Microsoft Windows Azure Active Directory (Windows Azure AD o Azure AD) è un servizio cloud che fornisce agli amministratori la possibilità di gestire le identità degli utenti finali e i privilegi di accesso. I suoi servizi includono directory principale, gestione degli accessi e protezione dell'identità. Come suggerisce il nome, Azure AD fa parte della piattaforma di cloud computing pubblico Microsoft Azure .
Il servizio offre agli amministratori la libertà di scegliere quali informazioni rimarranno nel cloud, chi può gestire o utilizzare le informazioni, quali servizi o applicazioni possono accedere alle informazioni e quali utenti finali possono avere accesso . Azure AD può aiutare a fornire Single Sign-On ( SSO ), in modo che gli utenti finali non debbano immettere le password più volte per accedere alle applicazioni cloud.
Azure AD è utilizzato da amministratori IT, sviluppatori di app e sottoscrittori del servizio cloud Microsoft. Gli amministratori IT usano Azure AD per gestire le autorizzazioni dei ruoli e controllare l'accesso ad applicazioni e risorse specifiche per i singoli utenti. Gli sviluppatori di app possono usare Azure AD per aggiungere Single Sign-On alle app che funzionano con credenziali utente preesistenti. Azure AD fornisce inoltre agli sviluppatori di app API ( Application Program Interface ) che usano i dati esistenti all'interno dell'organizzazione. Gli abbonati ai servizi cloud Microsoft, come Office 365, Dynamics CRM Online o Azure, sono, per impostazione predefinita, tenant di Azure AD.
Azure AD è disponibile in quattro livelli distinti di servizio e prezzi. È possibile accedere gratuitamente alle funzionalità di base, con limitazioni. Gli abbonati alle app di Microsoft 365 Office ottengono più funzionalità rispetto alle funzionalità di base. Azure AD Premium richiede un'ulteriore sottoscrizione mensile aggiuntiva ed è disponibile in due livelli: P1 e P2 (livello più alto).
Nonostante il nome simile, Azure AD non è lo stesso di Windows Active Directory ( Windows AD ), un altro prodotto Microsoft.
Come funziona Windows Azure Active Directory?
Azure AD è un servizio basato su cloud per la gestione di identità e accessi ( IAM ). È un archivio di autenticazione online sicuro per singoli profili utente e gruppi di profili utente e rientra nella categoria IDaaS (Identity as a Service ). Azure AD è concepito per la gestione dell'accesso ad applicazioni e server basati su cloud che utilizzano protocolli di autenticazione moderni come SAML 2.0, OpenID Connect , OAuth 2.0 e WS-Federation.
Azure AD gestisce l'accesso tramite account utente, che portano un nome utente e una password. Gli utenti possono essere organizzati in diversi gruppi, ai quali possono essere concessi diversi privilegi di accesso per le singole applicazioni. È inoltre possibile creare identità per applicazioni cloud, che possono provenire da Microsoft o da software come servizio ( SaaS ) di terze parti , per concedere l'accesso agli utenti tramite.
Azure AD usa SSO per connettere gli utenti alle applicazioni SaaS. Ciò consente a ciascun utente di accedere alla suite completa di applicazioni per cui dispone dell'autorizzazione, senza dover eseguire ripetutamente l'accesso ogni volta. Azure AD crea token di accesso che vengono archiviati localmente sui dispositivi dei dipendenti; questi token possono essere creati con date di scadenza. Per importanti risorse aziendali, Azure AD può richiedere l'autenticazione a più fattori ( MFA ).
Sicurezza in Azure AD
Azure AD contiene una serie di funzionalità per proteggere e proteggere i dati dell'organizzazione. Le funzionalità di sicurezza di Azure AD includono MFA, SSO per applicazioni SaaS basate su cloud, criteri adattivi basati sul contesto, governance delle identità , un proxy dell'applicazione per proteggere l'accesso remoto e il machine learning protettivo (per proteggersi da credenziali rubate e tentativi di accesso sospetti).
Recentemente è stata rilasciata una funzionalità chiamata Impostazioni predefinite di sicurezza in Azure AD che, una volta attivata, bloccherà i protocolli di autenticazione legacy, richiederà MFA per amministratori e utenti e richiederà MFA per preziose risorse organizzative. Lo scopo delle impostazioni predefinite di sicurezza è proteggere meglio le risorse digitali, poiché i criteri di accesso di base in Azure AD sono progettati per soddisfare le organizzazioni con client legacy e aggiunti a funzionalità di sicurezza di terze parti. Le impostazioni predefinite di sicurezza sono progettate contro i tipi comuni di attacchi come phishing , password spray e replay di sessione . Se non disabilitato, gli attacchi dannosi possono utilizzare protocolli legacy per l'autenticazione, bypassando l'autenticazione a più fattori.
Windows AD vs. Azure AD
Azure AD non deve essere confuso con Windows Active Directory, un altro servizio Microsoft con un nome simile. Active Directory è costituito da diversi servizi che vengono eseguiti su Windows Server , gestendo l'accesso degli utenti alle risorse di rete, come le stampanti. Sebbene Azure AD e Windows AD gestiscano entrambi gli account utente, usano protocolli di autenticazione e basi di codice completamente diversi. Pertanto, Azure AD non è semplicemente la controparte basata su cloud di Windows AD.
Le differenze principali includono quanto segue:
- A differenza di Windows AD, Azure AD è progettato per i servizi basati sul Web. Azure AD supporta servizi che usano API REST (Representational State Transfer) per app online basate su cloud come Office 365.
- Azure AD usa protocolli diversi da Windows AD. Azure AD usa protocolli come SAML e OAuth.2.0. Non supporta NTLM, Kerberos o LDAP (Lightweight Directory Access Protocol).
- Azure AD usa i criteri di Azure, al contrario dei criteri di gruppo in Windows AD.
- Azure AD non usa unità organizzative (unità organizzative) o foreste . Ha una struttura di directory piatta.
- Azure AD Join, che si collega ai PC (personal computer), può essere utilizzato solo con Windows 10.
Funzionalità e licenze di Azure AD
Azure AD è disponibile in quattro diversi livelli di licenza: gratuito (il più basso), App di Office 365, Premium P1 e Premium P2 (il più alto).
Il livello di licenza gratuito ha un limite di 500.000 oggetti per gli oggetti directory. Contiene tutte le funzionalità business-to-business, identità di base e gestione degli accessi. Non include IAM per Office 365, funzionalità premium, identità ibride, accesso condizionale , protezione dell'identità, governance dell'identità o gestione avanzata dell'accesso ai gruppi. Secondo Microsoft, le funzionalità incluse nel livello gratuito sono:
- Single Sign-On illimitato
- Provisioning degli utenti
- Autenticazione federata (Active Directory Federation Services o provider di identità di terze parti)
- Gestione utenti e gruppi
- Registrazione del dispositivo
- Autenticazione cloud (autenticazione pass-through, sincronizzazione dell'hash delle password, SSO senza interruzioni)
- Sincronizzazione di Azure AD Connect, che estende le directory locali di un'organizzazione ad Azure AD
- Modifica della password self-service
- Azure AD Join (SSO desktop e ripristino di BitLocker dell'amministratore)
- Protezione della password
- Autenticazione a più fattori
- Reportistica di base per sicurezza e utilizzo
- Funzionalità di Azure AD per utenti guest
Il secondo livello più basso dei servizi di Azure AD è accessibile per gli abbonati alle app di Office 365. È accessibile per gli abbonati dei livelli E1, E3, E5, F1 e F3. Questo livello non ha limiti di oggetti directory. Include tutte le funzionalità offerte nel livello gratuito, oltre alla gestione dell'identità e degli accessi per le app di Office 365, come:
- Marchio aziendale personalizzato dei pannelli di accesso e delle pagine di accesso / logout
- Accordo sul livello di servizio (SLA)
- Reimpostazione della password self-service per gli utenti cloud
- Sincronizzazione bidirezionale degli oggetti del dispositivo tra Azure AD e le directory locali
Il livello Premium P1 garantisce il secondo livello di accesso più elevato ad Azure AD. L'accesso Premium P1 costa $ 6 al mese, per utente. Include le funzionalità complete di Azure AD, ad eccezione della protezione dell'identità e della governance dell'identità. Le funzionalità specifiche di Premium P1 includono tutto ciò che è offerto nel livello Office 365, più:
- Protezione con password premium, reimpostazione della password self-service con write-back in loco
- Gestione avanzata degli accessi ai gruppi
- Accesso ad Azure AD con registrazione automatica della gestione dei dispositivi mobili ( MDM ), personalizzazione dei criteri di amministrazione locale, ripristino self-service di BitLocker, roaming dello stato aziendale
- Report di utilizzo e sicurezza avanzati
- Identità ibride
- Accesso condizionato
Il livello P2 Premium costa $ 9 al mese per utente e include la suite completa di funzionalità di Azure AD. Include tutto ciò che viene offerto in P1, oltre a funzionalità di protezione dell'identità e governance dell'identità.
