Adam the Automator

Microsoft 365 erbjuder en mängd olika licenser att välja mellan. Om du planerar att distribuera några skyddsfunktioner för dina användare i molnet och gör en jämförelse mellan Azure AD Premium P1 vs P2 kommer den här artikeln utan tvekan att intressera dig. Om du är förvirrad över skillnaderna mellan Azure AD Premium P1- och P2-licenserna kan du stanna kvar.

Förutsättningar

För att kunna visa alla tjänster som diskuteras i den här artikeln bör du se till att följande förutsättningar är uppfyllda i förväg.

• En Azure-prenumeration:
• Du är inloggad på Azure-portalen med ett användarkonto med rollen global administratör.

Inkluderat med andra tjänster

Om du inte har köpt Azure AD Premium P1- och Azure AD Premium P2-licenserna specifikt, kanske du redan har dem utan att veta det. De här två licenserna ingår faktiskt i andra Microsoft 365-tjänster som visas nedan.

Azure AD Premium P1 och Azure AD Premium P2 är de licenser som tillgodoser organisationers avancerade krav på identitetsskydd.

AAD Premium Plan 2 har alla funktioner som P1, men lägger till fler säkerhetsfunktioner, nämligen:

• Detektering av sårbarheter och riskfyllda konton
• Privileged Identity Management (PIM)
• Access Reviews

Ställ dig själv de här frågorna om du är redo att gå med P2 framför P1.

• Vill du upptäcka riskfyllda konton i din hyresgäst?
• Vill du bli informerad om risker såsom lösenordssprayattacker, atypiska resor, läckta autentiseringsuppgifter etc.?
• Fylls dina säkerhetskrav med de allmänna villkoren för villkorad åtkomst?
• Och vill du att villkoren för villkorad åtkomst ska utökas så att de blockerar åtkomst även för riskfyllda inloggningar?
• Tillämpar MFA ensamt dina behov när det gäller att säkra administratörskonton?
• Och vill du lägga till ytterligare ett skyddslager med hjälp av ”Privilege Identity Management”?

Dessa frågor kan besvaras när du har en god förståelse för vad dessa säkerhetsmekanismer ger och hur du kan använda dem för att uppnå dina mål.

Resten av den här artikeln kommer du att lära dig alla de olika tjänster som du får med P2-licensen.

Upptäck riskfyllda konton

Om du är okej att granska användares inloggningar i Azure och sedan vidta åtgärder manuellt baserat på dessa, kan du lika gärna välja Azure AD Premium P1-licensen. Om du däremot vill:

• Skapa riskpolicyer och tillhörande åtgärder för användarkonton
• Använda villkorade åtkomstpolicyer baserade på riskfyllda inloggningar
• Granska Azure-säkerhetsrapporten

Azure AD Premium P2 skulle vara den korrekta licensen för din miljö.

Låtsas oss gå igenom dessa avancerade funktioner. Förutsatt att du är inloggad i Azure-portalen går du till Identitetsskydd där du hittar alla nedanstående funktioner.

Rapportering

Det finns tre typer av rapporter tillgängliga i AAD Premium P2-planen.

Rapport om riskfyllda användare

Den här rapporten visar de användarkonton som kan vara i riskzonen för att bli komprometterade. Ett exempel visas här:

En administratör kan granska denna rapport och sedan besluta om nästa åtgärd. Risknivåerna kan vara låga, medelhöga och höga. Olika aktiviteter bidrar till nivåernas svårighetsgrad.

Administratörer kan vidta åtgärder utifrån riskfaktorer. I exemplet nedan kan du blockera användaren, markera detta som ett falskt positivt resultat eller till och med bekräfta att användarkontot är komprometterat.

Du har också möjlighet att ytterligare granska de upptäckta riskerna och de riskfyllda inloggningarna.

Riskfyllda inloggningar – rapport

Vissa inloggningar kan vara misstänkta. Med rapporten Riskfyllda inloggningar kan du enkelt upptäcka dem som visas nedan.

Följande skärmdump visar detaljerna för en användares riskfyllda inloggning. Den här inloggningen bedömdes som högrisk med två risker kopplade till den. Du har samma åtgärder här som i avsnittet ”riskfyllda användare”.

Rapport om riskupptäckter

Denna rapport visar vilken typ av risk som upptäcktes. Den kan vara användbar om du vill se vilka aktiviteter som utlöser den här typen av varningar i din organisation.

Policyer för identitetsskydd

Om mer avancerade rapporter inte lockar dig kanske en rad olika policyer för identitetsskydd gör det.

I Azure hittar du våra olika typer av policyer för identitetsskydd som är exklusivt tillgängliga i AAD Premium P2-licensen.

Policy för användarrisk

Om du vill vidta vissa förutbestämda åtgärder på de konton som klassificeras som ”riskfyllda” måste du definiera policyn för användarrisk. Den här policyn är aktiverad som standard, men du kan ändra den så att den passar dina behov.

I den här skärmdumpen ovan ser du en policy som tillämpas på alla användare. Policyn är endast tillämplig när risknivån är ”hög” och åtgärden är att blockera åtkomst. Andra alternativ som att tillåta åtkomst och kräva återställning av lösenord är också tillgängliga.

Riskpolicy för inloggning

En standardpolicy finns tillgänglig för att bestämma dina åtgärder för användare med riskfyllda inloggningar. I exemplet här ser du att policyn tillämpas på en grupp. Det står också att den blir användbar för användarkonton med risknivå för inloggning som medium och högre. Slutligen är åtgärden att genomdriva MFA.

Policy för MFA-registrering

Om du vill kräva MFA-registrering för ett eller flera av dina konton kan du ställa in detta krav via policyn för MFA-registrering som visas nedan. Du kan aktivera MFA för alla användare eller en uppsättning användare med den här principen.

Anpassade villkorade åtkomstpolicyer

Om du vill utöva en granulär nivå av åtkomstkontroll, kanske genom att tillämpa policyer på vissa användare och inte på andra, måste du använda en anpassad villkorad åtkomstpolicy.

Kanske märker du att det finns flera användare med inloggningsrisker och användare som listas som riskfyllda på grund av flera inloggningar i deras ActiveSync-profiler. Du ser också att nästan alla dessa försök har gjorts från tre specifika länder.

Du kan skapa en villkorlig princip för att tvinga fram MFA närhelst det finns användare som klassificeras som mycket riskfyllda och när inloggningsrisken också är hög. Ett annat villkor som läggs till här är att policyn ska påverka när en ActiveSync-anslutning kommer från dessa tre länder.

Varningar för identitetsskydd

Om du regelbundet behöver bli informerad om riskfyllda inloggningar är en annan praktisk funktion som följer med P2-licensen varningar för identitetsskydd.

Varningar för användare som är i riskzonen

De här varningarna konfigureras som standard i hyresgäster med AAD Premium P2-licenser. Varningar skickas som standard till globala administratörer, säkerhetsadministratörer och säkerhetsläsare. Risknivån kan ställas in efter behov.

E-postmeddelandet tas emot i det format som visas nedan:

Weekly Digest Email

Den här rapporten skickas också till samma administratörer som nämns i föregående avsnitt. E-postmeddelandet innehåller nya användare med risk och inloggningar med risk. Det innehåller också information om administratörsrollstilldelningar som gjorts utanför privilegierad identitetshantering. Vi kommer att täcka PIM i nästa avsnitt.

Azure AD Privileged Identity Management (PIM)

Säkring av administratörskonton är viktigt. Azure AD PIM är en funktion som förbättrar säkerhetsomslaget.

Det finns flera skäl att överväga den här funktionen ur säkerhetssynpunkt. PIM gör följande:

• Kan användas för att ge godkännande-baserad åtkomst till resurser.
• Access kan vara tidsbunden, vilket innebär att åtkomsten automatiskt upphör efter en viss tid.
• Administratörer måste ange orsaken till att aktivera de specifika rollerna.
• MFA skulle verkställas vid aktivering av en roll.
• Globala administratörer och säkerhetsadministratörer meddelas via e-post när en roll aktiveras via PIM.

Att lägga till en användare i PIM visas nedan:

• Åtkomst till PIM-bladet i Azure.
• Klicka på ”Azure AD Roles.”
• Välj ”Roles.”
• Klicka på ”Privileged Role Administrator.”
• Välj ”Add Assignments” (Lägg till tilldelningar) och välj den användare som du vill aktivera PIM för och gå till Next (Nästa).
• På nästa sida bekräftar du om du vill att detta ska vara en ”permanent” roll eller en ”berättigad” roll.

PIM är ett kraftfullt verktyg för att styra åtkomsten till viktiga resurser i hyresgästen.

Access Reviews

Om du vill se till att onboarding och offboarding av anställda också resulterar i att deras administratörskontorroller granskas, kan Access Reviews säkert hjälpa dig här.

Access Reviews kan skapas för grupper och administratörsroller. Dessa granskningar hjälper oss att förstå om de befintliga admin s fortfarande behöver rollen i fråga. Jag har till exempel skapat en åtkomstgranskning för att kontrollera den lobala administratörsrollen.

Nu kan du härifrån bestämma om resultatet av åtkomstgranskningen är godkänt eller nekat. Dessutom finns det inställningar efter slutförandet.

Sammanfattning

Azure AD Premium Plan 1 och Plan 2 är lika på många sätt. AAD Premium P1-licensen är mycket kraftfull med flera säkerhetsfunktioner som bland annat Lösenordsskydd; Självbetjäning av lösenordsåterställning, villkorad åtkomst och hybrida identiteter. Enligt min erfarenhet bör den här licensen räcka för många organisationer.

De områden där AAD Premium P2-licensen får mer poäng än P2 är dock ganska betydande när det gäller säkerhet. Och det är just därför som domen här lutar åt den.

De viktigaste skillnaderna mellan AAD Premium P1 och P2 är följande:

Azure AD Premium Plan 2 har rikare säkerhetsfunktioner; de kommer dock till en extra kostnad jämfört med Azure AD Premium Plan 1. Därför måste du väga för- och nackdelar innan du bestämmer dig för vilken du ska välja.

Ytterligare läsning

Du kan hänvisa till följande länkar om du vill fördjupa dig i det här ämnet:

• Azure Active Directory prissättning

.