Meil on teie jaoks häid uudiseid! Juba teist aastat järjest on Gartner nomineerinud Microsofti juurdepääsuhalduse liidriks (mille kohta saate lugeda 2018. a aruandest „Magic Quadrant for Access Management, Worldwide“), tänu meie visiooni täiuslikkusele ja suutlikkusele juurdepääsu haldamise turul silmapaistvalt tegutseda. Lisateavet leiate aruande tasuta koopiast siit.

Gartneri sõnul on meie juhid tehnoloogia, metoodika või tarnevahenditega seotud nõuete täitmisel järjepidevad. Juhid on suutnud hästi väljendada seda, milline roll on juurdepääsuhaldusel seotud või järgnevate tootepakkumistega.

Liidrite kvadrandi parim visioon

Liidrite kvadranti kuuluvatest ettevõtetest on kõige täiuslikumad visioonid Microsoftil ja seda juba teist aastat järjest. Me usume, et meie tulemused näitavad ka seda, kui tähtis on meie jaoks ellu viia strateegiat, mis aitab organisatsioone nende tänastes toimingutes ja aitab valmistada neid ette tulevasteks identimisega seotud väljakutseteks.

Microsoftis töötasime välja tingimusliku juurdepääsu poliitikad ja identiteetide ohutõrje, mis on maailmaklassi identiteedi- ja juurdepääsuhalduse lahenduse oluline võimalus. Windows 10, Office 365 ja EMS-i rikkaliku ökosüsteemi osana oleme teinud kõvasti tööd, et integreerida toodete turbepoliitikaid, mis tagavad täielike võimaluste nähtavuse ja kontrolli nende üle. Oleme võtnud kuulda oma klientide tagasisidet, et parandada kasutuskogemust ja muuta kõigi teie identiteetide hankimine ühest kohast veelgi lihtsamaks. Oleme võtnud endale kohustuse pakkuda teie töötajatele, partneritele ja klientidele uuenduslikke ja terviklikke identiteedi- ja juurdepääsuhalduse lahendusi.

Me ei oleks suutnud püsida liidrina ilma oma klientide ja partnerite panuse ja toetuseta – tänan teid!

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

Oluline märkus.

Gartner, Inc. avaldas selle diagrammi osana suuremast uuringudokumendist ja seda tuleks hinnata kogu dokumendist lähtuvalt. Gartneri dokumenti saate küsida Microsoftilt.

Gartner ei kiida heaks mitte ühtegi oma uurimustes kirjeldatud tarnijat, toodet ega teenust ning ei anna tehnoloogiakasutajatele soovitusi valida üksnes kõrgemaid hinnanguid või muid määratlusi pälvinud tarnijaid. Gartneri uurimused sisaldavad Gartneri uurimisasutuse seisukohti ja arvamusi, mida ei tohi tõlgendada faktidena. Gartner ütleb lahti igasugustest garantiidest, nii otsestest kui kaudsetest, seoses oma uurimustega, sealhulgas garantiidest kaubastatavusele või teatud otstarbeks sobivusele.

The post Eesmärgid + teostus: Microsofti tunnustati taas juurdepääsuhalduse liidri tiitliga Gartner MQ-s appeared first on Microsoft 365 Blog.

Nii kaua, kui oleme kasutanud paroole, on inimesed püüdnud neid ära arvata. Selles ajaveebipostituses räägime ühest üldlevinud rünnakust, mis on hiljuti muutunud palju sagedasemaks ja mõnest parimast tavast, kuidas kontosid selle vastu kaitsta. Seda rünnakut nimetatakse tavaliselt paroolipihustusründeks.

Paroolipihustusründe korral proovivad ründajad kõige tavalisemaid paroole, mida kasutatakse paljudes erinevates kontodes ja teenustes, et pääseda juurde mis tahes parooliga kaitstud varale. Tavaliselt hõlmavad need ründed paljusid erinevaid organisatsioone ja identiteedipakkujaid. Näiteks kasutab ründaja üldiselt kättesaadavat tööriistakomplekti (nagu Mailsniper), et loetleda kõik organisatsioonide kasutajad ning seejärel proovida siseneda nende kontodesse paroolidega „P@r00l” ja „Parool1”. Näiteks võib rünnak välja näha järgmine:

Seda rünnakumustrit enamasti ei avastata, sest üksiku kasutaja või ettevõtte vaatepunktist näeb rünnak välja nagu isoleeritud ebaõnnestunud sisselogimine.

Ründajate jaoks on see numbrimäng: nad teavad, et teatud tüüpi paroolid on väga levinud. Kuigi neid kõige tavalisemaid paroole kasutatakse ainult 0,5 –1,0% kontodel, õnnestub ründaja plaan iga tuhande konto kohta, mida rünnatakse, ja see on piisav, et olla tõhus.

Nad kasutavad kontosid meilisõnumitest andmete hankimiseks, kontaktandmete kogumiseks ja andmepüügilinkide saatmiseks või lihtsalt paroolipihustusründe sihtrühma laiendamiseks. Ründajad ei hooli eriti sellest, kes need esialgsed sihtmärgid on, vaid lihtsalt sellest, et rünne vähemalt osaliselt õnnestuks.

Hea uudis on see, et Microsoftil on palju tööriistu, mis on juba kasutusele võetud ja saadaval nende rünnakute tuvastamiseks, ning varsti on tulemas veel rohkem lahendusi. Lugege edasi, et näha, mida saate teha nüüd ja lähikuudel paroolipihustusrünnete peatamiseks.

Neli lihtsat sammu paroolipihustusrünnete katkestamiseks

Toiming 1. Pilvepõhine autentimine

Pilvekeskkonnas näeme iga päev miljardeid Microsofti süsteemidesse sisselogimisi. Meie võrguturbe algoritmid võimaldavad meil avastada ja blokeerida rünnakuid nende toimumise ajal. Kuna need on reaalajas tuvastamis- ja kaitsesüsteemid, mis lähtuvad pilvest, on need saadaval ainult Azure AD autentimise korral pilves (sh Läbiv autentimine).

Smart Lockout

Pilves kasutame lukustamissüsteemi Smart Lockout, et eristada sisselogimise katseid, mis näevad välja, nagu neid teostavad kehtivad kasutajad, kuid on tegelikult ründaja sisselogimised. Me saame ründaja blokeerida, lastes samal ajal kehtival kasutajal konto kasutamist jätkata. See ei takista kasutajal teenuseid kasutada ja peatab aktiivsed paroolipihustusründed. See kehtib kõigi Azure AD sisselogimiste korral sõltumata litsentsitasemest ja kõigi Microsofti kontoga sisselogimiste korral.

Rentnikud, kes kasutavad Active Directory Federation Services’i (ADFS), said Smart Lockout’i kasutada ADFS-is serveri operatsioonisüsteemis Windows Server 2016 juba 2018. aasta märtsist alates – otsige seda võimalust Windows Update’ist.

IP Lockout

IP Lockout analüüsib miljardeid sisselogimisi, et hinnata Microsofti süsteemi iga IP-aadressiga seotud liikluse kvaliteeti. Selle analüüsiga leiab IP Lockout pahatahtlikud IP-aadressid ja blokeerib need reaalajas.

Ründesimulaator

Nüüd avaliku eelvaateversioonina saadaval olev ründesimulaator, mis on osa Office 365 ohuanalüüsist, võimaldab klientidel käivitada simuleeritud rünnakuid oma lõppkasutajatele, määrata, kuidas nende kasutajad rünnaku korral käituvad, ja värskendada poliitikaid ning tagada asjakohaste turbetööriistade olemasolu, et kaitsta teie ettevõtet paroolipihustusrünnete eest.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Kui kasutate pilvepõhist autentimist, siis olete kaitstud
2. Kui kasutate ADFS-i või mõnda muud hübriidstsenaariumi, otsige üles Smart Lockouti 2018. aasta märtsi ADFS-i täiendus
3. Kasutage ründesimulaatorit, et oma turvalisust ennetavalt hinnata ja kohandusi teha

Toiming 2. Mitmikautentimine

Parool on konto avamise võti, kuid õnnestunud paroolipihustusründe korral on ründaja arvanud ära õige parooli. Nende peatamiseks peame kontoomaniku ja ründaja eristamiseks kasutama midagi enamat kui lihtsalt parooli. Kolm võimalust selleks on järgmised.

Riskipõhine mitmikautentimine

Azure AD identiteedikaitse kasutab eespool nimetatud sisselogimisandmeid ja lisab täiustatud masinõppe ja algoritmipõhise tuvastuse ning teostab riskihinnangu iga süsteemi sisselogimise korral. See võimaldab ettevõtte klientidel luua identiteedikaitses poliitikaid, mis paluvad kasutajal autentida teise teguriga, kui kasutaja või seansi jaoks on tuvastatud risk. See vähendab teie kasutajatele seatud piiranguid ja blokeerib ründajad. Lisateavet Azure AD identiteedikaitse kohta leiate siit.

Alati sees mitmikautentimine

Veelgi suurema turvalisuse saate tagada Azure MFA abil, et kasutajatel oleks võimalik kasutada mitmikautentimist kogu aeg nii pilvepõhise autentimise korral kui ka ADFS-is. Kuigi see nõuab lõppkasutajatelt alati oma seadmete olemasolu ja sagedasemat mitmikautentimist, kindlustab see teie ettevõtte turvalisuse kõige paremini. See peaks olema lubatud iga asutuse administraatori jaoks. Lisateavet Azure’i mitmikautentimise kohta leiate siit ja selle kohta, kuidas konfigureerida Azure’i mitmikautentimist ADFS-i jaoks.

Azure MFA esmase autentimismeetodina

ADFS 2016 korral on teil võimalus kasutada Azure MFA-d paroolita autentimise esmase autentimismeetodina. See on suurepärane vahend paroolipihustusrünnete ja paroolivargusete eest kaitsmiseks – kui parooli pole, siis ei saa seda ära arvata. See toimib suurepäraselt igat tüüpi seadmete korral, millel on erinevad vormitegurid. Lisaks saate nüüd kasutada parooli teise tegurina alles pärast seda, kui teie OTP on Azure MFA-ga kinnitatud. Siit leiate lisateavet selle kohta, kuidaskasutada parooli teise tegurina.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Soovitame tungivalt määrata mitmikautentimise olekuks „Alati sees“ kõigi teie organisatsiooni administraatorite jaoks, eriti kordustellimuste omanikele ja rentnikuadministraatoritele. Tehke seda kohe.
2. Parima kasutuskogemuse tagamiseks ülejäänud kasutajatele soovitame kasutada riskipõhist mitmikautentimist, mis on saadaval Azure AD Premium P2 litsentsidega.
3. Muul juhul kasutage Azure MFA-d pilvepõhise autentimise ja ADFS-i jaoks.
4. Täiendage ADFS-i serveri operatsioonisüsteemis Windows Server 2016 töötavale versioonile, et kasutada Azure MFA-d esmase autentimismeetodina, eriti kõigi oma ekstraneti juurdepääsude korral.

Toiming 3. Paremad paroolid kõigile

Isegi eeltoodu korral on paroolipihustusrünnete vastase kaitse olulisim tegur see, et kõigil kasutajatel oleksid paroolid, mida on raske ära arvata. Kasutajatel on sageli keeruline aimata, kuidas luua raskesti arvatavaid paroole. Microsoft aitab teil seda teha nende tööriistade abil.

Keelatud paroolid

Azure AD-s toimub iga parooli muutmine ja lähtestamine keelatud paroolide kontrollija kaudu. Kui esitatakse uus parool, sobitatakse seda sõnadega, mida keegi ei tohiks oma paroolis kasutada (ja tähtede asendamine märkidega ei peta süsteemi ära). Kui esitatud parool ühtib, siis see lükatakse tagasi ning kasutajal palutakse valida muu parool, mida on raskem ära arvata. Me koostame enimrünnatud paroolide loendit ja värskendame seda sageli.

Keelatud paroolide loendi kohandamine

Keelatud paroolide loendi veelgi paremaks muutmiseks lubame rentnikel oma keelatud paroolide loendeid kohandada. Administraatorid saavad valida oma organisatsiooniga seotud sõnu (nt tuntud töötajad ja asutajad, tooted, asukohad, piirkondlikud sümbolid jne) ning takistada nende kasutamist kasutajate paroolides. See loend jõustatakse lisaks globaalsele loendile. See on nüüd piiratud eelvaateversioonina saadaval ja tuuakse turule sel aastal.

Asutusesisesed keelatud paroolid

Sel kevadel avalikustame tööriista, mis võimaldab ettevõtete administraatoritel keelata paroolid Azure AD hübriidkeskkondades. Keelatud paroolide loendid sünkroonitakse pilvekeskkonnast teie asutusesisestesse keskkondadesse ja jõustatakse kõigis agendiga domeenikontrollerites. See aitab administraatoritel tagada, et kasutajate paroole on raskem ära arvata, olenemata sellest, kus (pilve- või asutusesisene keskkond) kasutaja oma parooli muudab. See käivitus piiratud privaatse eelvaateversioonina 2018. aasta veebruaris ja muutub sel aastal üldiselt kättesaadavaks.

Paroolide kohta arvamuse muutmine

Paljud levinud arusaamad selle kohta, milline on hea parool, on valed. Tavaliselt see, mis peaks matemaatiliselt aitama, hõlbustab tegelikult kasutaja käitumise ära arvamist, näiteks teatud märgitüüpide ja perioodiliste paroolimuutuste nõudmine tingib kindlate paroolimustrite kasutamise. Lisateabe saamiseks lugege meie parooli valimise soovitusi. Kui kasutate Active Directoryt koos PTA või ADFS-iga, värskendage oma paroolipoliitikaid. Kui kasutate pilvekeskkonnas hallatavaid kontosid, määrake paroolid mitte aeguma.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Kui Microsofti keelatud paroolide tööriist on välja antud, installige see oma ettevõtte jaoks, et aidata kasutajatel luua paremaid paroole.
2. Vaadake üle oma paroolipoliitikad ja määrake paroolid mitte aeguma, nii et kasutajad ei kasutaks paroolide loomiseks hooajalisi mustreid.

Toiming 4. Veel vägevaid funktsioone ADFS-is ja Active Directorys

Kui kasutate ADFS-is ja Active Directorys hübriidautentimist, saate teha veel rohkem toiminguid, et kaitsta oma keskkonda paroolipihustusrünnete eest.

Esimene etapp: organisatsioonid, kes kasutavad ADFS 2.0 või Windows Server 2012 peaksid võimalikult kiiresti minema üle ADFS-ile serveri operatsioonisüsteemis Windows Server 2016. Uusimat versiooni värskendatakse kiiremini, kasutades rikkalikumaid võimalusi (nt ekstraneti lukustus). Pange tähele, et oleme teinud versioonilt Windows Server 2012R2 täiendamise versiooniks Windows Server 2016 väga lihtsaks.

Pärandkonto autentimise blokeerimine ekstranetis

Pärandkonto autentimise protokollid ei suuda MFA-d jõustada, seega on parim viis need ekstranetis blokeerida. See takistab paroolipihustusrünnete läbiviijatel kasutada ära MFA puudumist nendes protokollides.

ADFS-i veebirakenduse puhverserveri ekstraneti lukustamise lubamine

Kui teil pole ADFS-i veebirakenduse puhverserveris ekstraneti lukustust, peaksite selle lubama nii kiiresti kui võimalik, et kaitsta kasutajaid potentsiaalse paroolimurdmise jõuründe eest.

Azure AD Connect Healthi juurutamine ADFS-i jaoks

Azure AD Connect Health hõivab ADFS-i logides halbade kasutajanime/parooli taotlustega seotud salvestatud IP-aadressid, annab teile täiendavat teavet kõikvõimalike stsenaariumide kohta ja annab täiendavat teavet inseneridele toejuhtumite loomisel.

Juurutamiseks laadige alla ADFS-i jaoks mõeldud Azure AD Connect Healthi agendi uusim versioon kõigis ADFS-i serverites (2.6.491.0). Teie ADFS-i serverid peavad töötama serveri operatsioonisüsteemis Windows Server 2012 R2, kuhu on installitud KB 3134222, või serveri operatsioonisüsteemis Windows Server 2016.

Paroolil mittepõhinevate juurdepääsumeetodite kasutamine

Kui pole parooli, ei saa ka häkkerid seda ära arvata. Need paroolil mittepõhinevad autentimismeetodid on saadaval ADFS-i ja veebirakenduse puhverserveri jaoks.

1. Serdipõhine autentimine võimaldab kasutajanime/parooli lõpp-punktid tulemüüris täielikult blokeerida. Lugege lisateavet serdipõhise autentimise kohta ADFS-is
2. Nagu eespool mainisin, võib Azure MFA-d kasutada teise tegurina pilvepõhise autentimise korral ning ADFS 2012 R2 ja 2016 puhul. Kuid seda saab kasutada ka ADFS 2016 esmase tegurina, et peatada täielikult paroolipihustuse võimalus. Lisateavet selle kohta, kuidas Azure MFA-d ADFS-iga konfigureerida leiate siit
3. Windows Hello äriklientidele, mis on saadaval opsüsteemis Windows 10 ja mida toetab ADFS serveri operatsioonisüsteemis Windows Server 2016, võimaldab täielikku paroolivaba juurdepääsu (sh ekstranetis), mis põhineb nii kasutaja kui ka seadmega seotud tugevatel krüptograafilistel võtmetel. See on saadaval nii ettevõtte hallatavate seadmete jaoks, mis on liidetud Azure AD või Hybrid Azure AD-ga, kui ka isiklike seadmete jaoks rakendusesätete toimingu „Lisa töö- või koolikonto” kaudu. Lugege lisateavet äriklientidele mõeldud Windows Hello kohta.

Toimingud, mida soovitame teha nii ruttu kui võimalik.

1. Värskenduste kiiremaks saamiseks minge üle versioonile ADFS 2016
2. Blokeerige pärandkonto autentimine ekstranetis.
3. Juurutage ADFS-i jaoks Azure AD Connect Healthi agendid kõigis ADFS-i serverites.
4. Kaaluge paroolita esmase autentimismeetodi (nt Azure MFA, serdid või Windows Hello äriklientidele) kasutamist.

Lisa: Microsofti kontode kaitsmine

Kui olete Microsofti konto kasutaja.

• Hea uudis, te olete juba kaitstud! Microsofti kontodel on samuti Smart Lockout, IP Lockout, riskipõhine kaheastmeline kontrollimine, keelatud paroolid ja palju muud.
• Minge Microsofti konto lehele Turvalisus ja valige käsk „Värskenda turbeteavet”, et vaadata üle oma turbeteave, mida kasutatakse riskipõhiseks kaheastmeliseks kontrollimiseks
• Määrake kaheastmelise kontrollimise funktsiooni olekuks „Alati sees“siit, et tagada oma konto parim turvalisus.

Parim võimalik kaitse on selle postituse soovituste järgimine

Paroolipihustus on tõsine oht igale Interneti-teenusele, mis kasutab paroole, kuid rakendades selles postituses nimetatud toiminguid, olete nende ründevektorite eest maksimaalselt kaitstud. Ja kuna paljudel rünnakutel on sarnased tunnused, on need lihtsalt head soovitused, et end veebis kaitsta. Teie turvalisus on alati meie kõige tähtsam prioriteet ja me töötame pidevalt, et arendada uusi, täiustatud kaitsemeetmeid paroolipihustusrünnete ja kõigi teiste rünnakute vastu. Järgige täna antud soovitusi, ja kontrollige sageli ajaveebi, et olla kursis kõikide värskendustega ning kaitsta ennast internetikeskkonna rünnakute eest.

Loodan, et saite sellest postitusest abi. Soovime saada teie tagasisidet või soovitusi.

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

The post Azure AD ja ADFS-i parimad tavad: kaitse paroolipihustusrünnete eest appeared first on Microsoft 365 Blog.

Loodan, et tänase postituse teema pakub teile sama palju huvi, nagu mulle. See pakub palju mõtteainet ja loob põneva nägemuse digitaalsete identiteetide tulevikust.

Viimase 12 kuu jooksul oleme teinud investeeringuid blokiahela (ja muude hajusandmebaasi tehnoloogiate) kasutamise ideede genereerimisse, et luua uut tüüpi digitaalseid identiteete, täiesti uusi identiteete, et suurendada isiklikku privaatsust, turvalisust ja kontrolli. Oleme üsna põnevil sellest, mida oleme õppinud ja uute partnerlussuhete üle, mida oleme selle protsessi jooksul loonud. Täna kasutame võimalust, et jagada teiega oma mõtteid ja suundumusi. See postitus on osa sarjast ja järgneb Peggy Johnsoni ajaveebipostitusele, milles ta teatab, et Microsoft on liitunud ID2020 algatusega. Kui te ei ole veel Peggy postitust lugenud, siis soovitan seda kõigepealt teha.

Ma palusin oma meeskonna programmijuhil Ankur Patelil, kes juhtis meie ajurünnakuid, võtta üle meie detsentraliseeritud digitaalsete identiteetide teemalise arutelu juhtimine. Tema postitus keskendub mõnedele põhiasjadele, mida oleme õppinud, ja mõnedele põhimõtetele, mida oleme järgima hakanud, et paremini juhtida oma investeeringuid selles valdkonnas.

Tahame kuulda teie mõtteid ja tagasisidet.

Parimate soovidega

Alex Simons (Twitter: @Alex_A_Simons)

Programmijuhtimise osakonna juht

Microsoft Identity Division

———-

Tervitused kõigile, mina olen Ankur Patel Microsofti Identity Divisionist. See on suurepärane privileeg – võimalus jagada mõningaid meie teadmisi ja tulevikujuhiseid, mis põhinevad meie jõupingutustel arendada blokiahelat / hajusandmebaasil põhinevaid detsentraliseeritud identiteete.

Meie nägemus

Nagu paljud teist iga päev kogevad, läbib maailm globaalset digipööret, kus digitaalne ja füüsiline reaalsus sulanduvad ühtseks integreeritud tänapäevaseks eluviisiks. See uus maailm vajab digitaalse identiteedi jaoks uut mudelit, mis suurendab individuaalset privaatsust ja turvalisust nii füüsilises kui ka digitaalses maailmas.

Microsofti pilvekeskkonna identiteedisüsteemid aitavad juba tuhandetel arendajatel, organisatsioonidel ja miljarditel inimestel tõhusamalt töötada, mängida ja rohkem saavutada. Ja siiski saame teha veel rohkem, et kõiki toiminguid veelgi enam lihtsustada. Me pürgime sellise maailma poole, kus miljardid inimesed, kes elavad täna ilma usaldusväärse ID-ta, saavad lõpuks teostada unistuse, mida me kõik jagame, nagu oma laste harimine, elukvaliteedi parandamine või äri alustamine.

Selle visiooni saavutamiseks usume, et üksikisikute jaoks on oluline omada ja kontrollida kõiki oma digitaalse identiteedi elemente. Selle asemel, et anda laialdane nõusolek lugematutele rakendustele ja teenustele ning lasta oma identiteediandmeid levitada arvukatel pakkujatel, vajavad üksikisikud turvalist krüpteeritud digikeskust, kus nad saavad talletada oma identiteediandmeid ja hõlpsasti kontrollida sellele juurdepääsu.

Igaüks meist vajab digitaalset identiteeti, mis talletab turvaliselt ja privaatselt kõik meie digitaalse identiteedi elemendid.  Seda iga isiku enda kontrollitavat identiteeti peab olema lihtne kasutada ja see peab andma meile täieliku kontrolli selle üle, kuidas meie identiteediandmetele ligi pääseb ja kuidas neid kasutatakse.

Me teame, et sellise isikliku kontrolli alla kuuluva digitaalse identiteedi võimaldamisega ei saa me üksi hakkama. Oleme pühendunud tegema tihedat koostööd oma klientide, partnerite ja kogukonnaga, et viia digitaalse identiteedi põhine kasutuskogemus järgmisele tasemele, ning meil on väga hea meel, et nii paljud antud valdkonna inimesed panustavad jõuliselt sellesse eesmärki.

Meie õppetunnid

Sel eesmärgil jagame täna oma parimaid arusaamu, lähtudes sellest, mida oleme õppinud detsentraliseeritud identiteedi arendamisest, mille eesmärk on võimaldada rikkalikumaid kasutuskogemusi, suurendada usaldust ja vähendada ebakõlasid, pannes samal ajal iga inimese oma digitaalset identiteeti omama ja kontrollima.

1. Oma enda identiteedi haldamine. Tänapäeval annavad kasutajad laialdase nõusoleku lugematutele rakendustele ja teenustele, mille andmete kogumist, kasutamist ja säilitamist isikud ise ei kontrolli. Kui andmete rikkumised ja identiteedivargus muutuvad üha sagedasemaks, vajavad kasutajad võimalust võtta kontroll oma identiteedi haldamise üle. Pärast detsentraliseeritud salvestussüsteemide, konsensusprotokollide, blokiahelate ja mitmesuguste esilekerkivate standardite uurimist usume, et blokiahela tehnoloogia ja protokollid sobivad hästi detsentraliseeritud ID-de (DID) lubamiseks.
2. Nullist kavandatud uus privaatsus.
   Täna pakuvad rakendused, teenused ja organisatsioonid mugavaid, prognoositavaid ja kohandatud lahendusi, mis sõltuvad identiteediga seotud andmete kontrollimisest. Vajame turvalist krüpteeritud digikeskust (ID keskused), mis saab kasutaja andmetega suhelda, austades samal ajal kasutaja privaatsust ja kontrolli.
3. Usalduse teenivad ära inimesed, kuid selle loob kogukond.
   Traditsioonilised identiteedisüsteemid on enamasti suunatud autentimisele ja juurdepääsuhaldusele. Iga isiku enda kontrollitav identiteedisüsteem keskendub autentsusele ja sellele, kuidas kogukond saab usaldust luua. Detsentraliseeritud süsteemis põhineb usaldus atestaatidel ehk väidetel/tunnistustel, mida teised üksused toetavad ning mis aitavad tõestada oma identiteedi erinevaid aspekte.
4. Kasutajate andmeid mitmeti tarvitavad rakendused ja teenused.
   Mõned tänapäeval kõige enam kasutatavad rakendused ja teenused on need, mis pakuvad kasutajatele isikupärastatud kogemusi, omades seejuures juurdepääsu kasutaja isiku tuvastamist võimaldavale teabele (PII). DID-d ja ID keskused saavad arendajatel võimaldada juurdepääsu täpsemale tunnistuste komplektile, vähendades samal ajal juriidilisi ja nõuetele vastavuse riske, mis võivad tekkida sellise teabe töötlemisel, selle asemel et kontrollida seda teavet kasutaja nimel.
5. Avatud, koostalitlusvõimeline organisatsioon.
   Selleks et luua tugev detsentraliseeritud identiteedi ökosüsteem, mis on kõigile kättesaadav, peab see tuginema standarditele, avatud lähtekoodiga tehnoloogiatele, protokollidele ja viidete juurutustele. Viimase aasta jooksul oleme osalenud Decentralized Identity Foundationi (DIF) töös koos üksikisikute ja organisatsioonidega, kes on samamoodi motiveeritud seda väljakutset vastu võtma. Arendame koos järgmisi põhikomponente.
   

• Detsentraliseeritud identifikaatorid (DID-d) – W3C määratlus, mis määrab ühtse dokumendivormingu detsentraliseeritud identifikaatori oleku kirjeldamiseks
  
• Identiteedikeskus – krüptitud identiteediandmehoidla, mis vahendab sõnumit/kavatsust, töötleb tunnistusi ja sellel on identiteedikohased andmetöötluse lõpp-punktid. 
  
• Universaalne DID lahendaja – server, mis lahendab DID-sid blokiahelates 
  
• Kontrollitav identimisteave – W3C määratlus, mis määrab dokumendivormingu DID-põhiste tunnistuste kodeerimiseks.   
  

6. Maailma mastaabis valmisolek.
   Selleks et toetada suurt kasutajate, organisatsioonide ja seadmete maailma, peab selle aluseks olev tehnoloogia olema mastaabilt ja jõudluselt võrdväärne traditsiooniliste süsteemidega. Mõned avalikud blokiahelad (Bitcoin [BTC], Ethereum, Litecoin ja paljud teised) pakuvad kindlat alust DID-de juurutamiseks, DPKI toimingute salvestamiseks ja tunnistuste ankurdamiseks. Kuigi mõned blokiahelate kogukonnad on suurendanud aheltehingute võimsust (nt bloki mahu suurendamine), halvendab see lähenemine üldiselt võrgu detsentraliseeritud olekut, ega suuda jõuda miljonite tehinguteni sekundis, mida süsteem maailma mastaabis genereeriks. Nende tehniliste takistuste ületamiseks teeme koostööd detsentraliseeritud 2. kihi protokollidega, mis töötavad nendes avalikes blokiahelates, et saavutada ülemaailmne ulatus, säilitades samas maailmaklassi DID süsteemi atribuudid.
   
7. Kõigile kättesaadav.
   Blokiahela ökosüsteemi moodustavad tänapäeval endiselt vähesed kasutajad, kes on valmis kulutama aega, vaeva ja energiat turbevõtmete haldamisele ja seadmete turvalisemaks muutmisele. See ei ole midagi, millele suurem osa inimesi oma aega pühendaks. Peame muutma peamised haldamisega seotud väljakutsed, näiteks taastamine, pööramine ja turvaline juurdepääs, intuitiivseks ja lollikindlaks.
   

Meie järgmised sammud

Uued süsteemid ja suured ideed tunduvad tahvlil üsna head. Kõik seosed on arukad ja oletused tunduvad põhinevat kindlatel alustel. Siiski õpivad toote- ja insenerimeeskonnad kõige rohkem tarneprotsesside käigus.

Täna kasutavad Microsoft Authenticatori rakendust iga päev juba miljonid inimesed, et oma identiteeti tõestada. Järgmise etapina katsetame detsentraliseeritud identiteetidega, lisades nende tugiteenuse Microsoft Authenticatorisse. Nõusoleku olemasolul saab Microsoft Authenticator tegutseda teie kasutajaagendina, et hallata identiteediandmeid ja krüptograafilisi võtmeid. Selles kujunduses on ketiga juurendatud ainult ID. Identiteediandmed talletatakse nende krüptograafiliste võtmete abil krüptitud ketiga mitte juurendatud ID keskuses (mida Microsoft ei näe).

Kui oleme selle võimaluse lisanud, saavad rakendused ja teenused suhelda kasutaja andmetega ühise sõnumsidekanali kaudu detailse nõusoleku taotlemiseks. Esialgu toetame blokiahelates DID juurutuste valitud rühma ja tõenäoliselt lisame neid tulevikus rohkem.

Lõpetuseks

Me oleme ettevaatlikud ja elevil, võttes vastu nii suure väljakutse, kuid teame ka, et edu pole võimalik üksi saavutada. Loodame oma partnerite, Decentralized Identity Foundationi liikmete, Microsofti ökosüsteemi disainerite, poliitikakujundajate, äripartnerite ning riist – ja tarkvarasüsteemide arendajate toele ja panusele. Kõige olulisema asjana vajame teie, meie klientide tagasisidet, kui hakkame neid esimesi stsenaariume testima.

See on meie esimene postitus detsentraliseeritud identiteetide arendamise kohta. Eelseisvates postitustes jagame teavet juba kirjeldatud põhivaldkondade kasutuskeskkondade ja tehniliste üksikasjade kohta.

Võtke koos meiega osa sellest põnevast teekonnast!

Olulised allikad:

• Järgige meie @AzureAD kontot Twitteris
  
• Olge kursis Decentralized Identity Foundationi (DIF) tööga
  
• Osalege W3C Credentials Community Groupi töös
  

Parimate soovidega

Ankur Patel (@_AnkurPatel)

Programmihaldur

Microsoft Identity Division

The post Detsentraliseeritud digitaalsed identiteedid ja blokiahel: tulevik, nagu me seda näeme appeared first on Microsoft 365 Blog.

Avaldasime täna Microsoft Ignite‘i konverentsil uue plaani eesliinitöötajatele (Firstline Workeritele) digitaalse ajastu kontekstis tõhusamate töövahendite pakkumiseks ja tutvustasime platvormi Microsoft 365 F1 – uus lahendus, milles on tervikliku ja nutika töökeskkonna loomiseks ühendatud Office 365, Windows 10 ja Enterprise Mobility + Security.

Tänapäevane töökoht eeldab seda, et ettevõte suudab vastata töötajate uutele ootustele, ühendada eri kohtades viibivad töötajad ja pakkuda kõigile töötajatele tööriistu, mis võimaldaksid klientide ja ettevõtte probleemide lahendamiseks ideid leida, lahendusi välja töötada ja koostööd teha. Tõeline tänapäevane töökoht toob töötajas välja leidlikkuse, annab teed uuendustele ning tõhustab kõigi töötajate tööd alates juhtkonnast kuni eeliinitöötajateni (Firstline Workforce).

Eesliinitöötajad (Firstline Workers) moodustavad üle maailma suurema osa tööjõust. Need inimesed, keda on maailmas umbes kaks miljardit, töötavad leti taga, telefoni teel, kliinikutes, müügisaalis ja põldudel. Sageli on just nemad esimesed, kellega klient kokku puutub, kes kaubamärgist esmamulje kujundavad ja kes tooteid ja teenuseid päriselus proovivad. Nemad on paljude maailma suurimate tööstuste selgrooks ja ilma nendeta ei suudaks paljud ettevõtted oma ambitsioone kunagi ellu viia.

Näeme tehnoloogias head viisi pakkuda eesliinitöötajatele (Firstline Workers) intuitiivsemat, kaasahaaravamat ja võimalusterohkemat töökogemust. Microsoftil on tänu paljusid äriteenuseid (nt Microsoft 365, Dynamics 365, Microsoft IoT, Microsoft AI, Microsoft HoloLens ja Microsoft Mixed Reality) hõlmavale ökosüsteemile ainulaadne positsioon aitamaks ettevõtetel oma eesliinitöötajate (Firstline Workforce) potentsiaali parimal viisil realiseerida.

Platvormi Microsoft 365 F1 kasutuselevõtt on oluline samm meie visiooni suunas, mille kohaselt saavad kõik eesliinitöötajad (Firstline Workforce) enda käsutusse tööd hõlbustavad uudsed digitaalsed töövahendid.

Eesliinitöötajate (Firstline Workers) töö mugavamaks muutmine

Microsoft 365 F1 hõlmab funktsioone ja tööriistu, mis võimaldavad igal töötajal oma ideed ellu viia. Selles on näiteks Skype’i koosoleku leviedastus töökultuuri arengu ja kogukonna toetamiseks ning Yammer, mille abil saavad töötajad ettevõtte heade tavadega kursis püsida.

Microsoft 365 F1 hõlbustab töötajate koolitamist ja täiendamist, pakkudes Microsoft Streami dünaamilise rollipõhise sisu ja videote jagamiseks ning SharePointi koolitusmaterjalide jagamiseks ja ettevõttega seotud teabe ühes kohas haldamiseks.

See aitab spetsiaalselt eesliinitöötajatele tööpäeva planeerimiseks loodud Microsoft StaffHubi abil tõsta eesliinitöötajate tööviljakust ja digitaliseerida äriprotsesse ning Microsoft PowerAppsi ja Flow‘ abil automatiseerida igapäevaseid toiminguid. Täna anname teada StaffHubi uutest täiendustest, näiteks võimalus oma tööaegu registreerida ja ülesandeid jälgida. Plaanime suhtlemise hõlbustamiseks integreerida StaffHubi sõnumside meeskonnatöökeskuse Microsoft Teamsiga ja tuua esile Yammeri postitatud ettevõtte teadaanded. Lisaks saavad kliendid üldiselt kättesaadavate API-de abil ühendada StaffHubi tööjõu haldamise süsteemide ja muude tööriistadega.

Microsoft 365 F1 muudab IT haldamise sujuvamaks, vähendab kulusid ja tagab kõigi töötajate ja lõpp-punktide turvalisuse. Azure Active Directory on mõeldud töötajate identiteedi ja juurdepääsuõiguste haldamiseks; Microsoft Intune aitab tagada seadmete turvalisuse; ning Windows 10 uued funktsioonid hõlbustavad eesliinitöötajate (Firstline Workers) haldamist tänu kinniste kindla eesmärgiga seadmete määramisele Windows Assigned Accessi kaudu ja automatiseeritud juurutamisele Windows AutoPiloti kaudu.

Lisaks usume, et äärmiselt oluline on pakkuda eesliinitöötajatele (Firstline Workers) tööks sujuvaid ja turvalisi seadmeid, mis tagavad väiksemad kogukulud. Täna anname teade meie OEM-i partnerite HP, Lenovo ja Aceri uutest ärikasutuseks mõeldud seadmetest, milles on Windows 10 S. Need alates 275 dollarilise hinnaga seadmed sisaldavad pilvepõhist identiteediteenust ja haldusfunktsioone ning sobivad eesliinitööks suurepäraselt.

Meil on hea meel, et saame aidata töötajatele parimat töökeskkonda luua, kusjuures see on alles algus!

Lisateavet meie nägemuse kohta leiate meie uuelt Firstline Workeri lehelt ning allolevast tabelist leiate ülevaate platvormi Microsoft 365 F1 funktsioonidest.

– Bryan Goode

The post Tere tulemast kõigile töötajatele Microsoft 365-s appeared first on Microsoft 365 Blog.