Die Microsoft-Lizenzierung, insbesondere die Azure Active Directory-Lizenzierung, kann für manche Unternehmen verwirrend sein. Da Microsoft immer wieder verschiedene Lizenzoptionen hinzufügt, um sich in verschiedenen Branchen zu etablieren (z. B. F1 für Mitarbeiter des ersten Arbeitsmarktes, GCC für Behörden usw.), ist es schwierig herauszufinden, welche Lizenzierung zu Ihrer spezifischen Unternehmens-IT passt.
Eine Kernkomponente der modernen IT-Infrastruktur ist das Identitätsmanagement. Sie müssen kontrollieren, welche Benutzer Zugriff auf welche Ressourcen in Ihrem Cloud- und On-Site-Ökosystem haben. Außerdem möchten Sie nicht, dass nicht privilegierte Konten auf privilegierte Daten und Anwendungen zugreifen. Das ist schlecht für das Geschäft und führt mit Sicherheit zu Compliance-Risikofaktoren.
Die meisten Unternehmen, die Microsoft auf irgendeiner Ebene innerhalb ihres IT-Ökosystems einsetzen, sollten Azure Active Directory zur Verwaltung von Identitätsdiensten verwenden. Möglicherweise verwenden Sie Azure AD sogar schon – es ist im Paket mit Office 365-Abonnements und Azure-Abonnements enthalten.
Microsoft bietet vier Azure Active Directory-Kernlizenzen an, aus denen Unternehmen wählen können. Heute werden wir diese Dienste vergleichen und über den Wert von Azure Active Directory auf Unternehmensebene sowie seine allgemeine Funktion innerhalb des Microsoft-Konzepts sprechen.
- Was ist Active Directory?
- Understanding Azure Active Directory
- Azure AD vs. Windows Active Directory
- Unterschiedliche Azure Active Directory-Lizenzierung
- Kostenlos (in Azure Sub enthalten)
- Basic ($1 pro Benutzer pro Monat)
- Premium P1 ($6 pro Benutzer pro Monat)
- Premium P2 ($9 pro Benutzer pro Monat)
- Office 365 (in Office 365 Subs enthalten)
- Frei vs. Basic vs. Office 365
- P1 vs. P2
- Azure AD Q&A
- Abschließende Überlegungen
Was ist Active Directory?
Active Directory (AD) hilft Unternehmen bei der Verwaltung von Benutzern, Gruppen und Objekten innerhalb ihrer Netzwerke. So können Sie Benutzer zu Gruppen zuordnen und jeder dieser Gruppen den Zugriff auf bestimmte Netzwerkressourcen, Anwendungen und Geräte zuweisen. Diese Möglichkeit, den Zugriff auf verschiedenen Ebenen zu steuern, gibt Unternehmen die Freiheit, Ressourcen an bestimmte Untergruppen zu verteilen, was sowohl für die Ressourcenverwaltung als auch für die Einhaltung von Vorschriften und Bestimmungen wichtig ist.
Nicht alle Active Directory-Dienste sind gleich aufgebaut. Während Active Directory-Dienste wie Windows Server Active Directory Unternehmen dabei helfen, interne Ressourcen und Benutzeridentitäten im gesamten Unternehmensnetzwerk zu verwalten, wurde Azure Active Directory mit Blick auf Cloud-Dienste entwickelt.
Understanding Azure Active Directory
Azure Active Directory (oder Azure AD) ermöglicht es Ihnen, Identitäten (Benutzer, Gruppen usw.) zu verwalten und den Zugriff auf Anwendungen, Geräte und Daten über die Cloud zu steuern. Das bedeutet, dass sowohl die Identität als auch der Zugriff vollständig über die Cloud verwaltet werden, und alle Ihre Cloud-Anwendungen und -Dienste nutzen Azure AD. Es ist wichtig zu erwähnen, dass Azure AD unmittelbar für Microsoft-Anwendungen wertvoll ist, aber es kann auch für die Identitäts- und Zugriffskontrolle Ihres gesamten Unternehmens verwendet werden. Viele Unternehmen bauen ein hybrides AD-System auf, das sowohl Azure AD als auch ein anderes lokales AD (in der Regel Windows Active Directory) verwendet.
Azure AD vs. Windows Active Directory
Die Verwaltung von Identitäten über Azure, Windows und mit dem Internet verbundene Anwendungen erfordert Azure Active Directory. Es ist am besten, sich Azure Active Directory als einen Dienst vorzustellen, der außerhalb des Windows Server Active Directory-Ökosystems existiert. Während Windows Server Active Directory Domänendienste, leichtgewichtige Verzeichnisdienste, Verbunddienste usw. zur Verwaltung von Identität, Netzwerkrichtlinien und Servern in Unternehmensnetzwerken bereitstellt, wurde Azure AD mit Blick auf Webanwendungen entwickelt.
Der Wert von Azure AD zeigt sich unmittelbar, wenn wir über Cloud-Anwendungen und -Ressourcen sprechen. Vor-Ort-Active-Directory-Dienste (z. B. Windows Server Active Directory) eignen sich für die Verwaltung von SSO, Identität usw. innerhalb Ihres Netzwerks, können aber nicht die komplexe Identität für Cloud-Anwendungen verwalten. Azure AD wird Ihr Cloud-Active-Directory verwalten, während Windows Server AD Ihre lokalen Active-Directory-Anforderungen erfüllt.
So haben beide einen Wert, und Sie werden wahrscheinlich beide verwenden, um Ihre Benutzer-/Gruppensteuerung und den Zugriff zu verwalten. Azure AD ist besonders wertvoll für Unternehmen, die bereits Anwendungen in die Cloud verlagert haben und mit zahlreichen Benutzer-/Passwortproblemen zu kämpfen haben, weil ihr aktuelles Active Directory die Migration nicht bewältigen kann.
*Es ist wichtig zu beachten, dass sich die Unternehmensprotokollsprachen zwischen Azure AD und Windows Server AD unterscheiden. Während Windows Server AD Kerberos, LDAP usw. verwendet, nutzt Azure AD Rest APIs und OAuth 2.0-Tokens. Das bedeutet, dass Anwendungen von Grund auf mit Azure AD im Hinterkopf entwickelt werden müssen (was bei allen Microsoft-Webanwendungen der Fall ist).
Unterschiedliche Azure Active Directory-Lizenzierung
Werfen wir einen Blick auf einige der Azure Active Directory-Lizenzierungsoptionen. Bevor wir beginnen, ist es wichtig zu wissen, dass Azure AD bereits in Office 365-Lizenzen UND Azure-Lizenzen gebündelt ist. Office- und Azure-Kunden können jedoch weiterhin die P1- und P2-Versionen erwerben, um zusätzliche Vorteile zu erhalten.
Werfen wir also einen Blick auf die verschiedenen Lizenzierungsoptionen für Azure Active Directory.
Kostenlos (in Azure Sub enthalten)
- Beschränkt auf 500,000 Verzeichnisobjekte
- Funktionen zur Identitätsverwaltung und Geräteregistrierung
- Single Sign-On kann 10 Apps pro Benutzer zugewiesen werden
- B2B-Kollaborationsfunktionen (ermöglicht die Zuweisung von Gastbenutzern, die außerhalb Ihres Unternehmens existieren)
- Selbstbedienungs-Passwortänderung (Cloud-Benutzer)
- Connect (synchronisiert on-premise AD to Azure AD)
- Basissicherheitsberichte
Basic ($1 pro Benutzer pro Monat)
- Unbegrenzte Verzeichnisobjekte
- Identitätsmanagementfunktionen und Geräteregistrierung
- Single Sign-On kann 10 Apps pro Benutzer zugewiesen werden
- B2B-Zusammenarbeitsfunktionen (ermöglicht die Zuweisung von Gastbenutzern, die außerhalb Ihres Unternehmens existieren)
- Passwortänderung per Selbstbedienung (Cloud-Benutzer)
- Connect (synchronisiert lokales AD mit Azure AD)
- Grundlegende Sicherheitsberichte
- Gruppen-gruppenbasierte Zugriffsverwaltung und -bereitstellung
- Selbst-(Cloud-Benutzer)
- Selbstständiges Zurücksetzen des Passworts (Cloud-Benutzer)
- Markenanmeldeseiten
- Service Level Agreement
Premium P1 ($6 pro Benutzer pro Monat)
- Unbegrenzte Verzeichnisobjekte
- Funktionen zur Identitätsverwaltung und Geräteregistrierung
- Single Sign-On kann einer unbegrenzten Anzahl von Apps pro Benutzer zugewiesen werden
- B2B-Zusammenarbeitsfunktionen (ermöglicht die Zuweisung von Gastbenutzern, die außerhalb Ihres Unternehmens existieren)
- Selbst-Service-Kennwortänderung (Cloud-Benutzer)
- Connect (synchronisiert lokales AD mit Azure AD)
- Erweiterte Berichte
- Gruppenbasierte Zugriffsverwaltung und -bereitstellung
- Selbst-Service-Kennwortrücksetzung (Cloud-Benutzer)
- Fähigkeit zur Erstellung von Anmeldeseiten
- Service Level Agreement
- Anwendungsproxy
- Dynamische Gruppen, Gruppenerstellung, Gruppenbenennungsrichtlinien, Verwendungsrichtlinien usw.
- Rückschreibung vor Ort für Self-Service-Reset, Change, und Entsperren
- Zwei-Wege-Synchronisierung zwischen vor Ort und ADD
- Multi-Faktor-Authentifizierung
- Microsoft Identity Manager-Benutzer-CAL
- Cloud App Discovery
- Connect Health
- Bedingter Zugriff basierend auf Health/Standort.
- Automatischer Passwort-Rollover (für Gruppenkonten)
- Möglichkeit, bedingten Zugriff basierend auf Standort, Gerätezustand, und Gruppe
- Integrationen mit Identity Governance-Partnern von Drittanbietern
- ToU
- Sharepoint eingeschränkter Zugriff
- OneDrive for Business (eingeschränkter Zugriff)
- Preview-Integration für MFA-Partner von Drittanbietern
- Cloud App Security Integration
Premium P2 ($9 pro Benutzer pro Monat)
- Alles, was in P1 angeboten wird
- Identitätsschutz
- Privilegierte Identitätsverwaltung
- Zugangsüberprüfungen
Office 365 (in Office 365 Subs enthalten)
- Alles, was im Free Tier enthalten ist
- Unbegrenzte Verzeichnisobjekte
- Multi-Faktor-Authentifizierung
Frei vs. Basic vs. Office 365
Für diejenigen, die ein einfaches Azure AD-Angebot wünschen, stehen drei Stufen zur Verfügung: kostenlos, Basic und Office 365. Gehen wir die Hauptunterschiede zwischen den drei Stufen durch.
Kostenlos vs. Office 365
Typischerweise werden beide Azure AD-Umgebungen Teil Ihrer bestehenden Lizenz sein. Wenn Sie also nur eine Azure-Lizenz haben, werden Sie die kostenlose Version verwenden. Wenn Sie nur eine Office-365-Lizenz haben, verwenden Sie die Office-365-Version.
Die Office-365-Version hat zwei Vorteile gegenüber der kostenlosen Version – Multifaktor-Authentifizierung und unbegrenzte Verzeichnisobjekte.
Natürlich ist es in der heutigen Geschäftsumgebung wichtig, mehr als eine Authentifizierungsebene zu haben, daher sind diese Funktionen keineswegs unbedeutend. Unbegrenzte Objekte werden für die meisten Unternehmen ab einem bestimmten Punkt zu einer Notwendigkeit, insbesondere wenn Sie mehr als 20 Mitarbeiter haben ODER viele Cloud-Anwendungen verwenden. In der Regel werden Sie nicht zwischen diesen beiden Möglichkeiten wählen. Entweder Sie haben eine Office 365-Lizenz oder nicht.
Office 365 vs. Basic
Es gibt zwei Unterschiede zwischen den Basic- und Office 365-Versionen.
- Basic bietet Ihnen Zugriff auf den Anwendungsproxy. Mit App-Proxy können Sie Ihr AD vor Ort und in der Cloud über ein einziges Portal oder eine externe URL miteinander verbinden.
- Office 365 bietet Ihnen eine Multi-Faktor-Authentifizierung.
Ansonsten haben sie die gleichen Funktionen.
P1 vs. P2
Für diejenigen, die ein Upgrade in den P1- oder P2-Raum für zusätzliche Funktionen wünschen, werden Azure AD-Ressourcen reichlich vorhanden sein. Diese beiden Tiers bieten einige wichtige Komponenten, die in den anderen drei Versionen nicht verfügbar sind – und die alle äußerst hilfreich für Sicherheit, Compliance und Identitätsmanagement sind.
Was haben P1 und P2 gemeinsam?
Beide diese Optionen:
- Bieten Sie eine unbegrenzte Anzahl von Verzeichnisobjekten
- Geben Sie Ihnen Identitätsmanagement-Funktionen
- Bieten Sie Single Sign-On für eine unbegrenzte Anzahl von Anwendungen und eine unbegrenzte Anzahl von Benutzern für diese Anwendungen
- Haben Sie B2B-Collab-Funktionen, mit denen Sie Gastbenutzern Zugriff für kollaborative Fähigkeiten gewähren können
- Geben Sie selbstConnect – synchronisiert Windows Server AD (oder ein anderes lokales AD) und Azure AD
- Erweiterte Berichte (sehen Sie, wie die Apps von den Benutzern genutzt werden, sehen, wo Risiken bestehen, und Möglichkeiten zur Fehlerbehebung)
- Mit Branding-Funktionen für Portale/Anmeldeseiten
- Mehrfaktor-Authentifizierung
- App-Proxy
- Gruppenbasiertesbasierte Zugriffsverwaltung und -bereitstellung
- Microsoft Identity Manager Benutzer-CAL
- Mit Service Level Agreement
- Mit Cloud App Discovery
- Mit Connect Health
- Mit bedingtem Zugriff basierend auf Benutzerstandort/Geräten
- Mit automatischem Passwort-Rollover
- Mit der Möglichkeit Identity-Governance-Partner und MFA-Partner von Drittanbietern zu integrieren
- Nutzungsbedingungen zu haben
- Eingeschränkten Sharepoint-Zugriff zu gewähren
- Eingeschränkten Zugriff auf OneDrive Business zu haben
- CloudApp-Sicherheitsintegration zu haben
Was ist der Unterschied zwischen P1 und P2
Es gibt drei Hauptunterschiede zwischen P1 und P2. Erstens verfügt P2 über Identitätsschutz, mit dem Sie den bedingten Zugriff auf Anwendungen verwalten können. Zweitens bietet P2 Ihnen Privileged Identity Management (PIM). Das bedeutet, dass Sie zusätzliche Verwaltungsmöglichkeiten für privilegierte Konten haben. Schließlich erhalten Sie Access Reviews.
Alle diese Funktionen sind in der Regel für Unternehmen reserviert, und kleine Unternehmen werden wahrscheinlich keine dieser Funktionen benötigen.
Azure AD Q&A
Ist Azure AD für Behörden verfügbar?
Ja! Sowohl Azure Government als auch GCC High werden mit Azure AD geliefert.
Ist Azure AD für Bildungseinrichtungen verfügbar?
Ja! Azure AD Free ist in der Bildungslizenz für Office 365 enthalten.
Gibt es einzigartige Azure AD-Funktionen für diejenigen mit einer Windows 10-Lizenz?
Ja! Azure AD kann mit Windows 10-Lizenzen verwendet werden. Außerdem bietet es einzigartige Funktionen wie die Möglichkeit, ein Gerät mit Azure AD zu verbinden, Windows Hello für Azure AD und die Wiederherstellung von Administrator-Bitlock.
*P1 und P2 verfügen auch über MDM-Selbstregistrierung, Azure AD-Verbindung und Enterprise State Roaming.
Abschließende Überlegungen
Jedes Unternehmen hat einzigartige Anforderungen, wenn es um Active Directories geht. Dies sind die vier wichtigsten Lizenzierungsoptionen für Azure Active Directory, die Microsoft für Unternehmen jeder Art und Größe anbietet.
Agile IT ist 4-facher Microsoft Partner des Jahres. Außerdem verfügen wir über 16 Gold-Kompetenzen für Microsoft-Dienste. Wir unterstützen Sie bei der Einrichtung Ihrer Active Directory-Dienste mit Microsoft und helfen Ihnen, die richtige Lizenz für Ihre hochspezifischen Geschäftsanforderungen zu finden – unabhängig davon, ob Sie ein kleines Unternehmen, ein Konzern, eine Regierungsbehörde oder eine Bildungseinrichtung sind. Kontaktieren Sie uns noch heute für ein kostenloses Angebot!