Azure Active Directory (Azure AD) - это облачная служба от корпорации Microsoft для управления идентификацией и доступом как услуга (IDaaS), которое сочетает в себе возможности единого доступа к любому облачному и локальному приложению с расширенной защитой. Это дает пользователям единое удостоверение для доступа к нужным им приложениям и совместной работы с любой платформы и устройства. Поскольку Azure AD основана на масштабируемых возможностях управления и правилах доступа с учетом рисков, Azure AD помогает обеспечить безопасность и оптимизировать ИТ-процессы.

Какие основные функции предоставляет служба?


Управление приложениями. Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала "Мои приложения" (также называемого панелью доступа) и приложений SaaS. Azure AD уже работает с огромным количеством коммерческих и настраиваемых приложений, например Office 365, Saleforce.com, Box и Workday. Или же вы можете подключить приложения, которых еще нет в базе, например, разработанные вашей компанией, используя готовый набор шаблонов и библиотек.

Аутентификация. Администрирование самостоятельного сброса пароля, многофакторной проверки подлинности, настраиваемого списка запрещенных паролей и смарт-блокировки в Azure Active Directory.

Условный доступ. Управление доступом к облачным приложениям.

Управление устройствами. Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным.

Доменные службы. Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Служба Domain Controller as a Service для переноса традиционных приложений на Azure IaaS, для виртуальных машин Windows и Linux.

Пользователи Enterprise. Управление назначением лицензий, доступом к приложениям и настройка делегатов с использованием групп и ролей администратора.

Гибридное удостоверение. Использование Azure Active Directory Connect и Connect Health для предоставления одного идентификатора пользователя для аутентификации и авторизации во всех ресурсах, независимо от расположения (локально или в облаке).

Защита идентификации. Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения.

Это не полный перечень функций Azure Active Directory, детальнее можно узнать, обратившись к описанию тарифных планов.


Azure Active Directory доступна в планах:
1. "Free"
2. "План для приложений Office 365"
3. "Premium P1"
4. " Premium P2".

"Free" входит в состав подписок на коммерческие веб-службы, например Azure, Dynamics 365, Intune и Power Platform. В подписки Office 365 входит выпуск "Free ", но подписки Office 365 E1, E3, E5, F1 и F3 также содержат возможности, указанные в столбце "Приложения Office 365". Данные планы отличаются набором поддерживаемых функций.
Итак, если вы уже используете Microsoft 365, Microsoft Azure, то тарифный план Azure Active Directory Free доступен вам со всеми бесплатными возможностями.


Azure Active Directory Free предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.
Для расширения доступного функционала можно обновиться до лицензий Azure Active Directory Premium P1 или Azure Active Directory Premium P2.


Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня "Free", P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager (средство для управления локальными удостоверениями и управления доступом) и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.

Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня "Free" и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.

Очевидные различия между планами "Free", "План для приложений Office 365" и Premium P1, Premium P2 касаются гибридных удостоверений, доступов к группам, условного доступа, защиты идентификации и управления удостоверениями.
Azure AD P2 имеет все те же функции, что и Azure AD P1, а также шесть дополнительных функций, которые охватывают темы Azure Identity Protection и Azure Identity Governance. Ниже описаны 6 функций Р2, которые не доступны в других планах.


Обнаружение уязвимостей и учетных записей, подверженных риску
- Предоставление индивидуальных рекомендаций по улучшению общей безопасности за счет обнаружения уязвимостей
- Расчет уровней риска входа в систему
- Расчет уровней риска для пользователей

Исследование событий риска
- Отправка уведомлений об обнаружении рисков
- Расследование обнаруженных рисков с использованием релевантной и контекстной информации
- Обеспечение основных рабочих процессов для отслеживания расследований
- Обеспечение легкого доступа к действиям по исправлению, таким как сброс пароля

Политики условного доступа с учетом рисков
- Политика для снижения рискованных входов путем блокировки входов или требований многофакторной аутентификации
- Политика блокировки или защиты опасных учетных записей пользователей
- Политика, требующая от пользователей регистрации для многофакторной аутентификации

Управление привилегированными пользователями (PIM)
PIM помогает управлять тем, кто, что, когда, где и почему для ресурсов в Azure. Вот некоторые из ключевых особенностей PIM:
- Предоставление своевременного привилегированного доступа к ресурсам Azure AD и Azure
- Назначение ограниченного по времени доступа к ресурсам, с использованием даты начала и окончания
- Требование утверждения для активации привилегированных ролей
- Принудительная многофакторная аутентификация для активации любой роли
- Использование обоснования, чтобы понять, почему пользователь активен
- Получение уведомления при активации привилегированных ролей
- Проверка доступа, чтобы убедиться, что пользователям по-прежнему нужны роли
- История активностей для внутреннего или внешнего аудита

Проверки доступа
Проверки доступа Azure AD позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначением ролей. Доступ пользователя можно регулярно проверять, чтобы убедиться, что только нужные люди имеют постоянный доступ.


Управление правами
Этот инструмент может помочь управлять доступом к группам, приложениям и сайтам SharePoint Online для внутренних пользователей, а также пользователей за пределами организации.

Зная функционал тарифных планов Azure Active Directory вам легко оценить преимущества использования данного сервиса. Корпоративные данные, управление пользователями и доступами, гибридными инфраструктурами – объекты, которые нуждаются в защите и грамотной организации. Служба Azure Active Directory от Microsoft позволяет сохранять безопасность вашей ИТ экосистемы и ее продуктивность вне зависимости от использования сторонних служб SaaS.


Обращайтесь к поставщику услуг для определения необходимого количества лицензий.