dnes pro vás mám skvělou zprávu! Společnost Gartner už podruhé za sebou zařadila Microsoft ve svém celosvětovém hodnocení Magic Quadrant za rok 2018 v kategorii Správa přístupu do kvadrantu lídrů. Ocenila při tom naši ucelenou vizi i schopnost realizovat ji na trhu s těmito řešeními. Přečtěte si zdůvodnění ve zprávě, kterou si můžete zdarma stáhnout tady.

Podle společnosti Gartner prokázali dodavatelé z kvadrantu lídrů, že dokážou naplnit očekávání kladená na technologie, metodiku i způsob realizace. Zároveň lídři řešení pro správu přístupu nabízejí promyšleně, s ohledem na to, jak zapadají mezi související produkty.

Nejlépe propracovaná vize v kvadrantu lídrů

V rámci kvadrantu lídrů byl Microsoft podruhé za sebou zařazen na nejvyšší pozici, pokud jde o ucelenost vize. Zároveň jsme se výrazně posunuli nahoru také na ose realizace naší vize. Věříme, že to ukazuje, jak zásadní je pro nás naplňování strategie, která organizacím pomáhá s jejich současnými potřebami a připravuje je na budoucí vývoj ve správě identit.

V Microsoftu prosazujeme názor, že klíčovými funkcemi špičkového řešení pro správu identit a přístupu jsou zásady podmíněného přístupu a ochrana před hrozbami. V bohatém ekosystému tvořeném Windows 10, Office 365 a sadou EMS intenzivně pracujeme na integraci zásad zabezpečení do všech produktů, abyste měli přehled o celém uživatelském prostředí a mohli ho kontrolovat. Letos jsme navíc prostředí vylepšili na základě vašich názorů, postřehů a připomínek, abyste mohli ještě snáz shromáždit všechny uživatelské identity na jednom místě. Usilujeme o to nabízet inovativní a ucelená řešení správy identit a přístupu pro vaše zaměstnance, partnery i zákazníky.

Lídrem v této oblasti bychom se nemohli stát bez postřehů a podpory našich zákazníků a partnerů. Patří vám srdečný dík!

S přátelským pozdravem

Alex Simons (Twitter: @Alex_A_Simons)

Ředitel pro řízení programů

Divize Microsoft Identity

Důležitá poznámka:

Tento diagram publikovala společnost Gartner, Inc. v podrobnějším dokumentu o svém výzkumu a je třeba ho vyhodnocovat v kontextu celého tohoto dokumentu. Microsoft vám dokument společnosti Gartner na vyžádání poskytne.

Společnost Gartner nepropaguje žádné dodavatele, produkty ani služby, které popisuje ve svých průzkumných publikacích, ani uživatelům technologií nedoporučuje, aby se rozhodovali výhradně pro dodavatele s nejvyšším hodnocením nebo jiným označením. Průzkumné publikace společnosti Gartner jsou založené na názorech pracovníků společnosti Gartner v oddělení průzkumu a neměly by být považovány za nezpochybnitelná fakta. Společnost Gartner odmítá všechny záruky, vyjádřené nebo implikované, ohledně tohoto průzkumu, včetně jakýchkoliv záruk obchodovatelnosti nebo vhodnosti pro určitý účel.

The post Vize a realizace: Microsoft opět lídrem v hodnocení Gartner MQ v kategorii Správa přístupu appeared first on Microsoft 365 Blog.

Od doby, kdy jsme začali používat hesla, se je určité skupiny snaží uhodnout. V tomto blogu se zaměříme na častý typ útoku, který se za poslední dobu velice rozšířil, a na několik doporučených postupů, jak se mu bránit. Tomuto útoku se říká password spray.

Při útoku typu password spray hackeři zkoušejí použít nejčastější hesla pro přihlášení k velkému množství různých účtů a služeb, aby získali přístup k jakýmkoliv chráněným materiálům. Většinou útočí na řadu různých organizací a poskytovatelů identit. Například použijí běžně dostupnou sadu nástrojů, jako je třeba Mailsniper, aby získali seznam všech uživatelů z několika organizací, a pak u všech těchto účtů vyzkoušejí „H3sl0“ a „Heslo1“. Pro vaši představu může útok vypadat takto:

Většina technologií pro detekci útoků toto schéma nezachytí, protože z pohledu jednotlivých uživatelů nebo společnosti toto napadení vypadá jako ojedinělé neúspěšné přihlášení.

Pro útočníky jde o hru čísel: vědí, že někteří uživatelé používají velmi běžná hesla. Přestože se jedná jen o 0,5 – 1 % případů, z každé tisícovky napadených účtů hackeři zaznamenají několik úspěchů, což jim stačí.

Na těchto účtech získají data z e-mailů, vytěží kontaktní údaje a odešlou phishingové odkazy nebo jen rozšíří cílovou skupinu svého útoku. Příliš jim nezáleží na tom, kdo je počáteční cíl – jde jim hlavně o to, aby mohli na alespoň částečném úspěchu stavět.

Dobrá zpráva je, že Microsoft už implementoval a zpřístupnil řadu nástrojů, které tyto útoky odrazí, a další plánuje brzy uvést na trh. V další části tohoto článku zjistíte, co můžete udělat hned teď a jaká opatření přijmout v následujících měsících, abyste se ubránili útokům typu password spray.

Čtyři jednoduché kroky ke zmaření útoků typu password spray

Krok 1: Používejte cloudové ověřování

V cloudu vidíme každý den miliardy přihlášení do systémů Microsoftu. Naše algoritmy pro detekci bezpečnostních rizik nám umožňují odhalit a blokovat útoky přímo ve chvíli, kdy probíhají. Tyto detekční a ochranné systémy, které pracují v reálném čase, jsou založené na cloudové technologii, a proto jsou dostupné jen v případě, že ověřování ve službě Azure AD probíhá také v cloudu (týká se i předávacího ověřování).

Inteligentní uzamykání

Funkce Inteligentní uzamykání slouží v cloudu k rozlišení pokusů o přihlášení, které vypadají jako od oprávněného uživatele, od pokusů, za kterými může být útočník. Hackera můžeme zablokovat a zároveň umožnit oprávněnému uživateli, aby svůj účet dál používal. Tím předcházíme odmítnutí služby uživateli a bráníme úporným útokům typu password spray. Tento postup platí pro všechna přihlášení ve službě Azure AD bez ohledu na úroveň licence a pro všechna přihlášení k účtům Microsoft.

Tenanti používající službu ADFS (Active Directory Federation Services) budou moct funkci Inteligentní uzamykání používat nativně v ADFS v systému Windows Server 2016 od března 2018. Její dostupnost následně zkontrolujte ve službě Windows Update.

Blokování IP adresy

Blokování IP adresy funguje na základě analýzy miliard přihlášení. Ta se zaměřuje na kvalitu provozu z IP adresy, která kontaktuje systémy Microsoftu. Vyhledá IP adresy, které se chovají škodlivě, a přihlašování z těchto IP adres se zablokuje v reálném čase.

Simulace útoků

Simulátor útoků, který je aktuálně v dispozici ve verzi Public Preview, je součástí Analýzy hrozeb Office 365 a umožňuje zákazníkům simulovat útoky na vlastní koncové uživatele, zjistit, jak se jejich uživatelé v případě útoku chovají, aktualizovat zásady a zajistit, aby byly k dispozici adekvátní nástroje zabezpečení, které ochrání vaši organizaci před hrozbami, jako jsou útoky typu password spray.

Kroky, které doporučujeme provést co nejdřív:

1. Pokud používáte cloudové ověřování, můžete mít klid v duši.
2. Pokud používáte služby ADFS nebo jiné hybridní řešení, v březnu 2018 si vyhledejte upgrade, díky kterému získáte funkci Inteligentní uzamykání.
3. Pomocí Simulátoru útoků proaktivně kontrolujte stav vašeho zabezpečení, abyste mohli provést nutné změny.

Krok 2: Používejte vícefaktorové ověřování

Heslo je klíčem pro přístup k účtu, ale v případě, že je útok typu password spray úspěšný, hackeři ho správně uhodli. Abychom je zastavili, potřebujeme k rozlišení majitele účtu od útočníka něco víc než jen heslo. Níže najdete tři možnosti, jak toho docílit.

Vícefaktorové ověřování založené na rizicích

Služba Azure ID Identity Protection využívá výše zmíněné přihlašovací údaje a pomocí detekčních algoritmů a strojového učení vyhodnocuje riziko každého přihlášení, které systém zaznamená. Díky tomu můžou podnikoví zákazníci vytvářet ve službě Identity Protection zásady, které vyzvou uživatele k ověření pomocí druhého faktoru, jen pokud se v souvislosti s tímto uživatelem nebo relací zjistilo nějaké riziko. To usnadňuje práci uživatelům a staví padouchům překážky do cesty. Další informace o službě Azure AD Identity Protection najdete tady.

Trvale zapnuté vícefaktorové ověřování

Aby byly vaše účty ještě lépe chráněné, můžete Azure MFA nastavit tak, aby uživatelé museli vždy používat vícefaktorové ověřování, jak v případě cloudového ověřování, tak služby ADFS. Sice to znamená, že koncoví uživatelé musí mít pokaždé svá zařízení u sebe a vícefaktorové ověřování musí provádět častěji, ale pro váš podnik je to nejbezpečnější řešení. Všichni správci v organizaci by měli mít tuto funkci zapnutou. Další informace o službě Azure Multi-Factor Authentication najdete tady. Informace o tom, jak nakonfigurovat Azure MFA pro služby ADFS, jsou z dispozici tady.

Azure MFA jako primární ověřování

Ve službě ADFS na Windows Serveru 2016 můžete používat Azure MFA jako primární ověřování při ověřování bez hesla. Toto je skvělý nástroj, který chrání před útoky typu password spray a krádeží hesel – heslo, které neexistuje, nejde uhodnout. Funguje to skvěle u všech typů zařízení s různým provedením. Navíc teď můžete používat heslo jako druhý faktor jen poté, co bylo vaše ověření jednorázovým heslem prověřeno ve službě Azure MFA. Další informace o používání hesla jako druhého faktoru najdete tady.

Kroky, které doporučujeme provést co nejdřív:

1. Důrazně doporučujeme zprovoznit trvale zapnuté vícefaktorové ověřování pro všechny správce ve vaší organizaci, především pro vlastníky předplatného a správce tenantů. Myslíme to vážně, udělejte to hned teď.
2. Pro zabezpečení vašich ostatních uživatelů doporučujeme vícefaktorové ověřování na základě rizik, které je k dispozici s licencemi Azure AD Premium P2.
3. Pokud je nemáte, používejte službu Azure MFA pro cloudové ověřování a služby ADFS.
4. Upgradujte služby ADFS na Windows Serveru 2016 tak, aby používaly Azure MFA pro primární ověřování, především pro veškerý přístup k extranetu.

Krok 3: Bezpečnější hesla pro všechny

I když implementujete všechna výše zmíněná opatření, klíčovou součástí obrany proti útokům typu password spray je, aby všichni uživatelé používali těžko uhodnutelná hesla. Řada uživatelů si není jistá, jak taková hesla vytvořit. Microsoft vám s tím pomůže prostřednictvím následujících nástrojů.

Zakázaná hesla

V Azure AD to funguje tak, že při každé změně a resetu hesla se nové heslo kontroluje v seznamu těch, která jsou zakázaná. Když uživatel vytvoří nové heslo, v seznamu slov, která by nikdo nikdy neměl v heslech používat, se zkontroluje, jestli se s těmito zakázanými slovy částečně neshoduje (seznam nelze obejít tak, že se písmena nahradí číslicemi). Pokud se objeví shoda, systém heslo odmítne a uživatele vyzve, aby zadal heslo, které se obtížněji uhodne. Vytváříme seznam nejčastěji napadaných hesel a často ho aktualizujeme.

Vlastní zakázaná hesla

Aby bylo využívání zakázaných hesel ještě efektivnější, umožníme tenantům tyto seznamy přizpůsobovat. Správci do nich budou moct doplnit slova spojená s jejich organizací, například jména slavných zaměstnanců a zakladatelů, názvy produktů, pracovišť, významných míst v oblasti a podobně, aby je uživatelé nemohli používat v heslech. Tento seznam se bude vynucovat zároveň s globálním seznamem, takže mezi nimi nemusíte volit. Tato funkce je momentálně ve verzi Limited Preview a plánujeme ji zpřístupnit ještě letos.

Využití seznamu zakázaných hesel v místních řešeních

Toto jaro zpřístupníme nástroj, který podnikovým správcům umožní zakázat hesla v hybridních prostředích služby Azure Active Directory. Seznamy zakázaných hesel se budou synchronizovat z cloudu do vašeho místního prostředí a budou se vynucovat u všech řadičů domény s agentem. Díky tomu budou mít správci jistotu, že uživatelská hesla lze obtížněji uhodnout bez ohledu na to, kde je uživatelé mění (ať v cloudu, nebo v místním řešení). Tato funkce byla k dispozici ve verzi Limited Preview od února 2018 a letos ji zpřístupníme pro všechny.

Změňte svůj pohled na hesla

Řada obecných představ o tom, jak má vypadat dobré heslo, je mylná. Pravidla, která původně měla uživatelům pomoct, z hlediska statistiky způsobují, že se uživatelé chovají předvídatelně. Například vyžadování určitých typů znaků a pravidelných změn hesla má za následek to, že se při vytváření nových hesel postupuje podle specifických vzorců. Podrobnosti si můžete přečíst v našem dokumentu whitepaper, který slouží jako průvodce pro bezpečná hesla. Pokud používáte službu Active Directory s předávacím ověřováním nebo služby ADFS, aktualizuje zásady pro hesla. Pokud používáte účty spravované v cloudu, zvažte nastavení hesel tak, aby jim nikdy nevypršela platnost.

Kroky, které doporučujeme provést co nejdřív:

1. Jakmile Microsoft vydá nástroj pro zakázaná hesla v místních řešeních, nainstalujte ho, abyste mohli uživatelům pomoct vytvořit bezpečnější hesla.
2. Zkontrolujte své zásady pro hesla a zvažte jejich nastavení tak, aby jim nikdy nevypršela platnost. Uživatelé tak pro hesla nebudou používat opakující se vzorce.

Krok 4: Další úžasné funkce služeb ADFS a Active Directory

Pokud používáte hybridní ověřování pomocí služby ADFS a Active Directory, můžete podniknout další kroky, kterými zvýšíte zabezpečení vašeho prostředí před útoky typu password spray.

První krok: Pokud vaše organizace používá služby ADFS 2.0 nebo Windows Server 2012, co nejdřív naplánujte přechod ke službám ADFS na Windows Serveru 2016. Nejnovější verze se aktualizují mnohem rychleji a získávají bohatší funkce, jako je třeba uzamknutí extranetu. A nezapomeňte: postup pro upgrade z Windows Serveru 2012 R2 na verzi 2016 jsme výrazně zjednodušili.

Zablokujte v extranetu starší verze ověřování

Starší ověřovací protokoly nemají možnost vynutit vícefaktorové ověřování, takže nejlepší volbou je v extranetu zablokovat. Hackeři provádějící útok typu password spray tak nebudou moct využít toho, že tyto protokoly nepoužívají vícefaktorové ověřování.

Povolte uzamknutí extranetu ve službě ADFS Proxy webových aplikací

Pokud ve službě ADFS Proxy webových aplikací nepoužíváte uzamknutí extranetu, měli byste ho povolit co nejdřív. Tato funkce chrání vaše uživatelské účty před útokem hrubou silou.

Nasaďte službu Azure AD Connect Health pro služby ADFS

Azure AD Connect Health zaznamenává IP adresy zapsané v protokolech služeb ADFS kvůli nesprávně zadanému uživatelskému jménu nebo heslu. Přináší podrobnější sestavy o různých situacích a lepší přehled, díky kterému můžou technici poskytovat uživatelům kvalitnější podporu.

Pokud chcete tuto službu nasadit, na všechny servery služeb ADFS (2.6.491.0) stáhněte nejnovější verzi agenta Azure AD Connect Health pro služby ADFS. Na serverech služeb ADFS musí běžet Windows Server 2012 R2 s nainstalovanou aktualizací KB 3134222 nebo Windows Server 2016.

Používejte přístupové metody nezaložené na heslech

Heslo, které neexistuje, se nedá uhodnout. Pro služby ADFS a Proxy webových aplikací jsou k dispozici následující metody ověřování bez použití hesel:

1. Ověřování pomocí certifikátu umožňuje zcela blokovat koncové body pro zadání uživatelského jména a hesla na úrovni firewallu. Přečtěte si další informace o ověřování ve službách ADFS pomocí certifikátů.
2. Jak je zmíněno výše, Azure MFA je možné používat jako druhý faktor v cloudovém ověřování a ve službách ADFS na Windows Serveru 2012 R2 a 2016. Ve službách ADFS na Windows Serveru 2016 ale může sloužit také jako primární ověřování. V takovém případě se úplně vyhnete riziku útoků typu password spray. Přečtěte si, jak nakonfigurovat Azure MFA ve službách ADFS.
3. Funkce Windows Hello pro firmy, která je dostupná ve Windows 10 a podporovaná službami ADFS na Windows Serveru 2016, umožňuje přístup (i z extranetu) zcela bez použití hesla. Využívá při tom silné šifrovací klíče spojené jak s uživatelem, tak se zařízením. Je k dispozici pro zařízení, která spravují podniky a která jsou připojená ke službě Azure AD nebo k hybridní službě Azure AD, a také pro osobní zařízení prostřednictvím funkce Přidat pracovní nebo školní účet, kterou najdete v aplikaci Nastavení. Přečtěte si další informace o Windows Hello pro firmy.

Kroky, které doporučujeme provést co nejdřív:

1. Upgrade služeb ADFS na Windows Serveru 2016, díky kterému získáte rychlejší aktualizace
2. Zablokujte v extranetu starší verze ověřování.
3. Nasaďte agenty služby Azure AD Connect Health pro služby ADFS na všech serverech ADFS.
4. Zvažte jako primární ověřování používání přístupových metod bez hesla, například Azure MFA, certifikátů nebo Windows Hello pro firmy.

Bonus: Ochrana účtů Microsoft

Pokud jste uživatelé účtu Microsoft:

• Skvělá zpráva! Vaše data už jsou chráněná! Účty Microsoft také používají inteligentní uzamykání, blokování IP adres, dvoustupňové ověřování na základě rizik, zakázaná hesla a další funkce.
• Udělejte si ale dvě minuty čas, přejděte ve svém účtu Microsoft na stránku Zabezpečení a klikněte na možnost „Aktualizace vašich bezpečnostních údajů“. Následně zkontrolujte bezpečnostní údaje pro dvoustupňové ověřování na základě rizik.
• Zvažte trvalé zapnutí dvoustupňového ověřování (můžete to udělat tady). Díky němu bude váš účet maximálně zabezpečený.

Nejlepší obranou je… postupovat podle doporučení v tomto blogu

Útok typu password spray je závažnou hrozbou pro všechny internetové služby, které používají hesla. Pokud ale podniknete kroky zmíněné v tomto článku, získáte maximální ochranu před tímto druhem agrese. A protože řada typů útoků má podobné rysy, zde popsané rady jednoduše nabízí přínos pro vaši organizaci. Vaše bezpečnost je pro nás nejvyšší prioritou a neustále usilovně pracujeme na vývoji nových, pokročilých funkcí, které vás ochrání před útoky typu password spray i všemi ostatními druhy hrozeb. Implementujte technologie, které jsou tady zmíněny, a často kontrolujte, zda nejsou k dispozici nové nástroje pro ochranu před hackery.

Doufám, že pro vás tyto informace budou užitečné. Jako vždy velice uvítáme vaši zpětnou vazbu nebo připomínky.

S přátelským pozdravem

Alex Simons (Twitter: @Alex_A_Simons)

Ředitel pro řízení programů

Divize Microsoft Identity

The post Doporučené postupy pro Azure AD a službu ADFS: Ochrana proti útokům typu password spray appeared first on Microsoft 365 Blog.

a doufám, že vám dnešní příspěvek přijde stejně zajímavý jako mně. Nastiňuje totiž pozoruhodnou vizi budoucnosti digitálních identit a je plný podnětů k přemýšlení.

V posledních 12 měsících investujeme do vývoje několika nápadů na využití blockchainu (a dalších technologií distribuovaného registru) k vytváření nových typů digitálních identit – od základů navržených tak, aby vylepšovaly ochranu osobních údajů, zabezpečení a řízení. Jsme nadšení tím, co jsme při tom zjistili, a novými partnerstvími, která se zformovala. Dnes vám chceme dát nahlédnout do našich úvah a přiblížit, kam směřujeme. Tento blogový příspěvek je součástí seriálu a navazuje na příspěvek Peggy Johnsonové oznamující, že se Microsoft připojil k iniciativě ID2020. Pokud jste Peggyin příspěvek zatím nečetli, doporučuji začít u něj a pak se vrátit sem.

Požádal jsem projektového manažera Ankura Patela, který v mém týmu vývoj těchto funkcí vede, aby pro nás debatu o decentralizovaných digitálních identitách otevřel. Jeho příspěvek se soustředí na některé naše klíčové poznatky a na zásady, které z nich vyplynuly pro naše rozhodování o budoucích investicích do této oblasti.

Jako vždycky nás velmi zajímají vaše postřehy a názory.

S přátelským pozdravem

Alex Simons (Twitter: @Alex_A_Simons)

Ředitel pro řízení programů

Divize Microsoft Identity

———-

I já všechny zdravím! Jmenuji se Ankur Patel a působím v Microsoftu v divizi identity. Je pro mě velká čest, že se s vámi můžu podělit o některé poznatky a plány do budoucna, které vyplynuly z našeho úsilí při vývoji decentralizovaných identit založených na technologiích blockchainu, resp. distribuovaného registru.

Jak vidíme současný stav

Jak mnozí z vás každodenně zažívají, svět prochází globální digitální transformací, ve které se digitální a fyzická realita prolínají a spojují v jediném moderním stylu života. Tento nový svět potřebuje nový model digitální identity, který zlepší ochranu soukromí jednotlivce a zabezpečení ve fyzickém i digitálním světě.

Cloudové systémy správy identity od Microsoftu už dnes umožňují tisícům vývojářů a organizací a miliardám lidí pracovat, hrát si a zvládat toho víc. Pořád ale zbývá velký prostor k tomu, abychom všem otevřeli nové možnosti. Naší ambicí je svět, kde můžou miliardy lidí, kteří dnes žijí bez spolehlivého ID, konečně naplnit sny vlastní každému člověku – vzdělávat svoje děti, zlepšovat kvalitu svého života nebo třeba začít podnikat.

Aby se tato vize mohla realizovat, je podle nás nutné, aby lidé vlastnili a měli pod kontrolou všechny prvky své digitální identity. Místo udělení široce pojatého souhlasu nespočetným aplikacím a službám, takže údaje o identitě jsou rozprostřené mezi spoustou různých poskytovatelů, potřebují jednotlivci bezpečné zašifrované digitální centrum, kde by si mohli údaje o své identitě uložit a jednoduše řídit přístup k nim.

Každý z nás potřebuje digitální identitu, kterou bude vlastnit. Bezpečně a soukromě se v ní uloží všechny prvky, které digitální identitu tvoří.  Používání takové identity vlastněné jednotlivcem musí být jednoduché a musí poskytovat plnou kontrolu nad přístupem k údajům v ní obsaženým a nad jejich používáním.

Je zjevné, že zavedení takové suverénní digitální identity přesahuje možnosti jakékoli jedné společnosti nebo organizace. Usilujeme proto o úzkou spolupráci s našimi zákazníky, partnery a celou komunitou, abychom mohli společně nabízet prostředí využívající digitální identitu nové generace. Jsme nadšeni z partnerství s mnoha hráči z oboru, kteří k pokrokům na tomto poli mimořádně přispívají.

Co jsme se dozvěděli

Dnes se chceme podělit o ty nejpozoruhodnější postřehy a poznatky, které jsme při vývoji decentralizované identity získali. Cílem našich snah je nabídnout možnosti pro prostředí s bohatšími funkcemi, posílit důvěru a vyhladit třecí plochy a zároveň každému jednotlivci umožnit, aby vlastnil a kontroloval svou digitální identitu.

1. Vlastníte a kontrolujete svou identitu. Dnes uživatelé udělují nesčetným aplikacím a službám široce pojatý souhlas ke shromažďování, používání a uchovávání jejich údajů, které nemají pod kontrolou. V době stále propracovanějších a častějších útoků na data a krádeží identity potřebují uživatelé možnost, jak svou identitu vzít za vlastní. Prozkoumali jsme decentralizované systémy úložišť, protokoly shody, blockchainy a celou škálu rodících se standardů a jsme přesvědčeni, že k umožnění decentralizovaných identit se dobře hodí technologie a protokoly blockchainu.
2. Ochrana osobních údajů od základu v návrhu.
   Aplikace, služby a organizace dnes uživatelům nabízejí pohodlná a předvídatelná prostředí na míru, která závisejí na údajích spojených s identitou. Potřebujeme zabezpečená šifrovaná digitální centra, která můžou pracovat s osobními údaji a zajistit při tom uživatelům soukromí a svrchovanost.
3. Důvěru buduje komunita, ale získávají ji jednotlivci.
   Tradiční systémy správy identity nejčastěji směřují k ověřování a řízení přístupu. V systému s identitou ve vlastnictví uživatelů přibývá důraz na autentičnost a na to, jak se v komunitě utváří důvěra. Důvěryhodnost v decentralizovaném systému stojí na osvědčeních: na tvrzeních, která potvrzují další subjekty a která pomáhají prokázat jednotlivé prvky identity uživatele.
4. Při vytváření aplikací a služeb je v centru uživatel.
   K nejzajímavějším aplikacím a službám dneška patří takové, které uživatelům nabízejí prostředí na míru díky tomu, že mají přístup k jejich osobně identifikovatelným údajům. Decentralizované identity a centra identit vývojářům umožňují získat přesnější sadu osvědčení a přitom zmírnit rizika související s legislativou a dodržováním předpisů, protože tyto informace pouze zpracovávají a nespravují je jménem uživatele.
5. Otevřený, interoperabilní základ.
   Abychom vytvořili robustní decentralizovaný ekosystém identit přístupný všem, musíme ho postavit na standardních, opensourcových technologiích, protokolech a referenčních implementacích. Loni jsme se společně s jednotlivci a organizacemi s podobnou motivací podíleli na aktivitách nadace Decentralized Identity Foundation (DIF). Společně vyvíjíme následující klíčové komponenty:
   

• Decentralizované identifikátory (DID) – Specifikace organizace W3C, která definuje společný formát dokumentů pro popis stavu decentralizovaného identifikátoru
  
• Centra identity – Šifrovaná úložiště údajů o identitě, která zahrnují záměr přenášených zpráv, zpracování osvědčení a výpočetní koncové body specifické pro konkrétní identitu
  
• Univerzální překladač identifikátorů DID – Server, který překládá identifikátory DID ve všech blockchainech 
  
• Ověřitelné přihlašovací údaje – Specifikace organizace W3C, která definuje formát dokumentu pro šifrování ověření založených na identifikátorech DID 
  

6. Připraveno na světové měřítko:
   Aby podkladová technologie mohla podporovat rozsáhlý svět uživatelů, organizací a zařízení, musí být škálovatelná a disponovat výkonem, který se vyrovná tradičním systémům. Některé veřejné blockchainy (bitcoin [BTC], ethereum, litecoin, abychom zmínili jen pár příkladů) poskytují solidní základ pro ukládání identifikátorů DID do kořenového adresáře, zaznamenávání operací DPKI a kotvení osvědčení. Některé komunity okolo blockchainu sice zvýšily kapacitu transakce v řetězci (například zvětšením bloku), tento přístup však obecně narušuje decentralizovaný stav sítě a neumožňuje dosahovat milionů transakcí za sekundu, které by systém generoval ve světovém měřítku. S cílem překonat tyto technické překážky spolupracujeme na decentralizovaných protokolech vrstvy 2, které poběží na těchto veřejných blockchainech a umožní dosáhnout globálního měřítka při zachování atributů systému identifikátorů DID světové třídy.
   
7. Přístupnost pro všechny:
   Dnešní ekosystém blockchainu stále tvoří především techničtí nadšenci ochotní věnovat čas, úsilí a energii správě klíčů a zabezpečování zařízení. Od běžných uživatelů nemůžeme očekávat, že se těmito technickými aspekty budou zabývat. Musíme se postarat, aby se ta nejdůležitější úskalí při správě, jako je obnovování, rotace a bezpečný přístup, obsluhovala jednoduše a intuitivně.
   

Naše další plány

Nové systémy a velké nápady na papíře často dávají dokonalý smysl. Všechno do sebe zapadá a předpoklady se zdají nevyvratitelné. Nejvíce se ale produktové a technické týmy dozvědí v praxi.

Aplikaci Microsoft Authenticator dnes ke každodennímu ověření svojí identity využívají miliony lidí. V dalším kroku proto plánujeme s decentralizovanými identitami experimentovat přidáním jejich podpory právě do Microsoft Authenticatoru. Když této aplikaci udělíte souhlas, bude Microsoft Authenticator moct fungovat jako váš uživatelský agent a spravovat údaje o identitě a šifrovací klíče. V takto pojatém systému se v blockchainu v kořeni ukládá jenom ID. Údaje o identitě se ukládají v centru identit mimo blockchain (kam Microsoft nevidí) a šifrují se pomocí těchto šifrovacích klíčů.

Jakmile tuto funkci přidáme, aplikace a služby budou moct pracovat s údaji uživatelů s využitím společného kanálu pro zprávy tak, že si vyžádají podrobný souhlas. Zpočátku budeme podporovat vybranou skupinu implementací DID v různých blockchainech a pravděpodobně v budoucnu přidáme další.

Výhled do budoucna

Tuto obrovskou výzvu přijímáme s pokorou a nadšením, ale také s vědomím, že ji nemůžeme zdolat sami. Počítáme s podporou a přispěním našich partnerů v alianci, členů nadace Decentralized Identity Foundation a různorodého ekosystému Microsoftu, který tvoří designéři, tvůrci politik, obchodní partneři i výrobci hardwaru a softwaru. A především budeme potřebovat vás, naše zákazníky, abyste nám poskytli zpětnou vazbu, jakmile začneme tuto první sadu scénářů testovat.

Toto je první příspěvek, ve kterém vám přibližujeme naši práci na decentralizovaných identitách. V dalších se podělíme o podrobnosti o našich prototypech i o technické detaily z klíčových oblastí, které jsme nastínili výše.

Těšíme se, že se k nám v tomto dobrodružství připojíte.

Nejdůležitější materiály:

• Sledujte náš účet @AzureAD na Twitteru
  
• Sledujte projekty nadace Decentralized Identity Foundation (DIF)
  
• Zapojte se do komunitní skupiny W3C Credentials
  

S pozdravem

Ankur Patel (@_AnkurPatel)

hlavní manažer programu

Divize Microsoft Identity

The post Decentralizované digitální identity a blockchain: jak vidíme budoucnost appeared first on Microsoft 365 Blog.

Dnes jsme na konferenci Microsoft Ignite odhalili novou vizi, která pomůže v digitální éře naplno využívat potenciál firstline workerů, a představili Microsoft 365 F1 – novou nabídku, která spojuje Office 365, Windows 10 a Enterprise Mobility + Security do kompletního, inteligentního balíčku pro všechny zaměstnance.

Moderní pracovní prostředí vyžaduje, aby společnosti plnily očekávání zaměstnanců, lépe je vzájemně propojily a poskytly jim nástroje, díky kterým budou moct společně tvořit, inovovat a pracovat na řešení problémů zákazníků i vlastní firmy. Skutečně moderní podniky podněcují originální myšlení zaměstnanců, vytvářejí kulturu podporující inovace a proaktivní přístup, váží si všech pracovníků od nejvyšších manažerů po firstline workery a dávají jim k dispozici všechno potřebné.

Firstline workeři tvoří většinu globální pracovní síly. Po celém světě jich působí dvě miliardy. Jsou to lidé za pulty, na telefonních linkách, na klinikách, v obchodech i v terénu. Často jsou jako první v kontaktu se zákazníky, reprezentují jako první značku společnosti a jako první vidí, jak produkty a služby fungují v praxi. Tvoří páteř mnoha nejvýznamnějších odvětví a bez nich by řada organizací nemohla realizovat své ambice.

Vidíme na trhu příležitost k tomu, abychom nabídli technologie, které firstline workerům zajistí intuitivnější, zajímavější a efektivnější pracovní prostředí. Microsoft má jedinečnou pozici, díky které může pomáhat firmám odhalovat potenciál jejich firstline workerů. Slouží k tomu naše nabídka komerčních produktů, jako je Microsoft 365, Dynamics 365, Microsoft IoT, Microsoft AI a ekosystém Microsoft HoloLens a Windows Mixed Reality.

Uvedení plánu Microsoft 365 F1 na trh představuje důležitý krok směrem k naší vizi, která spočívá v zapojení firstline workerů do digitální transformace a v jejich vybavení efektivními technologiemi.

Transformujte pracovní prostředí firstline workerů

Součástí Microsoft 365 F1 jsou funkce a nástroje, které umožní všem zaměstnancům převádět jejich nápady do praxe. Toto řešení podporuje firemní kulturu a pocit sounáležitosti. Například Skype Meeting Broadcast je určený pro interaktivní schůzky s velkým počtem účastníků a Yammer pomůže zaměstnancům vyhledávat a sdílet vzorové postupy napříč celou společností.

Řešení Microsoft 365 F1 usnadňuje školení a rozvoj dovedností zaměstnanců. Microsoft Stream slouží ke sdílení dynamického obsahu a videí pro jednotlivé role a SharePoint nabízí jednoduchou distribuci školicích materiálů pro nové i stávající zaměstnance a správu organizačních dokumentů na jednom bezpečném místě.

Tento plán podporuje produktivitu první linie a digitalizuje obchodní procesy. Microsoft StaffHub je speciální aplikace pro firstline workery, kterým pomáhá organizovat pracovní den. Microsoft PowerApps a Microsoft Flow zase automatizují každodenní činnosti. Dnes jsme oznámili, že StaffHub rozšíříme o nové funkce, včetně zapisování docházky a sledování úloh. Také chceme zaměstnancům usnadnit stálé připojení ke StaffHubu – integrujeme do něj zasílání zpráv z Microsoft Teams, centra pro spolupráci, a zdůrazníme firemní oznámení zveřejněná v Yammeru. Zákazníkům nabídneme obecné aplikační rozhraní a tím jim umožníme připojit StaffHub k systémům pro řízení lidských zdrojů a dalším nástrojům.

Microsoft 365 F1 zjednodušuje správu IT, minimalizuje náklady a rozšiřuje zabezpečení ke všem zaměstnancům a koncovým bodům. Azure Active Directory zajišťuje správu identit a řízení přístupu zaměstnanců. Microsoft Intune pomáhá zabezpečit zařízení a nové funkce ve Windows 10 zjednodušují pracovní prostředí pro firstline workery – podporují uzamykatelná jednoúčelová zařízení s přiřazeným přístupem a automatické nasazení pomocí programu Windows AutoPilot.

Uvědomujeme si, jak důležité je vybavit firstline workery optimalizovanými a zabezpečenými zařízeními, která minimalizují celkové náklady na vlastnictví. Dnes představujeme nová komerční zařízení vybavená Windows 10 S od našich partnerů z řad výrobců originálního vybavení: společností HP, Lenovo a Acer. Jejich cena bude začínat na 275 USD, budou ideálním řešením pro firstline workery a jejich hlavní předností bude využívání cloudové identity a správy.

Je to pro nás skvělá příležitost pro rozvoj firstline workerů a na tomto poli chystáme řadu dalších zajímavých novinek.

Další informace o naší vizi najdete na naší nové stránce pro firstline workery a v níže uvedené tabulce se dozvíte, co je součástí Microsoft 365 F1.

—Bryan Goode

The post Microsoft 365 myslí na zaměstnance všech úrovní appeared first on Microsoft 365 Blog.