การตรวจสอบและการจัดอันดับไดเรกทอรีที่ใช้งาน Microsoft azure

Microsoft เป็นผู้นำอุตสาหกรรมในหมวด IT core หลายทศวรรษและหนึ่งในนั้นที่ บริษัท มี stranglehold ที่มีประสิทธิภาพคือไดเรกทอรีเครือข่ายในสถานที่ Windows Server Active Directory (AD) ถูกใช้โดย บริษัท และหน่วยงานรัฐบาลทั่วโลกและเป็นมาตรฐานทองคำสำหรับการจัดการข้อมูลผู้ใช้ขององค์กร (IDM) ในองค์กร นอกเหนือจากคุณสมบัติขั้นสูงและการผนวกรวมกับไดเรกทอรีที่ได้รับความนิยมมากที่สุดในโลกแล้วการกำหนดราคาของ Microsost Azure AD นั้นมีการแข่งขันสูงมากในพื้นที่การจัดการข้อมูลผู้ใช้บริการ (IDaaS) ซึ่งเสนอระดับฟรีซึ่งเป็นระดับพื้นฐานสำหรับ $ 1 ต่อผู้ใช้ต่อเดือนและระดับพรีเมียมสองระดับที่เรียกใช้ $ 6 และ $ 9 ต่อเดือนตามลำดับ คุณสมบัติขั้นสูงการผสานอย่างแน่นหนากับแพลตฟอร์ม IDM ในสถานที่ชั้นนำและราคาใหม่และเป็นมิตรทั้งหมดรวมกันเพื่อยกระดับ Azure AD เป็นทางเลือกของบรรณาธิการในพื้นที่ IDaaS ควบคู่ไปกับการจัดการข้อมูลผู้ใช้ Okta

ติดตั้งและเชื่อมต่อกับ On-Prem AD

ด้วยเหตุผลที่ชัดเจนการใช้งานทั่วไปของ Azure AD ยังคงเป็น บริษัท ที่ต้องการรวมโดเมนโฆษณาในสถานที่ที่มีอยู่กับแอปพลิเคชันที่ทำงานในคลาวด์และแม้แต่ผู้ใช้ที่เชื่อมต่อผ่านอินเทอร์เน็ต เพื่อให้ความกล้าที่จะเชื่อมโยงโฆษณาในสถานที่กับ Azure AD โซลูชัน Microsoft ที่ได้รับความนิยมมากที่สุดคือ Azure AD Connect เครื่องมือการซิงโครไนซ์ที่มีให้ใช้งานได้อย่างอิสระจาก Microsoft คู่แข่งจำนวนมากเสนอเครื่องมือการซิงก์ที่คล้ายกันเพื่อเชื่อมต่อผลิตภัณฑ์ IDaaS กับโดเมนโฆษณาในสถานที่ แต่ Azure AD Connect เป็นตัวอย่างที่ดีของวิธีการทำให้ถูกต้อง ความแตกต่างที่ใหญ่ที่สุดระหว่าง Azure AD Connect และเครื่องมือการซิงโครไนซ์อื่น ๆ คือ Azure AD Connect เสนอการซิงโครไนซ์รหัสผ่านที่ปลอดภัยซึ่งช่วยให้กระบวนการรับรองความถูกต้องเกิดขึ้นภายใน Azure AD แทนข้อมูลรับรองของผู้ใช้ ความแตกต่างที่ใหญ่ที่สุดระหว่าง Azure AD Connect และเครื่องมือการซิงโครไนซ์อื่น ๆ คือ Azure AD Connect จะซิงโครไนซ์รหัสผ่านโดยค่าเริ่มต้นและกระบวนการตรวจสอบความถูกต้องจะเกิดขึ้นภายใน Azure AD แทนข้อมูลรับรองของผู้ใช้ หลายองค์กรอาจมีปัญหานโยบายเกี่ยวกับการซิงค์รหัสผ่านแฮชกับคลาวด์ทำให้การซิงค์รหัสผ่าน Azure AD Connect เป็นปัญหาที่อาจเกิดขึ้น

Azure AD ยังรองรับการใช้งาน Active Directory Federation Services (ADFS) ตามธรรมเนียมแล้วเพื่อให้ความสามารถในการตรวจสอบสิทธิ์อัตโนมัติสำหรับแอพหรือบริการภายนอก ADFS บังคับให้มีการร้องขอการตรวจสอบสิทธิ์ที่จะดำเนินการโดยใช้โฆษณาท้องถิ่นของคุณอย่างไรก็ตามมีข้อกำหนดและขั้นตอนการกำหนดค่าของตัวเองที่ซับซ้อนกว่าผลิตภัณฑ์คู่แข่ง ตัวเลือกที่เหมาะคือบางสิ่งบางอย่างตามแนวของ PingFederate ของ Ping Identity ซึ่งให้การรวมข้อมูลประจำตัวด้วยการกำหนดค่าน้อยที่สุด แต่จะช่วยให้คุณปรับแต่งทุกแง่มุมของกระบวนการรวม

ตัวเลือกใหม่ล่าสุดสำหรับการรวม AD กับ Azure AD ยังคงใช้ตัวแทน Azure AD Connect แต่มีตัวเลือกแบบรวม การร้องเรียนทั่วไปหนึ่งเรื่องเกี่ยวกับ Azure AD ใน บริษัท ขนาดใหญ่คือการขาดจุดศูนย์กลางระหว่างการซิงโครไนซ์โดยใช้ Azure AD Connect และการรวมกลุ่มโดยใช้ ADFS Pass-through Authentication ใช้ Azure AD Connect เพื่อเสนอเส้นทางที่ง่ายในการเข้าถึงข้อมูลประจำตัวของคุณใน AD ในทางทฤษฎีแล้วการพิสูจน์ตัวตนแบบพาส - ทรูนำเสนอสิ่งที่ดีที่สุดทั้งสองโลกรักษาเอกลักษณ์และรับรองความถูกต้องในสถานที่ แต่ไม่จำเป็นต้องใช้ ADFS ประโยชน์เพิ่มเติมของการพิสูจน์ตัวตนแบบพาส - ทรูผ่าน ADFS ก็คือการเชื่อมต่อนั้นใช้ระบบตัวแทนจึงไม่จำเป็นต้องมีกฎไฟร์วอลล์หรือการวางตำแหน่งภายใน DMZ ฟังก์ชั่นนี้สอดคล้องกับการแข่งขันของ Azure AD มากมายรวมถึง Okta, OneLogin, Bitium และ Centrify การตรวจสอบ Pass-through นั้นอยู่ในหน้าตัวอย่างโดยคาดว่าจะมีวางจำหน่ายทั่วไปภายในไม่กี่เดือนข้างหน้า

การรวมไดเรกทอรี

ดูเหมือนจะปลอดภัยที่คาดว่าโซลูชัน Microsoft IDaaS จะรวมเข้ากับโฆษณาอย่างแน่นหนาและ Azure AD ไม่ทำให้ผิดหวัง การซิงโครไนซ์แอตทริบิวต์สามารถกำหนดค่าด้วย Azure AD Connect และสามารถแมปภายหลังได้ภายในการกำหนดค่าแอพ Software-as-a-Service (SaaS) Azure AD ยังรองรับการเปลี่ยนรหัสผ่านที่เขียนกลับไปเป็น AD เมื่อเกิดขึ้นใน Microsoft Office 365 หรือ Azure AD พอร์ทัลผู้ใช้ คุณลักษณะนี้มีให้บริการในคู่แข่งเช่น OneLogin และ Edta 'Choice Winner Okta Identity Management แต่อาจต้องใช้ซอฟต์แวร์เพิ่มเติมหรือเปลี่ยนแปลงนโยบายการซิงโครไนซ์เริ่มต้น

จุดรวมที่สำคัญอีกประการสำหรับ Azure AD คือสำหรับลูกค้าที่ใช้ Microsoft Exchange สำหรับบริการอีเมลของพวกเขาโดยเฉพาะอย่างยิ่งสำหรับผู้ที่ใช้ Exchange หรือ Exchange Online ร่วมกับ Office 365 ในสถานการณ์สมมติแบบไฮบริดคลาวด์ซึ่งบริการอีเมลทั้งหมดหรือบางส่วน - ยกระดับศูนย์ข้อมูลในขณะที่ทรัพยากรอื่น ๆ โฮสต์อยู่ในคลาวด์ ในการติดตั้ง Azure AD Connect จะรับรู้แอตทริบิวต์ schema เพิ่มเติมที่ระบุถึงการติดตั้ง Exchange และจะซิงโครไนซ์แอตทริบิวต์เหล่านี้โดยอัตโนมัติ Azure AD ยังมีความสามารถในการซิงโครไนซ์กลุ่ม Office 365 กลับไปที่ AD เป็นกลุ่มการแจกจ่าย

Windows 10 ยังนำความสามารถใหม่มาผสานกับ Azure AD Windows 10 รองรับอุปกรณ์ที่เข้าร่วมกับ Azure AD เป็นทางเลือกแทนโฆษณาองค์กรของคุณ อย่างไรก็ตามโปรดระวังเนื่องจากฟังก์ชันการทำงานแตกต่างกันอย่างมากระหว่างการเชื่อมต่ออุปกรณ์กับ Azure AD กับการเข้าร่วมอุปกรณ์กับโฆษณาในสถานที่แบบดั้งเดิม นั่นเป็นเพราะเมื่อเชื่อมต่อกับ Azure AD อุปกรณ์ Windows 10 จะได้รับการจัดการผ่าน Azure AD และเครื่องมือการจัดการอุปกรณ์มือถือ (MDM) ของ Microsoft แทนที่จะเป็นนโยบายกลุ่ม ประโยชน์ที่ยิ่งใหญ่สำหรับผู้ใช้ Azure AD คือการรับรองความถูกต้องไปยังพอร์ทัลผู้ใช้เป็นไปอย่างราบรื่นเนื่องจากผู้ใช้ได้รับการรับรองความถูกต้องไปยังอุปกรณ์แล้วและแอพ Windows 10 เช่น Mail และ Calendar จะรับรู้ว่าบัญชี Office 365 นั้นพร้อมใช้งานหรือไม่ กระบวนการเข้าสู่ระบบคล้ายกับสไตล์การเข้าสู่ระบบเริ่มต้นใน Windows 8 ซึ่งจะขอรายละเอียดบัญชี Microsoft ของคุณ

Microsoft Identity Manager

องค์กรขนาดใหญ่ไม่ค่อยพึ่งพาแหล่งข้อมูลตัวเดียว ไม่ว่าจะเป็นการรวมกันของ Active Directory และระบบทรัพยากรมนุษย์ (HR), ฟอเรสต์ Active Directory หลายอันหรือความสัมพันธ์กับพันธมิตรทางธุรกิจความซับซ้อนเพิ่มเติมนั้นย่อมเป็นสิ่งที่หลีกเลี่ยงไม่ได้ในธุรกิจขนาดใหญ่ โซลูชันของ Microsoft สำหรับการรวมผู้ให้บริการเอกลักษณ์หลายรายเข้าด้วยกันคือ Microsoft Identity Manager แม้ว่าจะเป็นแพคเกจซอฟต์แวร์ที่แตกต่างกัน แต่สิทธิ์การใช้งานไคลเอนต์จะรวมอยู่ในระดับ Azure AD Premium Azure AD B2B Collaboration (Azure AD B2B) เป็นช่องทางหนึ่งในการเข้าถึงแอพธุรกิจขององค์กร แม้ในปัจจุบันจะมีการแสดงตัวอย่าง Azure AD B2B อำนวยความสะดวกในการทำงานร่วมกันกับพันธมิตรทางธุรกิจให้พวกเขาเข้าถึงแอพโดยไม่ต้องสร้างบัญชีผู้ใช้ใน Active Directory หรือ Active Directory ที่ไว้วางใจ

รองรับการลงชื่อเข้าใช้ครั้งเดียวจริง (SSO) โดยใช้ข้อมูลประจำตัวไดเรกทอรีได้รับการสนับสนุนโดยใช้ Azure AD เมื่อใช้การซิงค์รหัสผ่านหรือการตรวจสอบพาส - ทรู ก่อนหน้านี้ ADFS เท่านั้นที่เสนอฟังก์ชั่นนี้ ขณะนี้ผู้ใช้สามารถรับรองความถูกต้องกับ Azure AD และแอป SaaS ของพวกเขาโดยไม่ต้องให้ข้อมูลรับรองโดยสมมติว่าพวกเขามีคุณสมบัติตรงตามข้อกำหนดทางเทคนิค (กล่าวคือคอมพิวเตอร์ที่ใช้ Windows เข้าร่วมโดเมน SSO สำหรับผู้ใช้เดสก์ท็อปขององค์กรยังอยู่ในหน้าตัวอย่าง

ผู้บริโภค IDM

Azure AD B2C เป็น IDM ของผู้บริโภค อนุญาตให้ผู้ใช้รับรองความถูกต้องกับบริการหรือแอพของคุณโดยใช้ข้อมูลประจำตัวที่มีอยู่ที่พวกเขาได้สร้างไว้แล้วกับบริการคลาวด์อื่น ๆ เช่น Google หรือ Facebook Azure AD B2C รองรับทั้ง OAuth 2.0 และ Open ID Connect และ Microsoft มีตัวเลือกมากมายสำหรับการรวมบริการเข้ากับแอพหรือบริการของคุณ

การกำหนดราคาสำหรับการเสนอขาย B2C แยกจากระดับ Azure AD มาตรฐานและแบ่งตามจำนวนผู้ใช้ที่เก็บไว้ต่อการรับรองความถูกต้องและจำนวนการรับรองความถูกต้อง ผู้ใช้ที่บันทึกไว้มีอิสระสูงสุด 50, 000 ผู้ใช้และเริ่มต้นที่ $ 0.0011 ต่อการรับรองความถูกต้องสูงสุด 1 ล้าน 50, 000 การรับรองความถูกต้องแรกต่อเดือนก็ฟรีเช่นกันและเริ่มต้นที่ $ 0.0028 ต่อการรับรองความถูกต้องสูงถึง 1 ล้าน การรับรองความถูกต้อง Multifactor ยังมีอยู่สำหรับ Azure AD B2C และเรียกใช้มาตรฐาน $ 0.03 ต่อการรับรองความถูกต้อง

การจัดเตรียมผู้ใช้

Azure AD เสนอคุณสมบัติที่คล้ายกันที่กำหนดให้กับผู้ขาย IDaaS ส่วนใหญ่เมื่อมันมาถึงการรับผู้ใช้และกลุ่มตั้งค่าเพื่อกำหนดและจัดเตรียมการเข้าถึงแอป SaaS ทั้งผู้ใช้และกลุ่มความปลอดภัยสามารถซิงโครไนซ์โดยใช้ Azure AD Connect หรือผู้ใช้และกลุ่มสามารถเพิ่มได้ด้วยตนเองภายใน Azure AD น่าเสียดายที่ไม่มีวิธีการซ่อนผู้ใช้หรือกลุ่มใน Azure AD ดังนั้นลูกค้าในองค์กรขนาดใหญ่จะต้องใช้ประโยชน์จากคุณสมบัติการค้นหาบ่อยครั้งเพื่อนำทางไปยังผู้ใช้หรือกลุ่มเฉพาะ Azure AD ช่วยให้คุณสามารถสร้างกลุ่มแบบไดนามิกโดยยึดตามการสืบค้นตามคุณลักษณะโดยใช้คุณลักษณะ (ปัจจุบันอยู่ในตัวอย่าง) เรียกว่ากฎขั้นสูง

Azure AD รองรับการจัดเตรียมผู้ใช้โดยอัตโนมัติในแอป SaaS และมีข้อได้เปรียบที่แตกต่างจากการทำงานที่ดีเป็นพิเศษกับการปรับใช้ Office 365 เมื่อเป็นไปได้ Azure AD จะทำให้กระบวนการนี้ง่ายขึ้นเช่นเดียวกับในกรณีของ Google Apps ด้วยกระบวนการสี่ขั้นตอนง่าย ๆ Azure AD จะแจ้งให้คุณลงชื่อเข้าใช้ Google Apps และขออนุญาตจากคุณเพื่อกำหนดค่า Google Apps สำหรับการจัดเตรียมผู้ใช้อัตโนมัติ

เข้าสู่ระบบเดียวใน

พอร์ทัลผู้ใช้ปลายทางของ Microsoft นั้นคล้ายคลึงกับการแข่งขันมากโดยมีตารางไอคอนแอพที่นำผู้ใช้ไปยังแอป SSO หากผู้ดูแลระบบเลือกพอร์ทัลผู้ใช้ Azure AD สามารถกำหนดค่าเพื่ออนุญาตการดำเนินการด้วยตนเองเช่นรีเซ็ตรหัสผ่านคำขอแอพหรือคำขอเป็นสมาชิกกลุ่มและการอนุมัติ สมาชิก Office 365 มีสิทธิประโยชน์เพิ่มเติมจากความสามารถในการเพิ่มแอปพลิเคชัน SSO ไปยังเมนูแอป Office 365 ซึ่งให้การเข้าถึงแอพธุรกิจที่สำคัญอย่างสะดวกสบายจากภายใน Outlook หรือข้อเสนอ Office 365 อื่น ๆ

Azure AD รองรับนโยบายความปลอดภัยที่เชื่อมโยงกับแต่ละแอพช่วยให้คุณต้องใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA) โดยทั่วไปแล้ว MFA เกี่ยวข้องกับอุปกรณ์รักษาความปลอดภัยหรือโทเค็นบางประเภท (เช่นสมาร์ทการ์ด) หรือแม้แต่แอพสมาร์ทโฟนที่ต้องแสดงก่อนลงชื่อเข้าใช้ Azure AD สามารถรองรับ MFA สำหรับผู้ใช้รายบุคคลกลุ่มหรือตามตำแหน่งเครือข่าย การจัดการข้อมูลผู้ใช้ Okta จัดการนโยบายความปลอดภัยในลักษณะเดียวกัน โดยทั่วไปเราต้องการให้แยกนโยบายความปลอดภัยออกเพื่อให้สามารถใช้นโยบายเดียวกันกับหลาย ๆ แอปได้ แต่อย่างน้อยคุณก็สามารถกำหนดนโยบายได้หลายนโยบาย

ฟีเจอร์หนึ่งเดียวที่ Microsoft เสนอใน Azure AD Premium สามารถช่วยให้ บริษัท ของคุณเริ่มต้นใช้งานการระบุแอป SaaS ที่องค์กรของคุณใช้อยู่แล้ว Cloud App Discovery ใช้ตัวแทนซอฟต์แวร์เพื่อเริ่มวิเคราะห์พฤติกรรมของผู้ใช้เกี่ยวกับแอพ SaaS ช่วยให้คุณสามารถใช้งานแอพที่ใช้บ่อยที่สุดในองค์กรของคุณและเริ่มจัดการผู้ใช้ในระดับองค์กร

สถานการณ์ดั้งเดิมสำหรับโซลูชัน IDaaS เกี่ยวข้องกับการพิสูจน์ตัวตนผู้ใช้กับแอพคลาวด์โดยใช้ข้อมูลรับรองที่มาจากไดเรกทอรีในสถานที่ Azure AD ผลักดันขอบเขตเหล่านั้นด้วยการเปิดใช้งานการตรวจสอบสิทธิ์ไปยังแอปในสถานที่โดยใช้ Application Proxy ซึ่งใช้ตัวแทนเพื่อให้ผู้ใช้เชื่อมต่อกับแอพได้อย่างปลอดภัยผ่าน Azure เนื่องจากสถาปัตยกรรมแบบเอเจนต์ที่ใช้โดย Application Proxy จึงไม่จำเป็นต้องเปิดพอร์ตไฟร์วอลล์ไปที่แอพภายในองค์กร ในที่สุด Azure AD Domain Services สามารถใช้ประโยชน์เพื่อเสนอไดเรกทอรีที่มีอยู่ใน Azure ซึ่งเป็นสภาพแวดล้อมของโดเมนแบบดั้งเดิมสำหรับการพิสูจน์ตัวตนผู้ใช้กับเครื่องเสมือนที่โฮสต์ใน Azure Azure AD Application Proxy ยังสามารถกำหนดค่าให้ใช้นโยบายการเข้าถึงตามเงื่อนไขเพื่อบังคับใช้กฎการตรวจสอบเพิ่มเติม (เช่น MFA) เมื่อตรงตามเงื่อนไขบางประการ

Azure AD จัดการการรับรองความถูกต้องมากกว่า 1.3 พันล้านทุกวัน ขนาดที่แท้จริงนี้ช่วยให้ Microsoft สามารถให้บริการอย่างน้อยหนึ่งบริการที่โซลูชั่น IDM ไม่กี่รายที่สามารถแข่งขันได้และนั่นคือ Azure AD Identity Protection คุณลักษณะนี้ใช้บริการคลาวด์ที่หลากหลายของ Microsoft (Outlook.com, Xbox Live, Office 365 และ Azure) รวมถึงการเรียนรู้ของเครื่อง (ML) เพื่อให้การวิเคราะห์ความเสี่ยงที่ไม่มีใครเทียบสำหรับตัวตนที่เก็บใน Azure AD เมื่อใช้ข้อมูลนี้ Microsoft จะตรวจหารูปแบบและความผิดปกติที่สามารถคำนวณคะแนนความเสี่ยงสำหรับผู้ใช้แต่ละรายและการลงชื่อเข้าใช้แต่ละครั้ง Microsoft ยังตรวจสอบการละเมิดความปลอดภัยที่เกี่ยวข้องกับข้อมูลรับรองอย่างจริงจังเพื่อประเมินการละเมิดเหล่านี้สำหรับข้อมูลประจำตัวภายในองค์กรของคุณที่อาจถูกบุกรุก เมื่อคะแนนความเสี่ยงนี้ได้รับการคำนวณแล้วผู้ดูแลระบบสามารถใช้ประโยชน์ในนโยบายการตรวจสอบความถูกต้องซึ่งจะช่วยให้พวกเขาสามารถแก้ไขข้อกำหนดการลงชื่อเข้าใช้เพิ่มเติมเช่น MFA หรือการรีเซ็ตรหัสผ่าน

การรายงาน

ชุดรายงาน Microsoft ที่เสนอกับ Azure AD ขึ้นอยู่กับระดับบริการของคุณ แม้แต่ระดับฟรีและขั้นพื้นฐานก็มีรายงานความปลอดภัยขั้นพื้นฐานซึ่งเป็นรายงานกระป๋องที่แสดงกิจกรรมพื้นฐานและบันทึกการใช้งาน สมาชิกระดับพรีเมียมสามารถเข้าถึงชุดรายงานขั้นสูงซึ่งใช้ประโยชน์จากความสามารถในการเรียนรู้ของ Azure เพื่อให้ข้อมูลเชิงลึกเกี่ยวกับพฤติกรรมที่ผิดปกติเช่นความพยายามในการพิสูจน์ตัวตนที่ประสบความสำเร็จหลังจากความล้มเหลวซ้ำหลายครั้งจากหลายภูมิภาคหรือจากที่อยู่ IP ที่น่าสงสัย

Azure AD ไม่ได้เสนอชุดการรายงานแบบสมบูรณ์ แต่รายงานกระป๋องที่มีให้สำหรับลูกค้าระดับพรีเมียมนั้นมีความซับซ้อนมากกว่าสิ่งที่คู่แข่งเสนอ ในท้ายที่สุดฉันชอบระดับความเข้าใจที่คุณได้รับจากรายงานกระป๋องใน Azure AD Premium แม้จะชั่งน้ำหนักต่อการขาดการตั้งเวลาหรือรายงานที่กำหนดเอง

การตั้งราคา

การกำหนดราคาของ Azure AD เริ่มต้นด้วยระดับฟรีที่รองรับวัตถุไดเรกทอรีได้สูงสุด 500, 000 รายการ (ในกรณีนี้หมายถึงผู้ใช้และกลุ่ม) และแอปลงชื่อเข้าใช้ (SSO) สูงสุด 10 รายการต่อผู้ใช้หนึ่งราย Azure AD รุ่นฟรีรวมอยู่กับการสมัครใช้งาน Office 365 โดยอัตโนมัติซึ่งในสถานการณ์ที่ไม่มีการ จำกัด วัตถุ ด้วยราคาขายปลีกที่ $ 1 ต่อผู้ใช้ต่อเดือนระดับขั้นพื้นฐานของ Azure AD นั้นมีการแข่งขันสูงมาก บริการขั้นพื้นฐานจะเพิ่มความสามารถเช่นการสร้างแบรนด์สำหรับพอร์ทัลผู้ใช้และการเข้าถึงและการจัดเตรียม SSO แบบกลุ่มเพื่อที่จะสร้างบัญชีผู้ใช้ในแอป SaaS โดยอัตโนมัติคุณจะต้องใช้เทียร์พื้นฐาน

เทียร์พื้นฐานจะรักษา 10 แอพต่อขีด จำกัด ของผู้ใช้ แต่เพิ่มความสามารถในการรองรับแอพในสถานที่โดยใช้ Application Proxy Premium P1 และ P2 เทียร์ใน Azure AD ลบข้อ จำกัด จากจำนวนแอพ SSO ที่ผู้ใช้สามารถมีและเพิ่มความสามารถในการบริการตนเองและ MFA สำหรับ $ 6 และ $ 9 ต่อผู้ใช้ต่อเดือนตามลำดับ ทั้ง Azure AD Premium ระดับชั้นยังรวมถึงสิทธิการใช้งานการเข้าถึงไคลเอ็นต์ของผู้ใช้ (CAL) สำหรับ Microsoft Identity Manager (เดิมคือ Forefront Identity Manager) ซึ่งสามารถใช้ในการซิงโครไนซ์และจัดการข้อมูลประจำตัวในฐานข้อมูลแอปไดเรกทอรีอื่น ๆ ระดับพรีเมี่ยมยังนำการเข้าถึงแบบมีเงื่อนไขและสิทธิ์การใช้งาน MDM Intune มาไว้ที่โต๊ะซึ่งเพิ่มขีดความสามารถด้านความปลอดภัยเป็นอย่างมาก ประโยชน์หลักของระดับ Premium P2 เหนือ Premium P1 คือการป้องกันข้อมูลประจำตัวและการจัดการข้อมูลผู้มีสิทธิพิเศษซึ่งทั้งสองอย่างนี้มีคุณสมบัติเป็นคุณสมบัติความปลอดภัยชั้นนำของอุตสาหกรรม

ข้อพิจารณาด้านราคาอีกประการหนึ่งคือความสามารถในการให้ใบอนุญาตบริการ MFA ของ Azure แยกต่างหากจาก Azure AD ซึ่งมีประโยชน์สองประการคือประการแรก MFA สามารถเพิ่มในระดับ Azure AD ฟรีหรือพื้นฐาน Azure AD สำหรับ $ 1.40 ต่อผู้ใช้ต่อเดือน ตัวพิมพ์ใหญ่) นำต้นทุนรวมของบริการพื้นฐานด้วย MFA ไปยัง $ 2.40 ต่อผู้ใช้ ประการที่สองคุณสามารถเลือกที่จะเปิดใช้งาน MFA สำหรับชุดย่อยของฐานผู้ใช้ของคุณเท่านั้นซึ่งอาจประหยัดเงินได้มากในแต่ละเดือน

Azure AD ครอบคลุมคุณสมบัติหลักส่วนใหญ่ที่คุณควรมองหาในผู้ให้บริการ IDaaS เครื่องมือนี้นำเสนอเครื่องมือระดับองค์กรที่คุณคาดหวังจาก บริษัท อย่าง Microsoft คุณสมบัติเช่น Application Proxy และ Identity Protection เป็นคุณสมบัติที่ดีที่สุดในชั้นเรียนหรือค่อนข้างไม่มีการแข่งขัน ราคามีการแข่งขันสูงและการรวมเข้ากับ Office 365 และผลิตภัณฑ์และบริการอื่น ๆ ของ Microsoft นั้นมีความแข็งแกร่งและพัฒนาอย่างต่อเนื่อง Azure AD เข้าร่วม Okta Identity Management เป็นตัวเลือกของบรรณาธิการในหมวดหมู่ IDaaS