Nach Maß

von Thomas Joos

Unternehmen, die das Azure AD produktiv einsetzen, kommen auf Dauer um eine Auswahl der Lizenzen Premium P1 oder P2 nicht herum. Nur mit diesen beiden Plänen lässt sich der Cloudverzeichnisdienst umfangreich nutzen. In den meisten Fällen genügen P1-Lizenzen, denn sie enthalten bereits die meisten Funktionen. Bei besonderen Sicherheitsanforderungen sollten sich Firmen allerdings die P2-Variante anschauen. Wir stellen die beiden Lizenztypen vor und beleuchten die Unterschiede.

Bei der Nutzung des Azure AD haben Unternehmen die Wahl zwischen den Lizenzen Premium P1 und P2. Daneben stellt Microsoft das Azure AD auch kostenlos für Microsoft-365-Benutzer zur Verfügung. Wobei, kostenlos stimmt natürlich nicht ganz, denn die Verwendung des Azure AD ist dann über die Lizenzierung von Microsoft 365 abgedeckt. In diesen Lizenzen sind allerdings keine Premium-Features enthalten. Welche das sind, beleuchten wir im weiteren Verlauf ausführlicher.

Eine vierte Lizenzierungsmöglichkeit von Azure AD bietet die Variante "Office 365-Apps". Im Gegensatz zur komplett kostenlosen Version für Microsoft 365 sind hier einige weitere Funktionen enthalten, so zum Beispiel gruppenbasierte Zugriffsverwaltungen für Ressourcen in Microsoft 365 wie auch in Azure AD und Azure. Der verfügbare Reverse Proxy (Anwendungsproxy) in dieser Lizenz ist sinnvoll, um interne Webanwendungen über das Internet zur Verfügung zu stellen. Hier besteht auch die Möglichkeit eines Unternehmensbrandings.

Einen kurzen Vergleich der vier Lizenzierungsvarianten finden Sie unter [1]. Die Verwaltung der einzelnen Funktionen in Azure AD erfolgt im Azure Active Directory Admin Center [2]. Über das Admin Center können Sie auch Testversionen für P2 in einem Abonnement aktivieren und sich danach entscheiden, ob Sie damit, mit der kostenlosen Lizenz, der Office-365-Apps-Lizenz oder mit P1 weiterarbeiten möchten. Entscheiden Sie sich für P1 oder P2, ist das Abonnement immer ein Jahr gültig.

Preisunterschiede

Die Preisunterschiede zwischen den Lizenzen sind teilweise deutlich. Für die kostenlose, eingeschränkte Variante von Azure AD fallen keine Kosten an, die Kosten für Azure AD zum Einsatz in Microsoft 365 sind bereits durch die Abokosten abgedeckt. Hier können Sie also nutzen, was Sie brauchen, ohne zusätzliche Kosten einplanen zu müssen. Wer auf Azure AD Premium P1 setzen will, muss mit etwa fünf Euro je Benutzer und Monat rechnen, der Einsatz von Premium P2 kostet pro Benutzer und Monat 7,60 Euro. Das Buchen einer Lizenz erfolgt wie erwähnt immer für ein ganzes Jahr. In P2 sind bereits alle Funktionen von P1 enthalten, Sie müssen also nicht zweimal lizenzieren.

Beide Premium-Editionen haben eine garantierte Verfügbarkeit (SLA) von 99,9 Prozent. Natürlich stellt sich hier schnell die Frage, ob ein Preisunterschied von 50 Prozent für die zusätzlichen Funktionen in Premium P2 gerechtfertigt ist. Hauptsächlich handelt es sich bei den zusätzlichen Funktionen der P2-Lizenzen um Sicherheitsfunktionen und Berichte, mit denen mehr Kontrolle über das Verzeichnis möglich ist. Unternehmen, die Wert auf maximale Sicherheit in Azure legen, sollten daher den Einsatz von P2 erwägen.

Funktionen in Premium P1 und P2

Wer sich für Azure AD Premium P1 entscheidet, hat Zugriff auf die folgenden Funktionen:

- Conditional Access

- Multi-Faktor-Authentication

- Microsoft Identity Manager

- Advanced Security Reports

- Azure AD Connect Health

- Self-Service Password Reset

- Self-Service Group Management

- Group-Based Access Management

Bereits in Azure AD Premium P1 sind damit wichtige Funktionen enthalten, mit denen sich Benutzerkonten schützen lassen. Durch die Möglichkeit der Self-Service-Kennwortrücksetzung, -änderung und Kontenentsperrung können auch Anwender selbst ihre Kennwörter zurücksetzen ohne Unterstützung von Administratoren oder Support-Mitarbeitern.

Die Funktionen der Gruppenzugriffsverwaltung, Microsoft Cloud App Discovery, Azure AD Join und MDM-Autoregistrierung sowie Anpassung der lokalen Admin-Richtlinien sind mit Azure AD Premium P1 ebenfalls möglich. Die BitLocker-Wiederherstellung ist in P1 für Anwender selbst umsetzbar. Enterprise State Roaming sowie erweiterte Sicherheits- und Nutzungsberichte erhöhen die Sicherheit und den Überblick. Es ist also nicht so, dass sich erst mit P2 das Azure AD absichern lässt. Auch in P1 sind einige Sicherheitsfunktionen enthalten, die Sie durch P2 erweitern. Azure AD Premium P2 enthält alle Funktionen, die auch in P1 enthalten sind, und insbesondere noch die zusätzlichen Features

- Azure Identity Protection (Erkennung von Sicherheitsrisiken und von gefährdeten Konten)

- Risk-Based Conditional Access

- Privileged Identity Management (PIM)

Premium P2 für mehr Sicherheit

Unternehmen, die sich für Premium P2 entscheiden, haben vor allem Zugriff auf mehr Sicherheitsfunktionen. Im Fokus der Lizenz stehen vor allem die Sicherheitserweiterungen für Azure AD. Dabei handelt es sich um Funktionen zur Absicherung der Benutzerkonten, Gruppen und der Anmeldungen an Azure. Azure Identity Protection ist ebenfalls ein Feature in Premium P2. Mit dem Privileged Identity Management (PIM) führen Sie im Azure AD und den verknüpften Diensten hingegen Zugriffsüberprüfungen durch und verwalten die Berechtigungen im Zusammenhang mit besonders berechtigten Konten. Mehr zu den beiden Features gleich.

Das Untersuchen von Risiken anhand von Daten im Portal ist ebenfalls ohne Zusatztools möglich. Auch das Exportieren von Risikoerkennungsdaten in Dienstprogramme von Drittanbietern zur weiteren Analyse ist auf diesem Weg umsetzbar. Das ist in Hybrid-Clouds sinnvoll, wenn Sie sicherstellen möchten, dass es keine Gefahren für das interne Netzwerk aufgrund von Risiken in der Cloud gibt. In diesem Fall lassen sich die Analysen in verschiedene Monitoringtools integrieren.

Azure Identity Protection

Azure Identity Protection ist der zentrale Dienst in Azure AD Premium P2. Mit Identity Protection schützen Sie die Benutzeranmeldungen umfassend. Dabei setzt der Dienst auf Machine Learning. Dieses analysiert laufend das Benutzerverhalten und erkennt, wenn sich ein Benutzerkonto unüblich verhält. Dazu gehören zum Beispiel Anmeldungen, die auf einmal aus dem Ausland oder von bekannt gefährlichen IP-Adressen aus erfolgen. Das sind natürlich nur zwei Beispiele.

Dabei kann der Dienst nicht nur Berichte erstellen, sondern automatisierte Aktionen durchführen, wie das Sperren des kompletten Zugriffs oder zumindest das Einschränken auf bestimmte Ressourcen. Ebenfalls möglich ist das automatisierte Abfragen von weiteren Anmeldedaten, bevor ein Benutzer Zugriff auf Ressourcen erhält. Administratoren können Erkennungen überprüfen und bei Bedarf manuelle Maßnahmen ergreifen. Es gibt drei wichtige Berichte, die für Untersuchungen in Identity Protection zur Verfügung stehen:

- Riskante Anmeldungen

- Risiko-Erkennungen

Im Dashboard von Azure Identity Protection konfigurieren und aktivieren Sie die Benutzer-Risikorichtlinien. Mit diesen schützen Sie Benutzer automatisiert. In den Richtlinien legen Sie zum Beispiel fest, welche Bedingungen gelten und wann die Risikorichtlinie basierend auf der Risikostufe des Benutzers angewendet werden soll. Das Ergebnis der Durchsetzung einer solchen Richtlinie ist das Sperren oder das Zulassen des Zugriffs auf bestimmte Ressourcen.

Mit der Multifaktor-Authentifizierung in Azure lässt sich jeder Benutzer mit einer zweiten Sicherheitsebene schützen. Damit Benutzer auf MFA-Aufforderungen reagieren können, müssen sie sich zunächst für die Azure-Multifactor-Authentication registrieren. Mit Registrierungsrichtlinien in Premium P2 können Sie die Durchsetzung für alle Benutzer oder einzelne Gruppen, basierend auf der Azure-MFA-Registrierungsdurchsetzung, erzwingen.

Die Berichte in Azure Identity Protection helfen dabei, einen Überblick darüber zu behalten, wie sich Benutzer an Azure AD anmelden und ob es dabei Risiken bei der Verbindung gibt. Sie können die Benutzeranmeldungen auf Basis von verschiedenen Optionen filtern. Dazu gehören das Datum und damit die Anmeldungen im letzten Monat, den letzten sieben Tage, letzten 24 Stunden und benutzerdefinierten Zeitintervalle. Zusätzlich lassen sich auch Berichte auf Basis des Risikostatus anzeigen (gefährdet, bestätigt kompromittiert, bestätigt sicher, abgelehnt oder behoben). Auch die Risikostufe wird im Bericht erfasst (hoch, mittel und niedrig). Die Berichte enthalten dabei die IP-Adressen und deren Einordnung in verschiedene Risikostufen sowie unübliche Anmeldungen.

Privileged Identity Management

Eine weitere wichtige Funktion in Azure AD Premium P2 ist das Privileged Identity Management (PIM). Dabei handelt es sich um einen Dienst, mit dem Sie den Zugriff auf Ressourcen in der Organisation granular verwalten, steuern und überwachen. PIM ermöglicht eine umfassende, rollenbasierte und auf Anforderung auch zeitbasierte Benutzeranmeldung mit erweiterten Rechten. Zu diesen Ressourcen gehören Dienste in Azure AD, Azure und anderen Clouddiensten wie Microsoft 365 oder Microsoft Endpoint.

PIM ermöglicht es so dem globalen Administrator, den ständigen Admin-Zugriff auf privilegierte Rollen zu beschränken. Mit dem Feature sind auch Just-in-Time-Szenarien zur Verwaltung von Ressourcen in Azure AD möglich. Dabei wird festgelegt, dass Administratoren nur eine Zeit lang bestimmte Rechte erhalten, um Verwaltungsaufgaben durchzuführen.

Enterprise Mobility und Security

Wenn Sie im Unternehmen "Enterprise Mobility and Security" (EMS) nutzen, ist ebenfalls eine Lizenz von Azure AD Premium enthalten. Bei der Buchung von E3 von Enterprise Mobility & Security ist Premium P1 enthalten. Bei der E5-Version von Enterprise Mobility & Security ist Premium 2 verfügbar.

Die zentrale Aufgabe von EMS ist die Verwaltung mobiler Geräte wie Notebooks, Smartphones und Tablets über die Cloud. Die Suite besteht im Grunde genommen aus drei Säulen: Microsoft Endpoint, Azure AD Premium und Azure AD Rights Management. Die drei Technologien arbeiten zusammen und auf Wunsch auch mit anderen Azure-Diensten sowie Microsoft 365. Die Suite soll alle Geräte im Unternehmen inklusive Smartphones und Tablets in einer zentralen Konsole verwalten. Auch Daten und Apps lassen sich mit der Suite schützen.

Bei EMS handelt es sich um einen vollständig in die Cloud ausgelagerten Dienst. Es stellt einen zentralen Knoten für die Verbindung lokaler Netzwerke, Arbeitsstationen, mobiler Geräte, Azure und Microsoft 365 dar. Unternehmen benötigen keine eigenen Server mit EMS und es ist auch keine Installation oder Verwaltung des Features notwendig. Die Konfiguration erfolgt komplett über die Weboberfläche oder Zusatzwerkzeuge. Auch eine Administration über die PowerShell ist möglich.

Mit EMS lassen sich nicht nur Tablets mit Windows 10 verwalten, sondern auch Android- und iOS-Geräte. Die Verwaltung der Sicherheitseinstellungen dieser Geräte findet über Microsoft Endpoint statt. Die zentrale Verwaltung, auch mit anderen Clouddiensten, geschieht über das Azure AD und mit der Rechteverwaltung in Azure schützen Sie so Ihre Unternehmensdaten. Auch Cloudangebote und Software-as-a-Service-Apps anderer Anbieter lassen sich anbinden. Unternehmen, die auf System Center setzen, können die Clouddienste ebenfalls anbinden.

Fazit

Unternehmen, die Azure AD zur Benutzerauthentifizierung in verschiedenen Clouddiensten und in Azure nutzen wollen, kommen auf Dauer nicht um eine Premium-Lizenz herum. Beim Einsatz von Microsoft 365 reichen die Funktionen der Standard-Lizenzen meistens aus. Sobald aber erweiterte Features gefragt sind, um Benutzer sicherer und effektiver anzubinden, inklusive Self-Service-Kennwortsteuerung und anderer Funktionen, helfen die Premium-Lizenzen. Häufig reichen hier P1-Lizenzen, da sie die wichtigsten Funktionen in Azure AD enthalten.

Wer jedoch weitergehende Sicherheitsfunktionen benötigt, zum Beispiel weil sich Anwender überall auf der Welt an verschiedenen Stellen anmelden, sollte sich die Sicherheitsfeatures in Azure AD Premium 2 anschauen. Allen voran spielen hier die Dienste Azure Identity Protection und Privileged Identity Management eine wichtige Rolle, um den Zugriff von Benutzern auf Basis der Anmelderisiken zu steuern und die Rechte von Administratoren oder Anwendern auf Basis der Zeit einzuschränken.

Azure-AD-Lizenzen Premium P1 und P2