在大多數的企業環境中,Active Directory(AD)是主要的身分識別機制,而近年來微軟推動雲端版Azure Active Directory(Azure AD),統合了企業內部與SaaS應用程式,並提供使用者單一登入(SSO)與自助維護個人資料等服務。

雖然Azure AD是微軟推出的身分認證服務,也是內建於Office 365、Intune、Dynamic CRM Online等多項雲端產品中,管理使用者身分驗證的功能。不過,與企業內部身分識別服務之間的整合,Azure AD同時支援AD與LDAP目錄服務兩者,並非只有獨厚AD。

對於應用程式的支援上,Azure AD內建就多達2千多種應用程式模版,可說是相當豐富。此外,介面中文化也相當徹底,對於臺灣用戶也相當有親和力。

根據我們這次測試的需求,與其他產品提供同等防護能力的是P2授權,費用每月每個使用者為279.25元(未稅),算是價位居中。此外,Azure AD也能管理需要存取部分企業應用程式的客戶(Azure Active Directory B2C),這項功能需另外收費,計費方式則是以每月使用者人數或驗證次數的級距為依據。

另外,若是不需要P2那麼高的身分驗證防護能力,企業也可選購其他版本的Azure AD。這項服務甚至提供了免費版本,對於每個使用者可用的應用程式不多,單純需要基本的單一登入平臺的公司來說,也能申請使用,日後隨著企業規模成長,再選用進階版本。

提供使用者存取應用程式的單一入口

使用者在登入Azure AD的應用程式存取平臺後,就能透過點選圖示,直接執行公司提供的各種應用,無須針對個別應用程式輸入帳號和密碼。

使用者可自助建立群組的應用程式單一登入平臺

企業採用Azure AD之後,使用者只需透過入口網站登入,或是在行動裝置上執行My Apps這款App,就能快速存取公司提供的所有應用程式。

基本上,Azure AD預設的身分驗證方式是透過密碼。不過,管理者可指定必須經過第二種認證,包含透過手機簡訊、電話語音,以及Azure Authenticator密碼產生器App等,產生動態的密碼,或是推送登入許可執行驗證。

在使用者的應用程式儀表板中,主要呈現了所有可用的功能,如果這個帳號擁有管理者的身分,右方才會顯示前往Azure入口網站的圖示,假若是一般的使用者,則有設定群組功能的按鈕。

在群組設定中,與AD有所不同的是,使用者不只能自行管理,也可建立新群組,或申請加入某個群組,藉此取得指定群組能夠存取的應用程式許可。

而這裡加入群組的方式也相當彈性,建立群組的擁有者可設定為開放,所有人只要申請即可進入群組;或者,必須由擁有者審核,也能限制只能由建立群組的人指派,將特定使用者納入其中。

另外,由於我們在這次測試中,試圖透過Azure AD管理Office 365 E5企業版存取權。與其他身分驗證服務有所不同的是,透過單一登入平臺,使用者可以直接存取Office 365的各項功能,包含Word Online、Excel Online、OneNote、OneDrive、Power BI等,相較於一般的身分驗證服務,使用者必須先存取Office 365入口網站,再執行其中的某個應用程式來說,Azure AD與Office 365高度整合顯得便利不少。

管理者能快速建置應用程式,並提供詳細引導部署機制

Azure AD的管理介面整合在Azure入口網站之中,而不像許多身分驗證服務,無論是管理功能還是應用程式存取,都是透過同一個網頁登入。因此,設定與建置Azure AD的操作方式也相當不同,管理者需要適應Azure網站向右延展顯示詳細內容的機制。

在Azure AD管理介面中,儀表板呈現應用程式存取的總次數統計資訊,並且提供常用功能的快速連結,像是新增使用者或是找尋應用程式等,管理者便能減少回到左側選單找功能的情況。

針對我們連接Office 365帳號的測試來說,管理者只需以相同的帳號註冊Azure AD與Office 365,Azure AD便會直接列管Office 365可用的應用程式與使用者帳戶。不過,要與其他廠商的SaaS服務連接也不難,微軟提供了快速連接的範本,只需依照步驟就能完成。

以連接Google的雲端服務G Suite為例,在我們新增應用程式後,Azure AD便顯示導引上線指南,提供6大功能設定,包含指派Azure AD與G Suite使用者測試、設定單一登入、多因素存取要求,以及允許使用者直接申請使用公司G Suite帳號的流程等。所以,即使是剛接觸SaaS服務的人,也能藉此了解連結Azure AD時,所需執行的測試與設定項目,不過,很可惜無法像Azure AD連接Office 365時,一併做到使用者配對。

對於應用程式與自助密碼重設,提供存取環境政策管制措施

在Azure AD安全性政策的部分,管理者則是能限制存取應用程式的使用者、群組、裝置類型與IP位址等,也可要求使用者必須執行進階身分驗證,或是電腦已加入公司網域才能存取。

針對使用者自助重設密碼的部分,Azure AD也有提供啟動的相關限制,例如管理者可指定要通過兩種驗證方法,使用者才能進行重新設定密碼的流程。

至於報表的部分,Azure AD則提供了異常登入與疑似有風險的使用者統計資訊,歸納有問題的事件共通點,因此管理者便能進一步檢視有那些需調查的身分驗證失敗事件。

 

 Azure Active Directory功能總覽 

在Azure AD的管理後臺中,系統呈現的輔助性功能相當豐富,管理者可在儀表板與關連的項目之中快速切換,取得想要執行的功能。

顯示執行狀態與功能快速選單

在管理後臺的儀表板中,Azure AD呈現身分驗證服務的使用量,以及現有的用戶和群組等資訊,點選視窗可檢視詳細清單。儀表板右側則提供了相關管理功能,讓管理者能快速取用。

提供應用程式快速設定指南

管理者將SaaS服務與Azure AD連接後,管理平臺便會導引到設定步驟指南,提示接下需要部署的流程。以圖中Google的雲端服務G Suite而言,測試連接與設定單一登入是必須完成的工作項目。

可規範使用者自助重設密碼的流程

在Azure AD中,管理者可指定使用者在申請自助重設密碼時,必須通過2種驗證項目,才能執行。其中,若是採取回答安全問題的方法,使用者過關最少要答對3題。

 

 產品資訊 

微軟Azure Active Directory

● 原廠:微軟(02)3725-3888

● 建議售價:Premium P2授權每使用者每月為279.25元(未稅)

● 管理功能:連接內部應用程式、連接SaaS服務、報表與異常警示

● 內部身分整合來源:AD或LDAP

● 身分驗證防護:強式密碼、多因素驗證

● 使用者存取應用程式:單一登入網頁、行動裝置App、電腦本機登入

● 使用者自助服務機制:重設密碼、維護個人資料、申請加入群組、申請存取應用程式

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容