مايكروسوفت أزور الدليل النشط مراجعة وتقييم

كانت شركة Microsoft رائدة في هذا المجال في العديد من فئات تكنولوجيا المعلومات الأساسية لعقود ، والفئة التي تمتلك فيها الشركة خنقًا فعالًا هي أدلة الشبكة المحلية. يتم استخدام Windows Server Active Directory (AD) من قبل الشركات والحكومات في جميع أنحاء العالم وهو المعيار الذهبي لإدارة هوية المؤسسة (IDM) في المؤسسة. بالإضافة إلى الميزات المتقدمة والتكامل الدقيق مع الدليل المحلي الأكثر شهرة في العالم ، فإن أسعار Microsost Azure AD تنافسية للغاية في مساحة إدارة الهوية كخدمة (IDaaS) ، حيث توفر طبقة مجانية وطبقة أساسية مقابل دولار واحد لكل مستخدم في الشهر ، واثنين من الطبقات الممتازة التي تعمل 6 دولارات و 9 دولارات في الشهر ، على التوالي. تجمع الميزات المتقدمة والتكامل الدقيق مع نظام IDM الأساسي الرائد وسعرًا جديدًا وودودًا لرفع مستوى Azure AD إلى اختيار المحررين في مساحة IDaaS جنبًا إلى جنب مع Okta Identity Management.

الإعداد والتواصل مع On-Prem م

لأسباب واضحة ، يبقى الاستخدام الأكثر شيوعًا لـ Azure AD الشركات التي تتطلع إلى دمج مجال AD داخلي ، مع التطبيقات التي تعمل في السحابة وحتى المستخدمين المتصلين عبر الإنترنت. لتوفير الشجاعة التي ستربط AD المحلي بـ Azure AD ، فإن حل Microsoft الأكثر شيوعًا هو Azure AD Connect ، وهي أداة التزامن المتاحة مجانًا من Microsoft. يقدم العديد من المنافسين أدوات مزامنة مماثلة لتوصيل منتجات IDaaS الخاصة بهم بنطاقات AD المحلية ، ولكن Azure AD Connect هي مثال جيد على كيفية القيام بذلك بشكل صحيح. الفرق الأكبر بين Azure AD Connect وأدوات المزامنة الأخرى هو أن Azure AD Connect يوفر مزامنة آمنة لكلمة المرور ، مما يسمح لعملية المصادقة أن تحدث داخل Azure AD بدلاً من اعتماد بيانات اعتماد المستخدم مقابل إعلان الشركة. الفرق الأكبر بين Azure AD Connect وأدوات المزامنة الأخرى هو أن Azure AD Connect يقوم بمزامنة كلمات المرور بشكل افتراضي وتحدث عملية المصادقة داخل Azure AD بدلاً من التحقق من صحة بيانات اعتماد المستخدم مقابل إعلان الشركة. قد تواجه العديد من المؤسسات مشكلات تتعلق بالسياسات المتعلقة بمزامنة تجزئة كلمة المرور على السحابة ، مما يجعل مزامنة كلمة مرور Azure AD Connect مشكلة محتملة.

يدعم Azure AD أيضًا استخدام خدمات اتحاد Active Directory (ADFS). يستخدم ADFS تقليديًا لتوفير إمكانيات authenication للتطبيقات أو الخدمات الخارجية ، ويفرض أن تتم طلبات المصادقة باستخدام AD الخاص بك ، ومع ذلك ، فإنه يحتوي على مجموعة من المتطلبات وخطوات التكوين التي تجعله أكثر تعقيدًا بكثير من المنتجات المنافسة ذات وظائف المصادقة المماثلة. الخيار المثالي هو شيء ما على غرار PingFity في Ping Identity ، والذي يوفر اتحاد الهوية بأقل قدر ممكن من التكوين ، لكنه سيسمح لك بضبط كل جانب من جوانب عملية الاتحاد.

لا يزال أحدث خيار لدمج AD مع Azure AD يستخدم وكيل Azure AD Connect ، لكنه يقدم خيارًا متحدًا. إحدى الشكاوى الشائعة حول Azure AD بين الشركات الكبرى هي عدم وجود أرضية وسط بين المزامنة باستخدام Azure AD Connect والاتحاد باستخدام ADFS. تستخدم المصادقة التمريرية Azure AD Connect لتقديم مسار بسيط للوصول الموحد إلى هوياتك في AD. من الناحية النظرية ، توفر مصادقة المرور أفضل ما في العالمين ، مع الحفاظ على الهويات والمصادقة الداخلية ، ولكن يلغي الحاجة إلى ADFS. من المزايا الإضافية لمصادقة المرور عبر ADFS أن الاتصال قائم على الوكيل ، مما يلغي الحاجة إلى قواعد جدار الحماية أو وضعه داخل منطقة DMZ. تتوافق هذه الوظيفة مع الكثير من منافسات Azure AD ، بما في ذلك Okta و OneLogin و Bitium و Centrify. مصادقة المرور قيد المعاينة حاليًا ، مع توفر عام متوقع خلال الأشهر القليلة المقبلة.

تكامل الدليل

يبدو من الآمن توقع حل Microsoft IDaaS للتكامل بإحكام مع AD ، ولا يخيب Azure AD. يمكن تكوين مزامنة السمات مع Azure AD Connect ويمكن بعد ذلك تعيينها ضمن تكوينات تطبيقات البرامج (SaaS) الفردية. يدعم Azure AD أيضًا إجراء تغييرات في كلمة المرور تتم كتابتها مرة أخرى إلى AD عند حدوثها في Microsoft Office 365 أو مدخل مستخدم Azure AD. تتوفر هذه الميزة في منافسين مثل OneLogin و Okta Identity Management الحائز على اختيار المحررين ، ولكنها قد تتطلب برامج أو تغييرات إضافية على سياسة المزامنة الافتراضية.

نقطة تكامل رئيسية أخرى لـ Azure AD هي للعملاء الذين يستخدمون Microsoft Exchange لخدمات البريد الخاصة بهم ، خاصةً لأولئك الذين يستخدمون Exchange أو Exchange عبر الإنترنت جنبًا إلى جنب مع Office 365 في سيناريو سحابي مختلط ، حيث تتم استضافة خدمة البريد الإلكتروني بالكامل أو جزء منها على -يحتوي على مركز البيانات بينما يتم استضافة الموارد الأخرى في السحابة. عند التثبيت ، سيتعرف Azure AD Connect على سمات المخطط الإضافية التي تشير إلى تثبيت Exchange وسيتم مزامنة هذه السمات تلقائيًا. يتمتع Azure AD أيضًا بالقدرة على مزامنة مجموعات Office 365 مع مجموعات التوزيع.

يوفر Windows 10 أيضًا إمكانيات جديدة للتكامل مع Azure AD. يدعم نظام التشغيل Windows 10 ضم الأجهزة إلى Azure AD كبديل عن شركتك AD. كن حذرًا ، نظرًا لأن الوظيفة تختلف اختلافًا كبيرًا بين توصيل جهاز بـ Azure AD مقابل الانضمام إلى جهاز AD التقليدي الداخلي. ذلك لأنه بمجرد الاتصال بـ Azure AD ، يصبح جهاز Windows 10 مدارًا من خلال Azure AD وأدوات إدارة الأجهزة المحمولة من Microsoft بدلاً من "نهج المجموعة". تتمثل الفائدة الكبيرة لمستخدمي Azure AD في أن المصادقة على بوابة المستخدم تتسم بالسلاسة نظرًا لأن المستخدم قد تمت المصادقة عليه بالفعل للجهاز ، وستتعرف تطبيقات Windows 10 مثل البريد والتقويم على ما إذا كان حساب Office 365 متاحًا وتم تكوينه تلقائيًا. تشبه عملية تسجيل الدخول إلى حد كبير نمط تسجيل الدخول الافتراضي في نظام التشغيل Windows 8 حيث يسأل عن تفاصيل حساب Microsoft الخاص بك.

مدير هوية مايكروسوفت

نادراً ما تعتمد مؤسسة كبيرة على مصدر واحد للهويات. سواء كان ذلك عبارة عن مزيج من Active Directory ونظام الموارد البشرية (HR) أو غابات Active Directory المتعددة أو العلاقات مع شركاء الأعمال ، فإن التعقيد الإضافي أمر لا مفر منه في الشركات الكبيرة. حل Microsoft لدمج موفري الهوية المتعددة هو Microsoft Identity Manager. على الرغم من أنها حزمة برامج متميزة ، يتم تضمين تراخيص وصول العميل في طبقات Azure AD Premium. يوفر Azure AD B2B Collaboration (Azure AD B2B) وسيلة لتزويد شركاء الأعمال بالوصول إلى تطبيقات الشركات. على الرغم من أنه في الوقت الحالي قيد المعاينة ، فإن Azure AD B2B تسهل التعاون مع شركاء الأعمال ، مما يتيح لهم الوصول إلى التطبيقات دون الحاجة إلى إنشاء حسابات مستخدمين في Active Directory أو ثقة Active Directory.

يتم الآن دعم دعم تسجيل الدخول الأحادي (SSO) باستخدام بيانات اعتماد الدليل باستخدام Azure AD عند استخدام مزامنة كلمة المرور أو مصادقة المرور. سابقا ADFS فقط عرضت هذه الوظيفة. يمكن للمستخدمين الآن المصادقة لـ Azure AD وتطبيقات SaaS الخاصة بهم دون تقديم بيانات اعتماد على افتراض أنها تفي بالمتطلبات الفنية (أي كمبيوتر يعمل بنظام Windows متصل بنطاق ، وإصدار متصفح مدعوم ، إلخ). SSO لمستخدمي سطح المكتب للشركات قيد المعاينة حاليًا.

IDM المستهلك

Azure AD B2C هو IDM التي تواجه Microsoft من قبل IDM. إنها تتيح للمستخدمين المصادقة لخدماتك أو تطبيقاتك باستخدام بيانات الاعتماد الحالية التي أنشأوها بالفعل مع الخدمات السحابية الأخرى مثل Google أو Facebook. يدعم Azure AD B2C كلاً من OAuth 2.0 و Open ID Connect ، وتوفر Microsoft مجموعة متنوعة من الخيارات لدمج الخدمة مع التطبيق أو الخدمة.

يكون سعر عرض B2C منفصلًا عن مستويات Azure AD القياسية ، ويتم تقسيمه بعدد المستخدمين المخزنين لكل مصادقة وعدد المصادقة. المستخدمون المخزنون مجانيون حتى 50،000 مستخدم ، ويبدأون من 0.0011 دولار لكل مصادقة تصل إلى 1 مليون. أول 50000 مصادقة في الشهر مجانية أيضًا ، وتبدأ من 0.0028 دولار لكل مصادقة تصل إلى مليون. مصادقة Multifactor متاحة أيضًا لـ Azure AD B2C ، وتدير 0.03 دولارًا قياسيًا لكل مصادقة.

توفير المستخدم

يوفر Azure AD ميزة مماثلة تم تعيينها لمعظم بائعي IDaaS عندما يتعلق الأمر بالحصول على المستخدمين والمجموعات التي تم إعدادها لتعيين الوصول إلى تطبيقات SaaS وتوفيرها. يمكن مزامنة كل من المستخدمين ومجموعات الأمان باستخدام Azure AD Connect ، أو يمكن إضافة المستخدمين والمجموعات يدويًا في Azure AD. لسوء الحظ ، لا توجد طريقة لإخفاء المستخدمين أو المجموعات في Azure AD بحيث يحتاج العملاء في الشركات الكبيرة إلى الاستفادة من ميزات البحث بشكل متكرر من أجل الانتقال إلى مستخدمين أو مجموعات محددة. يتيح لك Azure AD إنشاء مجموعات ديناميكية بناءً على استعلامات تستند إلى السمة باستخدام ميزة (قيد المعاينة حاليًا) تسمى القواعد المتقدمة.

يدعم Azure AD التوفير التلقائي للمستخدمين في تطبيقات SaaS ولديه ميزة واضحة تتمثل في العمل بشكل جيد مع نشرات Office 365. عندما يكون ذلك ممكناً ، تبسط Azure AD هذه العملية كما في حالة تطبيقات Google. من خلال عملية بسيطة من أربع خطوات ، يطالبك Azure AD بتسجيل الدخول إلى تطبيقات Google ويطلب إذنك لتكوين تطبيقات Google لتوفير المستخدم التلقائي.

علامة واحدة على

تشبه بوابة المستخدم النهائي لـ Microsoft جزءًا كبيرًا من المنافسة ، حيث تقدم شبكة من رموز التطبيقات التي توجه المستخدمين إلى تطبيقات الدخول الموحد. إذا اختار المسؤولون ، يمكن تكوين بوابة مستخدم Azure AD للسماح بإجراءات الخدمة الذاتية مثل إعادة تعيين كلمة المرور أو طلبات التطبيق أو طلبات عضوية المجموعة والموافقات. يمتلك مشتركو Office 365 ميزة إضافية تتمثل في القدرة على إضافة تطبيقات SSO إلى قائمة تطبيقات Office 365 ، مما يوفر وصولاً ملائمًا لتطبيقات الأعمال الهامة من داخل Outlook أو عروض Office 365 الأخرى.

يدعم Azure AD سياسات الأمان المرتبطة بالتطبيقات الفردية ، مما يتيح لك الحصول على مصادقة متعددة العوامل (MFA). عادةً ما تشتمل MFA على جهاز أمان أو رمز مميز من نوع ما (مثل البطاقة الذكية) أو حتى تطبيق الهاتف الذكي الذي يجب أن يكون موجودًا قبل تسجيل الدخول. يمكن Azure AD دعم MFA للمستخدمين الفرديين أو المجموعات أو بناءً على موقع الشبكة. تتعامل Okta Identity Management مع سياسات الأمان الخاصة بها بنفس الطريقة. بشكل عام ، نفضل فصل سياسات الأمان بحيث يمكن تطبيق نفس السياسة على تطبيقات متعددة ، ولكن لديك على الأقل القدرة على تكوين سياسات متعددة.

ميزة واحدة فريدة تقدمها Microsoft في Azure AD Premium يمكن أن تساعد في بدء شركتك في تحديد تطبيقات SaaS التي تستخدمها بالفعل مؤسستك. يستخدم Cloud App Discovery وكلاء البرامج للبدء في تحليل سلوك المستخدم فيما يتعلق بتطبيقات SaaS ، مما يساعدك على متابعة التطبيقات الأكثر استخدامًا في مؤسستك والبدء في إدارة تلك التطبيقات على مستوى المؤسسة.

يتضمن السيناريو التقليدي لحلول IDaaS مصادقة المستخدمين على التطبيقات السحابية باستخدام بيانات اعتماد ناشئة من دليل محلي. يقوم Azure AD بدفع هذه الحدود عن طريق تمكين المصادقة للتطبيقات المحلية باستخدام Application Proxy ، والذي يستخدم الوكيل للسماح للمستخدمين بالاتصال الآمن بالتطبيقات من خلال Azure. نظرًا للهيكل القائم على الوكيل المستخدم من قِبل Application Proxy ، ليست هناك حاجة لمنافذ جدار الحماية المفتوحة لتطبيقات الشركات الداخلية. أخيرًا ، يمكن الاستفادة من خدمات مجال Azure AD لتقديم دليل موجود داخل Azure ، مما يوفر بيئة مجال تقليدية لمصادقة المستخدمين على الأجهزة الافتراضية المستضافة في Azure. يمكن أيضًا تهيئة وكيل تطبيق Azure AD لتطبيق سياسات الوصول المشروط لفرض قواعد مصادقة إضافية (مثل MFA) عند استيفاء شروط معينة.

يتعامل Azure AD مع أكثر من 1.3 مليار مصادقة يوميًا. يتيح هذا النطاق الهائل لشركة Microsoft تقديم خدمة واحدة على الأقل يمكن أن يتنافس معها عدد قليل من حلول IDM ، وهي حماية هوية Azure AD. تستخدم هذه الميزة مجموعة الخدمات السحابية الكاملة من Microsoft (Outlook.com و Xbox Live و Office 365 و Azure) بالإضافة إلى التعلم الآلي (ML) لتوفير تحليل مخاطر لا مثيل له للهويات المخزّنة في Azure AD. باستخدام هذه البيانات ، تكتشف Microsoft الأنماط والشذوذ التي يمكنها من خلالها حساب درجة المخاطرة لكل مستخدم وكل تسجيل دخول. تراقب Microsoft أيضًا بنشاط خروقات الأمان التي تنطوي على بيانات اعتماد ، وتذهب إلى حد تقييم هذه الخروقات بحثًا عن بيانات الاعتماد داخل مؤسستك والتي من المحتمل أن تكون عرضة للاختراق. بمجرد حساب درجة المخاطر هذه ، يمكن للمسؤولين الاستفادة منها في سياسات المصادقة ، مما يتيح لهم متابعة متطلبات تسجيل الدخول الإضافية مثل MFA أو إعادة تعيين كلمة المرور.

التقارير

يعتمد التقرير الذي تقدمه Microsoft مع Azure AD على مستوى الخدمة لديك. حتى الطبقات المجانية والأساسية تقدم تقارير أمان أساسية ، وهي تقارير معلّبة تعرض سجلات النشاط الأساسي والاستخدام. يحصل المشتركون المميزون على حق الوصول إلى مجموعة متقدمة من التقارير التي تعزز إمكانات التعلم الآلي من Azure لإعطاء رؤى حول السلوك الشاذ مثل محاولات المصادقة الناجحة بعد الإخفاقات المتكررة ، أو تلك من مناطق جغرافية متعددة ، أو تلك من عناوين IP المشبوهة.

لا تقدم Azure AD مجموعة تقارير كاملة ، لكن التقارير المعلبة المتوفرة للعملاء المميزين أكثر تطوراً مما يقدمه المنافسون. في النهاية ، أعجبتني حقًا مستوى البصيرة التي حصلت عليها من خلال التقارير المعلبة في Azure AD Premium ، حتى لو كنت تعاني من عدم وجود تقارير مجدولة أو مخصصة.

التسعير

يبدأ تسعير Azure AD بمستوى مجاني يدعم ما يصل إلى 500000 كائن دليل (في هذه الحالة ، يعني المستخدمين والمجموعات) وما يصل إلى 10 تطبيقات تسجيل دخول واحد (SSO) لكل مستخدم. يتم تضمين الإصدار المجاني من Azure AD تلقائيًا مع اشتراكات Office 365 ، وفي هذه الحالة لا يتم تطبيق حد الكائن. بسعر التجزئة $ 1 لكل مستخدم شهريًا ، فإن المستوى الأساسي من Azure AD منافس للغاية. تضيف الخدمة الأساسية إمكانيات مثل العلامات التجارية لبوابة المستخدم والوصول SSO المستند إلى المجموعة وتوفيرها ، ومن أجل إنشاء حسابات مستخدمين تلقائيًا في تطبيقات SaaS ، ستحتاج إلى المستوى الأساسي.

يحتفظ المستوى الأساسي بتطبيق 10 لكل حد للمستخدم ، لكنه يضيف القدرة على دعم التطبيقات المحلية باستخدام Application Proxy. تزيل طبقات Premium P1 و P2 في Azure AD الحدود من كمية تطبيقات SSO التي يمكن للمستخدمين الحصول عليها وإضافة إمكانات الخدمة الذاتية و MFA مقابل 6 دولارات و 9 دولارات لكل مستخدم شهريًا على التوالي. تتضمن كلتا مستويي Azure AD Premium أيضًا تراخيص وصول العميل (CAL) للمستخدم لـ Microsoft Identity Manager (مدير Forefront Identity سابقًا) ، والتي يمكن استخدامها لمزامنة وإدارة الهويات في قواعد البيانات والتطبيقات والدلائل الأخرى ، وأكثر من ذلك. تجلب المستويات الممتازة أيضًا تراخيص الوصول الشرطي و Intune MDM ، مما يزيد من إمكانات الأمان بشكل كبير. تتمثل المزايا الرئيسية لطبقة Premium P2 عبر Premium P1 في حماية الهوية وإدارة الهوية المميزة ، وكلاهما مؤهلان كميزات أمان رائدة في هذا المجال.

ومن الاعتبارات الأخرى المتعلقة بالتسعير القدرة على ترخيص خدمة MFA الخاصة بـ Azure بشكل منفصل عن Azure AD ، والتي لها فائدتان: أولاً ، يمكن إضافة MFA إلى طبقات الإعلانات المجانية أو الأساسية لـ Azure AD مقابل 1.40 دولار لكل مستخدم شهريًا أو 10 مصادقة (أيهما يناسب استخدامك على أفضل وجه الحالة) ، رفع التكلفة الإجمالية للخدمة الأساسية مع MFA إلى 2.40 دولار لكل مستخدم. ثانياً ، يمكنك اختيار تمكين MFA فقط لمجموعة فرعية من قاعدة المستخدمين الخاصة بك ، مما يحتمل توفير مبلغ كبير من المال كل شهر.

يغطي Azure AD غالبية الميزات الأساسية التي يجب أن تبحث عنها في مزود IDaaS. إنه يجلب إلى الطاولة بعض الأدوات على مستوى المؤسسات التي تتوقعها من شركة مثل Microsoft. تعد ميزات مثل وكيل التطبيق وحماية الهوية من بين الأفضل في فئتها أو ، بكل بساطة ، ليس لها منافسة. التسعير تنافسي للغاية ، والتكامل مع Office 365 ومنتجات وخدمات Microsoft الأخرى قوي ومتطور باستمرار. تنضم Azure AD إلى Okta Identity Management كخيار للمحررين في فئة IDaaS.