Security_02

Azure Active Directory Premium P1 vs. P2: una comparación de características

En este artículo, compararemos los planes Azure Directory Premium P1 y P2 de Microsoft para ayudarlo a elegir el mejor conjunto de productos de identidad para su organización. Lo ayudaremos a comprender las diferentes características entre los planes Azure Active Directory Premium P1 y P2, así como los niveles de precios para cada oferta. Como parte de la nueva suite de identidad y acceso de marca de Microsoft, Microsoft Entra , Azure Active Directory (Azure AD) es la plataforma de administración de identidad y acceso (IAM) que sustenta todos los servicios de Microsoft 365 (Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Dynamics 365, etc.). Para un profesional de TI, el uso de un proveedor de identidad centralizado como Azure Active Directory para todas las aplicaciones de una organización hace posible proteger todas las identidades que deben administrarse en un solo lugar. Azure Active Directory también permite la extensión de los servidores locales tradicionales de Windows Server Active Directory (WAD) mediante Azure AD Connect . Esto permite que las organizaciones habiliten el inicio de sesión único en las aplicaciones en la nube de Microsoft, así como en las aplicaciones SaaS de otros proveedores que admiten protocolos de autenticación en la nube modernos, como OATH 2.0 y SAML. Con Azure Active Directory.

Azure Active Directory Premium P1 vs. P2: Comparación de características

Cada organización que tiene al menos un usuario con licencia de Microsoft 365 (con una suscripción E1, E3, E5, F1 y F3) o usa los servicios en la nube de Microsoft, como Azure o Intune , también tiene un arrendatario de Azure Active Directory. Sin embargo, existen diferentes ediciones de licencias de Azure AD que brindan a la organización diferentes capacidades: Azure AD Free/Office 365, Premium P1 y Premium P2. Azure AD Free y Azure AD Office 365 se denominan “Azure AD Free” en este artículo. Sin embargo, Azure Active Directory Premium P1 y Azure Active Directory Premium P2 son servicios con licencia que cumplen con los requisitos de protección de identidad de la mayoría de las organizaciones empresariales. La edición de Azure AD adecuada para su organización dependerá de esos requisitos. La siguiente tabla proporciona una descripción general de las características disponibles en las diferentes ediciones de Azure Active Directory: Azure Active Directory Premium P1 se basa en las funciones básicas de administración de usuarios y grupos de la edición gratuita de Azure AD. Además, Microsoft garantiza al menos un 99,9 % de disponibilidad del servicio Azure Active Directory, un SLA que no está disponible con la edición gratuita de Azure AD.

Gestión avanzada de grupos y protección con contraseña

Con AAD Premium P1, obtiene administración avanzada de grupos (grupos dinámicos, políticas de nombres, caducidad, clasificación predeterminada), así como asignaciones de grupos para aplicaciones . Azure Active Directory Premium P1 también permite el uso de protección de contraseña global , lo que evita que los usuarios de AD en la nube y en las instalaciones establezcan contraseñas débiles que contengan palabras utilizadas en ataques habituales de difusión de contraseñas. También se pueden generar listas de contraseñas prohibidas para cada organización con palabras específicas para ellos. Azure AD Premium P1 también permite a los usuarios locales y en la nube usar la función de restablecimiento de contraseña de autoservicio para cambiar y desbloquear sus cuentas con escritura diferida local en Windows Active Directory.

Acceso condicional de Azure Active Directory

También se incluye el acceso condicional de Azure Active Directory , lo que permite a una organización controlar el acceso a sus aplicaciones en la nube en función de la condición del intento de autenticación. Las condiciones que se utilizan para evaluar el acceso incluyen la membresía del usuario o del grupo, la información de ubicación de IP, el dispositivo de conexión (Windows, iOS o Android) y la aplicación. La configuración de políticas de acceso condicional basadas en estas condiciones le permite a su organización bloquear u otorgar acceso con controles como MFA. El acceso condicional de AAD es una herramienta poderosa en el arsenal del administrador de seguridad para proteger las identidades de los usuarios.

Microsoft Defender para aplicaciones en la nube

También se incluye con Azure AD Premium P1 Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security). En la mayoría de las organizaciones, las aplicaciones en la nube están en expansión y mantener el control de ellas es clave para la gestión de la seguridad de una organización. Microsoft Defender para aplicaciones en la nube es un agente de seguridad de acceso a la nube (CASB) que le permite a su organización detectar TI en la sombra, proteger la información confidencial en las aplicaciones en la nube y monitorear las actividades de los usuarios en busca de comportamientos anómalos. Este producto es excelente para las organizaciones que buscan reforzar el control de las aplicaciones en la nube en uso, y funciona de dos maneras diferentes. Primero, los registros de tráfico en la nube se pueden enviar desde el firewall y los dispositivos de proxy web a Microsoft Defender para aplicaciones en la nube para analizar el tráfico después del hecho. Este modo pasivo también se conoce como “descubrimiento en la nube” y permite que una organización revise el uso de aplicaciones en la nube. Además, Microsoft Defender para aplicaciones en la nube también se puede usar para permitir y bloquear activamente el tráfico para detener las infracciones y fugas en tiempo real al operar en modo proxy. Microsoft Defender para aplicaciones en la nube se integra con el acceso condicional de Azure AD mediante el control de aplicaciones de acceso condicional . Esta función permite monitorear y controlar el acceso a la aplicación en tiempo real mediante políticas de sesión y una arquitectura de proxy inverso. Estas políticas de sesión permiten un control granular sobre lo que pueden hacer los usuarios, en caso de que satisfagan la solicitud de autenticación. Los controles incluyen el bloqueo de descargas, así como la copia o impresión de documentos confidenciales en dispositivos no compatibles.

Proxy de aplicación de Azure AD

El producto Application Proxy incluido en Azure AD Premium P1 permite que los usuarios accedan de forma remota a las aplicaciones web locales. El proxy funciona pasando el token de inicio de sesión de Azure AD de los usuarios a través de aplicaciones web locales que usan la autenticación integrada de Windows . Luego, el acceso de un usuario a la aplicación web se transmite a través del servicio Application Proxy, lo que elimina la necesidad de publicar la aplicación en Internet.

Administrador de identidades de Microsoft

Las licencias de Azure AD Premium P1 también permiten el uso de Microsoft Identity Manager (MIM). Esta es una herramienta utilizada por organizaciones que tienen necesidades avanzadas de sincronización de identidad. Esta es una herramienta realmente poderosa en caso de que se requiera una sincronización de identidad a medida en una organización.

Características de Azure Active Directory Premium P2

AAD Premium P2 incluye todos los productos de AAD Premium P1, sin embargo, agrega algunos productos adicionales para mejorar la seguridad de la identidad.

Protección de identidad de Azure Active Directory

Azure Active Directory Identity Protection puede analizar la solicitud de inicio de sesión de un usuario frente a factores de riesgo, como credenciales filtradas conocidas, viajes atípicos, direcciones IP vinculadas a malware y propiedades de inicio de sesión desconocidas. Esta inteligencia adicional es útil para las organizaciones que buscan automatizar las respuestas a las cuentas de usuario sospechosas de estar comprometidas sin depender de que los usuarios informen sobre comportamientos extraños o que los administradores revisen los registros después del hecho.

Acceder a reseñas

Las revisiones de acceso permiten una mejor gestión de las membresías grupales y el acceso a las aplicaciones empresariales al delegar revisiones de acceso periódicas a revisores específicos para confirmar si el acceso proporcionado todavía es necesario. Esto es especialmente útil para grupos de seguridad con privilegios elevados o aplicaciones que procesan datos confidenciales. A menudo es un requisito regulatorio y/o de auditoría demostrar procesos efectivos de gestión de acceso.

Gestión de identidad privilegiada

Privileged Identity Management (PIM) es otra característica de AAD Premium P2 que permite el acceso justo a tiempo para los administradores a roles privilegiados de Azure AD, como Administrador global . También admite roles de Azure como Propietario y Colaborador. Esta herramienta permite a los administradores elevar sus cuentas al rol requerido solo cuando lo necesitan, en lugar de tener los permisos asignados de forma permanente. Esto ayuda a mitigar los compromisos de cuentas con muchos privilegios que a menudo son el objetivo de los atacantes.

Azure Active Directory Premium P1 vs. P2: comparación de precios

La obtención de licencias de Azure AD Premium P1 y Premium P2 puede ser confusa, ya que estas ofertas se pueden comprar de forma independiente, pero también se incluyen con otros paquetes de Microsoft 365 y Enterprise Mobility Suite (EMS). Una licencia independiente de Azure Premium P1 cuesta $6 por usuario al mes, mientras que la licencia de Azure Premium P2 cuesta $9 por usuario al mes. Todas las cuentas de usuario miembro en el arrendatario de Azure AD deben tener licencia. Si su organización tiene licencia de Microsoft 365, las licencias de Microsoft 365 E3 incluyen Azure Active Directory Premium P1. Las licencias de Microsoft 365 E5 también incluyen Azure Active Directory Premium P2. Si no necesita pasar a la licencia completa de Microsoft 365 E5, puede agregar una licencia de EMS E5 a Microsoft 365 E3 para acceder a las características de Azure Active Directory Premium P2.

Active Directory Premium P1 vs. P2: ¿Qué plan es el adecuado para usted?

El plan adecuado para su organización debe basarse en los requisitos de administración de acceso e identidad. Las licencias de Azure AD Premium P2 son beneficiosas para las organizaciones que se espera que demuestren un alto nivel de control de identidades. Eso implica administrar el acceso privilegiado y automatizar las revisiones de acceso y las respuestas a cuentas potencialmente comprometidas. Si su organización no tiene estos requisitos, es probable que una licencia de Azure AD Premium P1 sea suficiente.

¿Qué puede hacer con el nivel gratuito de Azure AD?

Las capacidades de autenticación básicas que se esperan de una plataforma de administración de identidades y accesos basada en la nube están disponibles en el nivel gratuito de Azure AD. Estas son las funciones principales que puede usar con este nivel gratuito:
  • Autenticación en la nube (autenticación de paso y sincronización de hash de contraseña)
  • Autenticación federada con servicios de federación de Active Directory (ADFS) locales .
  • Seguridad básica y gestión de usuarios y grupos.
  • Compatibilidad con inicio de sesión único (SSO) para un número ilimitado de aplicaciones y autenticación multifactor (MFA) para usuarios
  • Compatibilidad con la sincronización de directorios en entornos híbridos desde Windows Server Active Directory local a través del software Azure AD Connect. Sin embargo, el nivel gratuito de Azure AD solo ofrece cambio de contraseña de autoservicio para usuarios de la nube (no usuarios locales).
  • La autenticación sin contraseña (mediante Windows Hello for Business, Microsoft Authenticator o integraciones de clave de seguridad FIDO2) también es compatible con el nivel gratuito, en caso de que las organizaciones deseen comenzar a hacer la transición.
Por último, pero no menos importante, debe tener en cuenta que no se proporciona ningún SLA para el nivel gratuito de Azure Active Directory.

Conclusión

En resumen, las licencias de Azure AD Premium proporcionan un buen conjunto de herramientas para que los administradores de seguridad administren de forma segura la identidad y el acceso dentro de la organización. Para aquellos que usan Microsoft 365 y Azure AD para el inicio de sesión único, es la herramienta óptima ya que todos los productos de Azure AD están bien integrados con el resto de la pila de la nube de Microsoft.