Adam the Automator

Microsoft 365 tarjoaa lukemattomia erilaisia lisenssejä, joista valita. Jos aiot ottaa käyttöön joitakin suojausominaisuuksia käyttäjillesi pilvessä ja tehdä vertailun Azure AD Premium P1 vs P2 tämä artikkeli epäilemättä kiinnostaa sinua. Jos olet hämmentynyt Azure AD Premium P1- ja P2-lisenssien eroista, pysy kärryillä.

Edellytykset

Voidaksesi tarkastella kaikkia tässä artikkelissa käsiteltyjä palveluita varmista, että olet täyttänyt seuraavat edellytykset etukäteen.

• Azure-tilaus:
• Olet kirjautunut Azure-portaaliin käyttäjätilillä, jolla on globaalin ylläpitäjän rooli.

Sisältyy muihin palveluihin

Jos et ole ostanut Azure AD Premium P1- ja Azure AD Premium P2 -lisenssejä nimenomaan, sinulla voi olla ne jo, etkä vain tiedä sitä. Nämä kaksi lisenssiä sisältyvät itse asiassa muihin Microsoft 365 -palveluihin, kuten alla on esitetty.

Azure AD Premium P1 ja Azure AD Premium P2 ovat lisenssejä, jotka vastaavat organisaatioiden kehittyneisiin identiteettisuojausvaatimuksiin.

AAD Premium Plan 2:ssa on kaikki P1:n ominaisuudet, mutta se lisää kuitenkin lisää tietoturvaominaisuuksia, nimittäin:

• Haavoittuvuuksien ja riskialttiiden tilien havaitseminen
• Privileged Identity Management (PIM)
• Käyttövaltuuskatsaukset

Kysy itseltäsi nämä kysymykset, jos päätät P2:n valitsemisesta P1:n sijaan.

• Haluatko havaita riskialttiit tilit vuokralaisessasi?
• Haluatko saada ilmoituksen riskeistä, kuten salasanasuihkuhyökkäyksistä, epätyypillisestä matkustamisesta, vuotaneista tunnistetiedoista jne.
• Täyttävätkö yleiset ehdollisen pääsyn käytännöt turvallisuusvaatimuksesi?
• Vai haluaisitko, että ehdollisen pääsyn käytännöt laajennetaan niin, että ne estävät pääsyn myös riskialttiisiin kirjautumisiin?
• Täyttääkö pelkkä MFA tarpeesi järjestelmänvalvojan tilien suojaamisessa?
• Vai haluaisitko lisätä vielä yhden suojauskerroksen ”Privilege Identity Managementin” avulla?

Näihin kysymyksiin voit vastata, kun sinulla on kohtuullinen käsitys siitä, mitä nämä suojausmekanismit tarjoavat ja miten voit hyödyntää niitä tavoitteidesi saavuttamiseksi.

Tämän artikkelin loppuosassa opit kaikki eri palvelut, jotka saat P2-lisenssin mukana.

Riskialttiiden tilien havaitseminen

Jos sinulle sopii tarkastella käyttäjien kirjautumisia Azuressa ja ryhtyä sitten manuaalisesti toimiin niiden perusteella, voit yhtä hyvin valita Azure AD Premium P1 -lisenssin. Jos kuitenkin haluat:

• Luo riskikäytäntöjä ja niihin liittyviä toimia käyttäjätileille
• Käytä ehdollisia käyttöoikeuskäytäntöjä riskialttiiden kirjautumisten perusteella
• Katsele Azuren tietoturvaraporttia

Azure AD Premium P2 -lisenssi olisi oikea lisenssi ympäristöllesi.

Käsitelläänpä läpi nämä kehittyneet ominaisuudet. Olettaen, että olet kirjautuneena Azure-portaaliin, siirry kohtaan Identiteettisuojaus, josta löydät kaikki alla olevat ominaisuudet.

Raportointi

AAD Premium P2-paketissa on saatavilla kolmenlaisia raportteja.

Riskikäyttäjäraportti

Tässä raportissa näkyvät ne käyttäjätilit, jotka saattavat olla vaarassa vaarantua. Esimerkki on tässä:

Ylläpitäjä voi tarkastella tätä raporttia ja päättää sitten seuraavista toimista. Riskitasot voivat olla matala, keskitaso ja korkea. Eri toiminnot vaikuttavat tasojen vakavuuteen.

Valvojat voivat ryhtyä toimiin riskitekijöiden perusteella. Alla olevassa esimerkissä voit estää käyttäjän, merkitä tämän vääräksi positiiviseksi tai jopa vahvistaa, että käyttäjätili on vaarantunut.

Mahdollisuutesi on myös tarkastella havaittuja riskejä ja riskialttiita kirjautumisia tarkemmin.

Riskialttiiden kirjautumisten raportti

Jotkut kirjautumiset voivat olla epäilyttäviä. Riskialttiit kirjautumiset -raportin avulla voit helposti havaita ne alla esitetyllä tavalla.

Oheisessa kuvakaappauksessa näkyvät käyttäjän riskialttiin kirjautumisen yksityiskohdat. Tätä kirjautumista pidettiin erittäin riskialttiina, ja siihen liittyi kaksi riskiä. Sinulla on tässä samat toimet kuin kohdassa ’Riskikäyttäjät’.

Riskin havaitsemisraportti

Tässä raportissa näkyy havaitun riskin tyyppi. Se voi olla hyödyllinen, jos haluat tarkastella tämäntyyppisen hälytyksen laukaisevia toimintoja organisaatiossasi.

Identiteettisuojakäytännöt

Jos edistyneemmät raportit eivät miellytä sinua, ehkäpä valikoima identiteettisuojakäytäntöjä saattaisi kiinnostaa.

Azuresta löydät erityyppiset identiteettisuojakäytäntömme, jotka ovat käytettävissä yksinomaan AAD Premium P2 -lisenssissä.

Käyttäjäriskikäytäntö

Jos haluat ryhtyä joihinkin ennalta määrättyihin toimiin ”riskialttiiksi” luokitelluille tileille, sinun on määriteltävä käyttäjän riskikäytäntö. Tämä käytäntö on oletusarvoisesti käytössä; voit kuitenkin muokata sitä tarpeisiisi sopivaksi.

Tässä yllä olevassa kuvakaappauksessa huomaat, että käytäntöä sovelletaan kaikkiin käyttäjiin. Käytäntöä sovelletaan vain silloin, kun riskitaso on ”korkea” ja toiminta on pääsyn estäminen. Käytettävissä on myös muita vaihtoehtoja, kuten pääsyn salliminen ja salasanan palauttamisen vaatiminen.

Sisäänkirjautumisen riskikäytäntö

Käytettävissä on oletuskäytäntö, jonka avulla voit päättää toimista käyttäjille, joiden sisäänkirjautuminen on riskialtista. Tässä esimerkissä huomaat, että käytäntöä sovelletaan ryhmään. Siinä todetaan myös, että se tulee käyttökelpoiseksi käyttäjätileille, joiden kirjautumisriskitaso on keskisuuri tai sitä korkeampi. Lopuksi toiminta on MFA:n pakottaminen.

MFA-rekisteröintikäytäntö

Jos haluat vaatia MFA-rekisteröintiä yhdeltä tai useammalta tililtäsi, voit asettaa tämän vaatimuksen MFA-rekisteröintikäytännön kautta alla esitetyllä tavalla. Voit ottaa MFA:n käyttöön kaikille käyttäjille tai joukolle käyttäjiä tällä käytännöllä.

Mukautetut ehdollisen käytön käytännöt

Jos haluat käyttää rakeista pääsynvalvontaa ehkä soveltamalla käytäntöjä joihinkin käyttäjiin ja ei toisiin käyttäjiin, sinun on käytettävä mukautettua ehdollisen käytön käytäntöä.

Ehkä huomaat useita käyttäjiä, joilla on kirjautumisriski, ja käyttäjiä, jotka on lueteltu riskialttiiksi, koska he ovat kirjautuneet useita kertoja ActiveSync-profiileihinsa. Huomaat myös, että lähes kaikki nämä yritykset on tehty kolmesta tietystä maasta.

Voit luoda ehdollisen käytäntöä, joka ottaa MFA:n käyttöön aina, kun on käyttäjiä, jotka on luokiteltu erittäin riskialttiiksi, ja kun myös kirjautumisriski on suuri. Toinen tähän lisätty ehto on se, että politiikan pitäisi vaikuttaa, kun ActiveSync-yhteys on peräisin näistä kolmesta maasta.

Identiteettisuojan hälytykset

Jos tarvitset säännöllisesti ilmoituksia riskialttiista sisäänkirjautumisista, toinen P2-lisenssin mukana tuleva kätevä ominaisuus on identiteettisuojan hälytykset.

Käyttäjiä riskialttiissa tilanteessa -hälytykset

Nämä hälytykset määritetään oletusarvoisesti vuokralaisille, joilla on AAD Premium P2 -lisenssi. Hälytykset lähetetään oletusarvoisesti globaaleille ylläpitäjille, turvallisuusylläpitäjille ja turvallisuuslukijoille. Riskitaso voidaan määrittää tarpeen mukaan.

Sähköposti vastaanotetaan alla esitetyssä muodossa:

Viikoittainen yhteenvetosähköposti

Tämä raportti lähetetään myös samoille ylläpitäjille, kuten edellisessä osassa mainittiin. Sähköposti sisältää uudet riskialttiit käyttäjät ja riskialttiit kirjautumiset. Se sisältää myös tietoa etuoikeutetun identiteetinhallinnan ulkopuolella tehdyistä ylläpitäjäroolien määrityksistä. Käsittelemme PIM:ää seuraavassa osiossa.

Azure AD Privileged Identity Management (PIM)

Adminin tilien suojaaminen on kriittistä. Azure AD PIM on ominaisuus, joka parantaa suojausta.

Tämän ominaisuuden huomioimiseen on useita syitä turvallisuuden näkökulmasta. PIM tekee seuraavat asiat:

• Voidaan tarjota hyväksyntään perustuva pääsy resursseihin.
• Käyttöoikeus voi olla aikasidonnainen, mikä tarkoittaa, että käyttöoikeus päättyy automaattisesti tietyn ajan kuluttua.
• Adminien täytyy antaa syy tiettyjen roolien aktivoimiseen.
• MFA:ta käytettäisiin roolia aktivoitaessa.
• Globaalisille ylläpitäjille ja turvallisuusylläpitäjille ilmoitettaisiin sähköpostitse, kun jokin rooli aktivoidaan PIM:n kautta.

Käyttäjän lisääminen PIM:ään tapahtuu alla esitetyllä tavalla:

• Käyttäjä pääsee PIM-terään Azuressa.
• Klikkaa ”Azure AD:n roolit”.
• Valitse ”Roolit”.
• Klikkaa kohdasta ”Oikeutetun roolin ylläpitäjä”.”
• Valitse ”Add Assignments” ja valitse käyttäjä, jolle haluat aktivoida PIM:n, ja siirry seuraavaan.
• Vahvista seuraavalla sivulla, haluatko tämän olevan ”pysyvä” rooli vai ”kelpoisuuskelpoinen” rooli.

PIM:iin on tehokas työkalu, jonka avulla voidaan valvoa käyttöoikeuksia kriittisiin resursseihin vuokralaisessa.

Pääsyarviot

Jos haluat varmistaa, että työntekijöiden sisään- ja uloskirjautuminen johtaa myös siihen, että heidän hallintatiliroolinsa tarkistetaan, Pääsyarviot auttavat varmasti tässä.

Pääsyarviot voidaan luoda ryhmille ja hallintarooleille. Nämä tarkistukset auttavat ymmärtämään, tarvitseeko nykyinen admin s vielä kyseistä roolia. Olen esimerkiksi luonut Access Review -katsauksen lobalin admin-roolin tarkistamiseksi.

Täältä käsin voit nyt päättää, onko Access Review -tulos hyväksytty vai hylätty. Myös valmistumisen jälkeiset asetukset löytyvät.

Yhteenveto

Azure AD Premium Plan 1 ja Plan 2 ovat monin tavoin samanlaisia. AAD Premium P1 -lisenssi sisältää paljon tehoa useilla tietoturvaominaisuuksilla, kuten Salasanasuojaus; Salasanojen palautus itsepalveluna, Ehdollinen pääsy ja Hybriditunnukset. Kokemukseni mukaan tämän lisenssin pitäisi riittää monille organisaatioille.

Alueet, joilla AAD Premium P2 -lisenssi voittaa P2-lisenssin, ovat kuitenkin melko merkittäviä turvallisuuden kannalta. Ja juuri siksi tuomio tässä kallistuu sen puoleen.

AAD Premium P1:n ja P2:n tärkeimmät erot ovat seuraavat:

Azure AD Premium Plan 2 -lisenssissä on rikkaammat tietoturvaominaisuudet, mutta ne maksavat kuitenkin lisähintaa Azure AD Premium Plan 1:een verrattuna. Näin ollen sinun on punnittava hyvät ja huonot puolet ennen kuin päätät, kumman valitset.

Lisälukemista

Voit tutustua aiheeseen syvällisemmin seuraavista linkeistä:

• Azure Active Directoryn hinnoittelu

.