Azure Active Directory-Abonnements - Monats- oder Jahrespläne

Azure Active Directory (Azure AD) ist eine IDaaS-Lösung (Identity and Access Management-as-a-Service), die Einzelfunktionen für jede Cloud und lokale Anwendung mit erweitertem Schutz kombiniert. Sie geben Ihren Mitarbeitern, Partnern und Kunden eine einheitliche Identität, um von jeder Plattform und jedem Gerät aus auf die gewünschte Anwendung zugreifen und zusammenarbeiten zu können. Da Azure AD auf skalierbaren Verwaltungsfunktionen und risikobasierten Zugriffsregeln basiert, trägt es zur Gewährleistung der Sicherheit und zur Optimierung von IT-Prozessen bei. Azure AD ist das Kernstück der Enterprise Mobility and Security-Lösungen von Microsoft. Unabhängig davon, ob Sie gerade erst mit Ihrer Cloud-Reise beginnen oder bereits über einige Cloud-Funktionen verfügen, können Sie mit Azure AD schneller, intelligenter und sicherer arbeiten. Verwenden Sie bereits Microsoft 365 oder Azure? Dann haben Sie bereits Azure AD und können es heute schon für andere SaaS-Apps verwenden

Microsoft Azure Active Directory Premium P1 -Abonnement
Microsoft Azure
Das Azure Active Directory Premium P1-Abonnement, auch als Azure AD P1 bezeichnet, bietet die folgenden Funktionen

Kernverwaltung für Identität und Zugriff
Verzeichnisobjekte * 1
Single Sign-On (SSO) (unbegrenzt) * 2
Benutzerbereitstellung
Verbundauthentifizierung (ADFS oder IDP eines Drittanbieters)
Benutzer- und Gruppenverwaltung (Hinzufügen/Aktualisieren/Löschen)
Geräteregistrierung
Cloud-Authentifizierung (Pass-Through-Authentifizierung, Kennwort-Hash-Synchronisierung, nahtloses SSO)
Azure AD Connect-Synchronisierung (lokale Verzeichnisse auf Azure AD erweitern)
Self-Service-Kennwortänderung für Cloud-Benutzer
Azure AD Join: Desktop-SSO- und Administrator-Bitlocker-Wiederherstellung
Passwortschutz (global gesperrtes Passwort)
Multi-Faktor-Authentifizierung * 3
Grundlegende Sicherheits- und Nutzungsberichte

Externe Identitäten
Kunden und Partner sichern und verwalten

Identitäts- und Zugriffsverwaltung für Office 365-Apps
Firmenbranding (Anpassung der Login- und Logout-Seiten, Access Panel)
Self-Service-Passwort für Cloud-Benutzer zurückgesetzt
Service Level Agreement (SLA)
Zurückschreiben des Geräts (Zwei-Wege-Synchronisierung von Geräteobjekten zwischen lokalen Verzeichnissen und Azure)

Premium-Funktionen in P1 und P2
Passwortschutz (benutzerdefiniertes gesperrtes Passwort)
Kennwortschutz für Windows Server Active Directory (globales und benutzerdefiniertes gesperrtes Kennwort)
Zurücksetzen/Ändern/Entsperren des Self-Service-Passworts mit lokalem Rückschreiben
Gruppenzugriffsverwaltung
Microsoft Cloud App Discovery * 4
Azure AD Join: Automatische MDM-Registrierung und Anpassung der lokalen Administratorrichtlinien
Azure AD Join: Self-Service-Bitlocker-Wiederherstellung, Roaming im Unternehmensstatus
Erweiterte Sicherheits- und Nutzungsberichte

Hybride Identitäten
Anwendungsproxy
Microsoft Identity Manager-Benutzer CAL * 5
Gesundheit verbinden * 6

Erweiterte Gruppenzugriffsverwaltung
Dynamische Gruppen
Delegierung von Gruppenerstellungsberechtigungen
Gruppennamensrichtlinie
Gruppenablauf
Verwendungsrichtlinien
Standardklassifizierung

Bedingter Zugriff
Bedingter Zugriff basierend auf Gruppe, Standort und Gerätestatus
Azure Information Protection-Integration
Eingeschränkter SharePoint-Zugriff
Nutzungsbedingungen (Nutzungsbedingungen für bestimmten Zugriff einrichten)
Multi-Faktor-Authentifizierung mit bedingtem Zugriff
Integration der Microsoft Cloud App-Sicherheit
Integration von Identity Governance-Partnern von Drittanbietern

* 1
Das Standardnutzungskontingent beträgt 50.000 Objekte. Ein Objekt ist ein Eintrag im Verzeichnisdienst, der durch seinen eindeutigen definierten Namen dargestellt wird. Ein Beispiel für ein Objekt ist ein Benutzereintrag, der zu Authentifizierungszwecken verwendet wird. Wenn Sie dieses Standardkontingent überschreiten müssen, wenden Sie sich an den Support. Das Objektlimit von 500.000 gilt nicht für Office 365, Microsoft Intune oder andere kostenpflichtige Microsoft-Onlinedienste, deren Verzeichnisdienste auf Azure Active Directory basieren.

* 2
Mit Azure AD Free können Endbenutzer, denen Zugriff auf SaaS-Apps zugewiesen wurde, uneingeschränkten SSO-Zugriff auf Cloud-Apps erhalten. Für lokale Anwendungen ist Azure AD Application Proxy oder die Integration sicherer Hybridpartnerschaften erforderlich, die mit Azure AD P1 und P2 verfügbar sind.

*3
Authentifizierungsmethoden und Konfigurationsfunktionen können je nach Abonnement variieren. Weitere Informationen finden Sie hier.

* 4
Um auf die Funktionen zur Erkennung von Cloud-Apps zuzugreifen, rufen Sie https://portal.cloudappsecurity.com/auf und melden Sie sich mit Ihren Azure AD P1-Anmeldeinformationen an. Azure AD P2-Kunden müssen keine Anmeldeinformationen eingeben und werden automatisch umgeleitet.

* 5
Microsoft Identity Manager Server-Softwarerechte werden mit Windows Server-Lizenzen (jede Edition) gewährt. Da Microsoft Identity Manager unter Windows Server ausgeführt wird, kann Microsoft Identity Manager auf diesem Server installiert und verwendet werden, solange auf dem Server eine gültige, lizenzierte Kopie von Windows Server ausgeführt wird. Für Microsoft Identity Manager Server ist keine weitere separate Lizenz erforderlich.

* 6
Der erste Überwachungsagent benötigt mindestens eine Lizenz. Für jeden weiteren Agenten sind 25 zusätzliche inkrementelle Lizenzen erforderlich. Agenten, die AD FS, AD Connect und AD DS überwachen, werden als separate Agenten betrachtet.
Microsoft Azure Active Directory Premium P2 -Abonnement
Microsoft Azure
Das Azure Active Directory Premium P2-Abonnement, auch als Azure AD Premium P2-Abonnement bezeichnet, bietet die folgenden Funktionen

Kernverwaltung für Identität und Zugriff
Verzeichnisobjekte * 1
Single Sign-On (SSO) (unbegrenzt) * 2
Benutzerbereitstellung
Verbundauthentifizierung (ADFS oder IDP eines Drittanbieters)
Benutzer- und Gruppenverwaltung (Hinzufügen/Aktualisieren/Löschen)
Geräteregistrierung
Cloud-Authentifizierung (Pass-Through-Authentifizierung, Kennwort-Hash-Synchronisierung, nahtloses SSO)
Azure AD Connect-Synchronisierung (lokale Verzeichnisse auf Azure AD erweitern)
Self-Service-Kennwortänderung für Cloud-Benutzer
Azure AD Join: Desktop-SSO- und Administrator-Bitlocker-Wiederherstellung
Passwortschutz (global gesperrtes Passwort)
Multi-Faktor-Authentifizierung * 3
Grundlegende Sicherheits- und Nutzungsberichte

Externe Identitäten
Kunden und Partner sichern und verwalten

Identitäts- und Zugriffsverwaltung für Office 365-Apps
Firmenbranding (Anpassung der Login- und Logout-Seiten, Access Panel)
Self-Service-Passwort für Cloud-Benutzer zurückgesetzt
Service Level Agreement (SLA)
Zurückschreiben des Geräts (Zwei-Wege-Synchronisierung von Geräteobjekten zwischen lokalen Verzeichnissen und Azure)

Premium-Funktionen in P1 und P2
Passwortschutz (benutzerdefiniertes gesperrtes Passwort)
Kennwortschutz für Windows Server Active Directory (globales und benutzerdefiniertes gesperrtes Kennwort)
Zurücksetzen/Ändern/Entsperren des Self-Service-Passworts mit lokalem Rückschreiben
Gruppenzugriffsverwaltung
Microsoft Cloud App Discovery * 4
Azure AD Join: Automatische MDM-Registrierung und Anpassung der lokalen Administratorrichtlinien
Azure AD Join: Self-Service-Bitlocker-Wiederherstellung, Roaming im Unternehmensstatus
Erweiterte Sicherheits- und Nutzungsberichte

Hybride Identitäten
Anwendungsproxy
Microsoft Identity Manager-Benutzer CAL * 5
Gesundheit verbinden * 6

Erweiterte Gruppenzugriffsverwaltung
Dynamische Gruppen
Delegierung von Gruppenerstellungsberechtigungen
Gruppennamensrichtlinie
Gruppenablauf
Verwendungsrichtlinien
Standardklassifizierung

Bedingter Zugriff
Bedingter Zugriff basierend auf Gruppe, Standort und Gerätestatus
Azure Information Protection-Integration
Eingeschränkter SharePoint-Zugriff
Nutzungsbedingungen (Nutzungsbedingungen für bestimmten Zugriff einrichten)
Multi-Faktor-Authentifizierung mit bedingtem Zugriff
Integration der Microsoft Cloud App-Sicherheit
Integration von Identity Governance-Partnern von Drittanbietern

Exklusive Premium P2-Funktionen
Identitätsschutz
Sicherheitslücken und Erkennung riskanter Konten
Untersuchung von Risikoereignissen
Risikobasierte Richtlinien für den bedingten Zugriff

Identity Governance
Privileged Identity Management (PIM)
Zugriff auf Bewertungen
Anspruchsverwaltung

* 1 Das Standardnutzungskontingent beträgt 50.000 Objekte. Ein Objekt ist ein Eintrag im Verzeichnisdienst, der durch seinen eindeutigen definierten Namen dargestellt wird. Ein Beispiel für ein Objekt ist ein Benutzereintrag, der zu Authentifizierungszwecken verwendet wird. Wenn Sie dieses Standardkontingent überschreiten müssen, wenden Sie sich an den Support. Das Objektlimit von 500.000 gilt nicht für Office 365, Microsoft Intune oder andere kostenpflichtige Microsoft-Onlinedienste, deren Verzeichnisdienste auf Azure Active Directory basieren.

* 2 Mit Azure AD Free können Endbenutzer, denen Zugriff auf SaaS-Apps zugewiesen wurde, uneingeschränkten SSO-Zugriff auf Cloud-Apps erhalten. Für lokale Anwendungen ist Azure AD Application Proxy oder die Integration sicherer Hybridpartnerschaften erforderlich, die mit Azure AD P1 und P2 verfügbar sind.

* 3 Authentifizierungsmethoden und Konfigurationsfunktionen können je nach Abonnement variieren. Weitere Informationen finden Sie hier.

* 4 Um auf die Funktionen zur Erkennung von Cloud-Apps zuzugreifen, rufen Sie https://portal.cloudappsecurity.com/auf und melden Sie sich mit Ihren Azure AD P1-Anmeldeinformationen an. Azure AD P2-Kunden müssen keine Anmeldeinformationen eingeben und werden automatisch umgeleitet.

* 5 Microsoft Identity Manager Server-Softwarerechte werden mit Windows Server-Lizenzen (jede Edition) gewährt. Da Microsoft Identity Manager unter Windows Server ausgeführt wird, kann Microsoft Identity Manager auf diesem Server installiert und verwendet werden, solange auf dem Server eine gültige, lizenzierte Kopie von Windows Server ausgeführt wird. Für Microsoft Identity Manager Server ist keine weitere separate Lizenz erforderlich.

* 6 Der erste Überwachungsagent benötigt mindestens eine Lizenz. Für jeden weiteren Agenten sind 25 zusätzliche inkrementelle Lizenzen erforderlich. Agenten, die AD FS, AD Connect und AD DS überwachen, werden als separate Agenten betrachtet.
Microsoft Azure Information Protection Premium P1 -Abonnement
Die Azip Information Protection (AIP) -Abskription bietet einen Cloud-basierten Dienst, mit dem Daten verschlüsselt und einige Funktionen über ein Inhaltskennzeichnungssystem eingeschränkt werden können. Diese Etiketten verhindern unbefugte Aktionen wie das Drucken, Anzeigen, Kopieren und Herunterladen von Inhalten, basierend auf den Richtlinien der Organisation.

AIP stellte eine Fähigkeit für Unternehmen dar, die den Zugriff und die Funktionalität auf sensible digitale Assets beschränken müssen. Unternehmen in bestimmten Branchen wie Gesundheitswesen, Recht, Produktion oder Finanzdienstleistungen müssen Vorschriften einhalten, nach denen sensible Daten strengeren Beschränkungen unterliegen müssen.

AIP unterstützt viele Inhaltstypen, einschließlich E-Mail, Text, Bild, Microsoft Office-Dateien und PDFs. AIP schützt Dateien, die auf lokalen Dateiservern und auf Cloud-Plattformen wie SharePoint Online und OneDrive for Business gespeichert sind.

Der Zugriff auf Informationen kann auch durch Angabe von Berechtigungen für gemeinsam genutzte Daten gesteuert werden. Es ist einfach zu bedienen und tief in Office 365 integriert.

Mit Information Protection können Unternehmen vertrauliche Dokumente und E-Mails erkennen, klassifizieren, kennzeichnen und schützen.
Administratoren können Regeln und Bedingungen definieren, um Etiketten automatisch anzuwenden, Benutzer können Etiketten manuell anwenden oder eine Kombination aus beiden kann verwendet werden - wobei Benutzern Empfehlungen zum Anbringen von Etiketten gegeben werden.
Microsoft Defender for Identity -Abonnement
Microsoft Defender for Identity wurde entwickelt, um Ihr Unternehmen vor fortgeschrittenen gezielten Angriffen zu schützen, indem das Verhalten normaler und abnormaler Entitäten (Benutzer, Geräte und Ressourcen) automatisch analysiert, gelernt und identifiziert wird.

Microsoft Defender for Identity (ehemals Azure Advanced Threat Protection, auch bekannt als Azure ATP) ist eine Cloud-basierte Sicherheitslösung, die Ihre lokalen Active Directory-Signale nutzt, um erweiterte Bedrohungen, gefährdete Identitäten und böswillige Insideraktionen zu identifizieren, zu erkennen und zu untersuchen an Ihre Organisation gerichtet.

Mit Defender for Identity können SecOp-Analysten und Sicherheitsexperten, die Schwierigkeiten haben, erweiterte Angriffe in Hybridumgebungen zu erkennen, Folgendes tun:
• Überwachen Sie Benutzer, Entitätsverhalten und Aktivitäten mit lernbasierten Analysen
• Schützen Sie in Active Directory gespeicherte Benutzeridentitäten und Anmeldeinformationen
• Identifizieren und untersuchen Sie verdächtige Benutzeraktivitäten und fortgeschrittene Angriffe in der gesamten Kill-Kette
• Stellen Sie klare Vorfallinformationen auf einer einfachen Zeitachse für eine schnelle Triage bereit
• Überwachen und Profilieren des Benutzerverhaltens und der Benutzeraktivitäten
• Defender for Identity überwacht und analysiert Benutzeraktivitäten und -informationen in Ihrem Netzwerk, z. B. Berechtigungen und Gruppenmitgliedschaft, und erstellt für jeden Benutzer eine Verhaltensgrundlage. Defender for Identity identifiziert dann Anomalien mit adaptiver integrierter Intelligenz, gibt Ihnen Einblicke in verdächtige Aktivitäten und Ereignisse und deckt die erweiterten Bedrohungen, gefährdeten Benutzer und Insider-Bedrohungen auf, denen Ihr Unternehmen ausgesetzt ist. Die proprietären Sensoren von Defender for Identity überwachen die Domänencontroller der Organisation und bieten eine umfassende Ansicht aller Benutzeraktivitäten von jedem Gerät aus.

Benutzeridentitäten schützen und Angriffsfläche reduzieren
• Defender for Identity bietet Ihnen wertvolle Einblicke in Identitätskonfigurationen und empfohlene Best Practices für die Sicherheit. Durch Sicherheitsberichte und Benutzerprofilanalysen hilft Defender for Identity dabei, die Angriffsfläche Ihres Unternehmens drastisch zu reduzieren, wodurch es schwieriger wird, Benutzeranmeldeinformationen zu gefährden und einen Angriff voranzutreiben. Mit den visuellen seitlichen Bewegungspfaden von Defender for Identity können Sie schnell genau verstehen, wie sich ein Angreifer innerhalb Ihres Unternehmens seitlich bewegen kann, um vertrauliche Konten zu gefährden, und diese Risiken im Voraus verhindern. Mithilfe von Defender for Identity-Sicherheitsberichten können Sie Benutzer und Geräte identifizieren, die sich mit Klartextkennwörtern authentifizieren, und zusätzliche Erkenntnisse zur Verbesserung Ihrer Sicherheitslage und -richtlinien im Unternehmen bereitstellen.

Schutz des AD FS in Hybridumgebungen
• Active Directory-Verbunddienste (AD FS) spielen in der heutigen Infrastruktur eine wichtige Rolle bei der Authentifizierung in Hybridumgebungen. Defender for Identity schützt den AD FS in Ihrer Umgebung, indem lokale Angriffe auf den AD FS erkannt und Einblick in die vom AD FS generierten Authentifizierungsereignisse gewährt werden.

Identifizieren Sie verdächtige Aktivitäten und fortgeschrittene Angriffe in der gesamten Kill-Kette für Cyber-Angriffe
• In der Regel werden Angriffe gegen jede zugängliche Entität gestartet, z. B. gegen einen Benutzer mit geringen Berechtigungen, und dann schnell seitlich verschoben, bis der Angreifer Zugriff auf wertvolle Ressourcen wie vertrauliche Konten, Domänenadministratoren und hochsensible Daten erhält. Defender for Identity identifiziert diese fortgeschrittenen Bedrohungen an der Quelle während der gesamten Cyber-Attack-Kill-Kette:

Aufklärung
• Identifizieren Sie die Versuche von betrügerischen Benutzern und Angreifern, Informationen zu erhalten. Angreifer suchen mithilfe verschiedener Methoden nach Informationen zu Benutzernamen, Benutzergruppenmitgliedschaft, IP-Adressen, die Geräten, Ressourcen usw. zugewiesen wurden.

Kompromittierte Anmeldeinformationen
• Identifizieren Sie Versuche, Benutzeranmeldeinformationen mithilfe von Brute-Force-Angriffen, fehlgeschlagenen Authentifizierungen, Änderungen der Benutzergruppenmitgliedschaft und anderen Methoden zu gefährden.

Seitenbewegungen
• Erkennen Sie Versuche, sich seitlich innerhalb des Netzwerks zu bewegen, um die Kontrolle über vertrauliche Benutzer zu erlangen. Verwenden Sie dazu Methoden wie "Ticket übergeben", "Hash übergeben", "Hash übergehen" und mehr.

Domain-Dominanz
• Hervorheben des Verhaltens von Angreifern, wenn eine Domänendominanz erreicht wird, durch Remotecodeausführung auf dem Domänencontroller und Methoden wie DC Shadow, Replikation böswilliger Domänencontroller, Golden Ticket-Aktivitäten und mehr.

Untersuchen Sie Warnungen und Benutzeraktivitäten
• Defender for Identity wurde entwickelt, um das allgemeine Warnungsrauschen zu reduzieren und nur relevante, wichtige Sicherheitswarnungen in einer einfachen Echtzeit-Zeitachse für organisatorische Angriffe bereitzustellen. In der Zeitleistenansicht für Defender for Identity-Angriffe können Sie sich ganz einfach auf das Wesentliche konzentrieren und die Intelligenz intelligenter Analysen nutzen. Verwenden Sie Defender for Identity, um Bedrohungen schnell zu untersuchen und unternehmensweite Einblicke für Benutzer, Geräte und Netzwerkressourcen zu erhalten. Die nahtlose Integration in Microsoft Defender for Endpoint bietet eine weitere Ebene verbesserter Sicherheit durch zusätzliche Erkennung und Schutz vor erweiterten dauerhaften Bedrohungen des Betriebssystems.
spinner