Hei, rahvas!

Mul on ääretult hea meel, et saan jagada teiega tänaseid uudiseid! Nüüdsest saate oma Microsofti kontoga turvaliselt sisse logida, kasutades standardite põhist FIDO2-ühilduvat seadet – kasutajanime ega parooli pole vaja! FIDO2 võimaldab kasutajatel tarvitada standardite põhiseid seadmeid, et hõlpsasti autentida veebiteenuseid nii mobiili- kui ka töölauakeskkonnas. Mainitud lahendus on nüüd saadaval Ameerika Ühendriikides ja paari järgmise nädala jooksul ka ülemaailmselt.

See kombinatsioon kasutuslihtsusest, turvalisusest ja laialdasest valdkonna toetusest on oluline kasutajatele nii kodus kui ka kaasaegses töökohas. Iga kuu kasutab rohkem kui 800 miljonit inimest Microsofti kontot, et luua, ühendada ja jagada Outlookis, Office’is, OneDrive’is, Bingis, Skype’is ja Xbox Live’is, nii tööks kui ka mängimiseks. Nüüd saavad nad kõik kasu sellest lihtsast kasutajakogemusest ja oluliselt täiustatud turvalisusest.

Alates tänasest saate Microsoft Edge’i brauseri abil oma Microsofti kontole sisse logida FIDO2-seadme või Windows Hello abil.

Vaadake seda kiirvideot, et näha, kuidas see käib:

Paroolide kaotamine ja inimeste andmete ja kontode kaitsmine ohtude eest oli Microsofti missioon. Fast Identity Online (FIDO) Liidu ja WWW Konsortsiumi (W3C) liikmena oleme teinud koostööd teistega, et töötada välja avatud standardid järgmise põlvkonna autentimiseks. Teatan uhkusega, et Microsoft on esimene Fortune 500 ettevõtte, kes toetab paroolideta autentimist, kasutades WebAuthni ja FIDO2 spetsifikatsioone ning Microsoft Edge toetab teiste suuremate brauseritega võrreldes kõige rohkem autentikaatoreid.

Järgnevalt leiate lisateavet selle kohta, kuidas see töötab ja kuidas alustada.

Alustamine

Oma Microsofti kontoga FIDO2 turvavõtmega sisselogimiseks tehke järgmist.

1. Kui te pole seda veel teinud, installige kindlasti 2018. aasta oktoobri Windows 10 värskendus.
2. Minge Microsoft Edge’is Microsofti konto lehele ja logige sisse nii, nagu tavaliselt.
3. Valige Turvalisus > Rohkem turbesuvandeid ning jaotises Windows Hello ja turvavõtmed kuvatakse juhised turvavõtme seadistamiseks. (Turvavõtme saate osta ühelt meie partnerilt, sealhulgas Yubico ja Feitian Technologies, mis toetavad standardit FIDO2.*)
4. Järgmine kord, kui sisse logite, võite klõpsata valikuid Veel suvandeid > Kasuta turvavõtit või tippida oma kasutajanime. Sel hetkel palutakse teil sisselogimiseks kasutada turvavõtit.

Järgnevalt on meeldetuletuseks toodud juhend, kuidas oma Microsofti kontoga Windows Hello abil sisse logida.

1. Veenduge, et olete installinud 2018. aasta oktoobri Windows 10 värskenduse.
2. Kui te pole seda veel teinud, peate häälestama Windows Hello. Kui teil on Windows Hello häälestatud, siis olete valmis alustama!
3. Järgmine kord, kui Microsoft Edge’i sisse logite, võite klõpsata valikuid Veel suvandeid > Kasuta Windows Hellot või turvavõtit või tippida oma kasutajanime. Sel hetkel palutakse teil sisse logida Windows Hello või turvavõtme abil.

Kui vajate rohkem abi, lugege meie üksikasjalikku spikriartiklit häälestamise kohta.

*FIDO2 spetsifikatsioonid sisaldavad paari valikulist funktsiooni, mis on meie arvates turvalisuse seisukohalt olulised, seega toimivad ainult need funktsioonid, mille võtmed on rakendatud. Artiklist Mis on Microsoftiga ühilduv turvavõti?leiate lisateavet.

Kuidas see töötab?

Me rakendasime oma teenustesse spetsifikatsioone WebAuthn ja FIDO2 CTAP2.

Erinevalt paroolidest kaitseb FIDO2 kasutaja mandaate avaliku võtme / privaatvõtme krüptimise abil. Kui loote ja registreerite FIDO2 mandaadi, loob seade (teie arvuti või FIDO2-seade) privaatvõtme ja avaliku võtme. Privaatvõti salvestatakse kindlalt seadmesse ja seda saab kasutada ainult pärast lukustuse eemaldamist, näiteks biomeetria või PIN-koodi abil. Võtke arvesse, et teie biomeetria või PIN-kood ei kao seadmest kunagi ära. Privaatvõtme salvestamisel saadetakse avalik võti pilves asuvasse Microsofti konto süsteemi ja registreeritakse koos teie kasutajakontoga.

Kui logite hiljem sisse, loob Microsofti konto süsteem teie arvutile või FIDO2-seadmele nonssi. Seejärel kasutab teie arvuti või seade nonssi allkirjastamiseks privaatvõtit. Allkirjastatud nonss ja metaandmed saadetakse tagasi Microsofti konto süsteemi, kus neid kontrollitakse avaliku võtme abil. WebAuthni ja FIDO2 spetsifikatsioonide määratud allkirjastatud metaandmed annavad teavet (nt selle kohta, kas kasutaja oli saadaval) ja kontrollivad autentimist kohaliku liigutusega. Need atribuudid muudavad autentimise Windows Hello ja FIDO2-seadmetega turvaliseks ning pahavara poolt varastamise keeruliseks.

Kuidas Windows Hello ja FIDO2-seadmed seda rakendavad? Windows 10 seadme lahendustest sõltuvalt võib teie seadmes olla näiteks sisseehitatud turvaline enklaav, mida nimetatakse riistvara usaldusväärse platvormi mooduliks (TPM), või tarkvara TPM-iks. TPM-is talletatakse privaatvõti, mille avamiseks on vaja kas näo- või sõrmejäljetuvastust või PIN-koodi. Teise võimalusena võib teie seadmes olla turvavõtmele sarnane väike väline FIDO2-seade. Sellel on oma sisseehitatud turvaline enklaav, mis salvestab privaatvõtme ja nõuab selle avamiseks biomeetriat või PIN-koodi. Mõlemad valikud pakuvad üheetapilist kaksikautentimist, nõudes nii registreeritud seadet kui ka biomeetria või PIN-koodiga edukat sisselogimist.

Artikli leiate meie ajaveebist Identity Standards ning selles käsitletakse kõiki rakendamise tehnilisi üksikasju.

Mis saab edasi

Meie jõupingutuste tulemusena ootavad avalikustamist paljud olulised muudatused ja täiendused, et vähendada paroolide kasutamist ning viimaks loobuda sellest lõplikult. Praegu töötame välja sama brauserist turvavõtmetega sisselogimise lahendust Azure Active Directory töö- ja koolikontode jaoks. Suurettevõtetest kliendid saavad selle eelvaate kuvada järgmise aasta alguses ning see võimaldab lubada töötajatel häälestada oma konto turvavõtmed, et logida sisse Windows 10 ja pilveteenusesse.

Kuna rohkem brausereid ja platvorme hakkab toetama WebAuthni ja FIDO2 standardeid, on paroolita lahendused loodetavasti peatselt igal pool saadaval (hetkel saadaval vaid Microsoft Edge’is ja Windowsis)!

Püsige lainel, täpsem teave on saadaval juba järgmise aasta alguses!

Parimate soovidega
Alex Simons (@Twitter: @Alex_A_Simons)
Programmijuhtimise osakonna asepresident
Microsoft Identity Division

The post Turvaline paroolita sisselogimine Microsofti kontole turvavõtme või Windows Hello abil appeared first on Microsoft 365 Blog.

Iga päev töötavad kõik Microsoft Identity Divisioni töötajad selle nimel, et aidata teil – meie klientidel – tõsta oma töötajate, partnerite ja klientide produktiivsust ning hõlbustada ettevõtte ressurssidele juurdepääsu turvalist haldamist.

Mul oli väga hea meel, kui sain teada, et Microsofti tunnistati hiljuti Gartner Peer Insightsi 2018. aasta klientide ülemaailmse lemmikjuurdepääsuhaldustööriista tiitliga.

Gartner selgitas oma teadaandes: „Gartner Peer Insightsi klientide lemmikkliendihaldustööriista tiitel on selle turu kontrollitud professionaalsete lõppkasutajate tunnustus tarnijatele, mille määramisel on arvesse võetud nii arvustuste hulka kui ka üldisi kasutajahinnanguid.” Õiglase hindamise tagamiseks säilitab Gartner ranged kriteeriumid, nii on võimalik eristada kõrge klientide rahulolu näitajaga tarnijad.

Selle tunnustuse saamine on uskumatult motiveeriv. Tunnustus kinnitab, et meie kliendid on saanud loodetud kasu ning et nad hindavad uuendusi, mille lisasime Azure Active Directorysse (Azure AD) sel aastal.

Selle tunnustuse saamiseks peab tarnija kohta olema avaldatud vähemalt 50 arvustust, mille keskmine üldhinne on vähemalt 4,2.

Siin on mõned mõtted arvustustest, mida kliendid on meie kohta kirjutanud.

„Azure AD-st on kiirelt saamas lahendus enamikule meie identiteediga seotud ja juurdepääsuprobleemidele.“
— ettevõtteturvalisuse arhitekt transporditööstuses. Lugege kogu arvustust.

„Azure Active Directory teeb suuri jõupingutusi, et saada kõigile kättesaadavaks ja üldlevinud kataloogiteenuseks.“
— teenindusvaldkonna vastutav tehnoloogiajuht. Lugege kogu arvustust.

„Microsoft on olnud identimislahenduse rakendamisel suurepärane partner, kes täitis meie mitme asutuse vajadused ja pakkus välja tegevuskava SSO-ga jätkamiseks ning toetas meid seni kasutuses olnud ja äsja väljatöötatud rakenduse integreerimisel. Samuti suutsime välja töötada oma SaaS-rakenduse autentimise ja juurdepääsu standardi.“
— tehnoloogiajuht valitsussektoris. Lugege kogu arvustust.

Lugege Microsofti kohta rohkem arvustusi.

Praegu kasutab Azure AD Premiumi enam kui 90 000 organisatsiooni 89 riigis ja me haldame rohkem kui kaheksat miljardit autentimist päevas. Meie inseneride meeskond töötab kogu aeg, et tagada meie teenuste suur töökindlus, skaleeritavus ja klientide rahulolu, nii et selle tiitli saamine on meie jaoks üsna motiveeriv. On olnud põnev näha hämmastavaid asju, mida paljud meie kliendid teevad meie identiteediteenuste abil.

Kõigi Azure AD töötajate nimel tänan meie kliente selle tunnustuse eest! Me töötame edasi kasutusvõimaluste arendamisega ja usalduse võitmise nimel, tänu millele meid juba praegu klientide lemmikuks valiti.

Logo Gartner Peer Insights Customers’ Choice on ettevõtte Gartner, Inc. ja/või tema sidusettevõtete kauba- ja teenusemärk ning selle siin kasutamiseks on olemas luba. Kõik õigused on reserveeritud. Gartner Peer Insightsi klientide lemmikkliendihaldustööriista tiitli saaja määratakse kindlaks üksikute lõppkasutajatest klientide kogemustel põhinevaid subjektiivseid arvamusi, Gartner Peer Insightsis avaldatud arvustuste hulka ja turu tarnijale antud üldhinnanguid arvesse võttes, nagu edaspidi täpsemalt kirjeldatakse, ning tulemus ei esinda mitte mingil viisil Gartneri või selle sidusettevõtete seisukohti.

Parimate soovidega

Alex Simons (@Twitter: @Alex_A_Simons)
Ettevõtte programmijuhtimise osakonna asepresident
Microsoft Identity Division

The post Microsofti nomineeriti Gartner Peer Insightsi 2018. aasta klientide lemmikjuurdepääsuhaldustööriista tiitliga appeared first on Microsoft 365 Blog.

Meil on teie jaoks häid uudiseid! Juba teist aastat järjest on Gartner nomineerinud Microsofti juurdepääsuhalduse liidriks (mille kohta saate lugeda 2018. a aruandest „Magic Quadrant for Access Management, Worldwide“), tänu meie visiooni täiuslikkusele ja suutlikkusele juurdepääsu haldamise turul silmapaistvalt tegutseda. Lisateavet leiate aruande tasuta koopiast siit.

Gartneri sõnul on meie juhid tehnoloogia, metoodika või tarnevahenditega seotud nõuete täitmisel järjepidevad. Juhid on suutnud hästi väljendada seda, milline roll on juurdepääsuhaldusel seotud või järgnevate tootepakkumistega.

Liidrite kvadrandi parim visioon

Liidrite kvadranti kuuluvatest ettevõtetest on kõige täiuslikumad visioonid Microsoftil ja seda juba teist aastat järjest. Me usume, et meie tulemused näitavad ka seda, kui tähtis on meie jaoks ellu viia strateegiat, mis aitab organisatsioone nende tänastes toimingutes ja aitab valmistada neid ette tulevasteks identimisega seotud väljakutseteks.

Microsoftis töötasime välja tingimusliku juurdepääsu poliitikad ja identiteetide ohutõrje, mis on maailmaklassi identiteedi- ja juurdepääsuhalduse lahenduse oluline võimalus. Windows 10, Office 365 ja EMS-i rikkaliku ökosüsteemi osana oleme teinud kõvasti tööd, et integreerida toodete turbepoliitikaid, mis tagavad täielike võimaluste nähtavuse ja kontrolli nende üle. Oleme võtnud kuulda oma klientide tagasisidet, et parandada kasutuskogemust ja muuta kõigi teie identiteetide hankimine ühest kohast veelgi lihtsamaks. Oleme võtnud endale kohustuse pakkuda teie töötajatele, partneritele ja klientidele uuenduslikke ja terviklikke identiteedi- ja juurdepääsuhalduse lahendusi.

Me ei oleks suutnud püsida liidrina ilma oma klientide ja partnerite panuse ja toetuseta – tänan teid!

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

Oluline märkus.

Gartner, Inc. avaldas selle diagrammi osana suuremast uuringudokumendist ja seda tuleks hinnata kogu dokumendist lähtuvalt. Gartneri dokumenti saate küsida Microsoftilt.

Gartner ei kiida heaks mitte ühtegi oma uurimustes kirjeldatud tarnijat, toodet ega teenust ning ei anna tehnoloogiakasutajatele soovitusi valida üksnes kõrgemaid hinnanguid või muid määratlusi pälvinud tarnijaid. Gartneri uurimused sisaldavad Gartneri uurimisasutuse seisukohti ja arvamusi, mida ei tohi tõlgendada faktidena. Gartner ütleb lahti igasugustest garantiidest, nii otsestest kui kaudsetest, seoses oma uurimustega, sealhulgas garantiidest kaubastatavusele või teatud otstarbeks sobivusele.

The post Eesmärgid + teostus: Microsofti tunnustati taas juurdepääsuhalduse liidri tiitliga Gartner MQ-s appeared first on Microsoft 365 Blog.

Nii kaua, kui oleme kasutanud paroole, on inimesed püüdnud neid ära arvata. Selles ajaveebipostituses räägime ühest üldlevinud rünnakust, mis on hiljuti muutunud palju sagedasemaks ja mõnest parimast tavast, kuidas kontosid selle vastu kaitsta. Seda rünnakut nimetatakse tavaliselt paroolipihustusründeks.

Paroolipihustusründe korral proovivad ründajad kõige tavalisemaid paroole, mida kasutatakse paljudes erinevates kontodes ja teenustes, et pääseda juurde mis tahes parooliga kaitstud varale. Tavaliselt hõlmavad need ründed paljusid erinevaid organisatsioone ja identiteedipakkujaid. Näiteks kasutab ründaja üldiselt kättesaadavat tööriistakomplekti (nagu Mailsniper), et loetleda kõik organisatsioonide kasutajad ning seejärel proovida siseneda nende kontodesse paroolidega „P@r00l” ja „Parool1”. Näiteks võib rünnak välja näha järgmine:

Seda rünnakumustrit enamasti ei avastata, sest üksiku kasutaja või ettevõtte vaatepunktist näeb rünnak välja nagu isoleeritud ebaõnnestunud sisselogimine.

Ründajate jaoks on see numbrimäng: nad teavad, et teatud tüüpi paroolid on väga levinud. Kuigi neid kõige tavalisemaid paroole kasutatakse ainult 0,5 –1,0% kontodel, õnnestub ründaja plaan iga tuhande konto kohta, mida rünnatakse, ja see on piisav, et olla tõhus.

Nad kasutavad kontosid meilisõnumitest andmete hankimiseks, kontaktandmete kogumiseks ja andmepüügilinkide saatmiseks või lihtsalt paroolipihustusründe sihtrühma laiendamiseks. Ründajad ei hooli eriti sellest, kes need esialgsed sihtmärgid on, vaid lihtsalt sellest, et rünne vähemalt osaliselt õnnestuks.

Hea uudis on see, et Microsoftil on palju tööriistu, mis on juba kasutusele võetud ja saadaval nende rünnakute tuvastamiseks, ning varsti on tulemas veel rohkem lahendusi. Lugege edasi, et näha, mida saate teha nüüd ja lähikuudel paroolipihustusrünnete peatamiseks.

Neli lihtsat sammu paroolipihustusrünnete katkestamiseks

Toiming 1. Pilvepõhine autentimine

Pilvekeskkonnas näeme iga päev miljardeid Microsofti süsteemidesse sisselogimisi. Meie võrguturbe algoritmid võimaldavad meil avastada ja blokeerida rünnakuid nende toimumise ajal. Kuna need on reaalajas tuvastamis- ja kaitsesüsteemid, mis lähtuvad pilvest, on need saadaval ainult Azure AD autentimise korral pilves (sh Läbiv autentimine).

Smart Lockout

Pilves kasutame lukustamissüsteemi Smart Lockout, et eristada sisselogimise katseid, mis näevad välja, nagu neid teostavad kehtivad kasutajad, kuid on tegelikult ründaja sisselogimised. Me saame ründaja blokeerida, lastes samal ajal kehtival kasutajal konto kasutamist jätkata. See ei takista kasutajal teenuseid kasutada ja peatab aktiivsed paroolipihustusründed. See kehtib kõigi Azure AD sisselogimiste korral sõltumata litsentsitasemest ja kõigi Microsofti kontoga sisselogimiste korral.

Rentnikud, kes kasutavad Active Directory Federation Services’i (ADFS), said Smart Lockout’i kasutada ADFS-is serveri operatsioonisüsteemis Windows Server 2016 juba 2018. aasta märtsist alates – otsige seda võimalust Windows Update’ist.

IP Lockout

IP Lockout analüüsib miljardeid sisselogimisi, et hinnata Microsofti süsteemi iga IP-aadressiga seotud liikluse kvaliteeti. Selle analüüsiga leiab IP Lockout pahatahtlikud IP-aadressid ja blokeerib need reaalajas.

Ründesimulaator

Nüüd avaliku eelvaateversioonina saadaval olev ründesimulaator, mis on osa Office 365 ohuanalüüsist, võimaldab klientidel käivitada simuleeritud rünnakuid oma lõppkasutajatele, määrata, kuidas nende kasutajad rünnaku korral käituvad, ja värskendada poliitikaid ning tagada asjakohaste turbetööriistade olemasolu, et kaitsta teie ettevõtet paroolipihustusrünnete eest.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Kui kasutate pilvepõhist autentimist, siis olete kaitstud
2. Kui kasutate ADFS-i või mõnda muud hübriidstsenaariumi, otsige üles Smart Lockouti 2018. aasta märtsi ADFS-i täiendus
3. Kasutage ründesimulaatorit, et oma turvalisust ennetavalt hinnata ja kohandusi teha

Toiming 2. Mitmikautentimine

Parool on konto avamise võti, kuid õnnestunud paroolipihustusründe korral on ründaja arvanud ära õige parooli. Nende peatamiseks peame kontoomaniku ja ründaja eristamiseks kasutama midagi enamat kui lihtsalt parooli. Kolm võimalust selleks on järgmised.

Riskipõhine mitmikautentimine

Azure AD identiteedikaitse kasutab eespool nimetatud sisselogimisandmeid ja lisab täiustatud masinõppe ja algoritmipõhise tuvastuse ning teostab riskihinnangu iga süsteemi sisselogimise korral. See võimaldab ettevõtte klientidel luua identiteedikaitses poliitikaid, mis paluvad kasutajal autentida teise teguriga, kui kasutaja või seansi jaoks on tuvastatud risk. See vähendab teie kasutajatele seatud piiranguid ja blokeerib ründajad. Lisateavet Azure AD identiteedikaitse kohta leiate siit.

Alati sees mitmikautentimine

Veelgi suurema turvalisuse saate tagada Azure MFA abil, et kasutajatel oleks võimalik kasutada mitmikautentimist kogu aeg nii pilvepõhise autentimise korral kui ka ADFS-is. Kuigi see nõuab lõppkasutajatelt alati oma seadmete olemasolu ja sagedasemat mitmikautentimist, kindlustab see teie ettevõtte turvalisuse kõige paremini. See peaks olema lubatud iga asutuse administraatori jaoks. Lisateavet Azure’i mitmikautentimise kohta leiate siit ja selle kohta, kuidas konfigureerida Azure’i mitmikautentimist ADFS-i jaoks.

Azure MFA esmase autentimismeetodina

ADFS 2016 korral on teil võimalus kasutada Azure MFA-d paroolita autentimise esmase autentimismeetodina. See on suurepärane vahend paroolipihustusrünnete ja paroolivargusete eest kaitsmiseks – kui parooli pole, siis ei saa seda ära arvata. See toimib suurepäraselt igat tüüpi seadmete korral, millel on erinevad vormitegurid. Lisaks saate nüüd kasutada parooli teise tegurina alles pärast seda, kui teie OTP on Azure MFA-ga kinnitatud. Siit leiate lisateavet selle kohta, kuidaskasutada parooli teise tegurina.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Soovitame tungivalt määrata mitmikautentimise olekuks „Alati sees“ kõigi teie organisatsiooni administraatorite jaoks, eriti kordustellimuste omanikele ja rentnikuadministraatoritele. Tehke seda kohe.
2. Parima kasutuskogemuse tagamiseks ülejäänud kasutajatele soovitame kasutada riskipõhist mitmikautentimist, mis on saadaval Azure AD Premium P2 litsentsidega.
3. Muul juhul kasutage Azure MFA-d pilvepõhise autentimise ja ADFS-i jaoks.
4. Täiendage ADFS-i serveri operatsioonisüsteemis Windows Server 2016 töötavale versioonile, et kasutada Azure MFA-d esmase autentimismeetodina, eriti kõigi oma ekstraneti juurdepääsude korral.

Toiming 3. Paremad paroolid kõigile

Isegi eeltoodu korral on paroolipihustusrünnete vastase kaitse olulisim tegur see, et kõigil kasutajatel oleksid paroolid, mida on raske ära arvata. Kasutajatel on sageli keeruline aimata, kuidas luua raskesti arvatavaid paroole. Microsoft aitab teil seda teha nende tööriistade abil.

Keelatud paroolid

Azure AD-s toimub iga parooli muutmine ja lähtestamine keelatud paroolide kontrollija kaudu. Kui esitatakse uus parool, sobitatakse seda sõnadega, mida keegi ei tohiks oma paroolis kasutada (ja tähtede asendamine märkidega ei peta süsteemi ära). Kui esitatud parool ühtib, siis see lükatakse tagasi ning kasutajal palutakse valida muu parool, mida on raskem ära arvata. Me koostame enimrünnatud paroolide loendit ja värskendame seda sageli.

Keelatud paroolide loendi kohandamine

Keelatud paroolide loendi veelgi paremaks muutmiseks lubame rentnikel oma keelatud paroolide loendeid kohandada. Administraatorid saavad valida oma organisatsiooniga seotud sõnu (nt tuntud töötajad ja asutajad, tooted, asukohad, piirkondlikud sümbolid jne) ning takistada nende kasutamist kasutajate paroolides. See loend jõustatakse lisaks globaalsele loendile. See on nüüd piiratud eelvaateversioonina saadaval ja tuuakse turule sel aastal.

Asutusesisesed keelatud paroolid

Sel kevadel avalikustame tööriista, mis võimaldab ettevõtete administraatoritel keelata paroolid Azure AD hübriidkeskkondades. Keelatud paroolide loendid sünkroonitakse pilvekeskkonnast teie asutusesisestesse keskkondadesse ja jõustatakse kõigis agendiga domeenikontrollerites. See aitab administraatoritel tagada, et kasutajate paroole on raskem ära arvata, olenemata sellest, kus (pilve- või asutusesisene keskkond) kasutaja oma parooli muudab. See käivitus piiratud privaatse eelvaateversioonina 2018. aasta veebruaris ja muutub sel aastal üldiselt kättesaadavaks.

Paroolide kohta arvamuse muutmine

Paljud levinud arusaamad selle kohta, milline on hea parool, on valed. Tavaliselt see, mis peaks matemaatiliselt aitama, hõlbustab tegelikult kasutaja käitumise ära arvamist, näiteks teatud märgitüüpide ja perioodiliste paroolimuutuste nõudmine tingib kindlate paroolimustrite kasutamise. Lisateabe saamiseks lugege meie parooli valimise soovitusi. Kui kasutate Active Directoryt koos PTA või ADFS-iga, värskendage oma paroolipoliitikaid. Kui kasutate pilvekeskkonnas hallatavaid kontosid, määrake paroolid mitte aeguma.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Kui Microsofti keelatud paroolide tööriist on välja antud, installige see oma ettevõtte jaoks, et aidata kasutajatel luua paremaid paroole.
2. Vaadake üle oma paroolipoliitikad ja määrake paroolid mitte aeguma, nii et kasutajad ei kasutaks paroolide loomiseks hooajalisi mustreid.

Toiming 4. Veel vägevaid funktsioone ADFS-is ja Active Directorys

Kui kasutate ADFS-is ja Active Directorys hübriidautentimist, saate teha veel rohkem toiminguid, et kaitsta oma keskkonda paroolipihustusrünnete eest.

Esimene etapp: organisatsioonid, kes kasutavad ADFS 2.0 või Windows Server 2012 peaksid võimalikult kiiresti minema üle ADFS-ile serveri operatsioonisüsteemis Windows Server 2016. Uusimat versiooni värskendatakse kiiremini, kasutades rikkalikumaid võimalusi (nt ekstraneti lukustus). Pange tähele, et oleme teinud versioonilt Windows Server 2012R2 täiendamise versiooniks Windows Server 2016 väga lihtsaks.

Pärandkonto autentimise blokeerimine ekstranetis

Pärandkonto autentimise protokollid ei suuda MFA-d jõustada, seega on parim viis need ekstranetis blokeerida. See takistab paroolipihustusrünnete läbiviijatel kasutada ära MFA puudumist nendes protokollides.

ADFS-i veebirakenduse puhverserveri ekstraneti lukustamise lubamine

Kui teil pole ADFS-i veebirakenduse puhverserveris ekstraneti lukustust, peaksite selle lubama nii kiiresti kui võimalik, et kaitsta kasutajaid potentsiaalse paroolimurdmise jõuründe eest.

Azure AD Connect Healthi juurutamine ADFS-i jaoks

Azure AD Connect Health hõivab ADFS-i logides halbade kasutajanime/parooli taotlustega seotud salvestatud IP-aadressid, annab teile täiendavat teavet kõikvõimalike stsenaariumide kohta ja annab täiendavat teavet inseneridele toejuhtumite loomisel.

Juurutamiseks laadige alla ADFS-i jaoks mõeldud Azure AD Connect Healthi agendi uusim versioon kõigis ADFS-i serverites (2.6.491.0). Teie ADFS-i serverid peavad töötama serveri operatsioonisüsteemis Windows Server 2012 R2, kuhu on installitud KB 3134222, või serveri operatsioonisüsteemis Windows Server 2016.

Paroolil mittepõhinevate juurdepääsumeetodite kasutamine

Kui pole parooli, ei saa ka häkkerid seda ära arvata. Need paroolil mittepõhinevad autentimismeetodid on saadaval ADFS-i ja veebirakenduse puhverserveri jaoks.

1. Serdipõhine autentimine võimaldab kasutajanime/parooli lõpp-punktid tulemüüris täielikult blokeerida. Lugege lisateavet serdipõhise autentimise kohta ADFS-is
2. Nagu eespool mainisin, võib Azure MFA-d kasutada teise tegurina pilvepõhise autentimise korral ning ADFS 2012 R2 ja 2016 puhul. Kuid seda saab kasutada ka ADFS 2016 esmase tegurina, et peatada täielikult paroolipihustuse võimalus. Lisateavet selle kohta, kuidas Azure MFA-d ADFS-iga konfigureerida leiate siit
3. Windows Hello äriklientidele, mis on saadaval opsüsteemis Windows 10 ja mida toetab ADFS serveri operatsioonisüsteemis Windows Server 2016, võimaldab täielikku paroolivaba juurdepääsu (sh ekstranetis), mis põhineb nii kasutaja kui ka seadmega seotud tugevatel krüptograafilistel võtmetel. See on saadaval nii ettevõtte hallatavate seadmete jaoks, mis on liidetud Azure AD või Hybrid Azure AD-ga, kui ka isiklike seadmete jaoks rakendusesätete toimingu „Lisa töö- või koolikonto” kaudu. Lugege lisateavet äriklientidele mõeldud Windows Hello kohta.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Värskenduste kiiremaks saamiseks minge üle versioonile ADFS 2016
2. Blokeerige pärandkonto autentimine ekstranetis.
3. Juurutage ADFS-i jaoks Azure AD Connect Healthi agendid kõigis ADFS-i serverites.
4. Kaaluge paroolita esmase autentimismeetodi (nt Azure MFA, serdid või Windows Hello äriklientidele) kasutamist.

Lisa: Microsofti kontode kaitsmine

Kui olete Microsofti konto kasutaja.

• Hea uudis, te olete juba kaitstud! Microsofti kontodel on samuti Smart Lockout, IP Lockout, riskipõhine kaheastmeline kontrollimine, keelatud paroolid ja palju muud.
• Minge Microsofti konto lehele Turvalisus ja valige käsk „Värskenda turbeteavet”, et vaadata üle oma turbeteave, mida kasutatakse riskipõhiseks kaheastmeliseks kontrollimiseks
• Määrake kaheastmelise kontrollimise funktsiooni olekuks „Alati sees“siit, et tagada oma konto parim turvalisus.

Parim võimalik kaitse on selle postituse soovituste järgimine

Paroolipihustus on tõsine oht igale Interneti-teenusele, mis kasutab paroole, kuid rakendades selles postituses nimetatud toiminguid, olete nende ründevektorite eest maksimaalselt kaitstud. Ja kuna paljudel rünnakutel on sarnased tunnused, on need lihtsalt head soovitused, et end veebis kaitsta. Teie turvalisus on alati meie kõige tähtsam prioriteet ja me töötame pidevalt, et arendada uusi, täiustatud kaitsemeetmeid paroolipihustusrünnete ja kõigi teiste rünnakute vastu. Järgige täna antud soovitusi, ja kontrollige sageli ajaveebi, et olla kursis kõikide värskendustega ning kaitsta ennast internetikeskkonna rünnakute eest.

Loodan, et saite sellest postitusest abi. Soovime saada teie tagasisidet või soovitusi.

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

The post Azure AD ja ADFS-i parimad tavad: kaitse paroolipihustusrünnete eest appeared first on Microsoft 365 Blog.

Loodan, et tänase postituse teema pakub teile sama palju huvi, nagu mulle. See pakub palju mõtteainet ja loob põneva nägemuse digitaalsete identiteetide tulevikust.

Viimase 12 kuu jooksul oleme teinud investeeringuid blokiahela (ja muude hajusandmebaasi tehnoloogiate) kasutamise ideede genereerimisse, et luua uut tüüpi digitaalseid identiteete, täiesti uusi identiteete, et suurendada isiklikku privaatsust, turvalisust ja kontrolli. Oleme üsna põnevil sellest, mida oleme õppinud ja uute partnerlussuhete üle, mida oleme selle protsessi jooksul loonud. Täna kasutame võimalust, et jagada teiega oma mõtteid ja suundumusi. See postitus on osa sarjast ja järgneb Peggy Johnsoni ajaveebipostitusele, milles ta teatab, et Microsoft on liitunud ID2020 algatusega. Kui te ei ole veel Peggy postitust lugenud, siis soovitan seda kõigepealt teha.

Ma palusin oma meeskonna programmijuhil Ankur Patelil, kes juhtis meie ajurünnakuid, võtta üle meie detsentraliseeritud digitaalsete identiteetide teemalise arutelu juhtimine. Tema postitus keskendub mõnedele põhiasjadele, mida oleme õppinud, ja mõnedele põhimõtetele, mida oleme järgima hakanud, et paremini juhtida oma investeeringuid selles valdkonnas.

Tahame kuulda teie mõtteid ja tagasisidet.

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

———-

Tervitused kõigile, mina olen Ankur Patel Microsofti Identity Divisionist. See on suurepärane privileeg – võimalus jagada mõningaid meie teadmisi ja tulevikujuhiseid, mis põhinevad meie jõupingutustel arendada blokiahelat / hajusandmebaasil põhinevaid detsentraliseeritud identiteete.

Meie nägemus

Nagu paljud teist iga päev kogevad, läbib maailm globaalset digipööret, kus digitaalne ja füüsiline reaalsus sulanduvad ühtseks integreeritud tänapäevaseks eluviisiks. See uus maailm vajab digitaalse identiteedi jaoks uut mudelit, mis suurendab individuaalset privaatsust ja turvalisust nii füüsilises kui ka digitaalses maailmas.

Microsofti pilvekeskkonna identiteedisüsteemid aitavad juba tuhandetel arendajatel, organisatsioonidel ja miljarditel inimestel tõhusamalt töötada, mängida ja rohkem saavutada. Ja siiski saame teha veel rohkem, et kõiki toiminguid veelgi enam lihtsustada. Me pürgime sellise maailma poole, kus miljardid inimesed, kes elavad täna ilma usaldusväärse ID-ta, saavad lõpuks teostada unistuse, mida me kõik jagame, nagu oma laste harimine, elukvaliteedi parandamine või äri alustamine.

Selle visiooni saavutamiseks usume, et üksikisikute jaoks on oluline omada ja kontrollida kõiki oma digitaalse identiteedi elemente. Selle asemel, et anda laialdane nõusolek lugematutele rakendustele ja teenustele ning lasta oma identiteediandmeid levitada arvukatel pakkujatel, vajavad üksikisikud turvalist krüpteeritud digikeskust, kus nad saavad talletada oma identiteediandmeid ja hõlpsasti kontrollida sellele juurdepääsu.

Igaüks meist vajab digitaalset identiteeti, mis talletab turvaliselt ja privaatselt kõik meie digitaalse identiteedi elemendid.  Seda iga isiku enda kontrollitavat identiteeti peab olema lihtne kasutada ja see peab andma meile täieliku kontrolli selle üle, kuidas meie identiteediandmetele ligi pääseb ja kuidas neid kasutatakse.

Me teame, et sellise isikliku kontrolli alla kuuluva digitaalse identiteedi võimaldamisega ei saa me üksi hakkama. Oleme pühendunud tegema tihedat koostööd oma klientide, partnerite ja kogukonnaga, et viia digitaalse identiteedi põhine kasutuskogemus järgmisele tasemele, ning meil on väga hea meel, et nii paljud antud valdkonna inimesed panustavad jõuliselt sellesse eesmärki.

Meie õppetunnid

Sel eesmärgil jagame täna oma parimaid arusaamu, lähtudes sellest, mida oleme õppinud detsentraliseeritud identiteedi arendamisest, mille eesmärk on võimaldada rikkalikumaid kasutuskogemusi, suurendada usaldust ja vähendada ebakõlasid, pannes samal ajal iga inimese oma digitaalset identiteeti omama ja kontrollima.

1. Oma enda identiteedi haldamine. Tänapäeval annavad kasutajad laialdase nõusoleku lugematutele rakendustele ja teenustele, mille andmete kogumist, kasutamist ja säilitamist isikud ise ei kontrolli. Kui andmete rikkumised ja identiteedivargus muutuvad üha sagedasemaks, vajavad kasutajad võimalust võtta kontroll oma identiteedi haldamise üle. Pärast detsentraliseeritud salvestussüsteemide, konsensusprotokollide, blokiahelate ja mitmesuguste esilekerkivate standardite uurimist usume, et blokiahela tehnoloogia ja protokollid sobivad hästi detsentraliseeritud ID-de (DID) lubamiseks.
2. Nullist kavandatud uus privaatsus.
   Täna pakuvad rakendused, teenused ja organisatsioonid mugavaid, prognoositavaid ja kohandatud lahendusi, mis sõltuvad identiteediga seotud andmete kontrollimisest. Vajame turvalist krüpteeritud digikeskust (ID keskused), mis saab kasutaja andmetega suhelda, austades samal ajal kasutaja privaatsust ja kontrolli.
3. Usalduse teenivad ära inimesed, kuid selle loob kogukond.
   Traditsioonilised identiteedisüsteemid on enamasti suunatud autentimisele ja juurdepääsuhaldusele. Iga isiku enda kontrollitav identiteedisüsteem keskendub autentsusele ja sellele, kuidas kogukond saab usaldust luua. Detsentraliseeritud süsteemis põhineb usaldus atestaatidel ehk väidetel/tunnistustel, mida teised üksused toetavad ning mis aitavad tõestada oma identiteedi erinevaid aspekte.
4. Kasutajate andmeid mitmeti tarvitavad rakendused ja teenused.
   Mõned tänapäeval kõige enam kasutatavad rakendused ja teenused on need, mis pakuvad kasutajatele isikupärastatud kogemusi, omades seejuures juurdepääsu kasutaja isiku tuvastamist võimaldavale teabele (PII). DID-d ja ID keskused saavad arendajatel võimaldada juurdepääsu täpsemale tunnistuste komplektile, vähendades samal ajal juriidilisi ja nõuetele vastavuse riske, mis võivad tekkida sellise teabe töötlemisel, selle asemel et kontrollida seda teavet kasutaja nimel.
5. Avatud, koostalitlusvõimeline organisatsioon.
   Selleks et luua tugev detsentraliseeritud identiteedi ökosüsteem, mis on kõigile kättesaadav, peab see tuginema standarditele, avatud lähtekoodiga tehnoloogiatele, protokollidele ja viidete juurutustele. Viimase aasta jooksul oleme osalenud Decentralized Identity Foundationi (DIF) töös koos üksikisikute ja organisatsioonidega, kes on samamoodi motiveeritud seda väljakutset vastu võtma. Arendame koos järgmisi põhikomponente.
   

• Detsentraliseeritud identifikaatorid (DID-d) – W3C määratlus, mis määrab ühtse dokumendivormingu detsentraliseeritud identifikaatori oleku kirjeldamiseks
  
• Identiteedikeskus – krüptitud identiteediandmehoidla, mis vahendab sõnumit/kavatsust, töötleb tunnistusi ja sellel on identiteedikohased andmetöötluse lõpp-punktid. 
  
• Universaalne DID lahendaja – server, mis lahendab DID-sid blokiahelates 
  
• Kontrollitav identimisteave – W3C määratlus, mis määrab dokumendivormingu DID-põhiste tunnistuste kodeerimiseks.   
  

6. Maailma mastaabis valmisolek.
   Selleks et toetada suurt kasutajate, organisatsioonide ja seadmete maailma, peab selle aluseks olev tehnoloogia olema mastaabilt ja jõudluselt võrdväärne traditsiooniliste süsteemidega. Mõned avalikud blokiahelad (Bitcoin [BTC], Ethereum, Litecoin ja paljud teised) pakuvad kindlat alust DID-de juurutamiseks, DPKI toimingute salvestamiseks ja tunnistuste ankurdamiseks. Kuigi mõned blokiahelate kogukonnad on suurendanud aheltehingute võimsust (nt bloki mahu suurendamine), halvendab see lähenemine üldiselt võrgu detsentraliseeritud olekut, ega suuda jõuda miljonite tehinguteni sekundis, mida süsteem maailma mastaabis genereeriks. Nende tehniliste takistuste ületamiseks teeme koostööd detsentraliseeritud 2. kihi protokollidega, mis töötavad nendes avalikes blokiahelates, et saavutada ülemaailmne ulatus, säilitades samas maailmaklassi DID süsteemi atribuudid.
   
7. Kõigile kättesaadav.
   Blokiahela ökosüsteemi moodustavad tänapäeval endiselt vähesed kasutajad, kes on valmis kulutama aega, vaeva ja energiat turbevõtmete haldamisele ja seadmete turvalisemaks muutmisele. See ei ole midagi, millele suurem osa inimesi oma aega pühendaks. Peame muutma peamised haldamisega seotud väljakutsed, näiteks taastamine, pööramine ja turvaline juurdepääs, intuitiivseks ja lollikindlaks.
   

Meie järgmised sammud

Uued süsteemid ja suured ideed tunduvad tahvlil üsna head. Kõik seosed on arukad ja oletused tunduvad põhinevat kindlatel alustel. Siiski õpivad toote- ja insenerimeeskonnad kõige rohkem tarneprotsesside käigus.

Täna kasutavad Microsoft Authenticatori rakendust iga päev juba miljonid inimesed, et oma identiteeti tõestada. Järgmise etapina katsetame detsentraliseeritud identiteetidega, lisades nende tugiteenuse Microsoft Authenticatorisse. Nõusoleku olemasolul saab Microsoft Authenticator tegutseda teie kasutajaagendina, et hallata identiteediandmeid ja krüptograafilisi võtmeid. Selles kujunduses on ketiga juurendatud ainult ID. Identiteediandmed talletatakse nende krüptograafiliste võtmete abil krüptitud ketiga mitte juurendatud ID keskuses (mida Microsoft ei näe).

Kui oleme selle võimaluse lisanud, saavad rakendused ja teenused suhelda kasutaja andmetega ühise sõnumsidekanali kaudu detailse nõusoleku taotlemiseks. Esialgu toetame blokiahelates DID juurutuste valitud rühma ja tõenäoliselt lisame neid tulevikus rohkem.

Lõpetuseks

Me oleme ettevaatlikud ja elevil, võttes vastu nii suure väljakutse, kuid teame ka, et edu pole võimalik üksi saavutada. Loodame oma partnerite, Decentralized Identity Foundationi liikmete, Microsofti ökosüsteemi disainerite, poliitikakujundajate, äripartnerite ning riist – ja tarkvarasüsteemide arendajate toele ja panusele. Kõige olulisema asjana vajame teie, meie klientide tagasisidet, kui hakkame neid esimesi stsenaariume testima.

See on meie esimene postitus detsentraliseeritud identiteetide arendamise kohta. Eelseisvates postitustes jagame teavet juba kirjeldatud põhivaldkondade kasutuskeskkondade ja tehniliste üksikasjade kohta.

Võtke koos meiega osa sellest põnevast teekonnast!

Olulised allikad:

• Järgige meie @AzureAD kontot Twitteris
  
• Olge kursis Decentralized Identity Foundationi (DIF) tööga
  
• Osalege W3C Credentials Community Groupi töös
  

Parimate soovidega

Ankur Patel (@_AnkurPatel)

Programmihaldur

Microsoft Identity Division

The post Detsentraliseeritud digitaalsed identiteedid ja blokiahel: tulevik, nagu me seda näeme appeared first on Microsoft 365 Blog.

Azure AD tingimusliku juurdepääsu võimalus võidab poolehoidu. Ettevõtted üle kogu maailma kasutavad seda rakendustesse turvaliselt ja nõuetekohastel tingimustel juurdepääsu võimaldamiseks. Tingimusjuurdepääsulahendust kasutatakse nüüd iga kuu üle 10 000 ettevõtte ja enam kui 10 miljoni aktiivse kasutaja kaitsmiseks. Meil on suur rõõm näha, kui kiiresti meie kliendid selle oma kasuks tööle on rakendanud.

Oleme saanud palju tagasisidet tingimuspääsufunktsiooni mõjudest kasutajale. Kui teie võimuses on nii palju, vajate võimalust selgitada, kuidas tingimusjuurdepääsu poliitikad kasutajat erinevates sisselogimisolukordades mõjutavad.

Võtsime teid kuulda ja saame täna meie suureks rõõmuks teile tutvustada avalikku eelvaateversiooni tingimusjuurdepääsu tööriistast „Mis siis kui“. Tööriist „Mis siis kui“ aitab mõista teie määratud tingimustega sisselogimise poliitikate mõju. Selle asemel et oodata kasutajalt teavet selle kohta, mis juhtus, saate kasutada tööriista „Mis siis kui“.

Alustamine

Kas olete tööriista katsetamiseks valmis? Järgige lihtsalt siintoodud juhiseid

• Avage Azure AD tingimusjuurdepääsu jaotis
• Klõpsake võimalust „Mis siis, kui“

• Valige kasutaja, keda testida soovite

• [Valikuline] Märkige vastavalt vajadusele rakendus, IP-aadress, seadmeplatvorm, kliendirakendus, sisselogimisrisk.
• Klõpsake valikut „Mis siis kui” ja vaadake poliitikaid, mis kasutaja sisselogimist mõjutavad.

Alati ei pruugi te otsida vastust küsimusele „Milliseid poliitikaid rakendatakse?“, vaid küsimusele „Miks seda poliitikat ei rakendata?“. See tööriist aitab ka selle puhul. Avage vahekaart „Poliitikad, mida ei rakendata“ ja teile kuvatakse poliitika nimi ja (mis veel olulisem) põhjus, miks poliitikat ei rakendata. Kas pole lahe?

Kas soovite tööriista „Mis siis, kui“ kohta lisateavet?

Jagage meiega oma arvamust

See on vaid algus. Teeme juba jõupingutusi selles valdkonnas täiendavate innovaatiliste lahenduste loomiseks Nagu alati, ootame ka seekord väga teie tagasisidet ja soovitusi selle eelvaateversiooni kohta või mis tahes kommentaare Azure AD tingimusjuurdepääsu lahenduse kohta. Oleme ka koostanud väikese küsimustiku tööriista „Mis siis kui“ kohta, mille teil täita palume.

Loodame väga teist peagi kuulda!

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise üksuse direktor

Microsoft Identity Division

The post Avalik eelvade: Azure AD tingimusjuurdepääsu poliitika tööriist „Mis siis, kui“ appeared first on Microsoft 365 Blog.

Kui jälgite meie ajaveebi, siis teate, et pakume palju eri võimalusi kohapealse kataloogi või IAM-lahenduse Azure AD-ga ühendamiseks. Tegelikult ei anna keegi teine selles valdkonnas klientidele nii palju valikuvõimalusi kui meie.

Seega pole imestada, et kliendid küsivad minult väga sageli, millist lahendust ma neile soovitan. Sellele küsimusele ma väga meeleldi vastust andma ei kipu. Olles üle kuue aasta identimisvaldkonnas töötanud, võin öelda, et kõigil organisatsioonidel on juurutamiskiiruse, turbelahenduste, investeerimisvõimaluste, võrguarhitektuuri, firmakultuuri, vastavusnõuete ja töökeskkonna osas erinevad ootused. See on üks põhjuseid, miks oleme investeerinud valikuvõimaluste pakkumisse – et saakiste ise otsustada, mis teie vajadustele kõige paremini vastab. (See ei tähenda muidugi seda, et mul arvamust pole – kui tegu oleks minu ettevõttega, sooviksin kindlasti kasutada meie uut läbiva autentimise ja Azure AD Connect Synci lahendust.  Mõlemad lahendused on kiiresti juurutatavad ja madalate kasutuskuludega. Kuid see on kõigest ühe inimese arvamus.)

Selle asemel et keskenduda minu või kellegi teise soovitustele, tasuks ehk hoopis vaadata, mida kliendid tegelikult kasutavad. See on minu arvates on parim koht alustamiseks.

Azure AD Momentum

Soovin esialgu tuua välja mõned üldised numbrid Azure AD kasutamise kohta, et teil oleks kontekst, mille tasutal alltoodud täpsemaid numbreid vaadelda. Üldiselt näeme Azure AD puhul jätkuvat olulist kasvu pilvepõhiste identimisteenuste kasutamises ning üha kiirenevat kasvu Azure AD Premiumi versiooni kasutamises.

Mind rõõmustab eriti trend, mis näitab märkimisväärset kasvu kolmandate osapoolte rakendustega Azure AD kasutamises. Iga kuu on kasutuses üle 300 000 kolmanda osapoole rakenduse ning me näeme, kuidas üha enam ettevõtteid eelistavad kasutada pilvepõhise identimisplatvormina Azure AD-d.

Kasutajate sünkroonimine Azure AD-ga

Enamik Azure AD rentnikke on väikesed ettevõtted, mis ei sünkrooni kohapealset AD-d ja Azure AD-ga. Suuremad ettevõtted sünkroonivad peaaegu alati ning need, kes seda teevad, moodustavad üle 50% 950 miljonist Azure AD kasutajast.

Siin on viimased andmed selle kohta, kuidas organisatsioonid oma kasutajaid Azure AD-ga sünkroonivad.

• Üle 180 000 rentniku sünkroonib oma kohapealse Windows Server Active Directory Azure AD-ga.
• Üle 170 000 rentniku kasutavad sünroonimiseks Azure AD Connecti.
• Väike osa klientidest kasutab muid lahendusi
  • 7% kasutab DirSynci või Azure AD Synci tööriistu
  • 1,9% kasutab Microsoft Identity Manageri või Forefront Identity Manageri.
  • Alla 1% kasutab kohandatud või kolmanda osapoole lahendust.

Autentimine Azure AD abil

Viimane kord, kui autentimise teema kohta ajaveebis postitasin, põhinesid jagatud andmed autentimise mahtudel. Sain tagasisidet, et sellisel moel esitatud numbreid on raske konteksti asetada, ning et olete rohkem huvitatud aktiivsete kasutajate arvust. Seega esitan praegu numbrid, mille aluseks on aktiivsete kasutajate arv kuus (MAU).

31. oktoobri seisuga oli meil üle 152 miljoni aktiivse Azure AD kasutaja. Aktiivsete kasutajate jagunemine

• 55% autendivad seostamitoodet või -teenust kasutades.
• 24% autendivad lahenduse Password Hash Sync abil.
• 21% on vaid pilvepõhise teenuse kasutajad.
• Azure AD läbiva autentimise võimalust, mis sai kõigile kättesaadavaks vaid kuu aega tagasi, kasutab juba üle miljoni aktiivse kasutaja ning see arv kasvab 50% kuus.

Kui uurida andmeid lähemalt, näeme järgmist.

• 46% kõigist aktiivsetest kasutajatest autendib teenuse AD Federation Services abil.
• Vaid üle 2% kõigist aktiivsetst kasutajatest autendib teenuse Ping Federate abil. Ping on kõige kiiremini arenev ja populaarseim kolmanda osapoole lahendus.
• 2% kõigist aktiivsetest kasutajatest autendib kolmanda osapoole (nagu näiteks Centrify, Okta või OneAuth) IDaaS-i teenuse abil.
• 1% kõigist aktiivsetest kasutajatest autendib kolmanda osapoole (ja mitte Pingi) seostmisserverit (Federation Server) kasutades.

Põhijäreldused

Need andmed on päris huvitavad ja viitavad mõnedele trendidele.

1. Azure AD Connecti kasutamine Windows Server AD ja Azure AD sünkroonimiseks on saanud standardiks. Seda võimaldust kasutavad nüüd üle 90% sünkroonivatest rentnikest.
2. Azure AD Password Hash Sync on saanud väga populaarseks lahenduseks nende klientide jaoks, kellel on kümneid miljoneid aktiivseid kasutajaid kuus.
3. Üha suuremad ettevõtted on hakanud kasutama Azure AD-d, Ping Federate kogub üha enam populaarsust. Meie koostöö Pingiga on neist suurtest klientidest rääkides väga hästi ära tasunud.
4. Vaatamata kõigele, mida pressis kirjutatakse ja promotakse, näeme, et muud IDaaS-i pakkujad mängivad Azure AD/Office365 äris väga väikest rolli.
5. Meie uus läbiva autentimise võimalus, mis sai kõigile kättesaadavaks vaid kuu aega tagasi, on osutunud päris populaarseks – sellel on juba üle 500 000 aktiivse kasutaja kuus. Kui praegused trendid jätkuvad, on sellel poole aasta või aasta pärast rohkem unikaalseid kasutajaid kui kõigil teistel IDaaS-i pakkujatel kokku.

Kokkuvõte

Nii nagu eelmisel korral, räägivad numbrid ka seekord üsna selget juttu. Oleme loonud Azure AD nii, et see oleks avatud ja standarditel põhinev, et meie kliendid saaksid kasutada erinevaid kolmanda osapoole lahendusi. Samas leiab enamik meie klientidest, et meie identimiseks pakutav valmislahendus rahuldab nende vajadused. Ja see number kasvab jätkuvalt.

Lisaks näitavad andmed ka seda, et suurt mõju avaldab Azure AD Connecti lihtne kasutatavus. See lahendus on leidnud väga palju kasutajaid ning see on kaugelt kõige kiiremini populaarsust koguv Windows Server AD ja Azure AD/Office 365 ühendamise võimalus.

Loodan, et see postitus oli teile huvitv ja kasulik. Nagu alati – soovime väga saada teie tagasisidet või soovitusi.

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise üksuse direktor

Microsoft Identity Division

The post Kuidas organisatsioonid kohapealsed identimisandmed Azure AD-ga ühendavad? appeared first on Microsoft 365 Blog.

Mul on rõõm teile teada anda, et tegime Microsoft Teamsis võimalikuks külalisjuurdepääsu. See põhineb Azure AD B2B koostööfunktsioonidel.

Nüüd saate ka partneritega Teamsi koostööfunktsioone kasutada (vestlused, rakendused, failide ühiskasutus) sama lihtsalt ja turvaliselt, nagu see on seni olnud Azure Active Directory kaudu võimalik vaid teie töötajate jaoks.

Nüüd saate mistahes ettevõtete töötajaid, kellel on Azure Active Directory konto, külaliskasutajana Microsoft Teamsi kutsuda!

Kliendid on juba lisanud üle 8 miljoni külaliskasutaja, rakendades Azure AD B2B-funktsioone. Ja see on alles algus! Paljud kliendid on avaldanud soovi, et lisaksime Microsoft Teamsi toe. Seega on meil hea meel teile seda võimalust nüüd pakkuda. Loodame, et proovite seda juba täna!

Minge logige oma Teamsi täna sisse ja kutsuge partnereid teiega koos töötama.

Nagu alati, palume meiega ühendust võtta, kui tahate tagasisidet anda, midagi arutada või soovitada. Teie arvamus on meile oluline!

Parimate soovidega

Alex Simons (@Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

P.S. Töötame juba ka selle nimel, et lisada Teamsi täiendavaid Azure AD võimalusi. Näiteks plaanime lisada välisklientide toe kõigi ettevõtete või tarbijate meilikontode jaoks. Pakume peagi selle kohta lisateavet!

The post Azure AD B2B-koostööfunktsioonid Microsoft Teamsis appeared first on Microsoft 365 Blog.

Saan teiega jagada häid uudiseid! Gartner avalikustas 2017. aasta Magic Quadranti juurdepääsuhalduse (AM MQ) alal. Selle järgi kuulub Microsoft liidrite hulka, kuna ettevõttel on terviklik visioon ja võime seda ellu viia.

AM MQ on uus MQ. See on lõpetatud IDaaS MQ-st eraldiseisev asi ja see antakse välja esimest korda. Aruandes hinnatakse toodet Azure Active Directory.

Gartneri 2017. aasta Magic Quadrant – juurdepääsu haldamine

Oleme koostöös Gartneriga koostanud täiendavad aruanded, mida saate lugeda siin.

Meie arvetes tõestab Microsofti hea postitsioon seda, et pakume töötajatele, partneritele ja klientidele terviklikke identimise ja juurdepääsu haldamise lahendusi. Seejuures on tagatud tipptasemel identiteedikaitse, mis põhineb Microsoft Intelligent Security Graphil.

Usume, et Gartneri analüüsid ütlevad palju meie identimis- ja haldamissüsteemile pühendumise kohta. Mis veelgi olulisem – Microsoft usub, et see ütleb palju meie klientide, juurutuspartnerite ja ISV partnerite kohta, kes kõik on iga päev oma aega ja energiat panustanud, et tagada meie toodete ja teenuste vastavus nende vajadustele ning saavutada parem positsioon ühe enam pilvepõhiseks muutuvas ärimaailmas.

Lubame, et jätkame innovaatiliste võimaluste pakkumist, et teie identiteedi ja juurdepääsu haldamisega seotud vajadusi rahuldada ning meie positsiooni Gartner AM MQ liidrite nimistus veelgi parandada.

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

The post Azure AD on Gartneri 2017. aasta Magic Quadranti süsteemi järgi liider juurdepääsuhalduses appeared first on Microsoft 365 Blog.