可以轻松地审计您可能发现有风险或可疑的身份验证尝试。有条件访问确实需要高级许可证,Office 365和免费层客户被降级为安全默认配置,这需要MFA注册和对预定义的一组条件进行身份验证。
当IDM套件作为大型企业安全基础设施的一部分时,它们的功能最好。特别是移动设备管理(MDM)套件是与IDM很好地配合的另一个关键组件。Azure AD支持与Microsoft Intune和各种第三方MDM解决方案的集成,例如VMware AirWatch由VMWare和微软自己的Intune.一旦关联了MDM,就可以在条件访问策略中利用设备遵从性,例如,只有在设备不遵从时才要求MFA。
在攻击被识别之前,如果没有为此目的构建工具,就很难识别被破坏的身份。我们回顾过的几个IDM套件提供了基于身份验证行为、密码更改历史、MFA注册的风险评分,在某些情况下,还提供了用户在身份受损数据库中的存在情况。Azure AD在这方面又进了一步,它支持以阻塞访问形式的自动补救步骤,或者在达到一定级别的风险时要求更改密码。
另一种常见的威胁载体来自于合法获得某些访问权限的用户,或者以用户在组织中改变角色的形式,或者以不满的员工离开公司的形式。在许多组织中,取消用户访问权是外处理检查表的一部分,用户更改部门或角色时,通常会有人查看他们的权限,但业务流程有不同的成功率,这有可能允许用户保留对他们无权访问的资源的权限。
Azure AD的身份治理工具套件支持授权管理和访问审查,这两种工具都有助于将用户权限的管理从管理员转移到主管或其他责任方。beplay手机官网下载特别是,访问审查可以定期提示主管验证用户是否beplay手机官网下载能够访问他们所拥有的资源。对于特别敏感的资源,如果审查人员没有响应访问审查,您甚至可以取消对这些应用程序的用户访问。
圆润,紧密结合
总的来说,微软继续把Azure广告放在身份管理包的前端,尤其是如果你已经是微软Azure的客户。再加上在Intune和Office 365等微软平台上运行的现有基础设施,你很难不喜欢微软为管理和保护你的业务带来的东西。
微软是云服务领域的重要参与者,Azure AD能够在整个企业基础设施中确保身份和身份验证的安全,而不会显著影响管理开销,特别是如果您已经在微软云平台上进行了投资。
