Tervehdys

Olen innoissani voidessani jakaa uusimmat uutiset! Otimme juuri käyttöön mahdollisuuden kirjautua sisään suojatusti Microsoft-tilille standardeihin perustuvaa FIDO2-yhteensopivaa laitetta käyttämällä – käyttäjänimeä tai salasanaa ei tarvita! FIDO2:n avulla käyttäjät voivat standardeihin perustuvia laitteita hyödyntämällä kirjautua verkkopalveluihin helposti – sekä mobiili- että työpöytäympäristöissä. Palvelu on tällä hetkellä saatavana Yhdysvalloissa, maailmanlaajuinen käyttöönotto on lähiviikkoina.

Tämä helppokäyttöisyyden, suojauksen ja toimialan laajan tuen yhdistelmä on mullistava niin kotona kuin modernilla työpaikallakin. Joka kuukausi yli 800 miljoona ihmistä käyttää Microsoft-tiliä luomiseen, yhteyden muodostamiseen ja jakamiseen mistä tahansa Outlookiin, Officeen, OneDriveen, Bingiin, Skypeen ja Xbox Liveen niin työ- kuin vapaa-ajankin asioissa. Nyt kaikki nämä käyttäjät hyötyvät tästä yksinkertaisesta käyttökokemuksesta ja parannetusta suojauksesta.

Tästä päivästä lähtien voit kirjautua sisään Microsoft-tilille FIDO2-laitteella tai Windows Hellon avulla Microsoft Edge -selainta käyttämällä.

Tässä lyhyessä videossa esitellään sen toimintaa:

Microsoft on pyrkinyt poistamaan käytöstä salasanoja ja auttamaan käyttäjiä suojaamaan tietonsa ja tilinsä uhkilta. Fast Identity Online (FIDO) Alliancen ja World Wide Web Consortiumin (W3C) jäsenenä olemme tehneet yhteistyötä muiden toimijoiden kanssa avoimien standardien kehittämiseksi todentamisen uudelle sukupolvelle. Minulla on ilo kertoa, että Microsoft on ensimmäinen Fortune 500 -yritys, joka tukee salasanatonta kirjautumista WebAuthn- ja FIDO2-määrityksiä käyttämällä, ja Microsoft Edge tukee laajinta todentajajoukkoa muihin suuriin selaimiin verrattuna.

Lisätietoja käytöstä ja aloittamisesta saat jatkamalla tämän artikkelin lukemista.

Aloittaminen

Kirjautuminen Microsoft-tilille FIDO2-suojausavaimella:

1. Varmista, että teet Windows 10:n lokakuun 2018 päivityksen, jos et ole sitä vielä tehnyt.
2. Siirry Microsoft-tilin sivulle Microsoft Edgessä ja kirjaudu sisään normaalin tapaan.
3. Valitse Suojaus> Lisää suojausasetuksia. Windows Hello ja suojausavaimet -kohdassa näet ohjeet suojausavaimen määrittämiseen. (Voit ostaa suojausavaimen joltakin kumppaneistamme, kuten Yubicolta tai Feitian Technologiesilta, jotka tukevat FIDO2-standardia.*)
4. Kun seuraavan kerran kirjaudut sisään, voit valita joko Lisäasetukset > Käytä suojausavainta tai kirjoittaa käyttäjänimesi. Siinä vaiheessa sinua pyydetään käyttämään suojausavainta sisäänkirjautumiseen.

Seuraavassa on muistutuksena ohjeet Microsoft-tilille kirjautumisesta Windows Hellon avulla:

1. Varmista, että käytössäsi on Windows 10:n lokakuun 2018 päivitys.
2. Sinun pitää määrittää Windows Hello, jos et ole sitä vielä tehnyt. Kun Windows Hellon määritys on valmis, olet valmis aloittamaan!
3. Kun seuraavan kerran kirjaudut Microsoft Edgessä, voit valita joko Lisäasetukset > Käytä Windows Helloa tai suojausavainta tai kirjoittaa käyttäjänimesi. Siinä vaiheessa sinua pyydetään käyttämään Windows Helloa tai suojausavainta sisäänkirjautumiseen.

Lisätietoja aloittamisesta on yksityiskohtaisessa ohjeartikkelissamme.

*FIDO2-määrityksessä on muutama valinnainen ominaisuus, jotka ovat mielestämme olennaisia suojauksen kannalta, joten ainoastaan suojausavaimet, joissa nämä ominaisuudet ovat käytössä, toimivat. Lisätietoja on artikkelissa Mikä Microsoft-yhteensopiva suojausavain on?.

Miten se toimii?

Otimme taustalla WebAuthn- ja FIDO2 CTAP2 -määritykset käyttöön palveluissamme tämän kaiken toteuttamiseksi.

Salasanoista poiketen FIDO2 suojaa käyttäjien tunnistetietoja julkisella tai yksityisellä avaimen salauksella. FIDO2-tunnistetiedon luomisen ja rekisteröimisen jälkeen laite (tietokoneesi tai FIDO2-laite) luo yksityisen ja julkisen avaimen laitteeseen. Yksityinen avain tallennetaan laitteeseen suojatusti, ja sitä voidaan käyttää vasta, kun sen lukitus on poistettu paikallisella eleellä, kuten biometrisellä tunnistamisella tai PIN-koodilla. Ota huomioon, että biometrinen tunnistus tai PIN-koodi ei koskaan poistu laitteesta. Samaan aikaan yksityisen avaimen tallentamisen kanssa julkinen avain lähetetään Microsoft-tilin järjestelmään pilvipalveluun ja rekisteröidään käyttäjätilisi kanssa.

Kun myöhemmin kirjaudut sisään, Microsoft-tilin järjestelmä antaa noncen tietokoneeseesi tai FIDO2-laitteeseen. Tietokone tai laite käyttää sitten yksityistä avainta noncen allekirjoittamiseen. Allekirjoitettu nonce ja metatiedot lähetetään takaisin Microsoft-tilin järjestelmään, jossa se todennetaan julkista avainta käyttämällä. Allekirjoitetut metatiedot tarjoavat WebAuthn- ja FIDO2-määritteiden määritysten mukaisesti tietoja esimerkiksi käyttäjän läsnäolosta ja vahvistavat todentamisen paikallisen eleen kautta. Näiden ominaisuuksien ansiosta tietojen kalastelu ei ole mahdollista eivätkä haittaohjelmistot pysty helposti varastamaan tietoja todennettaessa Windows Hellon ja FIDO2-laitteiden avulla.

Miten tämä on otettu käyttöön Windows Hellossa ja FIDO2-laitteissa? Windows 10 -laitteesi ominaisuuksien mukaan käytössäsi on joko sisäinen, suojattu enklaavi eli laitteiston TPM (trusted platform module) tai ohjelmiston TPM. TPM sisältää yksityisen avaimen, jonka lukituksen poistaminen edellyttää kasvo-, sormenjälki- tai PIN-koodi-tunnistusta. FIDO2-laite on suojausavaimen tapaan pieni ulkoinen laite, jonka sisäiseen, suojattuun enklaaviin on tallennettu yksityinen avain ja jonka lukituksen poistaminen edellyttää biometristä tunnistusta tai PIN-koodia. Kummassakin on saatavana kaksiosainen todentaminen yhdessä vaiheessa. Se edellyttää onnistunutta kirjautumista sekä rekisteröidyllä laitteella että biometrisellä tunnistamisella tai PIN-koodilla.

Tutustu tähän käyttäjätietojen standardeista kertovassa blogissamme olevaan artikkeliin, jossa kerrotaan tarkemmin käyttöönoton teknisistä yksityiskohdista.

Seuraavaksi

Tulossa on runsain määrin hienoja asioita, jotka ovat osa ponnistelujamme vähentää salasanojen käyttöä ja jopa lopettaa niiden käyttö kokonaan. Olemme parhaillaan luomassa samaa sisäänkirjautumiskokemusta selaimesta suojausavaimella työpaikka- ja oppilaitostileille Azure Active Directoryssa. Tämä tulee esikatseltavaksi yritysasiakkaille ensi vuoden alussa, jolloin yritykset voivat antaa työntekijöidensä määrittää omat suojausavaimet tililleen sisäänkirjautumista varten Windows 10:een ja pilvipalveluun.

Lisäksi kun yhä useammat selaimet ja ympäristöt alkavat tukea WebAuthn- ja FIDO2-standardeja, salasanaton käyttökokemus – tällä hetkellä saatavana Microsoft Edgessä ja Windowsissa – on toivottavasti saatavana kaikkialla!

Lisää tietoja ensi vuoden alussa – pysy kuulolla!

Ystävällisin terveisin
Alex Simons (@Twitter: @Alex_A_Simons)
Varapääjohtaja – ohjelman hallinta
Microsoftin käyttäjätietojen osasto

The post Suojattu salasanaton kirjautuminen Microsoft-tilille suojausavaimen tai Windows Hellon avulla appeared first on Microsoft 365 Blog.

Joka päivä jokainen Microsoftin käyttäjätietojen osaston työntekijä saapuu töihin ajatuksenaan auttaa asiakkaitamme heidän työntekijöidensä, kumppaniensa ja asiakkaidensa tuottavuuden lisäämisessä ja helpottaa asiakasta hallinnoimaan yrityksen resurssien käyttöoikeuksia turvallisesti.

Niinpä innostuin, kun kuulin, että Microsoft sai hiljattain tunnustuksen, 2018 Gartner Peer Insights Customers’ Choice for Access Management, Worldwide -palkinnon.

Gartner selittää tiedotteessaan, että ”palkinto on vahvistettujen ammattimaisten loppukäyttäjien valmistajille antama tunnustus, jossa otetaan huomioon sekä arvioiden lukumäärä että käyttäjien yleisarvosana”. Gartnerilla on tiukat kriteerit, joiden perusteella mitataan valmistajien asiakastyytyväisyyttä reilun arvioinnin takaamiseksi.

Tämän palkinnon saaminen on hyvin piristävää. Se on selvä tunnustus siitä, että vaikutamme positiivisesti asiakkaisiimme ja että he arvostavat niitä innovaatioita, joita olemme tänä vuonna lisänneet Azure Active Directoryyn (Azure AD).

Saadakseen tunnustuksen valmistajalla tulee olla vähintään 50 julkaistua arviota ja niiden yleisarvosanan keskiarvon tulee olla vähintään 4,2 tähteä.

Tässä muutama lainaus asiakkaidemme kirjoittamista arvioista:

“Azure AD:sta on nopeasti tulossa ainoa ratkaisu suurimpaan osaan käyttäjätietoja ja -oikeuksia koskevista ongelmistamme.”
— Kuljetusalalla työskentelevä suuryrityksen tietoturva-arkkitehti Lue koko arvio.

“Azure Active Directorysta on vauhdilla tulossa helposti ja joka paikassa käytettävissä oleva hakemistopalvelu.”
— Palvelualalla työskentelevä teknologiajohtaja Lue koko arvio.

“[Microsoft] on ollut loistava kumppani, kun olemme ottaneet käyttöön käyttäjätietoratkaisun [joka] vastasi useiden virastojemme tarpeisiin ja tarjosi meille toteutussuunnitelman, jonka avulla pystymme toteuttamaan SSO:n ja integroimaan vanhat järjestelmämme ja vasta kehitetyn sovelluksen. Voimme myös määrittää standardin SaaS-sovelluksemme todentamista ja käyttöoikeuksia varten.”
— Julkisen sektorin teknologiajohtaja Lue koko arvio.

Lue lisää Microsoftia koskevia arvioita.

Tänään yli 90 000 organisaatiota 89 maassa käyttää Azure AD Premiumia, ja hallinnoimme yli kahdeksaa miljardia todentamista päivässä. Insinööritiimimme työskentelee kellon ympäri tuottaakseen palvelua, joka on erittäin luotettavaa, skaalattavaa ja johon asiakkaamme voi olla tyytyväinen, joten asiakkailta tullut tunnustus on meille hyvin motivoivaa. On ollut jännittävää nähdä, millaisia ihmeellisiä asioita asiakkaamme ovat tehneet käyttäjätietopalveluidemme avulla.

Haluan kiittää asiakkaitamme tunnustuksesta kaikkien Azure AD:n parissa työskentelevien puolesta! Jatkamme työskentelyä sen kokemuksen ja meille osoitetun luottamuksen pohjalta, jonka ansiosta saimme Customers’ Choice -palkinnon!

Gartner Peer Insights Customers’ Choice -logo on Gartner Inc. -yhtiö ja/tai sen sisaryhtiöiden tavara- ja palvelumerkki, jonka käyttöön tässä on lupa. Kaikki oikeudet pidätetään. Gartner Peer Insights Customers’ Choice -kunniamaininnat perustuvat yksittäisten loppukäyttäjien omiin kokemuksiin perustuviin mielipiteisiin, Gartner Peer Insights -sivustossa julkaistujen arvioiden lukumäärään, ja markkinoilla olevan valmistajan saamiin yleisarvioihin, niin kuin tässä on kuvattu, eikä niiden tarkoitus ole heijastella Gartnerin tai sen tytäryhtiöiden näkemyksiä.

Ystävällisin terveisin

Alex Simons (@Twitter: @Alex_A_Simons)
Varapääjohtaja – ohjelman hallinta
Microsoftin käyttäjätietojen osasto

The post Microsoft nimetty vuoden 2018 Gartner Peer Insights Customers’ Choice -voittajaksi käytön hallinnan kategoriassa appeared first on Microsoft 365 Blog.

Tänään kerrottavana on hienoja uutisia! Gartner on jo toisena vuonna peräkkäin sijoittanut Microsoftin markkinajohtajien Leaders-neljännekseen vuoden 2018 Magic Quadrant for Access Management, Worldwide -vertailussa. Sijoitus perustuu vision kokonaisvaltaisuuteen ja kykyyn toteuttaa se käytönhallinnan markkinoilla. Voit lukea perusteista ilmaisesta raportin kopiosta täältä.

Gartnerin mukaan johtajat osoittavat erinomaista kykyä toteuttaa teknologian, metodien tai toimitustapaan liittyviä ennakoituja vaatimuksia. Johtajilla on myös näyttöä siitä, miten käytönhallinta vaikuttaa siihen samankaltaisiin ja läheisiin tuotetarjouksiin.

Pisimmällä visiossa johtajien neljänneksessä

Microsoft on sijoitettu johtajien neljänneksessä pisimmälle vision kokonaisvaltaisuudessa toista vuotta peräkkäin. Uskomme, että sijoituksemme parantuminen toteutusakselilla näyttää, miten tärkeää meille on toteuttaa strategiaa, joka voi auttaa organisaatioita tänään ja valmistaa niitä käyttäjätietoja koskevissa tarpeissa huomenna.

Microsoftilla pidämme ehdollisen käytön käytäntöjä ja käyttäjätietoja uhilta suojaavia turvatoimia olennaisina ominaisuuksina maailmaluokan käyttäjätietojen ja käytön hallinnan ratkaisussa. Windows 10:n, Office 365:n ja EMS:n kanssa luodun monipuolisen ekosysteemin osana olemme tehneet kovasti töitä integroidaksemme tietoturvakäytännöt kaikkiin tuotteisiin, jotta voimme tarjota näkyvyyttä ja hallintaa koko käyttäjäkokemukseen. Olemme tänä vuonna myös kuunnelleet asiakkaidemme näkemyksiä ja palautetta, jotta käyttäjäkokemus paranisi ja kaikki käyttäjätiedot olisivat saatavilla samasta paikasta vieläkin helpommin. Olemme sitoutuneita tarjoamaan innovatiivisia ja kokonaisvaltaisia käyttäjätietojen ja käytön hallinnan ratkaisuja työntekijöillenne, kumppaneillenne ja asiakkaillenne.

Emme olisi pysyneet tämän alueen johtajina ilman asiakkaidemme ja kumppaniemme palautetta ja tukea – kiitos!

Parhain terveisin,

Alex Simons (Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

Tärkeä huomautus:

Grafiikan on julkaissut Gartner, Inc. osana laajempaa tutkimusraporttia, ja sitä tulisi arvioida koko asiakirjan kontekstissa. Gartnerin raportti on saatavilla Microsoftilta pyynnöstä.

Gartner ei suosittele mitään toimittajaa, palveluntarjoajaa, tuotetta tai palvelua, jota kuvataan sen tutkimuksissa. Gartner ei myöskään neuvo käyttäjiä valitsemaan vain niitä palveluntarjoajia, jotka saavat parhaat arviot tai muita tunnustuksia. Gartnerin tutkimusjulkaisut edustavat Gartnerin tutkimusorganisaation mielipiteitä. Niitä ei pidä tulkita esitetyiksi faktoiksi. Gartner kiistää kaikki suorat ja epäsuorat takuut tähän tutkimukseen liittyen, mukaan lukien kaikki takuut soveltuvuudesta kaupankäynnin kohteeksi tai tiettyyn käyttötarkoitukseen.

The post Visio ja toteutus: Microsoft nimetty jälleen johtajaksi Gartner MQ for Access Management -raportissa appeared first on Microsoft 365 Blog.

Niin kauan kuin salasanoja on ollut, on myös yritetty niiden arvaamista. Tässä blogikirjoituksessa aion puhua yleisestä ja viimeaikoina hurjasti yleistyneestä hyökkäystyypistä ja joistakin parhaista käytännöistä, joita voit hyödyntää hyökkäyksiä vastaan suojautumisessa. Hyökkäystä kutsutaan yleisesti spray-salasanahyökkäykseksi.

Spray-salasanahyökkäyksessä konnat kokeilevat yleisimpiä salasanoja moniin eri tileihin ja palveluihin päästäkseen käyttämään salasanan takana olevia asioita. Yleensä hyökkäykset kohdistuvat moniin eri organisaatioihin ja käyttäjätietopalveluihin. Hyökkääjä voi esimerkiksi käyttää yleisesti saatavilla olevaa työkalua kuten Mailsniperia listaamaan usean organisaation kaikki käyttäjät ja yrittää sitten kirjautumista kaikille tileille kokeilemalla salasanoja ”S@l@s@n@” ja ”Salasana1”. Hyökkäys voisi näyttää vaikka tältä:

Tämä hyökkäystapa jää usein huomaamatta, koska yksittäisen käyttäjän tai yrityksen näkökulmasta tällainen hyökkäys näyttää vain yksittäiseltä epäonnistuneelta sisäänkirjautumiselta.

Hyökkääjille kyse on todennäköisyyksistä: he tietävät, että käytössä on salasanoja, jotka ovat erittäin yleisiä. Vaikka näitä yleisimpiä salasanoja käyttää vain 0,5–1,0 % tileistä, hyökkääjä onnistuu pari kertaa jokaista tuhatta tiliä kohti, mikä on tarpeeksi ollakseen tehokasta.

Hyökkääjät käyttävät tilejä saadakseen tietoja sähköposteista, ottavat yhteystiedot talteen ja lähettävät sitten kalastelulinkkejä tai vain laajentavat spray-hyökkäyksen kohderyhmää. Hyökkääjät eivät juuri välitä siitä, ketkä ensimmäiset kohteet ovat vaan haluavat vain onnistumisia, joita voivat sitten hyödyntää.

Hyvä uutinen on, että Microsoftilla on jo käytössä ja saatavilla monia työkaluja, joilla hyökkäyksiä voi torjua, ja lisää on tulossa. Lue eteenpäin, jos haluat tietää, mitä voit nyt ja tulevina kuukausina tehdä estääksesi spray-salasanahyökkäykset.

Neljä helppoa vaihetta spray-salasanahyökkäysten torjuntaan

Vaihe 1: Käytä pilvitodennusta

Microsoftin järjestelmiin kirjaudutaan pilvessä miljardeja kertoja päivässä. Suojausalgoritmimme antavat meille mahdollisuuden huomata ja torjua hyökkäykset, kun ne tapahtuvat. Koska kyseessä ovat pilveen pohjautuvat reaaliaikaiset havaitsemis- ja suojausjärjestelmät, ne ovat saatavilla vain Azure AD -todennusta pilvessä suoritettaessa (mukaan lukien läpivientitodennus).

Smart Lockout -suojaus

Käytämme pilvessä Smart Lockout -suojausta, joka erottelee aidoilta käyttäjiltä vaikuttavien ja mahdollisien hyökkääjien kirjautumisyritykset. Voimme estää hyökkääjän ja antaa samalla oikean käyttäjän jatkaa tilin käyttämistä. Näin käyttäjän palvelunkäyttöä ei estetä, ja liian innokkaat spray-salasanahyökkäykset saadaan estettyä. Tämä pätee kaikkiin Azure AD -kirjautumisiin lisenssin tasosta riippumatta sekä kaikkiin Microsoft-tilien kirjautumisiin.

Active Directory Federation Services (ADFS) -palvelua käyttävät vuokraajat voivat käyttää Smart Lockoutia natiivisti Windows Server 2016:n ADFS:ssä maaliskuusta 2018 lähtien – ominaisuus tulee Windows Updateen.

IP Lockout -suojaus

IP-lukitus toimii analysoimalla miljardeja kirjautumisia ja arvioi jokaisen Microsoftin järjestelmiin saapuvan IP-osoitteen liikenteen laadun. Analyysin perusteella IP-lukitus tunnistaa haitalliset IP-osoitteet ja torjuu niiden kirjautumiset reaaliajassa.

Hyökkäyssimulaatiot

Nyt julkisessa esikatselussa oleva hyökkäyssimulaattori kuuluu Office 365 Threat Intelligence -työkaluihin ja antaa asiakkaille mahdollisuuden käynnistää simuloituja hyökkäyksiä omia loppukäyttäjiään kohtaan, määrittää, miten käyttäjät käyttäytyvät hyökkäyksen aikana, sekä päivittää käytännöt ja varmistaa, että käytössä on sopivia työkaluja, jotka suojaavat organisaatiota uhilta, kuten spray-salasanahyökkäyksiltä.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

1. Jos käytät pilvitodennusta, asiat ovat mallillaan
2. Jos käytät ADFS:ää tai muuta hybridiskenaariota, etsi käsiisi Smart Lockoutin ADFS-päivitys
3. Käytä hyökkäyssimulaattoria arvioimaan suojauksesi tilaa ennakolta ja tee tarvittavat muutokset

Vaihe 2: Käytä monimenetelmäistä todentamista

Salasana on avain tilin käyttöön, mutta onnistuneessa spray-hyökkäyksessä hyökkääjä onnistuu arvaamaan oikean salasanan. Hyökkäysten pysäyttämiseksi tarvitaan jotakin muuta kuin pelkkä salasana erottelemaan tilin omistaja ja hyökkääjä. Seuraavassa on esitelty kolme tapaa tehdä niin.

Riskiin perustuva monimenetelmäinen todentaminen

Azure AD -käyttäjätietojen suojaus hyödyntää yllä mainittuja kirjautumistietoja ja lisää suojaukseen kehittyneen koneoppimisen ja algoritmeille perustuvan havaitsemisen, joka pisteyttää jokaisen järjestelmään kirjautumisen riskitason. Tämä antaa yrityksen asiakkaille mahdollisuuden luoda käyttäjätietojen suojauksen käytäntöjä, jotka pyytävät käyttäjää tekemään todennuksen toisella menetelmällä, jos ja vain jos käyttäjän tai istunnon kohdalla havaitaan riski. Tämä kuormittaa käyttäjiä vähemmän ja torjuu hyökkääjiä. Saat lisätietoja Azure AD -käyttäjätietojen suojauksesta täältä.

Aina käytössä oleva monimenetelmäinen todentaminen

Suojausta voi lisätä entisestään käyttämällä Azuren monimenetelmäistä todentamista, jonka avulla voit vaatia käyttäjiltä monimenetelmäistä todentamista sekä pilvitodennuksessa että ADFS:ssä koko ajan . Vaikka tämä vaatii käyttäjiltä laitteiden jatkuvaa mukana kuljettamista ja monimenetelmäisen todentamisen tiheää käyttöä, se tarjoaa yrityksellesi parhaan suojan. Organisaation jokaisen järjestelmänvalvojan pitäisi ottaa tämä todentaminen käyttöön. Lue lisää Azuren monimenetelmäisestä todentamisesta täältä ja lue, miten Azuren monimenetelmäinen todentaminen määritetään ADFS:lle.

Azuren monimenetelmäinen todentaminen ensisijaisena todentamistapana

ADFS 2016:ssa voit käyttää Azuren monimenetelmäistä todentamista ensisijaisena todentamistapana salasanattomassa todentamisessa. Tämä on hieno työkalu spray-salasanahyökkäyksiä ja salasanavarkauksia vastaan suojautumisessa: jos salasanaa ei ole, sitä ei voi myöskään arvata. Tämä toimii hienosti kaikentyyppisille laitteille, joilla on erilaisia laitemuotoja. Lisäksi voit nyt käyttää salasanaa toisena todentamismenetelmänä vasta, kun kertakäyttöinen salasanasi on vahvistettu Azuren monimenetelmäisen todentamisen avulla. Lue lisää salasanan käyttämisestä toisena todentamismenetelmänä täältä.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

1. Suosittelemme lämpimästi aina käytössä olevan monimenetelmäisen todentamisen käyttöönottoa organisaation kaikille hallinnoijille , erityisesti tilausten omistajille ja vuokralaisten järjestelmänvalvojille. Näin todella kannattaa tehdä.
2. Jotta muiden käyttäjien käyttökokemus olisi paras mahdollinen, suosittelemme riskiin perustuvaa monimenetelmäistä todentamista, joka on saatavilla Azure AD Premium P2 -lisensseissä.
3. Muussa tapauksessa käytä Azuren monimenetelmäistä todentamista ja ADFS:ää.
4. ADFS:ssä päivitä Windows Server 2016:n ADFS:ään käyttääksesi Azuren monimenetelmäistä todentamista ensisijaisena todentamistapana, erityisesti kaikissa ekstranetin käyttöoikeuksissa.

Vaihe 3: Parempia salasanoja kaikille

Vaikka kaikki yllä mainittu olisi kunnossa, spray-salasanahyökkäyksiä vastaan suojautumisessa avaintekijänä on, että kaikilla käyttäjillä on vaikeasti arvattava salasana. Käyttäjien on usein vaikeaa tietää, miten vaikeasti arvattavan salasanan voi luoda. Nämä Microsoftin työkalut auttavat asiassa.

Kielletyt salasanat

Azure AD:ssa jokaisen salasanan vaihdon ja palauttamisen yhteydessä salasana tarkistetaan kiellettyjen salasanojen varalta. Kun uusi salasanan annetaan, sitä verrataan osittaisten vastaavuuksien varalta sanoihin, joita kenenkään ei koskaan pitäisi käyttää salasanana (kirjainten k0rv@@m1nen muilla merkeillä ei auta). Jos sana on luettelossa, salasana hylätään ja käyttäjää pyydetään valitsemaan vaikeammin arvattava salasana. Olemme laatineet luettelon salasanoista, joita vastaan hyökätään useimmin, ja päivitämme sitä usein.

Mukautetut kielletyt salasanat

Jotta kiellettyjen salasanojen luettelot olisivat entistäkin parempia, annamme vuoraajille mahdollisuuden muokata kiellettyjen salasanojen luetteloja. Järjestelmänvalvojat voivat valita organisaatiolleen tyypillisiä sanoja – kuuluisia työntekijöitä ja perustajia, tuotteita, paikallisia nähtävyyksiä jne. – ja estää niiden käytön käyttäjien salasanoissa. Luetteloa käytetään yleisen luettelon lisäksi, joten näiden kahden välillä ei tarvitse valita. Mukautetut kielletyt salasanat ovat tällä hetkellä rajoitetussa esikatselussa ja julkaistaan tänä vuonna.

Muutoksia paikallisissa kielletyissä salasanoissa

Tänä keväänä julkaisemme työkalun, joka auttaa yrityksen järjestelmänvalvojia kieltämään salasanoja Azure Active Directoryn hybridiympäristöissä. Kiellettyjen salasanojen luettelot synkronoidaan pilvestä paikallisiin ympäristöihin ja pakotetaan agentin kera jokaiseen toimialueen ohjauskoneeseen. Tämä auttaa järjestelmänvalvojia varmistamaan, että käyttäjien salasanat ovat vaikeita arvata riippumatta siitä, missä – pilvessä tai paikallisesti – käyttäjä muuttaa salasanansa. Tämä tuli rajoitettuun yksityiseen esikatseluun helmikuussa 2018 ja tulee yleisesti saataville myöhemmin tänä vuonna.

Muuta suhtautumistasi salasanoihin

Monet yleisesti vallalla olevat ajatukset siitä, millainen hyvä salasana on, ovat vääriä. Usein jonkin, jonka matemaattisesti pitäisi auttaa, saa käyttäjän todellisuudessa käyttäytymään ennustettavasti: esimerkiksi tiettyjen merkkityyppien tai salasanojen ajoittaisen muuttamisen vaatiminen molemmat johtavat tiettyjen salasanamallien käyttöön. Lue julkaisumme salasanojen hallinnasta saadaksesi lisätietoja. Jos käytät Active Directorya, jossa on PTA tai ADFS, päivitä salasanakäytäntösi. Jos käytät pilvessä hallittavia tilejä, harkitse asetusta, jossa salasana ei vanhene.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

1. Asenna Microsoftin kiellettyjen salasanojen työkalu paikallisesti heti, kun se julkaistaan, auttaaksesi käyttäjiäsi luomaan parempia salasanoja.
2. Tarkista salasanakäytäntösi ja harkitse asetusta, jossa salasanat eivät vanhene, niin että käyttäjäsi eivät sorru käyttämään toistuvia rakenteita salasanojen luomisessa.

Vaihe 4: Lisää mahtavia ominaisuuksia ADFS:ssä ja Active Directoryssa

Jos käytät ADFS:ssä ja Active Directoryssa hybriditodentamista, voit suojata ympäristöäsi spray-salasanahyökkäyksiä vastaan aiempaa paremmin.

Ensimmäinen askel: jos organisaatiosi käyttää ADFS 2.0:aa tai Windows Server 2012:ta, ala suunnitella siirtymistä Windows Server 2016:n ADFS:ään mahdollisimman pian. Uusin versio päivittyy nopeammin ja siinä on suurempi ominaisuuksia, kuten ekstranetin lukitus. Muista myös että olemme tehneet Windows Server 2012R2:sta 2016:een siirtymisestä erittäin helppoa.

Estä ekstranetistä tulevat vanhat todennukset

Vanhoilla todentamisprotokollilla ei ole kykyä pakottaa monimenetelmäistä todentamista, joten paras lähestymistapa on estää niiden tuleminen ekstranetistä. Tämä estää spray-salasanahyökkääjiä hyödyntämästä monimenetelmäisen todentamisen puuttumista näiden protokollien kohdalla.

Ota käyttöön ADFS:n verkkosovelluksen välityspalvelimen ekstranet-lukitus

Jos sinulla ei vielä ole käytössä ekstranetlukitusta ADFS:n verkkosovelluksen välityspalvelimella, sinun tulisi ottaa se käyttöön niin pian kuin mahdollista, jotta voit suojata käyttäjiäsi mahdolliselta salasanojen väsytyshyökkäysuhalta.

ADFS:n Azure AD Connect Healthin käyttöönotto

Azure AD Connect Health sieppaa ADFS-lokien virheellisiksi kirjattujen käyttäjänimi/salasana-pyyntöjen IP-osoitteet, antaa lisäraportteja erilaisista skenaarioista ja tarjoaa lisätietoa, jotka auttavat insinöörejä tukipalveluissa.

Käyttöönotto tapahtuu lataamalla Azure AD Connect Health Agent for ADFS:n uusin versio kaikille ADFS-palvelimille (2.6.491.0). ADFS-palvelimien tulee käyttää Windows Server 2012 R2:ta, johon on asennettu KB 3134222, tai Windows Server 2016:ta.

Käyttötavat, jotka eivät perustu salasanalle

Jos salasanaa ei ole, sitä ei voi arvata. ADFS:lle ja verkkosovelluksen välityspalvelimelle on saatavilla todentamistapoja, jotka eivät perustu salasanalle:

1. Varmennepohjainen todentaminen sallii käyttäjänimen/salasanan päätepisteiden täydellisen eston palomuurilla. Lue lisää ADFS:n varmennepohjaisesta todentamisesta
2. Azuren monimenetelmäistä todentamista voi, kuten yllä mainittiin, käyttää toisena menetelmänä pilvitodennuksissa ja ADFS 2012 R2:ssa ja 2016:ssa. Sitä voi kuitenkin käyttää myös ensisijaisena menetelmänä ADFS 2016:ssa, jos halutaan estää spray-salasanahyökkäykset täydellisesti. Lue lisää Azuren monimenetelmäisen todentamisen määrittämisestä ADFS:llä täältä
3. Windows 10:ssä saatavilla oleva ja ADFS:n Windows Server 2016:ssa tukema Windows Hello yrityksille antaa mahdollisuuden täysin salasanattomaan käyttöön (myös ekstranetistä), joka perustuu vahvoille sekä käyttäjään että laitteeseen sidotuille kryptografisille avaimille. Tämä on saatavilla yrityksen hallinnoimiin laitteisiin, jotka on yhdistetty Azure AD:hen tai Azure AD -hybridiympäristöön, sekä henkilökohtaisiin laitteisiin Settings-sovelluksen kohdasta ”Lisää työpaikan tai oppilaitoksen tili”. Lue lisätietoja Hello yrityksille -ominaisuudesta.

Suosittelemme, että teet seuraavat asiat mahdollisimman pian:

1. Nopeat päivitykset ADFS 2016:een päivittämällä
2. Estä vanhojen todennusten pääsy ekstranetistä.
3. Ota käyttöön Azure AD Connect Health -agentit ADFS:lle kaikissa ADFS-palvelimissasi.
4. Harkitse käyttäväsi salasanatonta ensisijaista todentamistapaa, kuten Azuren monimenetelmäistä todennusta, varmenteita tai Windows Hello yrityksille -ominaisuutta.

Bonus: Microsoft-tilien suojaus

Jos olet Microsoft-tilin käyttäjä:

• Hyviä uutisia, suojauksesi on kunnossa! Microsoft-tileissä on Smart Lockout- ja IP Lockout -suojaus, riskiin perustuva kaksivaiheinen todennus, kielletyt salasanat ynnä muita.
• Käytä kuitenkin pari minuuttia siihen, että käyt Microsoft-tilisi Tietoturva-sivulla ja valitset kohdan ”Päivitä suojaustietosi” tarkastellaksesi suojaustietoja, joita käytetään riskiin perustuvaan kaksivaiheiseen todentamiseen.
• Harkitse aina käytössä olevan kaksivaiheisen todentamisen käyttöönottoa täällä, niin voit tarjota tilillesi parhaan suojan.

Paras puolustus ei suinkaan ole hyökkäys vaan tämän kirjoituksen suosituksien seuraaminen

Spray-salasanahyökkäykset ovat vakava uhka kaikille Internetin salasanoja käyttäville palveluille, mutta tässä kirjoituksissa esitetyt toimenpiteet antavat sinulle parhaimman suojan tätä hyökkäysvektoria vastaan. Ja koska samanlaisia piirteitä on monenlaisissa hyökkäyksissä, esitetyt neuvot ovat yksinkertaisesti toimivia, piste. Suojaamisesi on meille äärimmäisen tärkeää ja kehittelemme jatkuvasti uusia ja kehittyneitä suojauksia spray-salasanahyökkäyksiä ja kaikenlaisia muita hyökkäyksiä vastaan. Ota yllä mainitut suojaukset käyttöön jo tänään ja palaa usein katsomaan uusia Internetin hyökkääjiä vastaan suunniteltuja suojatyökaluja.

Toivottavasti kirjoitus oli sinusta mielenkiintoinen. Kuten aina, otamme mielellämme vastaan kaikenlaista palautetta ja ehdotuksia.

Ystävällisin terveisin,

Alex Simons (Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

The post Azure AD:n ja ADFS:n parhaat käytännöt: Spray-salasanahyökkäyksiä vastaan puolustautuminen appeared first on Microsoft 365 Blog.

Toivottavasti tämänpäiväinen kirjoitus on teistä yhtä mielenkiintoinen kuin minusta. Kirjoitus kutkuttava ja piirtää jännittävän kuvan digitaalisten identiteettien tulevaisuudesta.

Viimeisen vuoden aikana olemme hautoneet erilaisia ideoita, joissa Blockchain-lohkoketjuilla (ja muilla hajautetuilla tapahtumarekisteriteknologioilla) voisi luoda uudentyyppisiä digitaalisia identiteettejä, eli identiteettejä jotka on alusta alkaen suunniteltu parantamaan yksityisyyttä, tietoturvaa ja hallintaa. Olemme innoissamme saamistamme kokemuksista ja uusista prosessin aikana luomistamme kumppanuuksista. Tänään kerromme teille ajatuksistamme ja tulevaisuuden suuntaviivoista. Tämä blogikirjoitus on osa laajempaa sarjaa, ja sen innoittajana toimii Peggy Johnsonin blogiteksti, joka ilmoitti Microsoftin liittyneen mukaan ID2020-aloitteeseen. Peggyn kirjoitus kannattaa lukea ensin, ellet ole jo tehnyt niin.

Pyysin ideahautomoa johtanutta tiimini projektipäällikköä Ankur Patelia polkaisemaan keskustelun hajautetuista digitaalisista identiteeteistä käyntiin. Hänen kirjoituksensa keskittyy kertomaan keskeisistä oppimistamme asioista sekä niistä seuraavista periaatteista, joita jatkossa käytämme asioiden kehittelyyn.

Ja kuten aina kuulemme mielellämme ajatuksistanne ja otamme vastaan palautetta.

Ystävällisin terveisin,

Alex Simons (Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

———-

Hei kaikille, olen Ankur Patel Microsoftin käyttäjätietojen osastolta. On kunnia päästä kertomaan, millaisia kokemuksia ja tulevaisuuden suuntaviivoja Blockchain-lohkoketjuja ja hajautetuille tapahtumarekistereille perustuvia hajautettuja identiteettejä koskeva pohdintamme on saanut aikaan.

Tulevaisuudennäkymiä

Monien jokapäiväinen kokemus on, että maailmassa on menossa globaali digitaalinen muutos, jossa digitaalinen ja fyysinen todellisuus sulautuvat yhdeksi integroiduksi tavaksi elää modernia elämää. Tämä uusi maailma tarvitsee uuden digitaalisten identiteettien mallin, joka lisää henkilökohtaista yksityisyyttä ja tietoturvaa koko fyysisessä ja digitaalisessa maailmassa.

Microsoftin pilven identiteettijärjestelmä auttaa tuhansia kehittäjiä, organisaatioita ja miljardeja ihmisiä työskentelemään, huvittelemaan ja saavuttamaan aiempaa enemmän. Silti voimme tehdä kaikkien hyväksi vielä paljon enemmänkin. Tavoitteenamme on maailma, jossa miljardeilla ilman luotettavaa identiteettiratkaisua elävillä ihmisillä on viimein mahdollisuus toteuttaa kaikkien jakamat unelmat lastemme koulutuksesta, elämänlaadun parantamisesta tai yrityksen perustamisesta.

Tämän vision saavuttamiseksi on mielestämme ensiarvoisen tärkeää, että yksilöt ottavat haltuun ja hallinnoivat kaikkia digitaalisen identiteettinsä osa-alueita. Sen sijaan että sovelluksille ja palveluille myönnettäisiin laaja suostumus ja annettaisiin identiteettitietojen levitä palveluntarjoajien keskuuteen, henkilöt tarvitsevat suojatun ja salatun digitaalisen keskuksen, johon he voivat tallentaa identiteettitietonsa ja jossa he voivat helposti hallita niiden käyttöoikeuksia.

Jokainen meistä tarvitsee oman digitaalisen identiteetin, joka tallentaa turvallisesti ja yksityisyyden säilyttäen digitaalisen identiteettimme kaikki osat.  Tämän itse omistetun identiteetin tulee olla helppo käyttää, ja identiteettitiedon käyttöoikeuksia ja käyttöä tulee pystyä hallitsemaan täysin.

Tiedämme, että tällaisen itse hallittavan digitaalisen identiteetin mahdollistamisen ylittää yritys- ja organisaatiorajat. Olemme sitoutuneita työskentelemään tiiviisti asiakkaidemme, kumppaniemme ja yhteisön kanssa tuottaaksemme seuraavan sukupolven digitaalisille identiteeteille pohjautuvia kokemuksia ja olemme innoissamme saadessamme yhteistyökumppaneiksemme uskomattoman aikaansaavia alan ihmisiä.

Kokemuksia

Kerromme tässä ajatuksista, jotka perustuvat hajautettujen tunnusten ajatushautomossa oppimillemme asioille, ja pyrimme näin aikaansaamaan kokonaisvaltaisempia käyttäjäkokemuksia, parantamaan luottamusta, vähentämään kitkaa ja antamaan jokaiselle henkilölle oman digitaalisen identiteettinsä omistamiseen ja hallintaan.

1. Omista identiteettisi ja hallitse sitä. Tänä päivänä käyttäjät antavat laajan suostumuksensa tietojensa keräämiselle, käytölle ja säilyttämiselle lukemattomille sovelluksille ja palveluille. Tietomurtojen ja identiteettivarkauksien tullessa yhä kehittyneemmiksi ja tavallisemmiksi käyttäjät tarvitsevat tavan, jolla he voivat ottaa identiteettinsä hallintaan. Hajautettuja tallennusjärjestelmiä, konsensusprotokollia, lohkoketjuja ja erilaisia tulevaisuuden standardeja tutkittuamme olemme sitä mieltä, että lohkoketjuteknologia ja -protokollat soveltuvat hyvin hajautettujen tunnusten (Decentralized ID, DID) käyttöön.
2. Tietosuoja mukana suunnittelussa alusta lähtien.
   Tänä päivänä sovellukset, palvelut ja organisaatiot toimittavat käteviä, odotuksenmukaisia ja mukautettuja käyttäjäkokemuksia, jotka ovat riippuvaisia identiteettiin sidotun tiedon hallinnasta. Tarvitsemme turvallisen ja salatun digitaalisen keskuksen (tunnuskeskuksen), joka voi toimia vuorovaikutuksessa käyttäjän tietojen kanssa käyttäjän yksityisyyttä ja hallintaa kunnioittaen.
3. Luottamus on ansaittava, yhteisö rakentaa sen.
   Perinteiset identiteettijärjestelmät on yleensä suunniteltu todentamiseen ja käyttöoikeuksien hallintaan. Itse omistettu identiteettijärjestelmä kiinnittää huomion aitouteen ja siihen, miten yhteisö voi rakentaa luottamusta. Hajautetussa järjestelmässä luottamus perustuu todentamisiin, väitteisiin, joita muut tahot tukevat. Tämä auttaa identiteetin todistamisessa.
4. Käyttäjäkeskeisiksi luodut sovellukset ja palvelut.
   Tämän päivän mielenkiintoisimpiin sovelluksiin ja palveluihin kuuluvat ne, jotka tarjoavat käyttäjille personoituja käyttäjäkokemuksia hyödyntämällä heidän tunnistettavissa olevia henkilötietojaan. Hajautetut tunnukset ja tunnuskeskukset voivat mahdollistaa kehittäjien pääsyn tarkempiin todentamisjoukkoihin samalla, kun ne vähentävät oikeudellisia ja säädännöllisiä riskejä prosessoimalla tietoa sen sijaan, että hallitsisivat sitä käyttäjän puolesta.
5. Avoin ja yhteensopiva perusta.
   Tehokkaan hajautetun ja kaikkien käytettävissä olevan identiteettiekosysteemin luomiseksi tarvitaan standardeihin perustuvia avoimen lähteen teknologioita, protokollia ja viitekäyttöönottoja. Viimeisen vuoden aikana olemme ottaneet osaa Decentralized Identity Foundationin (DIF) toimintaan muiden haasteeseen samalla tavalla tarttuneiden henkilöiden ja organisaatioiden kanssa. Seuraavat avainkomponentit ovat kehitteillä yhteistyössä:
   

• Hajautetut tunnukset (DID) – W3C-määritys, joka määrittelee yleisen asiakirjamuodon hajautetun tunnuksen tilan kuvaamista varten
  
• Tunnuskeskukset – salattu tunnustietovarasto, jossa on viestin/tarkoituksen välitys, todentamisen hallinta ja tunnuskohtaiset käsittelypäätepisteet. 
  
• Universaali hajautetun tunnuksen selvitys – palvelin, joka ratkaisee hajautetut tunnukset koko lohkoketjussa 
  
• Vahvistettavat tunnistetiedot – W3C-määritys, joka määrittää asiakirjamuodon DID-pohjaisten todentamisten koodaamiseen.   
  

6. Valmis maailmanlaajuisesti skaalattavaksi:
   Tukeakseen valtavaa käyttäjien, organisaatioiden ja laitteiden joukkoa perustana olevan teknologian pitää olla kykeneväinen skaalautumaan ja suoriutumaan perinteisten järjestelmien rinnalla. Jotkin julkiset lohkoketjut (Bitcoin [BTC], Ethereum, Litecoin ym.) tarjoavat vankan perustan hajautettujen tunnusten pääkäyttäjäoikeuksien hankkimista, hajautettujen julkisen avaimen infrastruktuurin toimintoja ja todentamisten ankkurointia varten. Vaikka jotkin lohkoketjuyhteisöt ovat lisänneet ketjun tapahtumakapasiteettia (esim. lohkoketjun koko kasvaa), yleisesti ottaen tämä lähestymistapa heikentää verkon hajautettua tilaa eikä pysty toimittamaan miljoonia tapahtumia sekunnissa, kuten silloin jos järjestelmä toimisi maailmanlaajuisesti. Pyrimme selättämään tekniset esteet tekemällä yhteistyötä julkisten lohkoketjujen päällä toimivien hajautettujen Layer 2 -protokollien parissa maailmanlaajuisen skaalautuvuuden aikaansaamiseksi samalla, kun pyrimme säilyttämään maailmanluokan DID-järjestelmän ominaisuudet.
   
7. Kaikkien käytettävissä:
   Tämän päivän lohkoketjuekosysteemi rakentuu yhä niiden teknologian varhaisten käyttöönottajien varaan, jotka ovat valmiita käyttämään aikaa, vaivaa ja energiaa avainten hallintaan ja laitteiden suojaamiseen. Emme voi olettaa tavallisen käyttäjän tekevän samoin. Meidän pitää tehdä avainten hallinnan haasteista, kuten palautuksesta, kierrosta ja turvallisesta käytöstä, intuitiivista ja ehdottoman varmaa.
   

Seuraavat toimenpiteet

Uudet järjestelmät ja suurisuuntaiset ideat vaikuttavat usein hyviltä suunnitteluvaiheessa. Kaikki palaset tuntuvat loksahtavan kohdilleen ja oletukset tuntuvat järkeviltä. Tuote- ja insinööritiimit saavat kuitenkin eniten käyttökelpoista tietoa tuotteiden ja palveluiden toimituksesta.

Tänä päivänä miljoonat ihmiset käyttävät Microsoft Authenticator -sovellusta identiteettinsä todistamiseen. Seuraavaksi teemme kokeiluja hajautetuilla identiteeteillä lisäämällä niiden tuen Microsoft Authenticatoriin. Suostumuksen saatuaan Microsoft Authenticator pystyy hallinnoimaan identiteettitietoja ja kryptografisia avaimia toimimalla käyttäjäagenttina. Tässä mallissa ketjulla on pääkäyttäjäoikeus vain tunnukseen. Identiteettitiedot tallennetaan ketjun ulkopuoliseen tunnuskeskukseen (jota Microsoft ei näe) näillä kryptografisilla avaimilla salattuina.

Kun olemme lisänneet tämän ominaisuuden, sovellukset ja palvelut voivat olla vuorovaikutuksessa käyttäjän tietojen kanssa pyytämällä hajautettua suostumusta yleistä viestikanavaa pitkin. Aluksi tuemme rajattua joukkoa DID-käyttöönottoja kaikissa lohkoketjuissa ja luultavasti lisäämme määrää tulevaisuudessa.

Katse eteenpäin

Olemme kiitollisia ja innoissamme saadessamme tarttua näin valtavaan haasteeseen, mutta tiedämme myös, ettemme pysty suoriutumaan tehtävästä yksin. Luotamme yhteistyökumppaniemme, Decentralized Identity Foundationin jäsenien ja Microsoftin moninaisen ekosysteemin suunnittelijoiden, päättäjien, liikekumppanien sekä laite- ja ohjelmistovalmistajien tukeen ja panokseen. Erityisesti tarvitsemme teidän, asiakkaidemme, palautetta, kun alamme testata ensimmäistä skenaariojoukkoa.

Tämä on ensimmäinen kirjoitus, jonka julkaisemme hajautettujen tunnusten tiimoilta. Tulevissa kirjoituksissa jaamme tietoja soveltuvuusselvityksistä sekä yllä esiteltyjen avainalueiden teknisistä yksityiskohdista.

Tervetuloa yhteiselle matkalle kanssamme!

Avainresursseja:

• Seuraa meitä Twitterissä: @AzureAD
  
• Tule mukaan Decentralized Identity Foundationin (DIF) toimintaan
  
• Osallistu W3C Credentials Community Groupin toimintaan
  

Terveisin,

Ankur Patel (@_AnkurPatel)

Johtava ohjelmapäällikkö

Microsoftin käyttäjätietojen osasto

The post Hajautetut digitaaliset identiteetit ja lohkoketjut: tulevaisuus Microsoftin silmin appeared first on Microsoft 365 Blog.

Azure AD:n ehdollinen käyttö (Conditional Access, CA) on päässyt erinomaiseen vauhtiin. Organisaatiot ympäri maailmaa hyödyntävät sitä varmistaakseen sovellusten turvallisen ja vaatimustenmukaisen käytön. Joka kuukausi ehdollista käyttöä hyödyntää yli kymmenen tuhatta organisaatiota ja kymmenen miljoonaa aktiivista käyttäjää! On mahtavaa nähdä, miten nopeasti asiakkaamme ovat ottaneet sen omakseen!

Olemme saaneet paljon palautetta ehdollisen käytön käyttäjävaikutuksista. Erityisesti koska käyttäjällä on paljon valtaa, tarvitaan keino nähdä, miten ehdollisen käytön määritykset vaikuttavat käyttäjään erilaisissa kirjautumistilanteissa.

Palautetta on kuunneltu, ja tänään minulla on ilo ilmoittaa ehdollisen käytön What If -työkalun julkisesta esikatselusta. What if -työkalu auttaa ymmärtämään, miten määritykset vaikuttavat käyttäjän kirjautumiseen määrittelemiesi ehtojen mukaisesti. Sen sijaan, että odottaisit käyttäjän kertovan, mitä tapahtui, voit käyttää What If -työkalua.

Aloittaminen

Oletko valmis kokeilemaan työkalua? Voit tehdä yksinkertaisesti näin:

• Avaa Azure AD Conditional Access
• Napsauta kohtaa What If

• Valitse käyttäjä, jota haluat testata

• [Valinnainen] Valitse sovellut, IP-osoite, laitteen käyttöympäristö, asiakassovellus, kirjautumisriski tarpeen mukaan
• Napsauta kohtaa ”What If” ja tarkastele käytäntöjä, jotka vaikuttava käyttäjän kirjautumiseen

Joskus kysymys, johon yrität löytää vastausta ei ole ”mitä käytäntöjä sovelletaan” vaan ”miksi käytäntöä ei sovelleta”. Työkalu auttaa vastamaan myös tähän! Vaihda ”Policies that will not apply” -välilehteen ja voit tarkastella käytännön nimeä ja erityisesti syytä siihen, miksi käytäntöä ei sovellettu. Hienoa, eikö totta?

Haluatko lisätietoja What If -työkalusta?

Kerro meille ajatuksistasi

Tämä on vain alkua. Teemme töitä tarjotaksemme lisää innovaatioita asian tiimoilta. Kuten aina, kuulisimme mielellämme palautetta ja ehdotuksia tätä esikatselua tai mitä tahansa Azure AD Conditional Accessia koskien. Laadimme What If -työkalua koskien jopa pienen kyselyn, johon voit osallistua.

Odotamme innolla palautettasi!

Parhain terveisin,

Alex Simons (Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

The post Julkinen esikatselu: Azure AD:n ehdollisen käytön käytäntöjen What If -työkalu appeared first on Microsoft 365 Blog.

Jos olet seurannut tätä blogia, tiedät, että tuemme monia tapoja yhdistää paikallinen hakemisto tai IAM-ratkaisu Azure AD:hen. Itse asiassa tarjoamme siihen enemmän mahdollisuuksia kuin yksikään toinen alan toimija.

Niinpä ei ole yllättävää, että yksi asiakkaiden yleisimmin esittämistä kysymyksistä on, mitä vaihtoehtoa itse suosittelisin. Minusta vastausta on aina vaikea antaa. Viimeisin yli kuuden alalla työskentelemäni vuoden aikana olen oppinut, että kaikki organisaatiot ovat erilaisia ja että niillä on eri tavoitteet ja vaatimukset käyttöönottonopeuden, suojauksen, investointimahdollisuuksien, verkkoarkkitehtuurin, yrityskulttuurin ja työympäristön suhteen. Tarjoamme vaihtoehtoja, jotta organisaatio voi valita niistä sen, joka parhaiten sopii sen tarkoituksiin. (Tämä ei tietenkään tarkoita, etteikö minulla olisi omaa suosikkia. Jos kyse olisi omasta organisaatiostani valitsisin ehdottomasti läpivientitodennuksen ominaisuudet ja Azure AD Connect -synkronoinnin.  Ne ovat molemmat helppoja ottaa käyttöön ja edullisia ylläpitää. Mutta se on vain oma mielipiteeni!)

Sen sijaan, että käyttäisit aikaa pohtiaksesi minun tai jonkun muun suosituksia, ota mieluummin oppia asiakkaiden kokemuksista. Minusta niistä kannattaa aloittaa.

Azure AD Momentum

Haluan aloittaa jakamalla Azure AD:n käyttöä koskevia lukuja, niin että saat kontekstia myöhempää syvempää analyysia varten. Kaiken kaikkiaan Azure AD:n käyttö lisääntyy voimakkaasti organisaatioissa, joissa käytetään Microsoftin pilvipohjaisia perustunnistetietopalveluja, ja Azure AD Premium käyttö kiihtyy.

Eniten olen innoissani trendistä, jossa Azure AD:n käyttö kolmansien osapuolien sovellusten kanssa kasvaa uskomatonta vauhtia. Kolmansien osapuolten sovelluksia on käytössä yli 300 000 joka kuukausi, joten monet organisaatiot näkyvät kääntyvän Azure AD:n puoleen valitessaan sopivaa pilvipohjaista käyttäjätietoympäristöä.

Käyttäjien synkronointi Azure AD:hen

Useimmat Azure AD:n vuokraajat ovat pieniä organisaatioita, jotka eivät synkronoi paikallisia Active Directoryja Azure AD:hen. Suuremmat organisaatiot synkronoivat melkein poikkeuksetta, ja synkronoijat edustavat myös yli 50 %:a Azure AD:n 950 miljoonasta käyttäjätilistä.

Tässä viimeisimmät tiedot siitä, miten organisaatiot synkronoivat käyttäjiä Azure AD:hen:

• Yli 180 000 vuokraajaa synkronoi paikallisen Windows Server Active Directorynsa Azure AD:hen.
• Yli 170 000 vuokraajaa käyttää tähän tarkoitukseen Azure AD Connectia.
• Pieni määrä asiakkaita käyttää muita ratkaisuja:
  • 7 % käyttää vanhaa DirSynciä tai Azure AD Syncin työkaluja.
  • 1,9 % käyttää Microsoft Identity Manageria tai Forefront Identity Manageria.
  • Alle prosentti käyttää mukautettua tai kolmannen osapuolen ratkaisua.

Todentaminen Azure Active Directoryn avulla

Kun viimeksi kirjoitin todentamisesta, jakamani tiedot perustuivat todentamismäärille. Sain palautetta, että luvut oli vaikea asettaa kontekstiinsa ja että olitte kiinnostuneempia aktiivisten käyttäjien määristä. Niinpä tämänkertaisessa kirjoituksessa kerron lukuja, jotka perustuvat aktiivisten kuukausittaisten käyttäjien määrään.

Lokakuun 31. päivä Azure AD:llä oli hieman yli 152 miljoonaa aktiivista kuukausittaista käyttäjää. Näistä aktiivisista käyttäjistä

• 55 % käytti todennukseen liittoutumistuotetta tai -palvelua
• 24 % käytti todennukseen Password Hash Syncia
• 21 % käytti vain pilveä.
• Vain kuukausi sitten yleisesti saataville tulleella Azure AD:n läpivientitodennuksella on jo yli puoli miljoonaa aktiivista käyttäjää kuukaudessa ja määrä kasvaa 50 % kuukaudessa!

Jos jatkamme pidemmälle, saamme kiinnostavia tietoja:

• 46 % kaikista aktiivisista käyttäjistä käyttää todennukseen Active Directory -liittoutumispalveluja.
• Vain hieman yli 2 % kaikista aktiivisista käyttäjistä käyttää todennukseen Ping Federatea. Ping on nopeimmin kasvava ja suosituin kolmannen osapuolen vaihtoehto.
• 2 % kaikista aktiivisista käyttäjistä käyttää todennukseen kolmannen osapuolen IDaaS-palvelua, kuten Centrifya, Oktaa tai OneAuthia.
• 1 % kaikista aktiivisista käyttäjistä käyttää todentamiseen kolmannen osapuolen liittoutumispalvelua, joka on muu kuin Ping Federate.

Tärkeimmät johtopäätökset

Yllä esitetyt tiedot ovat mielenkiintoisia ja korostavat tiettyjä trendejä:

1. Azure AD Connectista on tullut synkronointistandardi Windows Server AD:n ja Azure AD:n välillä. Yli 90 % synkronoivista vuokraajista käyttää sitä tällä hetkellä.
2. Azure AD Password Hash Syncista on tullut erittäin suosittu vaihtoehto asiakkaiden keskuudessa, ja sillä on miljoonia aktiivisia kuukausittaisia käyttäjiä.
3. Kun yhä suuremmat yritykset ovat alkaneet käyttää Azure AD:tä, Ping Federatesta on tullut yhä suositumpi vaihtoehto. Kumppanuutemme Pingin kanssa on todella hyödyttänyt suuria asiakkaita.
4. Kaikesta julkisuudesta ja markkinainnosta huolimatta muut IDaaS-myyjät ovat vain pieni osa Azure AD / Office 365:n liiketoimintaa.
5. Vasta kuukausi sitten yleisesti saataville tullut uusi läpivientitodennusmahdollisuutemme on otettu hyvin vastaan, ja sillä on jo yli 500 000 aktiivista kuukausittaista käyttäjää. Jos trendi jatkuu samanlaisena seuraavan puolen vuoden tai vuoden aikana, sitä käyttää kohta enemmän yksilöllisiä käyttäjiä kuin kaikkia muita IDaaS-myyjiä yhteensä.

Yhteenveto

Luvut kertovat selkeää tarinaa kuten viimeksikin. Olemme suunnitelleet Azure AD:n avoimeksi ja standardeille perustuvaksi, niin että asiakkaamme voivat käyttää laajaa valikoimaa kolmannen osapuolen vaihtoehtoja. Suurin osa asiakkaista on kuitenkin sitä mieltä, että valmiit käyttäjätietoratkaisumme vastaavat heidän tarpeisiinsa. Ja tämä määrä vain kasvaa.

Lisäksi tiedoista näkyy, että Azure AD Connectin yksinkertaisuus on myönteisesti vaikuttava tekijä. Ratkaisu on suosittu ja ylivoimaisesti nopeimmin kasvava vaihtoehto Windows Server AD:n ja Azure AD / Office365:n yhdistämisessä.

Toivottavasti tämä kirjoitus oli mielestäsi mielenkiintoinen ja hyödyllinen! Kuten aina, otamme mielellämme vastaan kaikenlaista palautetta ja ehdotuksia.

Parhain terveisin,

Alex Simons (Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

The post Organisaation paikallisten identiteettien yhdistäminen Azure Active Directoryyn appeared first on Microsoft 365 Blog.

Tänään minulla on ilo kertoa, että olemme juuri ottaneet käyttöön Azure AD:n B2B-yhteistyöominaisuuksille perustuvan vieraskäytön Microsoft Teamsissä!

Voit nyt ottaa käyttöön kumppaniyhteistyön, jonka avulla keskustelut, sovellukset ja tiedostojen jakaminen toimivat vuorovaikutuksessa muiden kanssa. Samalla hyödynnät helppokäyttöisyyttä ja yritystason suojausta, joita Azure Active Directory on jo pitkään tarjonnut työntekijöillesi.

Nyt kuka tahansa, jolla on Azure Active Directory -tili missä tahansa organisaatiossa, voidaan kutsua vieraskäyttäjäksi Microsoft Teamsiin!

Asiakkaat ovat luoneet Azure AD:n B2B-ominaisuuksilla jo yli kahdeksan miljoonaa vieraskäyttäjää, ja olemme vasta pääsemässä vauhtiin. Tuen lisääminen Microsoft Teamsille on ollut asiakastoiveiden kärjessä, joten on hienoa pitää rattaat pyörimässä ottamalla tämä uusi ominaisuus käyttöön. Toivottavasti kokeilet ominaisuutta jo tänään!

Kirjaudu siis Teamsiin ja lähetä kumppanillesi yhteistyökutsu.

Ja kuten aina, ota meihin yhteyttä, jos haluat antaa palautetta, keskustella tai ehdottaa jotakin. Olemme kuulolla!

Ystävällisin terveisin,

Alex Simons (@Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

P.S. Olemme jo alkaneet tehdä töitä, jotta voimme lisätä Teamsiin muitakin Azure AD:n ominaisuuksia, muun muassa tuen ulkoisille käyttäjille, joilla on mikä tahansa yritys- tai kuluttajille suunnattu sähköpostitili. Lisätietoja seuraa pian!

The post Azure AD:n B2B-yhteistyö Microsoft Teamsissä appeared first on Microsoft 365 Blog.

Tänään kerrottavana on hienoja uutisia! Gartner julkaisi vuoden 2017 käytön hallinnan nelikenttänsä (AM MQ), jossa Microsoft on sijoitettu johtajien neljännekseen vision kokonaisvaltaisuuden ja toteutuksen perusteella.

AM MQ on uusi MQ-nelikenttä. Se on eri kokonaisuus kuin lopetettu IDaaS MQ -nelikenttä ja se julkaistiin nyt ensimmäistä kertaa. Azure Active Directory on raportissa arvioitu tuote.

Gartner 2017 Magic Quadrant for Access Management

Olemme saaneet Gartnerilta luvan jakaa raporttia ilmaiseksi, ja voit lukea sen täällä

Mielestämme Microsoftin upea sijoittuminen on todiste siitä, että visiomme tarjota käyttäjätietojen ja käytön hallinnan ratkaisua työntekijöille, kumppaneille ja asiakkaille turvallisesti Microsoft Intelligent Security Graphin maailmanluokan käyttäjätietojen suojausta hyödyntämällä on oikea.

Uskomme Gartnerin analyysin kertovan paljon sitoutuneisuudestamme käyttäjätietojen ja käytön hallintaan. Vielä tärkeämpää kuitenkin on, että Microsoft uskoo sen kertovan paljon asiakkaistamme, toteutusyhteistyökumppaneistamme ja kanssamme työskennelleistä ISV-kumppaneistamme, jotka ovat päivittäin suoneet aikaansa ja energiaansa varmistaakseen, että luomamme tuotteet ja palvelut vastaavat heidän tarpeisiinsa ja antavat heille mahdollisuuden menestyä yhä enenevässä määrin pilvitekniikkaan nojautuvassa maailmassa.

Lupaamme jatkaa innovatiivisten ominaisuuksien tarjoamista, niin että voimme vastata käyttäjätietojen ja käytön hallintaa koskeviin tarpeisiinne ja edelleen parantaa asemaamme Gartnerin AM MQ -raportin johtajaneljänneksessä.

Parhain terveisin,

Alex Simons (Twitter: @Alex_A_Simons)

Johtaja – ohjelman hallinta

Microsoftin käyttäjätietojen osasto

The post Azure AD sijoitettu johtajien neljännekseen Gartnerin vuoden 2017 Magic Quadrant for Access Management -vertailussa! appeared first on Microsoft 365 Blog.