Synchronizujte své identity a využijte je pro všechny podnikové online služby Microsoftu i vaše aplikace Sync uživatelé + hash Sync pouze uživatelé + ADFS federace Azure Active Directory (tenant) + MFA + App proxy + Identity Protection + Intune vaše moderní aplikace
Jakmile máte identitu v cloudu, můžete toho využít nejen interně, ale i s vašimi obchodními partnery a zákazníky B2B dohoda Office vašeho obchodního partnera Azure Active Directory (tenant) Tenant vašeho obchodního partnera vaše moderní aplikace AAD B2C, tenant pro vaše zákazníky
Identity vám dávají přístup do Microsoft Graph API, vaší bráně pro dokonalou integraci Microsoft služeb do vašich aplikací
Provozujete v Azure Windows Servery a chcete je zařadit do domény? Použijte AAD DS, VPN nebo repliku klasického AD. replikace AAD replikace AAD DS AAD DS (PaaS služba) (možnost GPO, ale jsou zde omezení, nejste Enterprise admin) Join přes VPN (dobré na začátek, ale závislost na připojení) AD replikace do IaaS (nejčastější Enterprise řešení)
Některé služby podporují napojení přímo do AAD a jejich počet se stále rozšiřuje Mnoho PaaS Všechny SaaS Visual Studio Team Services Koncová zařízení a on-prem
Hledáte Enterprise řešení pro svoje Azure nasazení? Použijte model EA. Department Account Enrollment Department Account Department Account ea.azure.com NET portal.azure.com
Chcete mít Azure pro konkrétní projekt od vašeho partnera? Použijte model CSP. CSP direct CSP indirect Spravuje partner NET portal.azure.com
Nechcete žádnou smlouvu, jen rychle začít? Použijte model PAYG. NET portal.azure.com
Každá subscription je navázána na právě jednoho tenanta (AAD), jeden tenant může mít mnoho subscription Enrollment Department Account Department Account Department Account firma.cz firma.com NET experimenty.onmicrosoft.com
Kdo co může? Přiřaďte zabudované role (nebo si vytvořte vlastní) uživatelům/skupinám na subscription, RG nebo jednotlivé zdroje. NET
V Azure Active Directory můžete mít uživatele, ale i aplikace a jejich servisní účty nebo identity pro vaše Běžný uživatel Registrace aplikace + service principal ( servisní účet např. pro automatizaci) Host s osobním MS účtem Automatická servisní identita pro (např. pro ovládání scale setu zevnitř)
Mají se ve vašem prostředí dodržovat nějaká pravidla? V Azure Policy přiřaďte zabudované nebo si vytvořte vlastní. NET Je možné použít pouze schválený image V této RG lze použít pouze konkrétní síťový subnet V této RG nelze jít přímo do Internetu Je zakázano vytvořit bez síťových pravidel (NSG) Je nutné používat dohodnuté tagy Je zakázáno používat určité typy (třeba moc drahé)
Pracujte standardně s nižším oprávněním, zvyšte ad-hoc když je potřeba ( sudo pro cloud ) Azure Security Center JIT Otevření firewallu pro správu na omezený čas na základě žádosti Privileged Identity Management Eskalace Azure rolí, approval flow
Udělejte si pořádek s jmennou konvencí a tagováním Ať je na první pohled poznat o co jde Ať můžete udržovat dodatečné informace pro billing, bezpečnost, životní cyklus Např. <služba>-<role>-<typzdroje>-<instance> Přidejte tagy pro libovolná metadata. Například kontakt, typ dat (PCI-DSS, osobní, ), nákladové středisko, organizace, typ prostředí, valid until,
Mějte náklady pod kontrolou. V základní verzi zcela zdarma. Použijte tagování pro různé pohledy (prostředí, nákladová střediska, typy projektů,...) Plánování a sledování Návrhy na úspory (sizing, rezervované instance) Predikce nákladů Správa a srovnání nákladů i v ostatních cloudech