Блог UA

Що таке Azure Active Directory

Azure Active Directory (Azure AD) - це хмарна служба від корпорації Microsoft для управління ідентифікацією і доступом як послуга (IDaaS), яке поєднує в собі можливості єдиного доступу до будь-якого хмарного чи локального додатку з розширеним захистом. Це дає користувачам єдине посвідчення для доступу до потрібних їм додатків і спільної роботи з будь-якої платформи і пристрою. Оскільки Azure AD заснована на масштабованих можливостях управління і правилах доступу з урахуванням ризиків, Azure AD допомагає забезпечити безпеку і оптимізувати ІТ-процеси.

Які основні функції надає служба?

Управління додатками. Управління хмарними і локальними додатками за допомогою Application Proxy, єдиного входу, порталу "Мої додатки" (також званого панеллю доступу) і додатків SaaS. Azure AD вже працює з величезною кількістю комерційних і користувацьких додатків, наприклад Office 365, Saleforce.com, Box і Workday. Або ж ви можете підключити додатки, яких ще немає в базі, наприклад, розроблені вашою компанією, використовуючи готовий набір шаблонів і бібліотек.

Аутентифікація. Адміністрування самостійного скидання пароля, багатофакторної перевірки автентичності, що налаштовується, списку заборонених паролів і смарт-блокування в Azure Active Directory.

Умовний доступ. Управління доступом до хмарних додатків.

Управління пристроями. Управління тим, як хмарні і локальні пристрої отримують доступ до корпоративних даних.

Доменні служби. Приєднання віртуальних машин Azure до домену без використання контролерів домену. Служба Domain Controller as a Service для перенесення традиційних додатків на Azure IaaS, для віртуальних машин Windows і Linux.

Користувачі Enterprise. Управління призначенням ліцензій, доступом до додатків і налаштування делегатів з використанням груп і ролей адміністратора.

Гібридне посвідчення. Використання Azure Active Directory Connect і Connect Health для надання одного ідентифікатора користувача для аутентифікації і авторизації в усіх ресурсах, незалежно від розташування (локально або в хмарі).

Захист ідентифікації. Визначення потенційних вразливостей, що впливають на посвідчення організації, налаштування політик для відповіді на підозрілу активність і виконання відповідних дій для її усунення.

Це не повний перелік функцій Azure Active Directory, детальніше можна дізнатися, звернувшись до опису тарифних планів.

Azure Active Directory доступна в планах:
1."Free"
2. "План для додатків Office 365"
3."Premium P1"
4. "Premium P2"

"Free" входить до складу підписок на комерційні веб-служби, наприклад Azure, Dynamics 365, Intune і Power Platform. У підписки Office 365 входить випуск "Free", але підписки Office 365 E1, E3, E5, F1 і F3 також містять можливості, зазначені в стовпці "Додатки Office 365". Дані плани відрізняються набором функцій.

Отже, якщо ви вже використовуєте Microsoft 365, Microsoft Azure, то тарифний план Azure Active Directory Free доступний вам з усіма безкоштовними можливостями.

Azure Active Directory Free надає управління користувачами і групами, синхронізацію локальної служби каталогів, базові звіти, можливість самостійної зміни паролів для користувачів хмари, єдиний вхід в Azure, Microsoft 365 та багато інших популярних додатків SaaS.

Для розширення доступного функціоналу можна оновитися до ліцензій Azure Active Directory Premium P1 або Azure Active Directory Premium P2.

Azure Active Directory Premium P1. На додаток до можливостей в рамках пропозиції рівня "Free", P1 забезпечує користувачам гібридний доступ до локальних і хмарних ресурсів. Він також підтримує розширені функції адміністрування, такі як динамічні групи, самостійне управління групами, Microsoft Identity Manager (засіб для управління локальними посвідченнями і управління доступом) і можливості зворотного запису в хмарі, які дозволяють самостійно скидати пароль для локальних користувачів.

Azure Active Directory Premium P2. На додаток до можливостей в рамках пропозицій рівня "Free" і P1, P2 також забезпечує захист ідентифікації Azure Active Directory, яка надає умовний доступ до додатків і критично важливих даних компанії на основі ризиків, і привілейоване управління ідентифікацією, що дозволяє виявляти, обмежувати і відстежувати адміністраторів та їх доступ до ресурсів, а також надати JIT-доступ, коли це необхідно.
Очевидні відмінності між планами "Free", "План для додатків Office 365" і Premium P1, Premium P2 стосуються гібридних посвідчень, доступів до груп, умовного доступу, захисту ідентифікації та керування посвідченнями.

Azure AD P2 має всі ті ж функції, що і Azure AD P1, а також шість додаткових функцій, які охоплюють теми Azure Identity Protection і Azure Identity Governance. Нижче описані 6 функцій Premium Р2, які не доступні в інших планах.

Виявлення вразливостей і облікових записів, схильних до ризику
- Надання індивідуальних рекомендацій щодо поліпшення загальної безпеки за рахунок виявлення вразливостей
- Розрахунок рівнів ризику входу в систему
- Розрахунок рівнів ризику для користувачів

Дослідження подій ризику
- Відправлення повідомлень про виявлення ризиків
- Розслідування виявлених ризиків з використанням релевантної і контекстної інформації
- Забезпечення основних робочих процесів для відстеження розслідувань
- Забезпечення легкого доступу до дій по виправленню, таким як скидання пароля

Політики умовного доступу з урахуванням ризиків
- Політика для зниження ризикованих входів шляхом блокування входів або вимог багатофакторної аутентифікації
- Політика блокування або захисту небезпечних облікових записів користувачів
- Політика, що вимагає від користувачів реєстрації для багатофакторної аутентифікації

Управління привілейованими користувачами (PIM)
PIM допомагає керувати тим, хто, що, коли, де і чому для ресурсів в Azure. Ось деякі з ключових особливостей PIM:
- Надання своєчасного привілейованого доступу до ресурсів Azure AD і Azure
- Призначення обмеженого за часом доступу до ресурсів, з використанням дати початку і закінчення
- Вимога затвердження для активації привілейованих ролей
- Примусова багатофакторна аутентифікація для активації будь-якій ролі
- Використання обґрунтування, щоб зрозуміти, чому користувач активний
- Оповіщення при активації привілейованих ролей
- Перевірка доступу, щоб переконатися, що користувачам як і раніше потрібні ролі
- Історія активностей для внутрішнього або зовнішнього аудиту

Перевірки доступу
Перевірки доступу Azure AD дозволяють організаціям ефективно керувати членством в групах, доступом до корпоративних додатків і призначенням ролей. Доступ користувача можна регулярно перевіряти, щоб переконатися, що тільки потрібні люди мають постійний доступ.

Управління правами
Цей інструмент може допомогти керувати доступом до груп, додатків і сайтів SharePoint Online для внутрішніх користувачів, а також користувачів за межами організації.


Знаючи функціонал тарифних планів Azure Active Directory вам легко оцінити переваги використання даного сервісу. Корпоративні дані, управління користувачами і доступами, гібридними інфраструктурами - об'єкти, які потребують захисту і грамотної організації. Служба Azure Active Directory від Microsoft дозволяє зберігати безпеку вашої ІТ екосистеми та її продуктивність незалежно від використання сторонніх служб SaaS.

Зверніться до свого постачальника послуг для визначення необхідної кількості ліцензій.