SO SÁNH TÍNH NĂNG AZURE ACTIVE DIRECTORY PREMIUM P1 VÀ P2

Azure Active Directory (Azure AD) là một nền tảng quản lý danh tính và truy cập cho tất cả các dịch vụ của Microsoft 365 (Exchange Online, SharePoint Online. OneDrive for Business, Microsoft Teams, Dynamics 365…)

Bài viết dưới đây, TSG sẽ cùng các bạn tìm hiểu sự khác biệt của 2 gói bản quyền Azure AD Premium P1 và P2. Qua đó sẽ đưa ra các đánh giá và lựa chọn phù hợp cho doanh nghiệp.

So sánh các tính năng giữa Azure AD Premium P1 và P2

Đối với các chuyên gia IT, việc sử dụng nhà cung cấp danh tính tập trung như Azure Active Directory cho tất cả các ứng dụng của tổ chức giúp bảo mật tất cả các danh tính cần được quản lý ở một nơi.

Azure Active Directory cũng cho phép mở rộng các máy chủ Windows Server Active Directory (WAD) tại chỗ truyền thống bằng cách sử dụng Azure AD Connect . Điều này cho phép các tổ chức kích hoạt tính năng đăng nhập một lần vào các ứng dụng đám mây của Microsoft, cũng như các ứng dụng SaaS của nhà cung cấp khác hỗ trợ các giao thức xác thực đám mây hiện đại như OATH 2.0 và SAML. Với Azure Active Directory.

Các doanh nghiệp đang sử dụng các gói bản quyền Microsoft 365 hoặc các dịch vụ đám mây của Microsoft như Azure, Intune đều có sẵn bản quyền Azure AD. Tuy nhiên, có các phiên bản khác nhau của Azure AD được cung cấp, bao gồm: Azure AD Free (trong các gói Office 365), Azure AD Premium P1, Azure AD Premium P2.

Azure AD Free có sẵn trong các gói bản quyền Office/Microsoft 365. Các gói Azure AD Premium P1 và P2 có thể mua thêm bổ sung cho các gói Microsoft 365 để tăng cường yêu cầu bảo vệ định danh. Tuy nhiên, sẽ có các gói bản quyền Microsoft 365 có sẵn các gói P1 và P2 bên trong.

Dưới đây là bảng so sánh cách tính năng giữa Azure AD Premium P1 và P2

Các tính năng	Azure AD Premium P1	Azure AD Premium P2
Quản lý nhóm và người dùng (bao gồm xác thực nhiều lớp)
Quy cập có điều kiện
Quản lý nhóm nâng cao
Bảo vệ mật khẩu
Tự reset mật khẩu người dùng
Microsoft Defender for Cloud Apps
AAD Application Proxy
Microsoft Identity Manager
Azure AD Connect
Microsoft Identity Manager
Azure AD Connect Health Monitoring
SLA
Đánh giá truy cập
Quản lý đặc quyền danh tính
Bảo vệ danh tính

Các tính năng của Azure Active Directory Premium P1

Azure Active Directory Premium P1 được xây dựng dựa trên các tính năng quản lý nhóm và người dùng cơ bản của phiên bản Azure AD Free. Hơn nữa, Microsoft đảm bảo ít nhất 99,9% khả dụng của dịch vụ Azure Active Directory, một SLA không khả dụng với phiên bản Azure AD miễn phí.

Quản lý nhóm nâng cao và bảo vệ bằng mật khẩu

Với AAD Premium P1, bạn có thể quản lý nhóm nâng cao (nhóm động, chính sách đặt tên, hết hạn, phân loại mặc định), cũng như gán nhóm cho các ứng dụng .

Azure Active Directory Premium P1 cũng cho phép sử dụng tính năng bảo vệ bằng mật khẩu toàn cầu , ngăn người dùng đám mây và AD tại chỗ đặt mật khẩu yếu có chứa các từ được sử dụng trong các cuộc tấn công rải mật khẩu thông thường.

Danh sách mật khẩu bị cấm cũng có thể được tạo cho từng tổ chức với các từ dành riêng cho họ. Azure AD Premium P1 cũng cho phép người dùng trên đám mây và tại chỗ sử dụng tính năng đặt lại mật khẩu tự phục vụ để thay đổi và mở khóa tài khoản của họ bằng tính năng ghi lại tại chỗ trên Windows Active Directory.

Truy cập có điều kiện

Quyền truy cập có điều kiện của Azure Active Directory cũng được bao gồm, cho phép một tổ chức quản lý quyền truy cập vào các ứng dụng đám mây của họ dựa trên điều kiện của lần thử xác thực. Các điều kiện được sử dụng để đánh giá quyền truy cập bao gồm tư cách thành viên nhóm hoặc người dùng, thông tin vị trí IP, thiết bị kết nối (Windows, iOS hoặc Android) và ứng dụng.

Việc định cấu hình chính sách truy cập có điều kiện dựa trên các điều kiện này cho phép tổ chức của bạn chặn quyền truy cập hoặc cấp quyền truy cập bằng các biện pháp kiểm soát như MFA. AAD Truy cập có điều kiện là một công cụ mạnh mẽ trong kho vũ khí của quản trị viên bảo mật để bảo mật danh tính người dùng.

Microsoft Defender for Cloud Apps

Cũng đi kèm với Azure AD Premium P1 là Microsoft Defender for Cloud Apps. Trong hầu hết các tổ chức, các ứng dụng đám mây đang mở rộng và việc duy trì quyền kiểm soát chúng là chìa khóa để quản lý bảo mật của tổ chức.

Microsoft Defender for Cloud Apps là trình trung gian hỗ trợ bảo mật truy cập đám mây (CASB) cho phép tổ chức của bạn phát hiện CNTT ẩn, bảo vệ thông tin nhạy cảm trên các ứng dụng đám mây, cũng như giám sát các hoạt động của người dùng để phát hiện các hành vi bất thường. Sản phẩm này rất phù hợp cho các tổ chức đang tìm cách thắt chặt việc sử dụng các ứng dụng đám mây và nó hoạt động theo hai cách khác nhau.

Đầu tiên, nhật ký lưu lượng truy cập trên đám mây có thể được gửi từ tường lửa và thiết bị proxy web tới Microsoft Defender for Cloud Apps để phân tích lưu lượng sau khi thực tế. Chế độ thụ động này còn được gọi là “khám phá đám mây” và nó cho phép một tổ chức xem xét việc sử dụng các ứng dụng đám mây. Ngoài ra, nó cũng có thể được sử dụng để chủ động cho phép và chặn lưu lượng nhằm ngăn chặn các hành vi vi phạm và rò rỉ trong thời gian thực bằng cách vận hành ở chế độ proxy.

Defender for Cloud Apps tích hợp với Azure AD Conditional Access bằng cách sử dụng Conditional Access App Control . Tính năng này cho phép giám sát và kiểm soát quyền truy cập ứng dụng trong thời gian thực bằng cách sử dụng chính sách phiên và kiến ​​trúc proxy ngược. Các chính sách phiên này cho phép kiểm soát chi tiết những gì người dùng có thể làm, nếu họ đáp ứng yêu cầu xác thực. Các biện pháp kiểm soát bao gồm chặn tải xuống, cũng như sao chép hoặc in các tài liệu nhạy cảm trên các thiết bị không tuân thủ.

Azure AD Application Proxy

Azure AD Application Proxy có sẵn trong Azure AD Premium P1 ho phép người dùng truy cập từ xa các ứng dụng web tại chỗ. Proxy hoạt động bằng cách chuyển mã thông báo đăng nhập Azure AD của người dùng thông qua các ứng dụng web tại chỗ sử dụng Xác thực Windows tích hợp . Quyền truy cập của người dùng vào ứng dụng web sau đó được ủy quyền thông qua dịch vụ Proxy ứng dụng, loại bỏ nhu cầu xuất bản ứng dụng ra Internet.

Microsoft Identity Manager

Azure AD Premium P1 cũng đi kèm theo tính năng Microsoft Identity Manager (MIM). Đây là một công cụ được sử dụng bởi các tổ chức có nhu cầu đồng bộ hóa danh tính nâng cao. Đây thực sự là công cụ mạnh mẽ nên cần có sự đồng bộ hóa nhận dạng riêng trong một tổ chức.

Các tính năng của Azure Active Directory Premium P2

AAD Premium P2 bao gồm tất cả các sản phẩm trên AAD Premium P1 và bổ sung thêm một số sản phẩm để tăng cường bảo mật danh tính.

Azure Active Directory Identity Protection

Azure Active Directory Identity Protection có thể phân tích yêu cầu đăng nhập của người dùng dựa trên các yếu tố rủi ro như thông tin đăng nhập đã biết bị rò rỉ, hành trình không điển hình, địa chỉ IP được liên kết với phần mềm độc hại và thuộc tính đăng nhập lạ. Thông tin tình báo bổ sung này rất hữu ích cho các tổ chức đang tìm cách tự động hóa các phản hồi đối với các tài khoản người dùng bị nghi ngờ bị xâm phạm mà không cần phụ thuộc vào việc người dùng báo cáo hành vi kỳ lạ hoặc quản trị viên xem xét nhật ký sau khi thực tế xảy ra.

Đánh giá truy cập

Đánh giá quyền truy cập cho phép quản lý tốt hơn tư cách thành viên nhóm và quyền truy cập vào các ứng dụng doanh nghiệp bằng cách ủy quyền đánh giá quyền truy cập thường xuyên cho những người đánh giá cụ thể để xác nhận xem quyền truy cập được cung cấp có còn cần thiết hay không. Điều này đặc biệt hữu ích cho các nhóm hoặc ứng dụng bảo mật đặc quyền cao xử lý dữ liệu nhạy cảm. Nó thường là một yêu cầu theo quy định và/hoặc kiểm toán để chứng minh các quy trình quản lý quyền truy cập hiệu quả.

Quản lý danh tính đặc quyền

Quản lý danh tính đặc quyền (PIM) là một tính năng P2 cao cấp khác của AAD cho phép quản trị viên truy cập đúng lúc vào các vai trò Azure AD đặc quyền, chẳng hạn như Quản trị viên toàn cầu . Nó cũng hỗ trợ các vai trò Azure như Chủ sở hữu và Người đóng góp.

Công cụ này cho phép quản trị viên nâng cấp tài khoản của họ lên vai trò bắt buộc chỉ khi họ cần, thay vì chỉ định quyền vĩnh viễn. Điều này giúp giảm thiểu các xâm phạm tài khoản đặc quyền cao thường là mục tiêu của những kẻ tấn công.

So sánh mức giá Azure AD Premium P1 và P2

Các gói bản quyền Azure AD Premium P1 và P2 có thể mua ở dạng standalone, mua kèm để bổ sung bảo mật nâng cao cho các gói Microsoft 365, Office 365. Tuy nhiên, những gói bản quyền này cũng có sẵn trong một số gói bản quyền của Microsoft 365 và EMS.

Gói bản quyền Standalone của Azure AD Premium P1 có giá 6$/user/tháng, gói Azure AD Premium P2 có giá 9$/user/tháng. Tất cả tài khoản người dùng thành viên trong teanant Azure AD đều phải mua bản quyền.

Với gói bản quyền Microsoft 365 E3 và gói bản quyền Microsoft 365 Business Premium, khách hàng sẽ có sẵn Azure AD Premium P1. Và gói bản quyền Microsoft 365 E5 cũng có sẵn Azure AD Premium P2.

Với những khách hàng đang sử dụng Microsoft 365 E3 và không muốn nâng cấp lên gói Microsoft 365 E5. Bạn có thể mua thêm gói bản quyền EMS E5 để tích hợp vào và nâng cấp được lên Azure AD Premium P2.

Azure AD Premium P1 và P2: Gói nào là phù hợp?

Kế hoạch phù hợp với tổ chức của bạn nên được thúc đẩy bởi các yêu cầu quản lý danh tính và quyền truy cập. Giấy phép Azure AD Premium P2 có lợi cho các tổ chức được kỳ vọng sẽ thể hiện mức độ quản trị danh tính cao. Điều đó ngụ ý quản lý quyền truy cập đặc quyền và tự động đánh giá quyền truy cập và phản hồi đối với các tài khoản có khả năng bị xâm phạm.

Nếu tổ chức của bạn không có những yêu cầu này, thì giấy phép Azure AD Premium P1 có thể sẽ đủ.

Tóm lại, cấp phép Azure AD Premium cung cấp bộ công cụ tốt cho quản trị viên bảo mật để quản lý danh tính và quyền truy cập trong tổ chức một cách an toàn. Đối với những người sử dụng Microsoft 365 và Azure AD cho đăng nhập một lần, đây là công cụ tối ưu vì tất cả các sản phẩm Azure AD đều được tích hợp tốt với phần còn lại của ngăn xếp đám mây của Microsoft.