Hallo zusammen,

ich habe heute spannende Neuigkeiten für Sie! Ab sofort unterstützt Ihr Microsoft-Konto die sichere Anmeldung mit FIDO2-kompatiblen Standardgeräten völlig ohne Benutzernamen oder Kennwort! Mit FIDO2 können Benutzer Standardgeräte nutzen, um sich unterwegs oder in einer Desktopumgebung auf einfache Weise bei Onlinediensten zu authentifizieren. Die Funktionalität ist derzeit in den USA verfügbar, die weltweite Einführung folgt aber in den kommenden Wochen.

Die Lösung ist nicht nur benutzerfreundlich und sicher, sondern findet auch breite Branchenunterstützung und wird die Authentifizierung revolutionieren – sowohl zu Hause als auch am modernen Arbeitsplatz. Über 800 Mio. Menschen nutzen jeden Monat – beruflich oder privat – ein Microsoft-Konto für Outlook, Office, OneDrive, Bing, Skype und Xbox Live, um kreativ zu sein, sich zu vernetzen und Inhalte von praktisch überall zu teilen. Diese einfache Funktion verspricht allen jetzt mehr Sicherheit und eine höhere Benutzerfreundlichkeit.

Ab heute können Sie sich in Microsoft Edge per FIDO2-Gerät oder Windows Hello bei Ihrem Microsoft-Konto anmelden.

Wie das geht, erfahren Sie in diesem kurzen Video:

Microsoft möchte Benutzern helfen, auf Kennwörter zu verzichten und gleichzeitig ihre Daten und Konten vor Bedrohungen zu schützen. Als Mitglied der FIDO (Fast Identity Online)-Allianz und des World Wide Web Consortium (W3C) arbeiten wir gemeinsam mit anderen an der Entwicklung offener Standards für die Authentifizierung der nächsten Generation. Ich freue, mich bekanntzugeben, dass Microsoft als erstes Fortune 500-Unternehmen die kennwortfreie Authentifizierung unter Anwendung der WebAuthn- und FIDO2-Spezifikationen ermöglicht. Außerdem unterstützt Microsoft Edge verglichen mit anderen führenden Browsern die meisten Authentifizierer.

Lesen Sie weiter, wenn Sie Näheres zur Funktionsweise und zur Verwendung erfahren möchten.

Erste Schritte

So melden Sie sich mit einem FIDO2-Sicherheitsschlüssel bei Ihrem Microsoft-Konto an:

1. Falls noch nicht geschehen, installieren Sie das Windows 10 October 2018 Update.
2. Melden Sie sich wie gewohnt in Microsoft Edge auf der Seite für Ihr Microsoft-Konto an.
3. Wählen Sie Sicherheit > Weitere Sicherheitsoptionen aus. Unter der Option Windows Hello und Sicherheitsschlüssel finden Sie Anweisungen zum Einrichten eines Sicherheitsschlüssels. (Sie können einen Sicherheitsschlüssel von einem Ihrer Partner wie Yubico und Feitian Technologies erwerben, die den FIDO2-Standard unterstützen.*)
4. Bei der nächsten Anmeldung können Sie entweder auf Weitere Optionen > Sicherheitsschlüssel verwenden klicken oder Ihren Benutzernamen eingeben. An diesem Punkt werden Sie aufgefordert, einen Sicherheitsschlüssel für die Anmeldung zu verwenden.

Hier zur Erinnerung, wie Sie sich mit Windows Hello bei Ihrem Microsoft-Konto anmelden:

1. Sie müssen über das Windows 10 October 2018 Update verfügen.
2. Falls noch nicht geschehen, müssen Sie Windows Hello einrichten. Wenn Sie Windows Hello bereits eingerichtet haben, können Sie direkt loslegen.
3. Bei der nächsten Anmeldung in Microsoft Edge können Sie entweder auf Weitere Optionen > Windows Hello oder Sicherheitsschlüssel verwenden klicken oder Ihren Benutzernamen eingeben. An diesem Punkt werden Sie aufgefordert, Windows Hello oder einen Sicherheitsschlüssel für die Anmeldung zu verwenden.

Falls Sie weitere Hilfe benötigen, informieren Sie sich in unserem ausführlichen Hilfeartikel über die Einrichtung.

*Die FIDO2-Spezifikation enthält eine Reihe optionaler Funktionen, die wir als sicherheitsrelevant ansehen. Daher sind nur Schlüssel geeignet, die über diese Funktionen verfügen. Unter Was ist ein Microsoft-kompatibler Sicherheitsschlüssel? finden Sie weitere Informationen.

So funktioniert’s

Hinter den Kulissen haben wir die WebAuthn- und FIDO2 CTAP2-Spezifikationen in unsere Dienste implementiert.

FIDO2 schützt Anmeldeinformationen nicht durch Kennwörter, sondern durch die Verschlüsselung mit einem privaten/öffentlichen Schlüssel. Wenn Sie FIDO2-Anmeldeinformationen erstellen und registrieren, werden auf dem Gerät (Ihrem PC oder FIDO2-Gerät) ein privater und ein öffentlicher Schlüssel erzeugt. Der private Schlüssel wird sicher auf dem Gerät gespeichert und kann erst verwendet werden, nachdem er durch eine lokale Geste, beispielsweise biometrische Daten oder eine PIN, entsperrt wurde. Beachten Sie, dass Ihre biometrischen Daten oder Ihre PIN das Gerät nie verlassen. Während der private Schlüssel gespeichert wird, wird gleichzeitig der öffentliche Schlüssel an das Microsoft-Kontosystem in der Cloud gesendet und mit Ihrem Benutzerkonto registriert.

Wenn Sie sich später anmelden, übermittelt das Microsoft-Kontosystem an Ihren PC oder Ihr FIDO2-Gerät eine Nonce. Der PC bzw. das Gerät verwendet dann den privaten Schlüssel, um die Nonce zu signieren. Die signierte Nonce wird zusammen mit signierten Metadaten zurück an das Microsoft-Kontosystem gesendet, wo sie unter Verwendung des öffentlichen Schlüssels verifiziert werden. Die signierten Metadaten enthalten gemäß den WebAuthn- und FIDO2-Spezifikationen Informationen, die beispielsweise angeben, ob der Benutzer anwesend war. Außerdem wird mit den Metadaten die Authentifizierung durch die lokale Geste verifiziert. Diese Eigenschaften verhindern, dass die bei der Authentifizierung mit Windows Hello und FIDO2-Geräten ausgetauschten Informationen durch Phishingversuche oder Schadsoftware ausgespäht werden können.

Wie wird diese Funktion von Windows Hello und FIDO2-Geräten implementiert? Abhängig von den Fähigkeiten Ihres Windows 10-Geräts verfügen Sie entweder über einen integrierten abgesicherten Bereich in Form eines Hardware-TPMs (Trusted Platform Module) oder eines Software-TPMs. Im TPM wird der private Schlüssel gespeichert, der entweder per Gesichtserkennung, Fingerabdruck oder PIN entsperrt werden kann. Ein FIDO2-Gerät ist ein kleines, mit einem Sicherheitsschlüssel vergleichbares externes Gerät, das einen integrierten abgesicherten Bereich aufweist, in dem der private Schlüssel gespeichert wird, der wiederum nur mit biometrischen Daten oder einer PIN entsperrt werden kann. Beide Optionen ermöglichen die zweistufige Authentifizierung in nur einem Schritt. Allerdings werden ein registriertes Gerät und biometrische Daten oder eine PIN benötigt, damit die Anmeldung erfolgreich verläuft.

Alle technischen Details rund um die Implementierung finden Sie im Artikel in unserem Identity Standards-Blog.

So geht es weiter

Bei unserem Ansatz, teilweise oder vollständig auf Kennwörter zu verzichten, sind zahlreiche spannende Ideen entstanden. Wir arbeiten gerade an derselben Anmeldefunktion für einen Browser, die Sicherheitsschlüssel für Geschäfts-, Schul- oder Unikonten in Azure Active Directory vorsieht. Unternehmenskunden können diese Neuerung Anfang des Jahres in einer Preview erproben. So können Mitarbeiter beispielsweise eigene Sicherheitsschlüssel für ihr Konto einrichten, um sich bei Windows 10 und der Cloud anzumelden.

Da immer mehr Browser und Plattformen die WebAuthn- und FIDO2-Standards unterstützen, wird die kennwortfreie Anmeldung – die bisher nur in Microsoft Edge und Windows angeboten wird – hoffentlich bald flächendeckend verfügbar sein!

Informieren Sie sich Anfang des Jahres über weitere Details.

Beste Grüße,
Alex Simons (@Twitter: @Alex_A_Simons)
CVP of Program Management
Microsoft Identity Division

The post Sichere kennwortfreie Anmeldung mit Ihrem Microsoft-Konto via Sicherheitsschlüssel oder Windows Hello appeared first on Microsoft 365 Blog.

jeder in der Microsoft Identity Division kommt täglich mit dem Anspruch zur Arbeit, Sie – unsere Kunden – zu unterstützen, Ihren Mitarbeitern, Partnern und Kunden zu mehr Produktivität zu verhelfen und Ihnen den sicheren, verwalteten Zugriff auf Ihre Unternehmensressourcen zu erleichtern.

Daher war die Freude groß zu erfahren, dass Microsoft vor Kurzem die Auszeichnung 2018 Gartner Peer Insights Customers‘ Choice für Access Management, Worldwide erhalten hat.

Gartner erläutert in seiner Bekanntgabe: „Gartner Peer Insights Customers‘ Choice ist eine Auszeichnung für Anbieter im jeweiligen Marktsegment. Sie basiert auf Rezensionen verifizierter Endanwender und bezieht dabei sowohl die Anzahl der Rezensionen als auch die Gesamtbewertung der Benutzer mit ein.“ Bei der Ermittlung der Anbieter mit hoher Kundenzufriedenheit wendet Gartner strenge Kriterien an, um eine faire Beurteilung zu gewährleisten.

Die Auszeichnung zu erhalten, ist unglaublich motivierend. Die hohe Anerkennung bestätigt nicht nur unseren Einsatz für unsere Kunden, sondern auch, dass sie die diesjährigen Neuerungen an Azure Active Directory (Azure AD) schätzen.

Um diese Auszeichnung zu erhalten, benötigt ein Anbieter mindestens 50 veröffentlichte Rezensionen mit einer durchschnittlichen Gesamtbewertung von 4,2 oder mehr Sternen.

Hier einige Zitate aus den Rezensionen unserer Kunden:

„Azure AD entwickelt sich schnell zur universellen Lösung, mit der wir die meisten Probleme beim Identitäts- und Zugriffsmanagement bewältigen.“
– Enterprise Security Architect in der Transportbranche Vollständige Rezension lesen

„Wir schätzen Azure Active Directory immer mehr als hochverfügbaren, allgegenwärtigen Verzeichnisdienst.“
– Chief Technology Officer in der Dienstleistungsbranche Vollständige Rezension lesen

„[Microsoft] hat bei der Implementierung unseres Identitätsservice großartige Arbeit geleistet. Schließlich mussten wir nicht nur die Anforderungen verschiedener Behörden berücksichtigen, sondern benötigten auch eine Strategie, um unsere SSO-Lösung voranzubringen und die alte und neue Anwendung zu integrieren. Zudem konnten wir die Authentifizierung und den Zugriff auf unsere SaaS-Anwendung standardisieren.“
– Director of Technology im öffentlichen Sektor Vollständige Rezension lesen

Weitere Rezensionen zu Microsoft lesen

Heute nutzen mehr als 90.000 Organisationen in 89 Ländern Azure AD Premium, während wir über acht Mrd. Authentifizierungen pro Tag verarbeiten. Unser Entwicklungsteam arbeitet rund um die Uhr daran, einen extrem zuverlässigen, skalierbaren und leistungsfähigen Dienst bereitzustellen, und schöpft aus der „Customers‘ Choice“-Auszeichnung eine hohe Motivation. Es war aufregend zu erfahren, welche großartigen Dinge viele unserer Kunden mit unseren Identitätsservices bewerkstelligen.

Ich möchte mich im Namen des gesamten Azure AD-Teams bei unseren Kunden für diesen Vertrauensbeweis bedanken! Wir freuen uns darauf, auf den Erfahrungen und dem Vertrauen aufzubauen, die uns die Auszeichnung „Customers‘ Choice“ eingebracht haben.

Das Gartner Peer Insights Customers‘ Choice-Logo ist eine Marke und ein Dienstzeichen von Gartner, Inc., und/oder seinen Partnern und wird hier mit Genehmigung von Gartner verwendet. Alle Rechte vorbehalten. Die Bewertungen von Gartner Peer Insights Customers‘ Choice beruhen auf den subjektiven Meinungen und Erfahrungen einzelner Endbenutzer, der Anzahl der auf Gartner Peer Insights veröffentlichten Rezensionen und auf der Gesamtbewertung eines bestimmten Anbieters im jeweiligen Markt, wie hier beschrieben. Sie geben in keiner Weise die Ansichten von Gartner oder seinen Partnern wieder.

Beste Grüße,

Alex Simons (@Twitter: @Alex_A_Simons)
Corporate VP of Program Management
Microsoft Identity Division

The post Gartner Peer Insights: Microsoft 2018 als Customers‘ Choice für Access Management ausgezeichnet appeared first on Microsoft 365 Blog.

ich habe heute großartige Neuigkeiten für Sie! Gartner positioniert Microsoft im Magic Quadrant 2018 für Access Management das zweite Jahr in Folge im „Leaders Quadrant, Worldwide“. Ausschlaggebend waren unser ganzheitliches Unternehmenskonzept und die Umsetzbarkeit auf dem Markt für Access Management-Produkte. Informieren Sie sich hier in einem kostenlosen Exemplar des Berichts.

Laut Gartner zeichnen sich Leader durch eine starke Umsetzung und die Antizipation zukünftiger Anforderungen an die Technologie, Methodologie oder das Bereitstellungsmodell aus. Leader sind sich auch der Bedeutung bewusst, die Access Management-Lösungen in verwandten oder kombinierten Produktangeboten haben.

Erster in „Vision“ im Leaders Quadrant

Microsoft führt die Kategorie „Completeness of Vision“ (Ganzheitliches Unternehmenskonzept) im Leaders Quadrant an – das zweite Jahr in Folge. Wir sind überzeugt, dass unsere positive Entwicklung in der Kategorie „Execution“ (Umsetzung) auch unser Engagement widerspiegelt, eine Strategie umzusetzen, die Unternehmen in ihrer aktuellen Situation unterstützt und gleichzeitig auf die Anforderungen vorbereitet, die die Identitätsverwaltung von morgen stellt.

Wir bei Microsoft befürworten Richtlinien für den bedingten Zugriff und den Identitätsschutz als unverzichtbare Voraussetzungen für eine Identitäts- und Zugriffsmanagementlösung auf Weltniveau. Wir haben viel Arbeit in die Integration produktübergreifender Sicherheitsrichtlinien in ein vielfältiges Ökosystem mit Windows 10, Office 365 und EMS investiert, um Ihnen transparente Einblicke und Kontrolle über die gesamte Benutzerumgebung zu geben. Zudem haben wir in diesem Jahr Anregungen und Feedback von unseren Kunden berücksichtigt, um die Benutzeroberfläche zu verbessern und die zentrale Verwaltung aller Identitäten noch einfacher zu machen. Wir sehen unsere Aufgabe darin, innovative, umfassende Identitäts- und Zugriffsmanagementlösungen zu bieten – für Ihre Mitarbeiter, Partner und Kunden.

Dabei hätten wir unsere führende Position nicht ohne die Mitwirkung und Unterstützung unserer Kunden und Partner verteidigen können – vielen Dank!

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

Wichtig:

Diese Grafik wurde von Gartner als Teil eines größeren Forschungsdokuments veröffentlicht und sollte unter Berücksichtigung des Gesamtberichts beurteilt werden. Sie erhalten den Gartner-Bericht auf Anfrage von Microsoft.

Gartner spricht keine Empfehlung für die in seinen Publikationen bewerteten Hersteller, Produkte oder Services aus und rät Technologie-Anwendern nicht, sich ausschließlich für die höchstplatzierten oder sonst wie bezeichneten Anbieter zu entscheiden. Gartner Forschungspublikationen spiegeln die Meinungen von Gartner wider und sollten nicht als Fakten ausgelegt werden. Gartner übernimmt für die vorliegenden Untersuchungsergebnisse keinerlei Gewähr, weder ausdrücklich noch stillschweigend, und schließt jegliche Zusicherung wie z. B. der handelsüblichen Qualität oder der Eignung für einen bestimmten Zweck aus.

The post Vision + Umsetzung: Microsoft im Gartner Magic Quadrant für Access Management erneut als Leader positioniert appeared first on Microsoft 365 Blog.

solange es Kennwörter gibt, solange werden sie ausgespäht. In diesem Blog befassen wir uns mit einer Angriffsart, die in der letzten Zeit DEUTLICH zugenommen hat, und einigen Best Practices, mit denen Sie sich dagegen verteidigen können. Eine solche Attacke wird allgemein als Kennwort-Spray-Angriff bezeichnet.

Bei einem Kennwort-Spray-Angriff versuchen Kriminelle, sich mit den meistverwendeten Kennwörtern bei vielen verschiedenen Konten und Diensten anzumelden, um Zugang zu kennwortgeschützten Ressourcen zu erhalten. Die Angriffe haben normalerweise unterschiedlichste Organisationen und Identitätsanbieter zum Ziel. Beispiel: Ein Angreifer nutzt ein allgemein erhältliches Toolkit wie MailSniper, um alle Benutzer in mehreren Organisationen aufzulisten und dann „K@ÑÑw0rt“ und „Kennwort1“ bei all diesen Konten auszuprobieren. Ein Angriff könnte wie folgt aussehen:

Bei diesem Angriffsmuster werden die meisten Erkennungsverfahren ausgetrickst, da der Angriff aus Sicht eines Einzelnutzers oder eines Unternehmens wie ein isolierter fehlgeschlagener Anmeldeversuch aussieht.

Für den Angreifer ist es ein reines Zahlenspiel: Er weiß, es gibt Kennwörter, die sehr beliebt sind. Obwohl die gängigsten Kennwörter nur für 0,5–1,0 % der Konten genutzt werden, erzielt der Angreifer alle tausend Konten ein paar Treffer, was ausreicht, um Wirkung zu zeigen.

Über die Konten werden Daten aus E-Mails ausgelesen, Kontaktinformationen gesammelt, Phishing-Links versendet oder einfach nur die Zielgruppe für Kennwort-Spray-Angriffe vergrößert. Die anfänglichen Ziele kümmern die Angreifer wenig. Es geht nur darum, erfolgreich einzudringen und diesen Vorteil auszunutzen.

Die gute Nachricht ist, dass Microsoft bereits zahlreiche Werkzeuge implementiert hat und anbietet, um solche Angriffe zu vereiteln. Weitere folgen in Kürze. Im weiteren Verlauf erfahren Sie, was Sie sofort und in den kommenden Monaten tun können, um Kennwort-Spray-Angriffen entgegenzuwirken.

Vier einfache Schritte zur Abwehr von Kennwort-Spray-Angriffen

Schritt 1: Cloudauthentifizierung

Die Cloud verzeichnet täglich Milliarden von Anmeldungen bei Microsoft-Systemen. Mithilfe unserer Algorithmen zur Erkennung von Sicherheitsverletzungen können wir Angriffe bereits im Vorfeld erkennen und abblocken. Die Systeme für Echtzeiterkennung und -schutz sind cloudgestützt und daher nur bei Verwendung der Azure AD-Authentifizierung in der Cloud (einschließlich der Pass-Through-Authentifizierung) verfügbar.

Smart Lockout

Wir nutzen Smart Lockout in der Cloud, um zwischen Anmeldeversuchen zu unterscheiden, die vom zulässigen Benutzer ausgeführt werden, und Anmeldeversuchen, die von einem Angreifer ausgehen könnten. Wir können den Angreifer aussperren und dem zulässigen Benutzer weiterhin die Verwendung des Kontos ermöglichen. So werden Denial-of-Service-Situationen für den Benutzer vermieden und maßlose Kennwort-Spray-Angriffe verhindert. Dies gilt für alle Azure AD-Anmeldungen unabhängig von der Lizenzebene und für alle Anmeldungen bei Microsoft-Konten.

Mandanten, die Active Directory-Verbunddienste (AD FS) verwenden, können Smart Lockout ab März 2018 nativ in AD FS in Windows Server 2016 nutzen. Warten Sie, bis diese Funktion über Windows Update verfügbar wird.

IP-Lockout

IP-Lockout analysiert Milliarden von Anmeldungen, um die Qualität des Datenverkehrs zu beurteilen, der von jeder einzelnen IP-Adresse bei Microsoft-Systemen eingeht. Anhand der Analyse ermittelt IP-Lockout IP-Adressen, von denen arglistige Handlungen ausgehen, und blockiert die entsprechenden Anmeldeversuche in Echtzeit.

Angriffssimulationen

Der Angriffssimulator ist als Bestandteil von Office 365 Threat Intelligence jetzt in der Public Preview verfügbar. Damit können Kunden Angriffe auf eigene Endbenutzer simulieren, feststellen, wie sich Benutzer im Angriffsfall verhalten, Richtlinien aktualisieren und gewährleisten, dass die geeigneten Sicherheitsanwendungen verfügbar sind, um ihr Unternehmen vor Bedrohungen wie Kennwort-Spray-Angriffen zu schützen.

Empfohlene Sofortmaßnahmen:

1. Bei Verwendung der Cloudauthentifizierung sind Sie auf der sicheren Seite.
2. Bei Verwendung von AD FS oder eines anderen Hybridszenarios achten Sie im März 2018 auf ein AD FS-Upgrade mit Smart Lockout.
3. Nutzen Sie den Angriffssimulator, um Ihren Sicherheitsstatus proaktiv zu bewerten und Anpassungen vorzunehmen.

Schritt 2: Mehrstufige Authentifizierung

Ein Kennwort ist der Schlüssel für den Zugriff auf ein Konto. Bei einem erfolgreichen Kennwort-Spray-Angriff hat der Angreifer das richtige Kennwort jedoch erraten. Um das zu verhindern, benötigen wir mehr als nur ein Kennwort, um zwischen dem Kontoinhaber und dem Angreifer zu unterscheiden. Sie haben folgende drei Möglichkeiten:

Risikobasierte mehrstufige Authentifizierung

Azure AD Identity Protection nutzt die oben erwähnten Anmeldedaten und setzt zusätzlich auf erweitertes maschinelles Lernen und algorithmische Erkennung, um jede Anmeldung beim System einer Risikobewertung zu unterziehen. Dadurch können Unternehmenskunden in Identity Protection Richtlinien erstellen, durch die ein Benutzer aufgefordert wird, sich über eine zweite Stufe zu authentifizieren. Das ist allerdings nur dann erforderlich, wenn für den Benutzer oder die Sitzung Risiken erkannt wurden. Dies entlastet Benutzer und erschwert Angreifern ihr Vorhaben. Erfahren Sie hier mehr über Azure AD Identity Protection.

Mehrstufige Always On-Authentifizierung

Um die Sicherheit weiter zu erhöhen, können Sie Azure MFA verwenden. So müssen Benutzer immer die mehrstufige Authentifizierung verwenden – sowohl bei der Cloudauthentifizierung als auch in AD FS. Während Endbenutzer ihre Geräte immer zur Hand haben und häufiger eine mehrstufige Authentifizierung durchführen müssen, ist dies die sicherste Methode für Ihr Unternehmen. Sie sollte für jeden Administrator in einem Unternehmen aktiviert sein. Weitere Informationen zur Azure Multi-Factor Authentication finden Sie hier und zur Konfiguration von Azure MFA für AD FS finden Sie hier.

Azure MFA als primäre Authentifizierungsmethode

In AD FS 2016 können Sie Azure MFA als primäre Methode für die kennwortfreie Authentifizierung verwenden. Dies ist eine großartige Möglichkeit, Kennwort-Spray-Angriffen und Kennwortdiebstahl vorzubeugen, denn wenn es kein Kennwort gibt, kann es auch nicht ausgespäht werden. Diese Methode eignet sich sehr gut für die unterschiedlichsten Gerätetypen mit verschiedenen Formfaktoren. Darüber hinaus können Sie Kennwörter jetzt erst als zweite Authentifizierungsstufe verwenden, nachdem Ihr Einmalkennwort (OTP) mit Azure MFA überprüft wurde. Weitere Informationen zur Verwendung von Kennwörtern als zweite Authentifizierungsstufe finden Sie hier.

Empfohlene Sofortmaßnahmen:

1. Wir empfehlen dringend, die mehrstufige Always On-Authentifizierung für alle Administratoren in Ihrem Unternehmen zu aktivieren, insbesondere für Abonnementbesitzer und Mandantenadministratoren. Sie sollten wirklich sofort handeln.
2. Um den übrigen Benutzern eine optimale Erfahrung zu bieten, empfehlen wir die risikobasierte mehrstufige Authentifizierung, die bei Verwendung von Azure AD Premium P2-Lizenzen verfügbar ist.
3. Verwenden Sie andernfalls Azure MFA für die Cloudauthentifizierung und AD FS.
4. Führen Sie in AD FS ein Upgrade auf AD FS unter Windows Server 2016 aus, um Azure MFA als primäre Authentifizierungsmethode speziell für den gesamten Extranetzugriff zu verwenden.

Schritt 3: Bessere Kennwörter für alle

Trotz aller oben genannten Sicherheitsvorkehrungen besteht eine wichtige Voraussetzung für die wirksame Verteidigung gegen Kennwort-Spray-Angriffe darin, dass alle Benutzer über schwer zu ermittelnde Kennwörter verfügen. Häufig wissen Benutzer nicht genau, wie ein solches „starkes“ Kennwort aufgebaut sein muss. Microsoft unterstützt Sie dabei mit folgenden Lösungen:

Gesperrte Kennwörter

In Azure AD wird bei jeder Kennwortänderung und -zurücksetzung eine Prüfung auf gesperrte Kennwörter durchgeführt. Bei Angabe eines neuen Kennworts werden Fuzzyübereinstimmungen mit einer Liste von Wörtern gesucht, die niemand jemals in seinem Kennwort verwenden darf (und auch Leetspeak – das Ersetzen von Buchstaben durch ähnliche Zeichen – wird nicht akzeptiert). Bei einer Übereinstimmung wird das Kennwort abgelehnt, und der Benutzer muss ein Kennwort wählen, das schwieriger zu erraten ist. Wir ergänzen und aktualisieren die Liste häufig angegriffener Kennwörter in kurzen Abständen.

Angepasste gesperrte Kennwörter

Um das Konzept gesperrter Kennwörter weiter zu verbessern, haben Mandanten die Möglichkeit, ihre Listen gesperrter Kennwörter individuell anzupassen. So können Administratoren Begriffe wählen, die typisch für ihr Unternehmen sind – beispielsweise berühmte Mitarbeiter und Gründer, Produkte, Orte, regionale Gegebenheiten usw. – und verhindern, dass sie in Benutzerkennwörtern verwendet werden. Da diese Liste zusätzlich zur globalen Liste gilt, müssen Sie sich nicht für eine von beiden entscheiden. Die Funktion befindet sich in der eingeschränkten Vorschau und wird dieses Jahr eingeführt.

Gesperrte Kennwörter für Änderungen in der lokalen Umgebung

In diesem Frühjahr wird ein Werkzeug eingeführt, mit dem Unternehmensadministratoren Kennwörter in hybriden Azure AD-Active Directory-Umgebungen sperren können. Listen mit gesperrten Kennwörtern werden zwischen der Cloud und Ihren lokalen Umgebungen synchronisiert und mit dem Agent auf jedem Domänencontroller durchgesetzt. Das hilft Administratoren sicherzustellen, dass Benutzerkennwörter nicht so einfach ausgespäht werden können – ganz gleich, ob sie in der Cloud oder in der lokalen Umgebung geändert werden. Die Funktion wurde im Februar 2018 in der eingeschränkten privaten Vorschau eingeführt und soll dieses Jahr allgemein verfügbar werden.

Ändern Sie Ihre Sichtweise auf Kennwörter

Viele Annahmen über gute Kennwörter sind falsch. Eine rechnerische Herangehensweise, die normalerweise hilfreich sein sollte, führt in unserem Fall zu einem vorhersagbaren Benutzerverhalten: Wenn man beispielsweise bestimmte Zeichentypen und regelmäßige Kennwortänderungen vorschreibt, entstehen bestimmte Kennwortmuster. Lesen Sie unser Whitepaper mit Kennwortanleitungen, um mehr zu erfahren. Wenn Sie Active Directory mit PTA oder AD FS verwenden, aktualisieren Sie Ihre Kennwortrichtlinien. Bei Verwendung cloudverwalteter Konten sollten Sie erwägen, Kennwörter festzulegen, die niemals ablaufen.

Empfohlene Sofortmaßnahmen:

1. Sobald das Werkzeug für gesperrte Kennwörter von Microsoft veröffentlicht wird, sollten Sie es lokal installieren, um Benutzern zu helfen, bessere Kennwörter zu erstellen.
2. Überprüfen Sie Ihre Kennwortrichtlinien, und erwägen Sie, niemals ablaufende Kennwörter zu verwenden. So verhindern Sie, dass Benutzer bei der Kennworterstellung saisonale Muster verwenden.

Schritt 4: Weitere großartige Funktionen in AD FS und Active Directory

Wenn Sie mit AD FS und Active Directory die Hybridauthentifizierung verwenden, haben Sie weitere Möglichkeiten, um Ihre Umgebung vor Kennwort-Spray-Angriffen zu schützen.

Der erste Schritt: Unternehmen, die AD FS 2.0 oder Windows Server 2012 nutzen, sollten möglichst bald den Wechsel zu AD FS in Windows Server 2016 planen. Die aktuelle Version wird schneller mit einer umfangreicheren Funktionspalette aktualisiert, darunter beispielsweise die Extranetsperre. Außerdem haben wir das Upgrade von Windows Server 2012R2 auf 2016 wesentlich vereinfacht.

Legacyauthentifizierung aus dem Extranet sperren

Da ältere Authentifizierungsprotokolle keine MFA erzwingen können, besteht der beste Ansatz darin, die Protokolle aus dem Extranet zu sperren. Dies hindert Kennwort-Spray-Angreifer daran, das Fehlen der MFA in diesen Protokollen auszunutzen.

Extranetsperre für AD FS-Webanwendungsproxy aktivieren

Wenn für den AD FS-Webanwendungsproxy keine Extranetsperre aktiviert ist, sollten Sie das so bald wie möglich nachholen, um Benutzer vor potenziellen Brute-Force-Angriffen auf ihre Kennwörter zu schützen.

Azure AD Connect Health für AD FS implementieren

Azure AD Connect Health erfasst IP-Adressen, die aufgrund fehlerhafter Benutzername-Kennwort-Anforderungen in den AD FS-Protokollen aufgezeichnet wurden, bietet zusätzliche Berichtsfunktionen für eine Reihe von Szenarien und liefert Supporttechnikern zusätzliche Informationen, wenn sie sich mit Supportfällen näher beschäftigen.

Laden Sie die aktuelle Version von Azure AD Connect Health Agent für AD FS auf alle AD FS-Server (2.6.491.0) herunter, und stellen Sie sie bereit. Auf AD FS-Servern muss Windows Server 2012 R2 mit installiertem KB 3134222 oder Windows Server 2016 ausgeführt werden.

Nicht auf Kennwörtern basierte Zugriffsmethoden verwenden

Wenn kein Kennwort vorhanden ist, kann es auch nicht ausgespäht werden. Authentifizierungsmethoden, die nicht auf Kennwörtern basieren, sind für AD FS und den Webanwendungsproxy verfügbar:

1. Bei der zertifikatbasierten Authentifizierung können Benutzername-Kennwort-Endpunkte an der Firewall vollständig gesperrt werden. Weitere Informationen zur zertifikatbasierten Authentifizierung in AD FS
2. Die Azure MFA kann, wie oben erwähnt, als zweite Stufe bei der Cloudauthentifizierung und in AD FS 2012 R2 und 2016 verwendet werden. Sie kann in AD FS 2016 aber auch als erste Stufe verwendet werden, um mögliche Kennwort-Spray-Angriffe vollständig zu unterbinden. Erfahren Sie hier, wie Azure MFA mit AD FS konfiguriert wird.
3. Windows Hello for Business ist in Windows 10 verfügbar und wird von AD FS in Windows Server 2016 unterstützt. Die Funktion ermöglicht den Zugriff völlig ohne Kennwörter, beispielsweise auch aus dem Extranet, und basiert auf starken kryptografischen Schlüsseln, die sowohl an den Benutzer als auch an das Gerät gebunden sind. Die Lösung ist für Geräte verfügbar, die in Azure AD oder Azure AD Hybrid eingebunden sind und vom Unternehmen verwaltet werden, und kann über die Einstellungs-App und die Option „Geschäfts-, Schul- oder Unikonto hinzufügen“ auch für persönliche Geräte genutzt werden. Weitere Informationen zu Hello for Business

Empfohlene Sofortmaßnahmen:

1. Aktualisieren Sie auf AD FS 2016, um schneller Updates zu erhalten.
2. Sperren Sie die Legacyauthentifizierung aus dem Extranet.
3. Stellen Sie Azure AD Connect Health-Agents für AD FS auf allen AD FS-Servern bereit.
4. Ziehen Sie die Verwendung einer kennwortfreien primären Authentifizierungsmethode wie Azure MFA, Zertifikate oder Windows Hello for Business in Betracht.

Extra: Schutz Ihrer Microsoft-Konten

Wenn Sie ein Microsoft-Konto verwenden:

• Können Sie sich freuen, weil Ihr Konto bereits geschützt ist! Für Microsoft-Konten sind zudem Funktionen wie Smart Lockout, IP-Lockout, risikobasierte zweistufige Überprüfung, gesperrte Kennwörter und mehr verfügbar.
• Nehmen Sie sich zwei Minuten, rufen Sie die Sicherheitsseite Ihres Microsoft-Kontos auf, und wählen Sie „Aktualisieren Sie Ihre Sicherheitsinformationen“, um die für die risikobasierte zweistufige Überprüfung verwendeten Sicherheitsinformationen zu überprüfen.
• Sie sollten die mehrstufige Always On-Überprüfung hier aktivieren, um Ihr Konto bestmöglich zu schützen.

Die beste Verteidigung besteht darin, die Empfehlungen in diesem Blog zu befolgen.

Kennwort-Spray-Angriffe sind eine ernsthafte Bedrohung für jeden kennwortbasierten Dienst im Internet. Mit den Maßnahmen in diesem Blog sind Sie jedoch optimal vor dieser Angriffsmethode geschützt. Und da viele Angriffsarten ähnlich gelagert sind, haben Sie hier erfahren, wie Sie sich im Allgemeinen gut vor Bedrohungen schützen können. Ihre Sicherheit hat bei uns höchste Priorität. Wir arbeiten ständig daran, neue, fortschrittliche Verteidigungsmaßnahmen gegen Kennwort-Spray-Attacken und andere Angriffsarten zu entwickeln, die da draußen lauern könnten. Nutzen Sie für heute unsere Empfehlungen, und schauen Sie bald wieder vorbei, um unsere neuesten Entwicklungen für den Schutz vor kriminellen Energien im Internet kennenzulernen.

Ich hoffe, diese Informationen waren hilfreich. Wie immer freuen wir uns auf Ihr Feedback und Ihre Anregungen.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Azure AD und AD FS – Best Practices: Verteidigung gegen Kennwort-Spray-Angriffe appeared first on Microsoft 365 Blog.

in diesem Artikel beschäftige ich mich mit einem Thema, das Sie hoffentlich genau so interessant finden wie ich. Lehnen Sie sich entspannt zurück, und lesen Sie einen spannenden Ausblick auf die Zukunft digitaler Identitäten.

In den letzten 12 Monaten haben wir über einigen Ideen für den Einsatz von Blockchains (und weiteren Distributed Ledger-Technologien) gebrütet. Im Mittelpunkt stehen neue Arten digitaler Identitäten sowie Identitäten, die von Anfang an auf den besseren Schutz der Privatsphäre, Sicherheit und Kontrolle ausgelegt sind. In dieser Zeit haben wir spannende Erkenntnisse und interessante Partner gewonnen. Deshalb möchte ich Ihnen heute unseren Ansatz und unsere Pläne für die Zukunft näher erläutern. Dieser Artikel ist Teil einer Blogreihe und bezieht sich auf einen Beitrag von Peggy Johnson, in dem die Autorin die Beteiligung von Microsoft an der ID2020-Initiative ankündigt. Bevor Sie hier fortfahren, empfehle ich, den Artikel von Peggy Johnson zu lesen.

Als Leiter unseres innovativen Ideenteams präsentiert Ankur Patel im Folgenden unsere Forschungsergebnisse über dezentrale digitale Identitäten. Dabei konzentriert er sich auf die wesentlichen Erkenntnisse und die daraus abgeleiteten Prinzipien, die der Motor für zukünftige Investitionen sind.

Wie immer freuen wir uns über Ihr Feedback und Ihre Anregungen.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

———-

Herzlich willkommen! Mein Name ist Ankur Patel und ich arbeite für die Microsoft Identity Division. Ich freue mich über die großartige Gelegenheit, Ihnen hier einige unserer Erkenntnisse und die Zukunftsvision unserer Forschung über Blockchain-/Distributed Ledger-basierte dezentrale Identitäten vorstellen zu dürfen.

Die aktuelle Situation

Viele von uns erleben Tag für Tag, wie sich die Welt digital verändert. Digitale und physische Welten verschmelzen und schaffen die Grundlage für eine durchgehend moderne Lebensweise. Diese Entwicklung verlangt nach einem neuen Ansatz für digitale Identitäten, um die Privatsphäre und Sicherheit jedes Einzelnen in der physischen und digitalen Welt zu stärken.

Tausende Entwickler und Unternehmen sowie Milliarden von Endkunden nutzen bereits Cloud-Identitätssysteme von Microsoft für mehr Produktivität oder eine nahtlose Gaming-Erfahrung. Und das ist erst der Anfang, um jeden Einzelnen bestmöglich zu unterstützen. Wir streben nach einer Welt, in der Milliarden von Menschen eine nachweisbare Identität erhalten, um ihre Träume zu verwirklichen: eine gute Ausbildung für die Kinder, bessere Lebensqualität oder die Gründung einer sicheren Existenz.

Damit diese Vision Wirklichkeit wird, benötigt jeder Mensch eine digitale Identität, die nur ihm gehört und über die er umfassend selbst bestimmen kann. Statt zahllosen Anwendungen und Diensten Zugriff auf Daten zu erlauben und Identitätsdaten vielen Anbietern anzuvertrauen, benötigen Nutzer einen sicheren, verschlüsselten Digital Hub für die Speicherung und einfache Verwaltung ihrer Identitätsdaten.

Jeder von uns braucht eine digitale Identität, die nur ihm gehört und die alle Identitätsinformationen sicher und vertraulich speichert.  Diese eigene Identität muss einfach nachzuweisen sein und dafür sorgen, dass jeder Einzelne volle Kontrolle über den Zugriff und die Nutzung seiner Identitätsdaten behält.

Wir wissen, dass die Bereitstellung solcher selbstkontrollierten digitalen Identitäten die Möglichkeiten einzelner Unternehmen oder Anbieter übersteigt. Deshalb arbeiten wir eng mit Kunden, Partnern und der Community zusammen, um die nächste Generation digital nachweisbarer Identitäten auf den Weg zu bringen. Wir freuen uns über die Zusammenarbeit mit vielen Branchenpartnern, die maßgeblich zu unserer Vision beitragen.

Was wir gelernt haben

Im Folgenden stelle ich Ihnen unsere wegweisenden Ideen vor, die auf unserem jetzigen Wissen über dezentrale Identitäten beruhen. Unser Ziel ist es, unseren Nutzern eine vielseitige, vertrauenswürdige und nahtlose Erfahrung zu bieten und jedem Einzelnen die Kontrolle über seine eigene digitale Identität zu geben.

1. Die Kontrolle über die eigene Identität behalten. Heute ist es normal, dass Nutzer zahllosen Anwendungen und Diensten zwecks Erfassung, Nutzung und Aufbewahrung Zugriff auf ihre Daten erlauben. Angriffe auf Daten und Identitäten werden immer häufiger und raffinierter. Deshalb müssen Nutzer die Kontrolle über ihre Identität selbst in die Hand nehmen. Nach eingehender Prüfung dezentraler Speichersysteme, Konsensprotokolle, Blockchains und vielseitiger neuer Standards sind wir überzeugt, dass Blockchain-Technologie und -Protokolle eine solide Grundlage für Decentralized IDs (DID) sind.
2. Datenschutz als grundlegendes Konzept.
   Moderne Anwendungen, Dienste und Anbieter ermöglichen eine komfortable, vorhersagbare und personalisierte Nutzererfahrung, die jedoch von der Kontrolle identitätsgebundener Daten abhängt. Wir benötigen einen sicheren, verschlüsselten Digital Hub (ID Hub), der mit Nutzerdaten interagiert, ohne die Privatsphäre und Kontrolle zu gefährden.
3. Individuum und soziale Umgebung: die Basis für Vertrauen.
   Die meisten herkömmlichen Identitätssysteme sind auf Authentifizierung und Zugriffsverwaltung ausgerichtet. Im Mittelpunkt eines selbstverwalteten Systems stehen dagegen unverfälschte Identitäten und der Vertrauensaufbau durch die soziale Umgebung. In einem dezentralen System bilden Identitätsnachweise die Basis für Vertrauen. Diesen Zweck erfüllen „Claims“, die von Dritten verifiziert werden und als Nachweis von Identitätsattributen dienen.
4. Nutzerorientierte Entwicklung von Anwendungen und Services.
   Am attraktivsten für Nutzer sind Anwendungen und Services, die eine personalisierte Erfahrung bieten. Dazu muss jedoch Zugriff auf personenbezogene Daten (Personally Identifiable Information, PII) gewährt werden. DIDs und ID Hubs bieten Entwicklern Zugriff auf noch aussagekräftigere Nachweise. Gleichzeitig minimieren sie gesetzliche Compliance-Risiken, da Informationen verarbeitet, statt im Namen des Nutzers kontrolliert werden.
5. Offene interoperable Standards.
   Um ein stabiles, allgemein zugängliches Umfeld für dezentrale Identitäten zu schaffen, kommt es auf Technologien, Protokolle und Referenzimplementierungen nach Open Source-Standard an. Im letzten Jahr haben wir im Rahmen der Decentralized Identity Foundation (DIF) mit Einzelpersonen und Unternehmen zusammengearbeitet, die ähnlich motiviert an diese Herausforderung herangehen wie wir. Gemeinsam arbeiten wir an der Entwicklung folgender Schlüsselkomponenten:
   

• Decentralized Identifiers (DIDs) – eine W3C-Spezifikation für ein allgemeines Dokumentformat, das den Zustand eines DIDs beschreibt
  
• Identity Hubs – ein verschlüsselter Identitätsdatenspeicher, der Nachrichten-/Intent-Relays, Nachweisführung und identitätsspezifische Computing-Endpunkte bietet 
  
• Universal DID Resolver – ein Server zur Auflösung von DIDs zwischen Blockchains 
  
• Verifiable Credentials – eine W3C-Spezifikation für ein Dokumentformat, das DID-basierte Nachweise codiert   
  

6. Bereit für die weltweite Skalierung:
   Damit ein breites Umfeld an Nutzern, Unternehmen und Geräten unterstützt werden kann, darf die zugrunde liegende Technologie der Skalierungs- und Leistungsfähigkeit herkömmlicher Systeme in nichts nachstehen. Einige öffentliche Blockchains (Bitcoin [BTC], Ethereum, Litecoin, um nur einige zu nennen) bieten eine solide Grundlage für das DID-Routing, die Aufzeichnung von DPKI-Vorgängen und die Verankerung von Nachweisen. Es gibt Communitys, die die On-Chain Transaktionskapazität (z. B. durch Erhöhung der Blockgröße) forcieren. Doch dieser Ansatz greift die dezentrale Natur des Netzwerks an und lässt keinen Raum für die Durchführung von Millionen von Transaktionen im Sekundentakt (die Voraussetzung für weltweite Skalierung). Um diese technischen Hürden zu überwinden, arbeiten wir mit Partnern an dezentralen Layer-2-Protokollen, die auf öffentlichen Blockchains aufsetzen. Das Konzept eines weltweit skalierbaren DID-Systems wird dadurch aber in keiner Weise beeinträchtigt.
   
7. Gleicher Zugriff für alle:
   Noch sind Blockchains eine Spielwiese für Early Adopters, die bereit sind, Zeit, Arbeit und Energie in die Verwaltung von Schlüsseln und die Sicherheit von Geräten zu investieren. Von der Mainstream-Nutzung sind wir also noch ein ganzes Stück entfernt. Die nächste Herausforderung wird sein, wichtige Managementfunktionen wie Wiederherstellung, Rotation und sicheren Zugriff intuitiv und unkompliziert zu gestalten.
   

Unsere nächsten Schritte

Neue Systeme und Ideen sehen meist nur auf dem Whiteboard großartig aus, wo alles passend und stimmig erscheint. Den größten Erkenntnisgewinn haben Produkt- und Entwicklungsteams jedoch nach der Freigabe des Produkts.

Millionen Nutzer setzen die Microsoft Authenticator-App bereits täglich zur Bestätigung ihrer Identität ein. Als Nächstes werden wir das Thema dezentrale Identitäten angehen und die Microsoft Authenticator-App entsprechend erweitern. Die Zustimmung der Nutzer vorausgesetzt, verwaltet Microsoft Authenticator als Benutzer-Agent Identitätsdaten und kryptographische Schlüssel. Allerdings findet nur das IT-Rooting innerhalb der Blockchain statt. Die eigentlichen Identitätsdaten werden (für Microsoft nicht einsehbar) in einem ID Hub außerhalb der Blockchain gespeichert, der mithilfe dieser kryptografischen Schlüssel verschlüsselt wird.

Sobald wir die Funktion implementiert haben, werden Anwendungen und Services über ein gängiges Messagingsystem mit diesen Nutzerdaten interagieren und die Zustimmung der Nutzer abrufen. Anfangs werden wir eine ausgewählte Gruppe von DID-Implementierungen über Blockchains unterstützen. Weitere Implementierungen folgen in Zukunft.

Ein Blick in die Zukunft

Wir blicken der Zukunft gespannt und mit dem nötigen Respekt entgegen, wissen aber auch, dass nicht einer alleine diese große Herausforderung stemmen kann. Deshalb zählen wir auf die Unterstützung und die Mitarbeit unserer Allianzpartner aus der Decentralized Identity Foundation sowie der Entwickler, Entscheider, Businesspartner, Hardware- und Softwareanbieter aus dem Umfeld von Microsoft. Am wichtigsten ist jedoch das Feedback, das unsere Kunden uns zu den ersten Testszenarien geben.

Hiermit endet unser erster Blogbeitrag zum Thema dezentrale Identitäten. In zukünftigen Artikeln werden wir Sie über Machbarkeitsnachweise sowie technische Details zu den oben genannten Zielen informieren.

Wir freuen uns über jede Unterstützung auf unserem weiteren Weg.

Wichtige Infoquellen:

• Folgen Sie uns unter @AzureAD auf Twitter.
  
• Werden Sie Mitglied der Decentralized Identity Foundation (DIF).
  
• Werden Sie Mitglied der W3C Credentials Community Group.
  

Mit besten Grüßen,

Ankur Patel (@_AnkurPatel)

Principal Program Manager

Microsoft Identity Division

The post Dezentrale digitale Identitäten und Blockchains: unsere Sicht auf die Zukunft appeared first on Microsoft 365 Blog.

der bedingte Zugriff unter Azure AD hat einen echten Traumstart hingelegt. Unternehmen auf der ganzen Welt nutzen diese Funktion für den sicheren, konformen Zugriff auf Anwendungen. Jeden Monat gewährleistet der bedingte Zugriff den Schutz von mehr als 10.000 Unternehmen und mehr als 10 Millionen aktiven Nutzern! Wir sind beeindruckt, wie zügig unsere Kunden auf die neue Funktion umsteigen.

Viele unserer Kunden haben uns bereits Feedback zu den Auswirkungen auf die Endnutzer gegeben. Bei einer derart leistungsfähigen Funktion müssen Unternehmen schließlich genau überwachen, wie sich die Richtlinien unter verschiedenen Anmeldebedingungen auf die Nutzer auswirken.

Ab heute ist das „Was-wäre-wenn“-Tool für den bedingten Zugriff, das wir nach Ihren Wünschen entwickelt haben, als Public Preview verfügbar. Mit diesem Tool können Kunden besser nachvollziehen, wie sich Richtlinien unter bestimmten Bedingungen auf die Benutzeranmeldung auswirken. Statt die Rückmeldungen ihrer Endnutzer abzuwarten, verschaffen sich Kunden mit dem „Was-wäre-wenn“-Tool einen sofortigen Überblick.

Erste Schritte

Möchten Sie das neue Tool ausprobieren? Dann führen Sie einfach die folgenden Schritte aus:

• Rufen Sie die Funktion „Bedingter Zugriff“ in Azure AD auf.
• Klicken Sie auf „Was-wäre-wenn“.

• Wählen Sie einen Benutzer für Ihren Test aus.

• [Optional] Wählen Sie je nach Bedarf eine Anwendung, IP-Adresse, Clientanwendung oder ein Anmelderisiko aus.
• Klicken Sie auf „Was-wäre-wenn“, um die Richtlinien anzuzeigen, die sich auf die Benutzeranmeldung auswirken.

Statt „Welche Richtlinien werden angewendet?“ lautet die Fragestellung manchmal jedoch „Warum wird eine Richtlinie nicht angewendet?“. Auch hier bietet das Tool die richtige Antwort! Wechseln Sie zur Registerkarte „Nicht anzuwendende Richtlinien“, um den Richtliniennamen und vor allem den Grund für die Nichtanwendung einer Richtlinie anzuzeigen. Genial, oder?

Möchten Sie mehr über das „Was-wäre-wenn“-Tool erfahren?

Ihre Meinung interessiert uns

Wir stehen noch ganz am Anfang, arbeiten jedoch bereits an weiteren wegweisenden Innovationen. Wie immer sind wir gespannt auf Ihr Feedback und Ihre Anregungen zu dieser Preview sowie auf weitere Kommentare zum bedingten Zugriff unter Azure AD. Bitte nehmen Sie sich auch Zeit für eine kurze Umfrage zum „Was-wäre-wenn“-Tool.

Ihre Meinung ist uns wichtig.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Public Preview: „Was-wäre-wenn“-Richtlinien für den bedingten Zugriff unter Azure AD appeared first on Microsoft 365 Blog.

wenn Sie dem Blog folgen, wissen Sie, dass wir unzählige Möglichkeiten bieten, ein lokales Verzeichnis oder eine IAM-Lösung in Azure AD einzubinden. Tatsächlich bietet keiner in der Branche so viele Optionen wie wir.

Daher ist es nicht erstaunlich, dass viele Kunden von mir wissen möchten, welche Lösung ich empfehlen würde. Ich reagiere auf diese Frage immer etwas zurückhaltend. Mit meiner mehr als sechsjährigen Berufserfahrung in der Branche für Identitätsmanagement konnte ich beobachten, dass jedes Unternehmen anders ist und in puncto Implementierungsgeschwindigkeit, Sicherheitsstatus, Investitionsbereitschaft, Netzwerkarchitektur, Unternehmenskultur, Compliance-Anforderungen und Arbeitsumgebung unterschiedliche Ziele und Ansprüche hat. Unser Angebot umfasst so viele Optionen, damit Sie die wählen können, die Ihren Bedürfnissen am besten gerecht wird. (Das bedeutet nicht, dass ich keine eigene Meinung habe – ginge es um mein Unternehmen, würde ich mich definitiv für unsere neue Pass-Through-Authentifizierung und die Azure AD Connect-Synchronisierung entscheiden.  Beide sind schnell implementiert und kostengünstig in der Verwaltung. Das ist aber nur eine Meinung von vielen.)

Anstatt uns lange zu fragen, welche Lösung ich oder jemand anders empfehlen würde, sehen wir uns lieber an, welche Lösungen Kunden derzeit nutzen. Das scheint mir der beste Ausgangspunkt zu sein.

Dynamische Entwicklung von Azure AD

Zunächst nenne ich einige Zahlen zur Gesamtnutzung von Azure AD, damit Sie die Zahlen, auf die ich weiter unten eingehe, in einen Zusammenhang bringen können. Für Azure AD verzeichnen wir insgesamt eine kontinuierliche starke Zunahme an Unternehmen, die unsere allgemeinen cloudbasierten Identitätsservices nutzen, und ein zunehmendes Wachstum im Bereich Azure AD Premium.

Der spannendste Trend ist für mich der zunehmende Einsatz von Azure AD mit Drittanbieter-Anwendungen. Über 300.000 Drittanbieter-Anwendungen jeden Monat belegen, dass sich unzählige Unternehmen für Azure AD als bevorzugte Cloud-Identitätsplattform entscheiden.

Synchronisierung von Benutzern mit Azure AD

Die meisten Azure AD-Mandanten sind kleinere Unternehmen, die ihr lokales Active Directory nicht mit Azure AD synchronisieren. Größere Unternehmen führen fast immer eine Synchronisierung durch und stellen mehr als 50 % der 950 Mio. Benutzerkonten in Azure AD.

Hier die neuesten Zahlen, wie Unternehmen Benutzer mit Azure AD synchronisieren:

• > 180.000 Mandanten synchronisieren ihr lokales Windows Server Active Directory mit Azure AD.
• > 170.000 Mandanten verwenden dazu Azure AD Connect.
• Eine geringe Anzahl von Kunden nutzen andere Lösungen:
  • 7 % verwenden unsere ältere DirSync-Lösung oder Microsoft Azure Active Directory-Synchronisierungsdienste.
  • 1,9 % verwenden Microsoft Identity Manager oder Forefront Identity Manager.
  • < 1 % verwendet eine benutzerdefinierte oder Drittanbieterlösung.

Authentifizierung mit Azure AD

In meinem letzten Blog zum Thema Authentifizierung bezogen sich die angegebenen Werte auf die Anzahl der Authentifizierungen. In Ihren Rückmeldungen habe ich erfahren, dass die Zahlen schwer in einen Kontext zu setzen waren und dass Sie mehr an der Anzahl aktiver Benutzer interessiert waren. Daher beziehen sich die Angaben in diesem Update auf die Anzahl monatlich aktiver Benutzer.

Am 31. Oktober verzeichnete Azure AD über 152 Mio. aktive Benutzer pro Monat. Von diesen aktiven Benutzern

• authentifizierten sich 55 % über ein Verbundprodukt oder einen Verbunddienst.
• authentifizierten sich 24 % mit Kennworthashsynchronisierung.
• sind 21 % reine Cloudnutzer.
• Die Azure AD-Pass-Through-Authentifizierung, die gerade seit einem Monat allgemein verfügbar ist, verzeichnet bereits über eine halbe Million aktive monatliche Benutzer mit einer Zuwachsrate von 50 % pro Monat!

Hier weitere interessante Fakten zur Authentifizierung:

• 46 % aller aktiven Benutzer authentifizieren sich mit AD-Verbunddiensten.
• Knapp über 2 % aller aktiven Benutzer authentifizieren sich mit PingFederate. Ping ist die beliebteste Drittanbieteroption mit den höchsten Zuwachsraten.
• 2 % aller aktiven Benutzer authentifizieren sich mit IDaaS-Diensten von Drittanbietern wie Centrify, Okta oder OneAuth.
• 1 % aller aktiven Benutzer authentifiziert sich mit einem anderen Drittanbieter-Verbundserver als PingFederate.

Fazit

Die Daten sind wirklich interessant und lassen einige Trends erkennen:

1. Azure AD Connect hat sich bei der Synchronisierung zwischen Windows Server AD und Azure AD mittlerweile als Standard etabliert und wird von über 90 Prozent der Mandanten verwendet, die eine Synchronisierung durchführen.
2. Die Kennworthashsynchronisierung in Azure AD wird unter Kunden immer beliebter und verzeichnet jeden Monat aktive Benutzer im zweistelligen Millionenbereich.
3. Während die Zahl der Großunternehmen, die Azure AD nutzen, zunimmt, wird PingFederate immer beliebter. Unsere Partnerschaft mit Ping hat sich bei diesen Großkunden wirklich ausgezahlt.
4. Andere IDaaS-Anbieter haben trotz aller Medienberichte und dem Markthype nur einen kleinen Anteil am Azure AD-/Office 365-Geschäft.
5. Unsere neue Pass-Through-Authentifizierung, die erst seit einem Monat allgemein verfügbar ist, hat mit über 500.000 aktiven Benutzern pro Monat einen guten Start hingelegt! Wenn die aktuellen Trends anhalten, wird diese Option in den nächsten sechs bis zwölf Monaten von mehr Einzelbenutzern genutzt als alle anderen IDaaS-Lösungen zusammen.

Zusammenfassung

Wie immer erzählen die Zahlen eine klare Geschichte. Wir haben Azure AD als offene, standardbasierte Lösung konzipiert, die unseren Kunden die Verwendung unterschiedlicher Drittanbieteroptionen ermöglicht. Unsere Kunden sind jedoch mehrheitlich der Meinung, dass unsere „standardmäßigen“ Identitätslösungen ihre Anforderungen erfüllen. Und ihre Zahl nimmt ständig zu.

Die Daten zeigen auch, dass die einfache Handhabung von Azure AD Connect einen großen Einfluss hat. Die Lösung genießt weite Akzeptanz und ist mit Abstand die meistverwendete Option für die Integration von Windows Server AD und Azure AD/Office 365.

Ich hoffe, dieser Blogbeitrag war interessant und hilfreich. Wie immer freuen wir uns auf Ihr Feedback und Ihre Anregungen.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Wie Unternehmen lokale Identitätsmanagementsysteme in Azure AD einbinden appeared first on Microsoft 365 Blog.

es gibt spannende Neuigkeiten: Der Gastzugriff in Microsoft Teams mit Unterstützung der B2B Collaboration-Funktionen in Azure AD steht seit Kurzem zur Verfügung!

Ab jetzt ermöglicht Teams die interaktive Zusammenarbeit mit Partnern per Chat, Dateifreigabe und in Anwendungen – all dies mit der bedienerfreundlichen Enterprise-Schutzlösung Azure Active Directory, mit der Ihre Mitarbeiter seit langem vertraut sind.

Künftig kann jeder Nutzer, der über ein Azure Active Directory-Konto verfügt, zur Zusammenarbeit in Microsoft Teams eingeladen werden!

Inzwischen haben Kunden bereits mehr als acht Millionen Nutzern Gastzugriff über die B2B-Funktionen von Azure AD gewährt. Und das ist erst der Anfang! Mit der Unterstützung von Microsoft Teams erfüllen wir einen der dringlichsten Wünsche unserer Kunden und freuen uns, das Rad mit dieser Neuerung weiter am Laufen zu halten. Probieren Sie die neue Funktion gleich aus!

Melden Sie sich bei Teams an, und laden Sie Ihre Partner zur Zusammenarbeit ein.

Wie immer freuen wir uns auf das Feedback, die Vorschläge und den Austausch mit unseren Kunden. Ihre Meinung interessiert uns!

Beste Grüße,

Alex Simons (@Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

P.S.: Wir arbeiten bereits daran, Teams durch zusätzliche Azure AD-Funktionen zu erweitern, darunter die Unterstützung externer Nutzer mit geschäftlichen oder privaten E-Mail-Konten. Weitere Informationen folgen in Kürze!

The post Azure AD B2B Collaboration in Microsoft Teams appeared first on Microsoft 365 Blog.

ich habe heute großartige Neuigkeiten! In dem von Gartner veröffentlichten „2017 Magic Quadrant for Access Management (AM MQ)“ wurde Microsoft für sein ganzheitliches Unternehmenskonzept und seine Umsetzungsfähigkeit als Leader ausgezeichnet.

AM MQ ist ein neuer Magic Quadrant. Bei dem erstmalig veröffentlichten Bericht handelt es sich um eine Abspaltung des inzwischen nicht mehr fortgeführten IDaaS MQs. Im Mittelpunkt von AM MQ steht Azure Active Directory.

Gartner 2017 Magic Quadrant for Access Management

In Zusammenarbeit mit Gartner stellen wir Ihnen hier eine kostenlose Version des Berichts zur Verfügung.

Die Platzierung in der Spitzengruppe unterstreicht unserer Ansicht nach die Vision von Microsoft, Mitarbeitern, Partnern und Kunden eine Komplettlösung für die Identitäts- und Zugriffsverwaltung zu bieten – unterstützt durch erstklassig geschützte Identitäten auf der Basis von Microsoft Intelligent Security Graph. 

Der Gartner-Bericht sagt viel über unser Engagement im Bereich Identitäts- und Zugriffsverwaltung aus. Vor allem aber würdigt er das Engagement unserer Kunden, Implementierungspartner und ISV-Partner, die ihre Zeit und Energie unermüdlich in die Weiterentwicklung unserer Produkte und Services investieren. Gemeinsam erschaffen wir bedarfsorientierte Lösungen, die unser aller Fortkommen in einer zunehmend von der Cloud beherrschten Welt sichern.

Auch in Zukunft werden wir innovative Funktionen im Bereich Identitäts- und Zugriffsverwaltung anbieten und unsere Position im Leaders-Quadrant des Gartner AM MQs weiter ausbauen.

Beste Grüße,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Azure AD im „Gartner 2017 Magic Quadrant for Access Management“ als Leader positioniert! appeared first on Microsoft 365 Blog.