Azure AD Premium P1 frente a P2: ¿Cuál es el adecuado para usted?

Azure Active Directory es más que solo Active Directory en la nube. Vea cómo se acumulan las ediciones premium del servicio de directorio para encontrar la mejor opción para su organización.Azure Active Directory es más que solo Active Directory en la nube. Vea cómo se acumulan las ediciones premium del servicio de directorio para encontrar la mejor opción para su organización.





Al decidir pasar a un servicio de administración de identidades y accesos, tendrá que tener en cuenta los costos y las capacidades de cada nivel que microsoft ofrece para asegurarse de que tiene la cobertura que necesita a un precio que puede pagar.

Microsoft lanzó Azure Active Directory (Azure AD) a disponibilidad general en 2013, y muchos en TI son al menos conscientes de ello si no lo están usando activamente. Tiende a haber cierta confusión sobre este producto debido a su nombre; Azure AD no es Active Directory en la nube. Ambos tienen sistemas de gestión de identidades como un componente clave, pero son sistemas muy diferentes. Una vez que se dé cuenta de esto, querrá ir más allá y realizar una comparación de Azure AD Premium P1 vs. P2.

¿Qué es Active Directory?

Active Directory es el servicio de directorio de Microsoft diseñado para ejecutarse localmente en el sistema operativo Windows Server que controla el acceso a la organización y sus recursos. Parte de Active Directory es la función de servidor Servicios de dominio de Active Directory, también conocida como controlador de dominio, que incorpora la funcionalidad para almacenar datos en el directorio, como contraseñas de usuario, y realiza las tareas de autorización y autenticación en el dominio. La estructura de directorios utiliza objetos, que pueden ser cuentas de computadora, servidores o impresoras, esencialmente, cualquier dispositivo o usuario que se conecte a la red de la organización.

Puede instalar Los Servicios de dominio de Active Directory en varias implementaciones de Windows Server, que luego asumen el papel de controladores de dominio dentro del bosque de Active Directory, que es el nivel superior de la jerarquía de directorios. Active Directory proporciona servicios de autenticación, control de acceso y seguridad (directiva de grupo) para los recursos del bosque.

¿Qué es Azure Active Directory?

Azure Active Directory, que se conoce más comúnmente como Azure AD, es un servicio de control de administración y acceso a identidades basado en la nube. Se incluye con las suscripciones de Office 365 y Microsoft 365, pero Microsoft también vende otras ediciones de Azure AD con diferentes niveles de funcionalidad. Al igual que Active Directory, Azure AD proporciona servicios de autenticación y control de acceso, pero se ha diseñado específicamente para satisfacer las necesidades únicas de los usuarios de la nube y las aplicaciones en la nube.

Aunque hay muchas similitudes entre Active Directory y Azure AD, Azure AD no es simplemente Active Directory en la nube. Azure AD ofrece una funcionalidad específica de la nube que no existe en un entorno tradicional de Active Directory. Por ejemplo, Active Directory no ofrece una forma de unir dispositivos móviles a un dominio, pero Azure AD se integra con Microsoft Intune para administrar dispositivos móviles. Del mismo modo, Active Directory no admite de forma nativa sistemas que no sean Windows, pero Azure AD permite a las máquinas Linux acceder a varios recursos mediante identidades administradas. Puede encontrar más información sobre las diferencias entre Active Directory y Azure AD en este vínculo de documentación de Microsoft.

¿Cómo funciona Azure AD con Active Directory local?

Aunque tanto Active Directory como Azure AD pueden existir como entornos de directorio independientes, es común que las organizaciones creen directorios híbridos que funcionen tanto con controladores de dominio locales como con Azure AD.

Microsoft proporciona una herramienta gratuita llamada Azure AD Connect para unir estos dos entornos. Azure AD Connect replica las cuentas de usuario de Active Directory en Azure AD, lo que permite a un usuario tener una única identidad capaz de acceder a los recursos locales y basados en la nube.

¿Qué tipos de licencias de Azure AD ofrece Microsoft?

Microsoft vende actualmente cuatro opciones para licencias de Azure AD. La primera es la opción Free, que se recomienda para organizaciones más pequeñas y tiene un límite de 500.000 objetos de directorio. Está diseñado principalmente como un mecanismo de autenticación y control de acceso y admite el aprovisionamiento de usuarios y las funciones básicas de administración de usuarios, como la creación, eliminación y modificación de cuentas de usuario. Estos usuarios pueden aprovechar el cambio de contraseña de autoservicio, y los administradores pueden crear listas globales de contraseñas prohibidas o requerir autenticación multifactor (MFA).

La capa gratuita de Azure AD también admite características avanzadas, incluida la compatibilidad con Azure AD Connect y la autenticación en la nube de paso a través. Además, la edición gratuita de Azure AD permite la autenticación federada basada en servicios de federación de Active Directory o de terceros, así como la funcionalidad de inicio de sesión único. Los administradores pueden crear informes básicos de seguridad y uso en la versión gratuita.

Microsoft incluye Azure AD con Office 365 y Microsoft 365, específicamente, las suscripciones E1, E3, E5, F1 y F3, como el servicio de directorio subyacente necesario para operar las aplicaciones en la plataforma, como Exchange Online para correo electrónico y SharePoint Online para administración de contenido.

Microsoft llama a esto la edición aplicaciones de Office 365 de Azure AD. Tiene las mismas características y capacidades que la versión gratuita, pero también se adhiere a un acuerdo de nivel de servicio (SLA) de 99.9% de disponibilidad. La edición gratuita no tiene SLA.

La edición Aplicaciones de Office 365 también permite varias personalizaciones, como la marca de la empresa. Quizás lo más importante es que la versión de Aplicaciones de Office 365 admite la sincronización bidireccional para objetos de dispositivo. Esto significa que los cambios realizados en Azure AD se propagan al entorno de Active Directory en el centro de datos de la organización y viceversa.

Además de la edición gratuita y office 365 Apps de Azure AD, Microsoft también ofrece dos versiones premium conocidas como Premium P1 y Premium P2. (Premium solía ser de un nivel, pero Microsoft lo dividió en dos ediciones). Las versiones premium incluyen todo lo que se incluye en la edición aplicaciones de Office 365 y características adicionales que giran en torno a identidades híbridas, administración avanzada de acceso basado en grupos y acceso condicional. Las ediciones premium también incluyen soporte para Microsoft Identity Manager para extraer registros de aplicaciones de software de administración de capital humano locales, como Oracle PeopleSoft.

La versión P2 tiene la mayoría de las características e incluye funcionalidad orientada a la protección de la identidad y el gobierno de la identidad.

How the Azure Active Directory editions stack up

Microsoft quita la edición básica de Azure AD

Microsoft había ofrecido otro nivel de Azure AD llamado Basic, pero eliminó esta edición a fines de 2019. Las organizaciones que se suscribieron a Azure AD Basic antes de este cambio pueden seguir usando la licencia. Este nivel tenía el mismo conjunto de características que la edición Aplicaciones de Azure AD Office 365 con una excepción: carecía de autenticación multifactor.

Elección de una licencia de Azure AD

Como se señaló anteriormente, hay cuatro opciones de Azure AD. La versión gratuita es la más adecuada para organizaciones pequeñas y entornos de desarrollo / prueba, mientras que la versión de Office 365 / Microsoft 365 viene con características adicionales para trabajar con la funcionalidad en la plataforma de colaboración de Microsoft, pero nada más.

Las ediciones P1 y P2 de Azure AD Premium se dirigen a entornos de clase empresarial que requieren capacidades avanzadas de control de acceso. Azure AD Premium P2 es una buena opción para organizaciones en industrias fuertemente reguladas, como el gobierno o la atención médica, o para aquellas que requieren la seguridad más sólida posible.

Comparación de características de Azure AD Premium P1 con P2

Ahora que tiene una comprensión básica de Azure AD y sus cuatro ediciones, veamos lo que obtiene con Azure AD Premium P1 frente a P2. Hay cuatro razones principales para elegir Premium P2:

1. La función de protección de identidad en Premium P2 ofrece una visión general de los intentos de autenticación cuestionables. Analiza los inicios de sesión y evalúa qué tan riesgosos podrían ser, como detectar un inicio de sesión de cuenta de un país y luego de un país diferente 10 minutos después. Los administradores pueden manejar esos intentos de autenticación sospechosos automáticamente con políticas que pueden forzar MFA o bloquear el acceso por completo. La protección de la identidad es uno de los mejores argumentos para ir a P2, ya que reduce en gran medida muchos riesgos relacionados con el acceso de los usuarios.

Azure AD identity protection sign-in risk policy
La protección de identidad de Azure AD Premium P2 incluye una característica de directiva de riesgo de inicio de sesión que bloquea los intentos de inicio de sesión sospechosos.

2. Privileged Identity Management (PIM) es un conjunto de controles para administrar cuentas de acceso de nivel superior en Azure AD. Incluye características de seguridad como el acceso justo a tiempo para otorgar temporalmente derechos y eliminarlos con registro y auditoría completos. Los flujos de trabajo con justificación y notificaciones también se pueden activar en torno a la activación de estos privilegios. Si tiene que lidiar con muchos cambios deshonestos en su entorno, PIM podría ayudarlo a recuperar el control.

3. La función de revisiones de acceso garantiza que solo el personal adecuado pueda usar recursos específicos. Esto es útil cuando se incorpora y desembarque al personal, o cuando el personal cambia de roles. También puede controlar a los usuarios existentes para revisar su acceso a los recursos e impulsar estas decisiones hacia los propietarios de las aplicaciones. Puede adaptar las comprobaciones periódicas para cumplir con los requisitos empresariales o para cumplir con las normas de cumplimiento. Es una buena característica para darle más control para permitir o bloquear el acceso a recursos importantes sin tener que recordar hacerlo.

4. La administración de derechos es una característica de gobierno de identidad que utiliza la automatización para administrar los ciclos de vida de la identidad, los ciclos de vida de acceso y el acceso privilegiado. Proporciona controles para dar acceso a los recursos de la organización, como grupos y aplicaciones, tanto para usuarios internos como externos. La administración de derechos usa un paquete de acceso que agrupa los recursos variados, como los sitios de SharePoint Online y los derechos de acceso a aplicaciones en la nube, que se usan en el proceso de solicitud.

Comparación de precios de Azure AD Premium P1 vs. P2

Azure AD Premium P1 forma parte del conjunto de aplicaciones Office 365/Microsoft 365 E3, y Azure AD Premium P2 se incluye con el conjunto de aplicaciones Office 365/Microsoft 365 E5. Microsoft también ofrece los niveles como una compra separada; Azure AD Premium P1 cuesta 6 USD por usuario, al mes, mientras que Azure AD Premium P2 cuesta 9 USD por usuario, al mes.

Microsoft ofrece precios diferentes en las ediciones P1 y P2 para un usuario activo mensual (MAU), alguien que inicia sesión o realiza una actividad relacionada con la identidad en el inquilino. No hay cargo por los primeros 50,000 MAU. Más allá de eso, Microsoft cobra $ 0.00325 por MAU en la edición P1 y $ 0.01625 por MAU en la edición P2.

Otra opción que vale la pena considerar es el paquete Microsoft 365 Identity and Threat Protection ($ 12 por usuario, por mes), que tiene Azure AD Premium P2, Microsoft Cloud App Security y Microsoft 365 Defender, anteriormente llamado Microsoft Threat Protection, que proporciona Azure Sentinel, Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection), Microsoft Defender for Endpoint (anteriormente Microsoft Defender ATP) y Microsoft Defender para Office 365 (anteriormente Office 365). Protección avanzada contra amenazas). Esta combinación proporciona un conjunto más amplio de ventajas de seguridad y no cuesta mucho más que la licencia de Azure AD Premium P2.

Decidir qué paquete comprar requiere mucha investigación y comprensión para asegurarse de obtener el mejor valor por su dinero. No compre el mejor nivel de licencia disponible hasta que sepa que lo usará.

Probar Azure AD con la edición gratuita

Azure AD sigue creciendo y recopilando nuevas características y capacidades con regularidad. Entre las capacidades de administración de identidades de Azure AD se encuentra una combinación de administración de usuarios para usuarios internos y externos, administración de acceso a aplicaciones y protección de cuentas. La mayoría de las empresas usarán Active Directory local y Azure AD para cumplir con los diferentes requisitos del sistema, y ambos sistemas se complementan bien.

Puede probar Azure AD sin costo alguno configurando un inquilino de Azure gratuito si aún no tiene uno y, a continuación, cree un directorio. A continuación, puede instalar opcionalmente el cliente de Azure AD Connect para sincronizar los objetos de Active Directory locales.

Esta capa gratuita de Azure AD es ideal para fines de prueba, pero no para el entorno en vivo de una empresa. La edición gratuita no tiene características de seguridad esenciales, como el acceso condicional y MFA. Desea evitar poner identidades en la nube sin protección MFA. Una búsqueda superficial en línea encuentra una sesión de conferencia reciente de Black Hat que describe lo fácil que es atacar estas configuraciones de Azure AD, por lo que se recomienda encarecidamente bloquear el inquilino de Azure AD antes de comenzar a experimentar.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.