Entra ID P1 vs. P2: come scegliere il piano giusto?

Vediamo quali licenze sono disponibili per Microsoft Entra ID, come scegliere quella giusta e cosa differenzia il piano Entra ID P1 dal piano Entra ID P2.

di Emanuele Rossi
Entra ID P1 vs. P2: come scegliere il piano giusto?

Entra ID P1 vs. P2: una breve introduzione

Entra ID P1 vs P2 è il confronto tra i tier di licenza Microsoft Entra ID Premium. P1 (€6/utente/mese) aggiunge accesso condizionale, sincronizzazione delle identità ibride e self-service password reset. P2 (€9/utente/mese) include in aggiunta Identity Protection (policy di accesso basate sul rischio), Privileged Identity Management (accesso admin just-in-time) e Access Review.

Che cos’è Microsoft Entra ID

Ma che cos’è esattamente Entra ID e come funziona? Prendiamoci un momento per presentarlo.

Entra ID è un servizio di gestione delle identità e degli accessi basato su cloud, composto da un database (directory) che memorizza le informazioni degli utenti e le autorizzazioni di accesso e offre una serie di servizi che facilitano l’autenticazione e l’autorizzazione al tenant, garantendo che gli utenti finali possano accedere in modo sicuro solo alle risorse IT per cui hanno il permesso.

La piattaforma si propone con le sue funzionalità di diventare un pilastro centrale nelle strategie di gestione delle identità e degli accessi per tutte le aziende moderne che desiderano ottimizzare i loro protocolli di sicurezza in un mondo sempre più digitalizzato, dove i propri dati hanno ormai praticamente il valore dell’oro.

Entra ID fornisce agli amministratori IT potenti strumenti di protezione dell’identità. Algoritmi avanzati di machine learning rilevano proattivamente le minacce basate sull’identità, consentendo risposte rapide per mitigare i rischi. Anche i requisiti di governance dell’accesso sono soddisfatti con facilità, assicurando l’applicazione coerente delle politiche e l’aderenza ai protocolli di sicurezza.

L’Identity Protection Score fornisce agli Admin una valutazione complessiva dello stato di sicurezza delle identità all’interno dell’organizzazione e può essere utilizzato per identificare le aree di miglioramento e implementare misure di sicurezza più efficaci. Gli amministratori possono anche configurare la generazione di Access Reviews, settando criteri di revisione specifici che vadano a ridurre il rischio di accessi non autorizzati o eccessivi. Questo strumento è particolarmente utile in ambienti dinamici dove i ruoli e le necessità di accesso degli utenti cambiano frequentemente.

La piattaforma offre un controllo capillare sull’accesso alle applicazioni e alle risorse agli Admin e semplifica il provisioning degli utenti integrando senza soluzione di continuità Windows Server Active Directory (diverso da Azure AD) con le applicazioni cloud, come quelle del digital workplace Microsoft 365.

Per gli sviluppatori di applicazioni Entra ID offre invece un accesso agevole all’integrazione, che funziona come un provider di autenticazione basato su standard, semplificando l’aggiunta delle funzionalità di single sign-on (SSO) alle applicazioni. L’efficacia di questa soluzione risiede nella sua compatibilità con le credenziali utente esistenti, riducendo così le frizioni durante il processo di autenticazione.

Inoltre, gli sviluppatori possono sfruttare la potenza delle API di Microsoft Entra ID per offrire l’accesso ai dati organizzativi aziendali e avere così la possibilità di personalizzare le applicazioni e di allinearle alle esigenze uniche degli utenti della compagnia.

Al centro di Microsoft Entra ID c’è, come abbiamo già visto più sopra, la gestione delle identità degli utenti. Questo include la creazione e la gestione di profili utente, l’autenticazione degli utenti e il controllo degli accessi alle risorse. Le identità possono essere gestite non solo per gli utenti interni all’organizzazione ma anche per gli utenti esterni, come partner o clienti mediante funzioni di identificazione B2B (Business-to-business) e B2C (Business-to-client).

Funzionalità di Microsoft Entra IDLe funzionalità di gestione degli accessi sono arricchite dalla possibilità di definire politiche di accesso basate sui ruoli (RBAC), che garantiscono alle organizzazioni di autorizzare e gestire l’accesso degli utenti alle risorse in base ai loro ruoli all’interno dell’organizzazione e dalle politiche di accesso condizionale (che vedremo nel dettaglio più sotto) che consentono di applicare criteri di sicurezza dinamici in base al contesto dell’accesso, come la posizione dell’utente o il dispositivo utilizzato.

Entra ID supporta una varietà di metodi di autenticazione, tra cui l’autenticazione multifattoriale (MFA), misura di sicurezza che richiede più di una forma di verifica dell’identità per concedere l’accesso a un sistema, un’applicazione o un dato che aggiunge un ulteriore livello di protezione oltre alla tradizionale password prima di garantire l’accesso a risorse sensibili.

Con l’aumento dell’adozione dei servizi cloud, la MFA offre una protezione aggiuntiva contro gli accessi non autorizzati a questi ambienti, che spesso sono accessibili da qualsiasi luogo e riduce significativamente il rischio di accessi non autorizzati perché richiede più di un metodo di verifica. Quindi anche se un attaccante riuscisse a ottenere la password di un utente tramite attacchi di phishing o altre tecniche, non avrà accesso ai fattori aggiuntivi richiesti dalla MFA.

L’integrazione con Microsoft Authenticator e altri servizi MFA offre ai tenant un’ampia varietà di opzioni di verifica che possono essere basate su app, l’invio di SMS al numero personale o aziendale dell’utente o chiamate vocali per verificarne l’identità.

Il servizio mette a disposizione funzionalità dedicate all’implementazione di strategie di accesso condizionale e consente alle organizzazioni di implementare politiche di sicurezza che si attivano automaticamente in base a determinate condizioni. Ad esempio, una politica potrebbe richiedere l’autenticazione MFA solo quando un accesso viene tentato da una posizione geografica sconosciuta o da un dispositivo non conforme.

L’integrazione dell’intelligenza artificiale all’interno delle funzioni di accesso condizionale permette di analizzare i modelli di comportamento degli utenti e valutare il rischio in tempo reale, adattando dinamicamente le politiche di accesso. Se un utente tenta di accedere da una posizione insolita o con un comportamento atipico, Entra ID può richiedere ulteriori verifiche o bloccare temporaneamente l’accesso.

Entra ID supporta anche un’ampia gamma di applicazioni, sia cloud-based che on-premise, integrandole nel suo sistema di autenticazione SSO (Single Sign On). Ciò include applicazioni Microsoft come Office 365 e Azure, oltre a molte altre applicazioni SaaS (Software as a Service) e legacy. La piattaforma utilizza standard aperti come SAML (Security Assertion Markup Language), OAuth (Open Authorization), e OpenID Connect per la federazione dell’identità e l’autenticazione SSO. Questo consente una facile integrazione anche con applicazioni di terze parti che supportano questi standard.

Infine, tra le funzionalità più avanzate di Entra ID non possiamo non menzionare il PIM (acronimo di Privileged Identity Management). Il PIM consente alle organizzazioni di gestire in modo capillare gli account con privilegi elevati, come gli amministratori di sistema, gli account di servizio critici e altri ruoli che hanno accesso privilegiato a risorse sensibili.

Inoltre, tutte le attività degli account con privilegi elevati vengono registrate e monitorate, permettendo di vedere chi ha ottenuto l’accesso, quando e per quanto tempo, nonché le azioni compiute durante l’accesso.

Entra ID Licensing: i piani di licenza a confronto

Ora che abbiamo concluso questa piccola panoramica introduttiva a Entra ID è arrivato il momento di discutere dell’argomento principale di questo articolo, ovvero i piani di licenza messi a disposizione per il servizio.

Microsoft Entra ID Free

Entra ID Free è un ottimo punto di partenza, offrendo funzionalità essenziali per la gestione delle identità. Tuttavia, per organizzazioni con esigenze IAM più complesse o necessità di maggiore personalizzazione, potrebbe non essere adatto a implementazioni su larga scala.

Tra le funzionalità offerte dal piano gratuito possiamo trovare**:**

  • Autenticazione cloud: supporta l’autenticazione pass-through o la sincronizzazione degli hash delle password, consentendo agli utenti di accedere con le proprie credenziali esistenti.‍
  • Utenti e gruppi: gestione base degli utenti per gruppi statici e assegnazioni di regole.‍
  • Autenticazione a più fattori: l’MFA e le relative politiche possono essere abilitate o disabilitate solo a livello di tenant, senza controlli più granulari.‍
  • Reimpostazione self-service delle password (SSPR): disponibile solo per utenti cloud.‍
  • Single Sign-On: SSO illimitato, ma con funzionalità limitate per pubblicare o integrare alcune applicazioni.‍
  • Autenticazione federata: supporta la federazione con Active Directory Federation Services (AD FS) o provider di identità di terze parti.

Microsoft P1 License

P1 si basa sul livello gratuito aggiungendo funzionalità avanzate di automazione e gestione, rappresentando una scelta solida per le organizzazioni che necessitano di maggiore controllo. La licenza P1 è inclusa in Microsoft 365 F1, Microsoft 365 E3, EMS E3 e Microsoft 365 Business Premium.

Se possiedi una di queste licenze, hai già accesso alle funzionalità elencate di seguito**:**

  • Utenti e gruppi: P1 introduce gruppi dinamici e assegnazioni per applicazioni e accesso condizionato, automatizzando la gestione degli utenti senza interventi manuali.‍
  • Autenticazione a più fattori (MFA): P1 consente la MFA basata su gruppi, offrendo maggiore flessibilità nell’assegnare opzioni MFA diverse a utenti o dipartimenti specifici.‍
  • Reimpostazione self-service delle password (SSPR): estende la SSPR agli utenti on-premises, consentendo di applicare politiche di reimpostazione delle password a gruppi o utenti specifici sia nel cloud che negli ambienti on-premises.‍
  • Single Sign-On (SSO): aggiunge il supporto per la pubblicazione di applicazioni on-premises, fornendo un accesso fluido tramite un’esperienza SSO unificata.‍
  • Monitoraggio della salute: monitora metriche di performance per Active Directory Federation Services (AD FS) e Active Directory Domain Services (AD DS). Fornisce avvisi in tempo reale su problemi di salute del sistema e sincronizzazione.‍
  • Sincronizzazione tra tenant: sincronizza i tenant cloud, garantendo regole di sicurezza e politiche coerenti in più ambienti.‍
  • Gestione della durata della sessione: controlla per quanto tempo gli utenti rimangono connessi impostando limiti di scadenza per i token, migliorando la sicurezza per le applicazioni ad alto rischio.‍
  • Motore di accesso condizionato: sblocca tutte le opzioni di accesso condizionato, consentendo politiche di sicurezza più granulari basate sull’identità dell’utente, lo stato del dispositivo e la posizione.

Microsoft P2 License

Entra ID P2 aggiunge funzionalità avanzate di sicurezza e gestione delle identità, ideale per le organizzazioni che necessitano di monitoraggio del rischio in tempo reale e protezione approfondita. La licenza P2 è inclusa in altre sottoscrizioni come Microsoft 365 E5, Enterprise Mobility + Security (EMS) E5, Microsoft 365 E5 Security e Microsoft 365 A5.

Tra le funzionalità principali offerte dalla licenza P2 possiamo trovare**:**

  • Rischio di accesso: monitora in tempo reale le attività di accesso per rilevare anomalie e agire in base ai livelli di rischio.‍
  • Rischio utente: scansiona continuamente i segnali di accesso e avvisa automaticamente gli amministratori in caso di credenziali compromesse.‍
  • Filtri per dispositivi e applicazioni: offre opzioni avanzate di accesso condizionato, applicando filtri dettagliati per dispositivi, applicazioni e utenti.‍
  • Protezione dei token: garantisce che i token siano utilizzati esclusivamente sui dispositivi per i quali sono stati emessi.‍
  • Gestione delle autorizzazioni di base: include workflow di approvazione multilivello e controlli di accesso basati sui ruoli.‍
  • Gestione self-service delle autorizzazioni: consente ai dipendenti di gestire le richieste di accesso tramite il portale My Access.

Microsoft Entra Suite

La Microsoft Entra Suite offre una soluzione completa per gestire accessi sicuri, verificare le identità e implementare la sicurezza Zero Trust sia in ambienti cloud che on-premises. Integra cinque funzionalità chiave—Private Access, Internet Access, ID Protection, ID Governance e Face Check in Verified ID Premium—in una piattaforma unificata.

Con questi strumenti, le organizzazioni possono semplificare i processi di gestione delle identità, proteggere il traffico di rete, verificare le identità degli utenti senza interruzioni e molto altro.

Per accedere alla Entra Suite, è necessario un abbonamento a Microsoft Entra ID P1 o a un pacchetto che includa P1. Sono disponibili prezzi speciali per i clienti di Microsoft Entra ID P2 e Microsoft 365 E5.

Vediamo quali sono le offerte principali dell’Entra Suite nell’elenco qui sotto**:**

  • Microsoft Entra Private Access: fornisce Zero Trust Network Access (ZTNA) per le applicazioni on-premises senza necessità di modifiche al codice. Valuta i rischi in tempo reale con l’Accesso Condizionato utilizzando segnali di identità, dispositivo e applicazione, aggiungendo protezioni di rete per bloccare attacchi laterali, ridurre le autorizzazioni eccessive e sostituire i VPN legacy.‍
  • Microsoft Entra Internet Access: protegge dai contenuti non sicuri con controlli di sicurezza cloud e filtraggio dei contenuti web. Attualmente supporta il filtraggio basato sui domini, ma sono previsti miglioramenti come la terminazione TLS. Un vantaggio chiave è che il traffico passa attraverso la rete globale di Microsoft, riducendo il rischio di attacchi fisici man-in-the-middle. Utilizza l’Accesso Condizionato per valutare segnali di identità, dispositivo, posizione e rischio in tempo reale e si integra con ID Protection e ID Governance.‍
  • Microsoft Entra ID Protection: utilizza il machine learning per rilevare rischi di accesso e applica l’Accesso Condizionato per bloccare o consentire l’accesso in base al rischio. Integra MFA basata sul rischio e protezione dei token, supportando ambienti ibridi con Active Directory on-premises.‍
  • Microsoft Entra ID Governance: automatizza la gestione del ciclo di vita delle identità, garantendo la corretta durata degli accessi e prevenendo autorizzazioni eccessive. Supporta l’automazione dei workflow per il provisioning, la delega ai gruppi aziendali e la gestione dei flussi di lavoro per i nuovi assunti, i trasferimenti e le uscite.‍
  • Face Check con Verified ID: una soluzione decentralizzata per la verifica delle credenziali, che lavora con ID Protection e ID Governance per semplificare l’onboarding. Questa funzionalità fa parte della piattaforma Microsoft Entra Verified ID. Utilizza l’app Authenticator e la fotocamera del dispositivo per una verifica in tempo reale con movimento di documenti d’identità emessi dal governo.‍ Concludiamo questa sezione con una breve tabella riassuntiva per chi volesse solo sapere quale piano di licenza a pagamento offre cosa:

Entra ID Licensing: funzionalità incluse nei piani

    Funzionalità
    P1
    P2
    Entra Suite


    Accesso condizionale
    Inclusa
    Inclusa
    Inclusa


    Controllo degli accessi in base al ruolo (RBAC)
    Inclusa
    Inclusa
    Inclusa


    Gestione avanzata dei gruppi
    Inclusa
    Inclusa
    Inclusa


    Autenticazione a più fattori (MFA)
    Inclusa
    Inclusa
    Inclusa


    Autenticazione senza password
    Non inclusa
    Inclusa
    Inclusa


    Protezione identità privilegiata (PIM)
    Non inclusa
    Inclusa
    Inclusa


    Accesso alle app SaaS
    Inclusa
    Inclusa
    Inclusa


    Gestione delle identità esterne (B2B)
    Inclusa
    Inclusa
    Inclusa


    Gestione delle identità dei carichi di lavoro
    Non inclusa
    Non inclusa
    Inclusa


    Gestione delle autorizzazioni
    Non inclusa
    Non inclusa
    Inclusa

Entra ID Licensing: considerazioni per massimizzare il proprio investimento

Ora che abbiamo familiarità con i diversi modelli di licenza di Microsoft Entra ID, ecco come puoi massimizzare la configurazione attuale e prendere decisioni informate sugli upgrade:

  • Valuta l’utilizzo delle licenze attuali: potresti già avere accesso alle funzionalità di P1 o P2 tramite licenze come Microsoft 365 F1, Microsoft 365 E3, EMS E3 o Microsoft 365 E5. Assicurati di sfruttare tutte le funzionalità disponibili prima di considerare un upgrade.‍
  • Esamina le funzionalità di Microsoft Entra ID: esplora la gamma di funzionalità offerte da Microsoft Entra ID. Dalla gestione di base delle identità all’amministrazione avanzata e alla sicurezza, comprendere questi strumenti ti aiuterà a valutare se la tua licenza attuale soddisfa le tue esigenze.‍
  • Considera un upgrade: se necessiti di funzionalità come il monitoraggio del rischio in tempo reale o l’accesso condizionato avanzato, passare a P2 o aggiungere la Entra ID Suite potrebbe migliorare significativamente la tua sicurezza.‍
  • Sfrutta licenze flessibili e risparmi sui costi: sebbene sia possibile licenziare singolarmente i prodotti Entra, è più efficiente utilizzarli insieme per scenari completi come Zero Trust, B2E, B2B e B2C. I pacchetti combinati sono generalmente il 50% più convenienti rispetto alla licenza di prodotti separati. Puoi anche combinare diverse licenze in base alle esigenze specifiche. Ad esempio, puoi utilizzare licenze P1 per la maggior parte degli utenti e riservare licenze P2 per coloro che accedono a sistemi critici e necessitano di funzionalità di sicurezza avanzate.‍
  • Adotta Zero Trust con l’Accesso Condizionato: l’approccio cloud-first di Microsoft Entra offre strumenti robusti per la protezione delle identità, con l’accesso condizionato radicato nei principi di Zero Trust. Sfruttare queste soluzioni migliora la sicurezza applicando i principi di Zero Trust, riducendo significativamente la dipendenza dalle difese tradizionali basate sul perimetro.‍
  • Considera la transizione a un ambiente di identità ibrido: per le organizzazioni con infrastrutture sia on-premises che cloud, adottare un modello di identità ibrido può garantire una gestione fluida e una migliore integrazione con le strategie di migrazione al cloud.

Conclusioni

Negli ultimi anni, il tema della sicurezza informatica è diventato più scottante che mai e ogni breccia all’interno delle infrastrutture digitali della propria organizzazione può tradursi in perdite significative di tempo e denaro.

Microsoft punta con il suo Entra ID a proteggere le aziende da queste minacce con gli strumenti più all’avanguardia e a fornire agli utenti e alle organizzazioni strumenti per gestire efficacemente le identità digitali e garantire un accesso sicuro alle risorse aziendali, sia on-premises che nel cloud.

La scelta del giusto piano di licenza per l’acquisto di Microsoft Entra ID può fare seriamente la differenza in termini di costi/benefici per la propria azienda e non è un qualcosa da prendere sottogamba; pertanto, vi invitiamo ad approfondire l’argomento anche tramite la documentazione ufficiale di Microsoft per poter trovare in tranquillità l’opzione più adatta alle vostre esigenze di protezione.

FAQ sui piani di abbonamento a Entra ID

Che cos’è Microsoft Entra ID?Microsoft Entra ID è un servizio cloud per la gestione delle identità e degli accessi. Permette alle aziende di proteggere l’accesso alle applicazioni e ai dati, garantendo che solo gli utenti autorizzati possano accedere alle risorse aziendali. Include strumenti come autenticazione, Single Sign-On (SSO) e gestione degli accessi condizionali.

Quali sono i piani di licenza disponibili per Microsoft Entra ID?Entra ID è disponibile in tre versioni: Free, P1 e P2. La versione Free offre le funzionalità di base, mentre la P1 aggiunge strumenti avanzati per la gestione delle identità e l’accesso condizionato. La P2 include tutte le caratteristiche di P1 e introduce funzionalità avanzate di protezione delle identità, gestione del rischio e amministrazione degli accessi con privilegi elevati.

Quali sono le principali differenze tra Entra ID P1 e Entra ID P2?Entra ID P1 fornisce strumenti di gestione delle identità come l’accesso condizionato, i gruppi dinamici e la gestione avanzata degli utenti. P2 include queste funzionalità e aggiunge strumenti avanzati di protezione basati sull’intelligenza artificiale, come il monitoraggio del rischio in tempo reale e la gestione degli account con privilegi elevati tramite Privileged Identity Management (PIM). P2 è più indicato per aziende con esigenze di sicurezza avanzata e necessità di protezione contro accessi non autorizzati.

Entra ID Free è sufficiente per un’azienda?Dipende dalle esigenze di sicurezza dell’azienda. La versione Free offre funzionalità di base per la gestione delle identità, ma non include strumenti avanzati come l’accesso condizionato o la protezione basata sul rischio. Per aziende che necessitano di maggiore controllo sugli accessi, P1 o P2 rappresentano opzioni più adatte.

Quali licenze Microsoft includono Entra ID P1 o P2?Alcune licenze Microsoft 365 includono Entra ID P1 o P2. P1 è disponibile con Microsoft 365 E3 e altre licenze aziendali, mentre P2 è incluso in Microsoft 365 E5. È sempre consigliabile verificare le specifiche della propria licenza per determinare quali funzionalità sono disponibili.

Quando è necessario un upgrade a Entra ID P2?Se un’organizzazione ha bisogno di strumenti di protezione avanzata delle identità, come il monitoraggio del rischio in tempo reale e la gestione degli account con privilegi elevati, Entra ID P2 è la scelta migliore. È indicato per aziende con un elevato livello di esposizione alle minacce informatiche o che operano in settori altamente regolamentati.

È possibile combinare licenze P1 e P2 nella stessa organizzazione?Sì, è possibile assegnare licenze diverse a gruppi di utenti differenti. Un’azienda può fornire licenze P1 alla maggior parte dei dipendenti e riservare le licenze P2 agli utenti con accesso a risorse critiche o dati sensibili. Questa strategia permette di ottimizzare i costi mantenendo un elevato livello di sicurezza.

Che cos’è Microsoft Entra Suite?Microsoft Entra Suite è un pacchetto che integra Entra ID con altre soluzioni avanzate di sicurezza e gestione delle identità. Include funzionalità per la protezione Zero Trust, la gestione degli accessi condizionali e la verifica dell’identità basata su intelligenza artificiale. È pensata per aziende che necessitano di un approccio completo alla gestione delle identità e alla sicurezza informatica.

Cosa succede se non si dispone di una licenza Entra ID P1 o P2?Gli utenti senza una licenza P1 o P2 avranno accesso solo alle funzionalità base di Entra ID Free. Questo significa che potranno utilizzare l’SSO e l’autenticazione di base, ma non avranno accesso a strumenti avanzati come l’accesso condizionato o il monitoraggio del rischio.

Quali sono i vantaggi di Entra ID rispetto a Active Directory tradizionale?Entra ID offre un’infrastruttura basata su cloud che elimina la necessità di gestire server locali. Supporta metodi di autenticazione moderni, integra applicazioni SaaS e fornisce strumenti avanzati di protezione basati sull’intelligenza artificiale. A differenza di Active Directory on-premise, Entra ID consente di gestire identità e accessi in ambienti ibridi e completamente cloud.

Quanto costa Entra ID P1 e P2?Il costo varia in base al numero di utenti e alla licenza acquistata. In molti casi, le funzionalità di P1 o P2 sono già incluse nelle licenze Microsoft 365 E3 ed E5. Per un dettaglio sui prezzi e sulle opzioni di acquisto, è consigliabile consultare il sito ufficiale di Microsoft o un partner certificato.

Emanuele Rossi

Scritto da

Emanuele Rossi

Infra & Security · Dev4Side

Dev4Side Software · Microsoft Gold Partner

Hai bisogno di implementare questo nella tua azienda?

I nostri team specializzati hanno completato oltre 200 implementazioni Microsoft in tutta Italia. Contattaci per una valutazione gratuita e senza impegno del tuo progetto.

Valutazione gratuita Vedi i nostri casi di successo

Articoli correlati

Microsoft Purview Compliance Manager: conformità senza complicazioni

Scopri Microsoft Purview Compliance Manager, lo strumento che può aiutare la propria azienda a rispettare in modo facile i requisiti di conformità

Microsoft Security Awareness Training: tutte le risorse ufficiali

Scopri le risorse ufficiali Microsoft per il Security Awareness Training e come rafforzare la security posture aziendale partendo dai dipendenti.

Microsoft Defender for IoT: che cos’è e come funziona

Una panoramica introduttiva di come Defender for IoT può aiutare la propria azienda a mettere al sicuro le proprie reti industriali ed infrastrutture critiche.