Petya Petrova - Fotolia

Azure AD Premium P1 ou P2 : lequel vous convient le mieux ?

La déclinaison cloud d’Active Directory proposée par Microsoft diffère de la version locale. Et quelques recherches seront nécessaires pour déterminer l’édition premium la plus adaptée à vos besoins.

Avant de passer à un service de gestion des identités et des accès (IDaaS), vous devez tenir compte des coûts et des fonctionnalités offerts par chaque édition proposée par Microsoft pour vous assurer d’obtenir ce dont vous avez besoin à un prix raisonnable.

Microsoft a ouvert à tous Azure Active Directory (Azure AD) en 2013, et beaucoup en ont connaissance, même parmi ceux qui ne l’utilisent pas activement. Mais il y a une certaine confusion au sujet de ce produit du simple fait de son nom : non, Azure AD n’est pas un Active Directory en mode cloud. Les deux comportent un système de gestion d’identités en leur cœur, mais ils sont très différents. Une fois que l’on a réalisé cela, il est possible d’aller plus loin et de comparer Azure AD Premium P1 et P2.

Tester Azure AD gratuitement

Azure AD est un produit de gestion d’identités en mode cloud qui continue d’évoluer et de recevoir régulièrement de nouvelles fonctionnalités. Azure AD offre un mélange de gestion des utilisateurs (internes et externes), de gestion des accès aux applications et de protection des comptes. La plupart des entreprises utilisent conjointement Active Directory en local et Azure AD pour répondre à des exigences différentes, et les deux systèmes se complètent bien.


Les fonctionnalités d’Azure AD

Vous pouvez tester Azure AD gratuitement en mettant en place un tenant Azure gratuit si vous n’en avez pas déjà un, avant de créer un annuaire. Vous pouvez ensuite installer en option le client Azure AD Connect pour synchroniser les objets de votre infrastructure Active Directory locale.

Cette approche est idéale pour les tests, mais pas pour un environnement de production : de nombreuses fonctionnalités sont absentes, comme l’authentification à facteurs multiples (MFA) ; et déporter des identités vers le cloud sans cette protection n’est pas vraiment recommandé. Personnellement, je ne mettrais aucun service d’entreprise dans un cloud public sans MFA. Une recherche en ligne rapide permet de trouver une récente session de conférence Black Hat qui traite de la facilité avec laquelle il est possible d’attaquer ces configurations Azure AD ; il est donc fortement recommandé de verrouiller son Azure AD avant de faire quoi que ce soit d’autre.

Microsoft propose un tableau présentant les fonctionnalités de chaque édition d’Azure AD. Les fonctions de sécurité critiques telles que le MDA et l’accès conditionnel, qui ajoute à la MFA des contrôles et des règles plus granulaires, ne sont pas accessibles à l’édition gratuite.

Premium P1 ou P2 ?

L’édition Azure AD Applications Office 365 comporte quelques fonctionnalités simples qui sont fournies avec une licence Office 365 E3, mais l’ouverture de session unique (SSO) est limitée à 10 applications, et les très nombreuses fonctionnalités premium sont bien sûr absentes.

Azure AD Premium P1 est intégré à la suite Microsoft 365 E3, et Azure AD Premium P2, à la suite Microsoft 365 E5. Azure AD Premium P1 et P2 sont également disponibles de manière indépendante, à raison d’environ 5 € par utilisateur et par mois pour le premier, et de 7,6 € par utilisateur et par mois, pour le second. Il y a en fait trois bonnes raisons de choisir l’édition Premium P2.

  1. La fonction de protection de l’identité de Premium P2 offre un aperçu des tentatives d’authentification suspectes. Elle examine les ouvertures de session et évalue le risque qu’elles peuvent présenter. Ces cas suspects peuvent être gérés automatiquement, avec des règles pouvant par exemple forcer le recours à la MFA, ou même bloquer complètement l’accès. La protection de l’identité est l’un des meilleurs arguments en faveur de l’édition Premium P2, car elle réduit considérablement de nombreux risques liés aux accès des utilisateurs.
  2. La gestion des identités à privilèges (PIM, Privileged Identity Management) est un ensemble de contrôles permettant de gérer les comptes disposant de droits élevés. Elle recouvre des éléments de sécurité tels que l’accès « juste à temps » permettant d’accorder temporairement des droits administratifs, puis de les supprimer, avec journalisation et traces d’audit complètes. Des workflows avec justification et notifications peuvent également être déclenchés autour de l’activation de ces privilèges. Si vous devez faire face à de nombreux changements indésirables dans votre environnement, alors la gestion des identités à privilèges peut aider à reprendre le contrôle.
  3. La fonction de révision d’accès permet de réaliser des revues de droits et de s’assurer que les ressources IT ne sont accessibles qu’à ceux qui en ont légitimement besoin. Cette fonction est particulièrement utile pour gérer les arrivées, départs et changements de poste de collaborateurs. Il est également possible de mettre en place des contrôles sur les utilisateurs existants pour examiner leurs droits d’accès aux ressources et pousser ces décisions vers les propriétaires d’applications. Vous pouvez adapter les contrôles récurrents pour répondre aux besoins spécifiques de votre entreprise, notamment en matière de conformité réglementaire.

Microsoft propose encore plus

Le pack Microsoft 365 Identity & Threat Protection (12 $ par utilisateur et par mois), qui comprend Azure AD Premium P2, Microsoft Cloud App Security et la suite Microsoft Threat Protection – qui recouvre Azure Sentinel, Azure Advanced Threat Protection (ATP), Microsoft Defender ATP et Office 365 ATP avec Threat Intelligence. Cette combinaison offre un éventail de fonctionnalités de sécurité bien plus étendu que la licence Azure AD Premium P2, pour un surcoût limité.

Il y a beaucoup à considérer à propos d’Azure AD Premium P2. De nombreuses entreprises ne sont peut-être pas encore prêtes à l’utiliser. Décider quel package acheter nécessite beaucoup de recherche et de compréhension pour s’assurer de retirer toute la valeur de son achat. Ne souscrivez pas le niveau de licence le plus élevé avant de savoir que vous allez vraiment l’utiliser.

Pour approfondir sur Sécurité du Cloud, SASE

Close