Microsoft Azure活动目录审查和评级

数十年来，Microsoft在几个核心IT类别中一直处于行业领先地位，并且该公司有效地控制了本地网络目录。 Windows Server Active Directory（AD）被全世界的公司和政府使用，并且是企业中企业身份管理（IDM）的黄金标准。 除了高级功能和与全球最受欢迎的本地目录的紧密集成之外，Microsost Azure AD的价格在身份管理即服务（IDaaS）领域中具有很高的竞争力，提供免费层，基本层的价格为1美元每个用户每月，以及两个高级层，分别运行每月6美元和9美元。 先进的功能，与领先的本地IDM平台的紧密集成以及新的友好价格共同将Azure AD与Okta Identity Management一起提升为IDaaS空间中的编辑选择。

设置和连接本地AD

出于显而易见的原因，Azure AD的最常见用法仍然是公司希望将现有的本地AD域与在云中运行的应用程序甚至通过Internet连接的用户进行集成。 为了提供将本地AD与Azure AD桥接的勇气，最受欢迎的Microsoft解决方案是Azure AD Connect，它是Microsoft免费提供的同步工具。 许多竞争对手都提供了类似的同步工具，以将其IDaaS产品连接到本地AD域，但是Azure AD Connect是正确执行此操作的一个很好的示例。 Azure AD Connect和其他同步工具之间的最大区别在于，Azure AD Connect提供了安全的密码同步，该身份验证过程允许在Azure AD中进行身份验证过程，而不是针对企业AD验证用户的凭据。 Azure AD Connect和其他同步工具之间的最大区别在于，Azure AD Connect默认情况下会同步密码，并且身份验证过程在Azure AD中进行，而不是针对企业AD验证用户的凭据。 许多组织在将密码哈希同步到云中时可能会遇到策略问题，从而使Azure AD Connect密码同步成为潜在的问题。

Azure AD还支持使用Active Directory联合身份验证服务（ADFS）。 传统上，ADFS用于为外部应用程序或服务提供身份验证功能，它强制使用本地AD执行身份验证请求，但是，它具有自己的一组要求和配置步骤，这使其比具有类似身份验证功能的竞争产品更加复杂。 理想的选择是Ping Identity的PingFederate，它以最小的配置提供了身份联合，但是允许您微调联合过程的每个方面。

用于将AD与Azure AD集成的最新选项仍使用Azure AD Connect代理，但提供了联合选项。 在大型公司中，有关Azure AD的一个普遍抱怨是，在使用Azure AD Connect进行同步与使用ADFS进行联合之间缺乏中间立场。 传递身份验证使用Azure AD Connect提供一个简单的途径来联合访问AD中的身份。 从理论上讲，直通身份验证提供了两全其美的方法，将身份和身份验证保留在本地，但消除了对ADFS的需求。 通过ADFS进行传递身份验证的另一个好处是，连接是基于代理的，从而无需防火墙规则或将其放置在DMZ中。 此功能更符合Azure AD的许多竞争对手，包括Okta，OneLogin，Bitium和Centrify。 传递身份验证目前处于预览阶段，预计在未来几个月内将全面可用。

目录整合

可以预期Microsoft IDaaS解决方案与AD紧密集成似乎很安全，Azure AD也不会令人失望。 可以使用Azure AD Connect配置属性同步，以后可以将其映射到各个软件即服务（SaaS）应用程序配置中。 当在Microsoft Office 365或Azure AD用户门户中发生密码更改时，Azure AD还支持将密码更改写回到AD。 OneLogin和“编辑选择奖”获得者Okta Identity Management等竞争对手中提供了此功能，但可能需要其他软件或更改默认同步策略。

Azure AD的另一个主要集成点是针对使用Microsoft Exchange为其邮件服务的客户，尤其是对于在混合云方案中将全部或部分电子邮件服务托管在一个混合云环境中且将Exchange或Exchange Online与Office 365结合使用的客户-内部数据中心，而其他资源则托管在云中。 在安装时，Azure AD Connect将识别指示Exchange安装的其他架构属性，并将自动同步这些属性。 Azure AD还具有将Office 365组作为通讯组同步回AD的功能。

Windows 10还带来了与Azure AD集成的新功能。 Windows 10支持将设备加入Azure AD，作为公司AD的替代方法。 但是，请小心，因为将设备连接到Azure AD与将设备连接到传统本地AD之间的功能差异很大。 这是因为Windows 10设备一旦连接到Azure AD，就可以通过Azure AD和Microsoft的移动设备管理（MDM）工具（而不是组策略）进行管理。 Azure AD用户的最大好处是，对用户门户的身份验证是无缝的，因为用户已通过设备身份验证，并且Windows 10应用程序（例如邮件和日历）将识别Office 365帐户是否可用并自动进行配置。 登录过程与Windows 8中要求您提供Microsoft帐户详细信息的默认登录样式非常相似。

Microsoft身份管理器

大型企业很少依赖单一来源的身份。 无论是Active Directory和人力资源（HR）系统的组合，多个Active Directory林，还是与业务合作伙伴的关系，在大型企业中都不可避免地会增加额外的复杂性。 Microsoft集成多个身份提供程序的解决方案是Microsoft Identity Manager。 尽管它是一个独特的软件包，但客户端访问许可证包含在Azure AD Premium层中。 Azure AD B2B协作（Azure AD B2B）提供了一种使业务合作伙伴访问公司应用程序的方法。 尽管目前处于预览阶段，Azure AD B2B促进了与业务合作伙伴的协作，使他们可以访问应用程序而无需在Active Directory或Active Directory信任中创建用户帐户。

现在，在使用密码同步或传递身份验证时，使用Azure AD支持使用目录凭据的真正单点登录（SSO）支持。 以前只有ADFS提供此功能。 现在，用户只要满足技术要求（即加入域的Windows计算机，受支持的浏览器版本等），就可以在不提供凭据的情况下对Azure AD及其SaaS应用程序进行身份验证。 公司桌面用户的SSO当前也在预览中。

消费者IDM

Azure AD B2C是Microsoft面向消费者的IDM。 它允许用户使用他们已经与其他云服务（例如Google或Facebook）建立的现有凭据对您的服务或应用进行身份验证。 Azure AD B2C支持OAuth 2.0和Open ID Connect，并且Microsoft提供了多种选项来将服务与您的应用程序或服务集成。

B2C产品的定价与标准Azure AD层分开，并且按每次身份验证存储的用户数量和身份验证数量细分。 存储的用户最多可以免费使用50, 000个用户，并且每次身份验证的起价为$ 0.0011，最多不超过一百万。 每月的前50, 000个身份验证也是免费的，起价为每个身份验证0.0028美元（最多100万个）。 多因素身份验证也可用于Azure AD B2C，并且每个身份验证运行标准的$ 0.03。

用户配置

在设置用户和组以分配和设置对SaaS应用程序的访问权限方面，Azure AD为大多数IDaaS供应商提供了类似的功能集。 可以使用Azure AD Connect同步用户和安全组，也可以在Azure AD中手动添加用户和组。 不幸的是，无法在Azure AD中隐藏用户或组，因此大型企业中的客户将需要经常利用搜索功能来导航到特定的用户或组。 Azure AD确实允许您使用称为高级规则的功能（当前处于预览状态）基于基于属性的查询创建动态组。

Azure AD支持在SaaS应用程序中自动配置用户，并具有与Office 365部署格外出色的显着优势。 在可能的情况下，与Google Apps一样，Azure AD可以简化此过程。 通过一个简单的四步过程，Azure AD会提示您登录Google Apps，并请求您配置Google Apps的权限以进行自动用户配置。

单点登录

微软的最终用户门户与大多数竞争者相似，提供了一系列的应用程序图标将用户定向到SSO应用程序。 如果管理员选择，则可以将Azure AD用户门户配置为允许自助服务操作，例如密码重置，应用程序请求或组成员身份请求和批准。 Office 365订阅者的另一个好处是能够将SSO应用程序添加到Office 365应用程序菜单，从而可以从Outlook或其他Office 365产品中方便地访问关键业务应用程序。

Azure AD支持与单个应用程序绑定的安全策略，使您需要多因素身份验证（MFA）。 通常，MFA涉及需要在登录之前提供的某种安全设备或某种令牌（例如智能卡），甚至智能手机应用程序。 Azure AD可以为单个用户，组或基于网络位置支持M​​FA。 Okta身份管理以相同的方式处理其安全策略。 通常，我们希望将安全策略分开，以便可以将同一策略应用于多个应用程序，但是至少您可以配置多个策略。

Microsoft在Azure AD Premium中提供的一项独特功能可以帮助您的公司开始确定组织已使用的SaaS应用程序。 Cloud App Discovery使用软件代理来开始分析有关SaaS应用程序的用户行为，从而帮助您熟悉组织中最常用的应用程序并开始在企业级别进行管理。

IDaaS解决方案的传统方案涉及使用源自本地目录的凭据对用户进行云应用程序身份验证。 Azure AD通过使用Application Proxy启用对本地应用程序的身份验证来突破这些界限，Application Proxy使用代理允许用户通过Azure安全地连接到应用程序。 由于应用程序代理使用基于代理的体系结构，因此无需为内部公司应用程序打开防火墙端口。 最后，可以利用Azure AD域服务来提供Azure中包含的目录，从而提供传统的域环境来对用户进行身份验证以使用Azure托管的虚拟机。 还可以将Azure AD应用程序代理配置为在满足某些条件时使用条件访问策略来强制执行其他身份验证规则（例如MFA）。

Azure AD每天处理超过13亿次身份验证。 如此庞大的规模使Microsoft可以提供至少一项目前IDM解决方案无法与之竞争的服务，那就是Azure AD身份保护。 此功能使用Microsoft的云服务（Outlook.com，Xbox Live，Office 365和Azure）的全部宽度以及机器学习（ML）来为存储在Azure AD中的身份提供无与伦比的风险分析。 Microsoft使用这些数据来检测模式和异常，从而可以计算出每个用户和每个登录的风险评分。 Microsoft还积极监视涉及凭据的安全漏洞，以评估这些漏洞是否可以对您组织内的凭据造成潜在危害。 一旦计算出该风险分数，管理员就可以在身份验证策略中利用它，然后让他们满足其他登录要求，例如MFA或密码重置。

报告中

Microsoft通过Azure AD提供的报告集取决于您的服务级别。 甚至免费和基本层也提供基本的安全报告，这些报告是显示基本活动和使用情况日志的固定报告。 高级订户可以访问一组高级报告，这些报告利用Azure的机器学习功能来洞察异常行为，例如在多次失败后进行成功的身份验证尝试，来自多个地理位置或来自可疑IP地址的尝试。

Azure AD没有提供完整的报告套件，但高级客户可用的罐装报告比竞争对手提供的报告复杂得多。 最后，我真的很喜欢Azure AD Premium中的罐装报表所能提供的洞察力，甚至还因为缺少计划表或自定义报表而感到不安。

价钱

Azure AD的定价从免费层开始，该免费层支持最多500, 000个目录对象（在这种情况下，这意味着用户和组），每个用户最多10个单点登录（SSO）应用。 免费版Azure AD随Office 365订阅自动提供，在这种情况下，对象限制不适用。 每个用户每月的零售价为1美元，Azure AD的基本层具有极强的竞争力。 基本服务增加了诸如用户门户品牌以及基于组的SSO访问和供应等功能，因此，为了在SaaS应用中自动创建用户帐户，您将需要基本层。

基本层保留每个用户10个应用程序的限制，但增加了使用应用程序代理支持本地应用程序的功能。 Azure AD中的Premium P1和P2层消除了用户可以拥有的SSO应用程序数量的限制，并增加了自助服务和MFA功能，分别为每位用户每月6美元和9美元。 这两个Azure AD Premium层还都包含Microsoft Identity Manager（以前称为Forefront Identity Manager）的用户客户端访问许可证（CAL），可用于同步和管理数据库，应用程序，其他目录等中的身份。 高级层还为您带来了条件访问和Intune MDM许可证，从而极大地提高了安全性。 与Premium P1相比，Premium P2层的主要优点是身份保护和特权身份管理，这两种身份均具有业界领先的安全功能。

另一个定价考虑因素是能够与Azure AD分开许可Azure的MFA服务的能力，这有两个好处：首先，可以将MFA添加到免费或基本Azure AD层中，每个用户每月$ 1.40或进行10个身份验证（以最适合您的使用方式为准）案例），那么使用MFA的基本服务的总费用将达到每位用户$ 2.40。 其次，您可以选择仅对部分用户群启用MFA，从而每月可能节省大量资金。

Azure AD涵盖了您应该在IDaaS提供程序中寻找的大多数核心功能。 它为您带来了Microsoft等公司期望的一些企业级工具。 诸如应用程序代理和身份保护之类的功能是同类产品中最好的，或者很简单，没有竞争。 价格非常具有竞争力，并且与Office 365以及其他Microsoft产品和服务的集成是可靠且不断发展的。 Azure AD加入Okta Identity Management，成为IDaaS类别中的编辑选择。