比較 Azure Active Directory 許可 – 免費與基本、P1 與 P2

Microsoft Azure 上的 Azure Active Directory 許可可能會讓一些企業感到困惑。微軟繼續在其身份服務中添加不同的許可選項和多種選擇，並為行業垂直整合奠定基礎。這些許可證的示例包括針對政府的 GCC、針對一線工人的 F1 等等。識別哪種許可選項適合您的業務需求可能很複雜。

如何在 Windows Server 2019 上設置 Active Directory

當代 IT 基礎設施的核心要素之一是身份管理。您可以自行管理現場網絡和雲系統上特定用戶的資源訪問。此外，必須限制未經授權的帳戶訪問授權的應用程序和數據。這對業務是有害的，而且肯定會帶來合規風險。

大多數使用 Microsoft 的企業，無論其 IT 系統如何，都必須使用 Azure Active Directory。此 Microsoft 許可可幫助他們監督身份服務。您可能已經在使用 Azure AD，它包含 Office 365 訂閱和 Azure 訂閱。

Microsoft 提供 4 個重要的 Azure Active Directory 許可證供企業選擇。本文比較了這些許可證並討論了 Azure Active Directory 在業務級別的重要性。文章還討論了它在微軟系統中的綜合功能。在了解這些許可證之前，我們首先概述一下 Active Directory。

什麼是活動目錄？

來源：https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/identity/adds-extend-domain

Active Directory (AD) 可幫助企業處理網絡中的用戶、組和組件。因此，您可以將用戶分配到組，然後為每個組分配對顯式網絡資源、設備和應用程序的訪問權限。管理各個級別訪問的特殊功能有助於企業將資源分配給精確的子組。從資源管理以及合規性和監管的角度來看，這一點也至關重要。

每個 Active Directory 服務的設計不盡相同。例如，Active Directory 服務、Windows Server Active Directory 使企業可以通過業務網絡處理內部資產和用戶完整性。另一方面，Azure Active Directory 的設計考慮了雲服務。

來源：將單個林與單個 Azure AD 租戶集成

在這裡閱讀更多內容：將單個林與單個 Azure AD 租戶集成

Azure Active Directory（或者 Azure AD）允許您管理用戶、組等身份。它還使您能夠通過雲管理對設備、應用程序和數據的訪問。這意味著訪問和身份完全由雲處理。此外，您的所有服務和雲應用程序都將使用Azure AD。

需要注意的一件事是 Azure AD 對 Microsoft 應用程序立即很有幫助。然而，事實證明，指揮整個組織的身份和訪問控制是有用的。一些組織在 Azure AD 和額外的本地 AD（通常是 Windows Active Directory）的幫助下設置了混合 AD 系統。

Azure AD 與 Windows Active Directory：

Azure Active Directory 對於跨 Windows、Azure 和 Web 應用程序監督身份非常有用。該目錄可以被視為存在於 Windows Server Active Directory 網絡外部的一項服務。 Windows Server Active Directory 提供域服務、聯合服務、輕量級目錄服務等來處理業務網絡上的網絡策略、身份和服務器。另一方面，Azure AD 的設計考慮了 Web 應用程序。

當涉及雲應用程序和資源時，Azure AD 的重要性非常高。例如，現場 Active Directory 服務（例如 Windows Server Active Directory）適合處理網絡中的身份、SSO 等。然而，這些服務無法管理雲應用程序的複雜性。 Windows Server AD 將監督您的本地 Active Directory 要求，而 Azure AD 將監督您的雲 Active Directory。

這兩個目錄都很重要。也許，您將使用它們來管理用戶和組的訪問和控制。首先，Azure AD 對於那些已經將應用程序轉移到雲的組織很有幫助。此外，它對於面臨多個用戶/密碼問題的組織也很有幫助，因為他們現有的 Active Directory 無法處理遷移。

請注意，Windows Server AD 和 Azure AD 的企業協議語言不同。 Windows Server AD 使用 LDAP、Kerberos 等，而 Azure AD 使用 Rest API 和 OAuth 2.0 令牌。因此，這意味著應用程序應該在 Azure AD 的幫助下構建。

各種 Azure Active Directory 許可：

以下部分重點介紹了一些 Azure Active Directory 許可替代方案。在進一步操作之前，請注意 Azure AD 以前捆綁到 Office 365 許可證和 Azure 許可證中。但Azure和Office客戶可以購買P1和P2版本以獲得額外的好處。

現在讓我們研究一下各種 Azure Active Directory 許可選項。

免費（包含在 Azure Sub 中）：

• 最多 500,000 個目錄對象
• 身份管理能力和設備註冊
• 單點登錄可分發給 10 個應用程序/用戶
• 輕鬆配置
• B2B 協作能力（使您能夠分配企業外部現有的來賓用戶）
• 聯合身份驗證（ADFS 或第 3 方 IDP）
• 自助修改密碼（雲用戶）
• 雲身份驗證（直通身份驗證、密碼哈希同步、無縫 SSO）
• 連接（將本地 AD 同步到 Azure AD）
• Azure AD Join：桌面 SSO 和管理員 BitLocker 恢復
• 多重身份驗證（可能因訂閱而異）
• 基本安全和使用報告

基本（每個用戶每月 1 美元）：

• 無限目錄對象
• 身份管理能力和設備註冊
• 單點登錄可以分配給每個用戶 10 個應用程序
• 輕鬆配置
• B2B 協作能力（使您能夠分配企業外部現有的來賓用戶）
• 自助重置密碼（雲用戶）
• 連接（將本地 AD 同步到 Azure AD）
• 基本安全報告
• 基於組的訪問管理和配置
• 自己動手重置密碼（適用於雲用戶）
• 能夠對登錄頁面進行品牌化
• 服務水平協議 (SLA)

高級 P1（每位用戶每月 6 美元）：

• 無限目錄對象
• 身份管理功能和設備註冊
• 單點登錄可以分配給每個用戶無限的應用程序
• 輕鬆配置
• B2B 協作功能（使您能夠將現有的訪客用戶分配到您的企業外部）
• 聯合身份驗證（ADFS 或第 3 方 IDP）
• 自助重置密碼（雲用戶）
• 雲身份驗證（直通身份驗證、密碼哈希同步、無縫 SSO）
• 連接（將本地 AD 同步到 Azure AD）
• Azure AD Join：桌面 SSO 和管理員 BitLocker 恢復
• 基於組的訪問管理和配置
• 能夠對登錄頁面進行品牌化
• 服務水平協議 (SLA)
• 應用代理
• 動態群組、群組創建、群組命名策略、使用指南等
• 用於自助重置、更改和解鎖的本地寫回
• 多重身份驗證
• 本地和 ADD 之間的雙向同步
• Microsoft Identity Manager 用戶 CAL
• 雲應用程序發現
• 連接健康
• 自動密碼翻轉（適用於組帳戶）
• 基於健康狀況/位置的條件訪問。
• Windows Server Active Directory 的密碼保護（全局和自定義禁止密碼）
• Microsoft 雲應用程序發現
• 能夠根據位置、設備狀態和組授予條件訪問權限
• Azure AD Join：MDM 自動註冊和本地管理策略自定義
• 與第三方身份治理合作夥伴集成
• Sharepoint 訪問受限
• OneDrive for Business（訪問受限）
• 第三方 MFA 合作夥伴的預覽集成
• 使用條款（設置特定訪問的使用條款）
• 高級安全和使用報告
• 雲應用安全集成

高級 P2（每位用戶每月 9 美元）：

• P1 中提供的一切
• 身份保護
• 特權身份管理
• 訪問評論
• 權利管理

Office 365（包含在 Office 365 子版本中）：

• 免費套餐中提供的所有內容
• 多重身份驗證
• 無限目錄對象

免費版、基本版、Office 365：

那些想要基本 Azure AD 服務的人必須考慮 3 個級別之一，即免費、基本和 Office 365。現在讓我們看看它們之間的基本區別：

免費與 Office 365：

這兩個 Azure AD 環境將成為您的現行許可證的一部分。因此，如果您只有 Azure 許可證，請選擇免費版本。如果您只有 Office 365 許可證，請選擇 Office 365 選項。

Office 365 選項為免費版本提供了 2 個好處 - 無限的目錄對象和多重身份驗證。

擁有多層身份驗證在當今的商業環境中至關重要。無限的對像對於大多數企業來說至關重要。如果您有 20 多名員工或者您正在使用大量雲應用程序，這一點尤其明顯。通常，您不需要在這兩個選項之間進行選擇。您要么擁有 Office 365 許可證，要么沒有。

Office 365 與基本版：

這兩個版本之間的 2 個主要區別如下：

• 基本版本允許您訪問應用程序代理。使用應用程序代理，您的雲 AD 和現場 AD 通過單獨的門戶或外部 URL 連接在一起。
• Office 365 版本為您提供多重身份驗證。

除了這兩點之外，這兩個版本在功能上是相同的。

閱讀更多：如何修復 PC 上的 Epic Games 錯誤“IS-0003：安裝失敗 – 無法創建目錄”

P1 與 P2：

對於那些想要升級到 P1 或 P2 空間以獲得附加功能的人來說，Azure AD 資源當然足夠了。這些層提供了上述 3 個版本（即基本版、免費版和 Office 365）中沒有的某些重要組件。這些組件有利於合規性、安全性和身份管理。

P1和P2的共同特點：

• 提供無限的目錄對象
• 為無限數量的應用程序和這些應用程序的無限用戶提供單點登錄。
• 提供身份管理能力
• 擁有 B2B 協作能力，允許訪問訪客用戶的協作功能
• 為用戶提供自助修改密碼功能
• 必須連接以同步 Azure AD 和 Windows Server AD（或其他一些本地 AD）
• 為您提供門戶或登錄頁面的品牌功能
• 提供高級報告（可以了解用戶使用應用的情況，了解風險所在，以及排查問題的能力）
• 支持多重身份驗證
• 支持應用代理
• 支持 Microsoft Identity Manager 用戶 CAL
• 它具有基於組的訪問管理和配置
• 有連接健康
• 雲應用程序發現
• 根據用戶設備或位置為您提供臨時訪問權限
• 能夠整合第三方身份治理合作夥伴以及 MFA 合作夥伴
• 自動密碼翻轉
• 提供 Sharepoint 有限訪問權限
• 對 OneDrive Business 的訪問受限
• 使用條款
• 服務水平協議 (SLA)
• 支持CloudApp安全集成

P1和P2的區別：

以下是 P1 和 P2 之間的 3 個主要區別：

• P2 附帶身份保護功能，允許您管理對應用程序的條件訪問。
• P2 為您提供特權身份管理 (PIM)。它為您提供對特權帳戶的額外管理。
• P2 提供訪問評論。

這些功能對企業來說是有限的。也許，小企業不需要它們中的任何一個。

免費 M354 應用程序與 P1 和 P2 之間的區別
核心身份和訪問管理	自由的	Office 365 應用程序	高級 P1	高級 P2
目錄對象1	5,00,000 個對象限制	無對象限制	無對象限制	無對象限制
單點登錄 (SSO)（無限制）2	可用的	可用的	可用的	可用的
輕鬆配置	可用的	可用的	可用的	可用的
聯合身份驗證（ADFS 或第 3 方 IDP）	可用的	可用的	可用的	可用的
用戶和組管理（添加/更新/刪除）	可用的	可用的	可用的	可用的
設備註冊	可用的	可用的	可用的	可用的
雲身份驗證（直通身份驗證、密碼哈希同步、無縫 SSO）	可用的	可用的	可用的	可用的
Azure AD Connect 同步（將本地目錄擴展到 Azure AD）	可用的	可用的	可用的	可用的
雲用戶自助修改密碼	可用的	可用的	可用的	可用的
Azure AD Join：桌面 SSO 和管理員 BitLocker 恢復	可用的	可用的	可用的	可用的
密碼保護（全球禁止密碼）	可用的	可用的	可用的	可用的
多重身份驗證3	可用的	可用的	可用的	可用的
基本安全和使用報告	可用的	可用的	可用的	可用的
外部身份
保護和管理客戶和合作夥伴	您的前 50,000 名每月活躍用戶免費。只需為您使用的內容付費。
Office 365 應用程序的身份和訪問管理
公司品牌（登錄和註銷頁面的定制、訪問面板）	無法使用	可用的	可用的	可用的
雲用戶自助重置密碼	無法使用	可用的	可用的	可用的
服務水平協議 (SLA)	無法使用	可用的	可用的	可用的
本地目錄和 Azure AD 之間的設備對象雙向同步（設備回寫）	無法使用	可用的	可用的	可用的
高級功能
密碼保護（自定義禁止密碼）	無法使用	無法使用	可用的	可用的
Windows Server Active Directory 的密碼保護（全局和自定義禁止密碼）	無法使用	無法使用	可用的	可用的
通過本地寫回進行自助密碼重置/更改/解鎖	無法使用	無法使用	可用的	可用的
群組訪問管理	無法使用	無法使用	可用的	可用的
微軟雲應用程序發現4	無法使用	無法使用	可用的	可用的
Azure AD Join：MDM 自動註冊和本地管理策略自定義	無法使用	無法使用	可用的	可用的
Azure AD Join：自助 BitLocker 恢復、企業狀態漫遊	無法使用	無法使用	可用的	可用的
高級安全和使用報告	無法使用	無法使用	可用的	可用的
混合身份
應用代理	無法使用	無法使用	可用的	可用的
Microsoft 身份管理器用戶 CAL5	無法使用	無法使用	可用的	可用的
連接健康6	無法使用	無法使用	可用的	可用的
高級組訪問管理
動態組	無法使用	無法使用	可用的	可用的
組創建權限委託	無法使用	無法使用	可用的	可用的
組命名策略	無法使用	無法使用	可用的	可用的
組過期	無法使用	無法使用	可用的	可用的
使用指南	無法使用	無法使用	可用的	可用的
默認分類	無法使用	無法使用	可用的	可用的
有條件訪問
基於組、位置和設備狀態的條件訪問	無法使用	無法使用	可用的	可用的
Azure 信息保護集成	無法使用	無法使用	可用的	可用的
SharePoint 限制訪問	無法使用	無法使用	可用的	可用的
使用條款（設置特定訪問的使用條款）	無法使用	無法使用	可用的	可用的
具有條件訪問的多重身份驗證	無法使用	無法使用	可用的	可用的
Microsoft 雲應用安全集成	無法使用	無法使用	可用的	可用的
第三方身份治理合作夥伴集成	無法使用	無法使用	可用的	可用的
身份保護
漏洞和風險帳戶檢測	無法使用	無法使用	無法使用	可用的
風險事件調查	無法使用	無法使用	無法使用	可用的
基於風險的條件訪問策略	無法使用	無法使用	無法使用	可用的
身份治理
特權身份管理 (PIM)	無法使用	無法使用	無法使用	可用的
訪問評論	無法使用	無法使用	無法使用	可用的
權利管理	無法使用	無法使用	無法使用	可用的
價格	自由的	M365 E1、E3、E5、F3	$6 用戶/月	$9 用戶/月

** 經常檢查原始來源了解最新信息

Azure AD 問答：

1. Azure AD 可供政府使用嗎？

是的，GCC High 和 Azure Government 都支持 Azure AD。

2. Azure AD 是否適用於教育機構？

是的，Azure AD Free 已包含在 Office 365 的教育許可中。

3. 擁有 Windows 10 許可證的用戶是否可以使用任何特殊的 Azure AD 功能？

是的，Azure AD 可以與 Windows 10 許可證一起使用。它還提供了出色的功能，例如將設備連接到 Azure AD、管理員 Bitlock 恢復和適用於 Azure AD 的 Windows Hello。

P1 和 P2 版本附帶 Azure AD 加入、MDM 自行註冊和企業狀態漫遊。

最後的想法：

對於 Active Directory，每個企業都有獨特的要求。上面討論的是 Microsoft 提供的 4 個關鍵的 Azure Active Directory 許可選項。這些選項為各種規模和形狀的公司提供了所需的功能。