J’ai une excellente nouvelle à vous annoncer aujourd’hui ! Pour la deuxième année consécutive, Microsoft figure parmi les « Leaders » mondiaux du Gartner Magic Quadrant 2018 grâce à sa vision claire et à sa forte capacité d’exécution dans le domaine de la gestion des accès. Découvrez pourquoi en cliquant ici pour consulter un exemplaire gratuit du rapport.

Selon Gartner, les Leaders font preuve d’une vision et d’une capacité d’exécution supérieures pour les exigences anticipées liées à la technologie, à la méthodologie ou aux moyens de distribution. Les Leaders démontrent également que la gestion des accès joue un rôle dans un ensemble d’offres de produits connexes ou adjacentes.

La vision la plus avancée parmi les Leaders du Magic Quadrant

Dans la catégorie Vision, Microsoft occupe la position la plus avancée parmi les Leaders du Magic Quadrant pour la deuxième année consécutive. Nous pensons que notre progression dans la catégorie Exécution illustre également notre degré d’implication dans la mise en œuvre d’une stratégie capable d’aider les organisations à la place qu’elles occupent aujourd’hui et de les préparer aux besoins de demain en termes d’identités.

Chez Microsoft, nous estimons qu’en termes d’identités les stratégies d’accès conditionnel et la protection contre les menaces sont des fonctionnalités essentielles pour une solution de gestion des identités et des accès de haut niveau. Dans le cadre d’un écosystème enrichi englobant Windows 10, Office 365 et EMS, nous avons redoublé d’efforts pour intégrer des stratégies de sécurité dans tous nos produits afin de vous offrir visibilité et contrôle sur l’ensemble de l’expérience utilisateur. Tout au long de l’année écoulée, avons également tenu compte de vos observations et commentaires pour améliorer l’expérience et faciliter la centralisation de toutes vos identités. Nous nous engageons à fournir des solutions de gestion des identités et des accès innovantes et complètes à vos employés, partenaires et clients.

Nous n’aurions jamais pu rester un leader de ce domaine sans la contribution et le soutien de nos clients et partenaires. Merci à tous !

Cordialement,

Alex Simons (Twitter : @Alex_A_Simons)

Directeur Gestion des programmes

Microsoft Identity Division

Remarque importante :

Ce graphique a été publié par Gartner, Inc. dans le cadre d’un document d’étude plus large et doit être analysé dans le contexte général de ce document. Ce document Gartner est disponible sur demande auprès de Microsoft.

Gartner ne recommande aucun des fournisseurs, produits ou services présentés dans les études qu’il publie, et n’incite pas les utilisateurs de technologies à limiter leur choix aux fournisseurs les mieux classés. Les études publiées par Gartner reflètent l’opinion des organismes interrogés et ne sauraient être considérées comme des déclarations de fait. Gartner exclut toute garantie explicite ou implicite concernant cette étude, y compris toute garantie de qualité marchande et d’adéquation à un usage particulier.

The post Vision + Exécution : Microsoft de nouveau nommé parmi les « Leaders » du Magic Quadrant de Gartner dans le domaine de la gestion des accès appeared first on Microsoft 365 Blog.

L’utilisation de mots de passe s’accompagne inévitablement de tentatives visant à les deviner. Dans ce blog, nous allons nous intéresser à une attaque qui s’est récemment BEAUCOUP répandue, ainsi qu’aux bonnes pratiques à appliquer pour s’en défendre. Cette attaque est communément appelée pulvérisation de mots de passe.

Lors d’une attaque par pulvérisation de mots de passe, les assaillants essaient les mots de passe les plus courants sur un certain nombre de comptes et services différents pour accéder à un maximum de ressources protégées par mot de passe. Généralement, un grand nombre d’organisations et de fournisseurs d’identité différents sont visés. Par exemple, un assaillant utilisera un kit de ressources couramment disponible, tel que Mailsniper, pour dresser la liste de tous les utilisateurs de différentes organisations, puis essaiera « P@$$w0rd » et « Password1 » sur tous ces comptes. Pour vous donner une idée, voici un exemple d’attaque :

Ce type d’attaque échappe à la plupart des techniques de détection car du point de vue d’un utilisateur ou d’une entreprise, l’attaque ressemble à un échec de connexion isolé.

Pour les assaillants, il s’agit d’un jeu semblable à la loterie : ils savent qu’il existe des mots de passe très courants. Bien que les mots de passe les plus courants ne représentent que 0,5 à 1 % des comptes, pour chaque millier de comptes attaqués les assaillants accèderont à un nombre non négligeable d’entre eux, ce qui est suffisant pour être efficace.

Et ces comptes leur permettront d’accéder aux données contenues dans les e-mails, de recueillir des coordonnées, d’envoyer des liens de hameçonnage ou simplement d’élargir le groupe visé par la pulvérisation de mots de passe. Les assaillants ne se soucient guère de l’identité de leurs cibles initiales. Ils exploitent tout ce qui se présente à eux.

La bonne nouvelle, c’est que Microsoft dispose déjà de nombreux outils pour contrer ces attaques, et d’autres seront bientôt disponibles. Lisez ce qui suit pour identifier les mesures que vous pouvez prendre dès maintenant et dans les mois à venir afin de vous protéger des attaques par pulvérisation de mots de passe.

Quatre étapes simples pour contrer les attaques par mot de passe

Étape 1 : Utiliser l’authentification cloud

Dans le cloud, nous comptabilisons quotidiennement des milliards de connexions aux systèmes Microsoft. Nos algorithmes de détection nous permettent de détecter et de bloquer les attaques dès qu’elles se produisent. Comme il s’agit de systèmes de détection et de protection en temps réel gérés depuis le cloud, ils ne sont disponibles que lors de l’authentification Azure AD dans le cloud (Authentification directe comprise).

Verrouillage intelligent

Dans le cloud, nous utilisons le Verrouillage intelligent pour différencier les tentatives de connexion qui semblent provenir de l’utilisateur légitime de celles qui pourraient être des attaques. Nous pouvons verrouiller l’assaillant tout en permettant à l’utilisateur légitime de continuer à utiliser le compte. Cette fonctionnalité empêche toute attaque par déni de service à l’encontre de l’utilisateur et arrête les attaques par pulvérisation de mots de passe trop zélées. Ce verrouillage s’applique à toutes les connexions Azure AD, quel que soit le niveau de licence, et à toutes les connexions à un compte Microsoft.

À compter de mars 2018, les locataires utilisant les services ADFS (Active Directory Federation Services) pourront utiliser le Verrouillage intelligent en mode natif dans ADFS pour Windows Server 2016. Cette fonctionnalité sera disponible via Windows Update.

Verrouillage d’adresses IP

Le Verrouillage d’adresses IP consiste à analyser des milliards de connexions pour évaluer la qualité du trafic engendré par chacune des adresses IP qui atteignent les systèmes Microsoft. Grâce à cette analyse, la fonctionnalité détecte les adresses IP à caractère malveillant et bloque ces connexions en temps réel.

Simulations d’attaques

Désormais disponible en préversion publique, le Simulateur d’attaques intégré à Office 365 Threat Intelligence permet aux clients de lancer des simulations d’attaques contre leurs propres utilisateurs finaux, de déterminer le comportement de leurs utilisateurs en cas d’attaque, de mettre à jour les stratégies et de s’assurer que des outils de sécurité appropriés sont en place pour protéger leur organisation des menaces telles que les attaques par pulvérisation de mots de passe.

Nos recommandations à court terme :

1. Si vous utilisez l’authentification cloud, vous êtes couvert.
2. Si vous utilisez ADFS ou un autre scénario hybride, guettez la mise à niveau d’ADFS prévue pour mars 2018 afin de bénéficier du Verrouillage intelligent.
3. Utilisez le Simulateur d’attaques pour évaluer votre sécurité de manière proactive et effectuer les ajustements nécessaires.

Étape 2 : Utiliser l’authentification multifacteur

Un mot de passe est la clé d’accès à un compte. Or, une attaque par pulvérisation de mots de passe réussie signifie que l’assaillant a deviné le mot de passe. Pour contrer ce type d’attaque et faire la distinction entre le propriétaire du compte et l’assaillant, le mot de passe ne suffit pas. Pour cela, trois méthodes sont disponibles, comme décrit ci-dessous.

Authentification multifacteur basée sur le risque

Azure AD Identity Protection utilise les données de connexion mentionnées ci-dessus et ajoute des fonctionnalités avancées de Machine Learning et de détection algorithmique pour évaluer le risque associé à chaque connexion qui entre dans le système. Cette méthode permet aux entreprises de créer, dans Identity Protection, des stratégies qui invitent l’utilisateur à s’authentifier à l’aide d’un second facteur si et seulement si un risque est détecté pour l’utilisateur ou pour la session. Cela allège le fardeau qui pèse sur vos utilisateurs et place des obstacles en travers du chemin des assaillants. Apprenez-en davantage sur Azure AD Identity Protection.

Authentification multifacteur permanente

Pour plus de sécurité, vous pouvez utiliser Azure MFA afin d’imposer à vos utilisateurs une authentification multifacteur permanente dans le cloud comme dans ADFS. Cette méthode oblige les utilisateurs finaux à disposer en permanence de leur appareil et à se plier plus fréquemment à l’authentification multifacteur, mais elle est la plus sûre pour votre entreprise. Elle doit être activée pour chacun des administrateurs de l’organisation. Apprenez-en davantage sur Azure Multi-Factor Authentication et sur la configuration d’Azure MFA pour ADFS.

Azure MFA en tant que méthode d’authentification principale

ADFS 2016 vous permet d’utiliser Azure MFA comme méthode d’authentification principale afin de bénéficier d’une authentification sans mot de passe. Il s’agit d’un excellent outil pour se protéger des attaques par pulvérisation de mots de passe et des vols de mots de passe : s’il n’y a pas de mot de passe, il n’y a rien à deviner. Cette méthode convient à tous les types d’appareils, quel que soit leur facteur de forme. En outre, vous ne pouvez désormais utiliser le mot de passe comme second facteur d’authentification qu’après la validation de votre mot de passe à usage unique à l’aide d’Azure MFA. Apprenez-en davantage sur l’utilisation du mot de passe en tant que second facteur d’authentification.

Nos recommandations à court terme :

1. Nous vous recommandons vivement d’activer l’authentification multifacteur permanente pour tous les administrateurs de votre organisation, en particulier pour les administrateurs de propriétaires d’abonnement et de locataires. Et nous vous invitons à le faire dès aujourd’hui.
2. Pour offrir une expérience optimale au reste de vos utilisateurs, nous vous recommandons l’authentification multifacteur basée sur le risque, disponible avec les licences Azure AD Premium P2.
3. Sinon, utilisez Azure MFA pour l’authentification cloud et ADFS.
4. Dans ADFS, procédez à une mise à niveau vers ADFS pour Windows Server 2016 afin d’utiliser Azure MFA comme méthode d’authentification principale, en particulier pour tous vos accès extranet.

Étape 3 : Des mots de passe plus difficiles à deviner pour tout le monde

Même avec tout ce qui précède, la protection contre les attaques par pulvérisation de mots de passe ne peut être efficace que si tous les utilisateurs disposent de mots de passe difficiles à deviner. Or, les utilisateurs ont souvent du mal à créer des mots de passe difficiles à deviner. C’est la raison pour laquelle Microsoft vous fournit les outils suivants.

Mots de passe interdits

Dans Azure AD, les changements et réinitialisations de mots de passe passent tous par un vérificateur de mots de passe interdits. Lorsqu’un nouveau mot de passe est soumis, il est comparé à une liste de mots interdits (et l’orthographe de type l33t-sp3@k n’y change rien). Si une correspondance est trouvée, le mot de passe est rejeté et l’utilisateur est invité à en choisir un autre, plus difficile à deviner. Nous dressons la liste des mots de passe les plus fréquemment attaqués et la mettons régulièrement à jour.

Mots de passe personnalisés interdits

Pour renforcer l’efficacité des mots de passe interdits, nous allons permettre aux locataires de personnaliser leurs listes de mots de passe interdits. Les administrateurs pourront choisir des mots fréquemment utilisés au sein de leur organisation (employés célèbres, fondateurs, produits, emplacements, icônes régionales, etc.) et empêcher leur utilisation dans les mots de passe de leurs utilisateurs. Cette liste sera appliquée en complément de la liste globale afin que vous n’ayez pas à faire un choix entre les deux. Il s’agit pour le moment d’une préversion limitée qui sera déployée dans le courant de cette année.

Mots de passe interdits pour les changements effectués localement

Ce printemps, nous lançons un outil qui permettra aux administrateurs des entreprises d’interdire les mots de passe dans les environnements hybrides Azure AD-Active Directory. Les listes de mots de passe interdits seront synchronisées avec vos environnements locaux depuis le cloud et appliquées sur chaque contrôleur de domaine à l’aide de l’agent. Où que les utilisateurs changeront leur mot de passe (dans le cloud ou dans l’environnement local), les administrateurs pourront ainsi s’assurer qu’il est suffisamment difficile à deviner. La préversion privée de cette fonctionnalité a été lancée en février 2018 et elle sera mise à la disposition générale dans le courant de cette année.

Appréhender les mots de passe sous un nouvel angle

Beaucoup d’idées fausses circulent au sujet des mots de passe. Souvent, ce qui devrait être mathématiquement efficace se traduit en pratique par un comportement prévisible de l’utilisateur : par exemple, le fait d’exiger certains types de caractères et des changements périodiques de mot de passe donne lieu à des modèles de mots de passe spécifiques. Pour plus d’informations, lisez notre livre blanc consacré aux mots de passe. Si vous utilisez Active Directory avec l’Authentification directe ou ADFS, procédez à une mise à jour de vos stratégies de mots de passe. Si vous utilisez des comptes gérés dans le cloud, n’hésitez pas à configurer vos mots de passe pour qu’ils n’expirent jamais.

Nos recommandations à court terme :

1. Dès sa publication, installez l’outil de mots de passe interdits de Microsoft dans votre environnement local pour aider vos utilisateurs à créer des mots de passe plus sûrs.
2. Passez en revue vos stratégies de mots de passe et n’hésitez pas à configurer ceux-ci pour qu’ils n’expirent jamais afin d’empêcher vos utilisateurs d’utiliser des modèles saisonniers pour créer leurs mots de passe.

Étape 4 : Autres fonctionnalités utiles d’ADFS et Active Directory

Si vous utilisez l’authentification hybride avec ADFS et Active Directory, vous pouvez prendre d’autres mesures pour protéger votre environnement des attaques par pulvérisation de mots de passe.

Première étape : les organisations exécutant ADFS 2.0 ou Windows Server 2012 sont invitées à migrer dès que possible vers ADFS pour Windows Server 2016. La dernière version sera mise à jour plus rapidement, avec un ensemble enrichi de fonctionnalités, comme le verrouillage extranet. Et souvenez-vous : nous avons simplifié la mise à niveau de Windows Server 2012 R2 vers la version 2016.

Bloquer l’authentification héritée à partir de l’extranet

Les protocoles d’authentification hérités n’ayant pas la capacité d’appliquer l’authentification multifacteur, la meilleure approche consiste à les bloquer à partir de l’extranet. Cela empêchera les auteurs des attaques par pulvérisation de mots de passe de profiter de l’absence d’authentification multifacteur sur ces protocoles.

Activer le verrouillage extranet du proxy d’application web d’ADFS

Si le verrouillage extranet n’est pas en place sur le proxy d’applications web d’ADFS, vous devez l’activer au plus vite pour protéger vos utilisateurs d’une potentielle attaque par force brute de leurs mots de passe.

Déployer Azure AD Connect Health pour ADFS

Azure AD Connect Health capture les adresses IP enregistrées dans les journaux ADFS pour les requêtes liées aux noms d’utilisateur/mots de passe erronés, met à votre disposition des rapports supplémentaires sur un ensemble de scénarios, et fournit des informations supplémentaires aux ingénieurs du support lors de l’ouverture de cas de support assisté.

Pour procéder au déploiement, téléchargez la dernière version de l’agent Azure AD Connect Health pour ADFS sur tous les serveurs ADFS (2.6.491.0). Les serveurs ADFS doivent exécuter Windows Server 2012 R2 (avec mise à jour KB 3134222 installée) ou Windows Server 2016.

Utiliser des méthodes d’accès sans mot de passe

S’il n’y a pas de mot de passe, on ne peut pas le deviner. Ces méthodes d’authentification sans mot de passe sont disponibles pour ADFS et le proxy d’application web :

1. L’authentification basée sur les certificats permet de bloquer complètement les points de terminaison nom d’utilisateur/mot de passe au niveau du pare-feu. Apprenez-en davantage sur l’authentification basée sur les certificats dans ADFS.
2. Comme mentionné ci-dessus, la méthode Azure MFA peut être utilisée comme second facteur pour l’authentification cloud et ADFS 2012 R2/2016. Mais, elle peut également être utilisée comme facteur principal dans ADFS 2016 pour contrer efficacement les potentielles attaques par pulvérisation de mots de passe. Apprenez à configurer Azure MFA avec ADFS.
3. Windows Hello Entreprise, disponible sous Windows 10 et pris en charge par ADFS sous Windows Server 2016, permet un accès sans mot de passe, y compris depuis l’extranet, grâce à des clés de chiffrement fortes liées à la fois à l’utilisateur et à l’appareil. Cette option s’applique aux appareils gérés par l’entreprise qui sont joints à Azure AD ou Azure AD Hybride, ainsi qu’aux appareils personnels via « Ajouter un compte professionnel ou professionnel » dans l’application Paramètres. Apprenez-en davantage sur Windows Hello Entreprise.

Nos recommandations à court terme :

1. Procédez à une mise à niveau vers ADFS 2016 pour bénéficier de mises à jour plus rapides.
2. Bloquez l’authentification héritée à partir de l’extranet.
3. Déployez des agents Azure AD Connect Health pour ADFS sur tous vos serveurs ADFS.
4. Utilisez une méthode d’authentification principale sans mot de passe, comme Azure MFA, des certificats ou Windows Hello Entreprise.

Bonus : Protection de vos comptes Microsoft

Si vous utilisez un compte Microsoft :

• Bonne nouvelle, vous êtes déjà protégé ! Les comptes Microsoft disposent également de fonctionnalités telles que le verrouillage intelligent, le verrouillage d’adresses IP, la vérification en deux étapes basée sur le risque ou les mots de passe interdits.
• Nous vous invitons cependant à prendre deux minutes pour accéder à la page Sécurité du compte Microsoft et sélectionner « Mettre à jour vos informations de sécurité » afin de consulter les informations de sécurité que vous utilisez pour la vérification en deux étapes basée sur le risque.
• Pensez à activer la vérification en deux étapes permanente ici pour sécuriser au maximum votre compte.

La meilleure défense consiste à… suivre les recommandations de ce blog

La pulvérisation de mots de passe est une menace sérieuse pour tous les services Internet qui utilisent des mots de passe, mais en suivant les étapes décrites dans ce blog vous bénéficierez d’une protection optimale contre ce vecteur d’attaque. Et, comme de nombreux types d’attaques présentent des caractéristiques similaires, nous vous recommandons vivement de suivre ces recommandations. Votre sécurité est toujours notre priorité absolue, et nous travaillons continuellement au développement de nouvelles protections avancées contre la pulvérisation de mots de passe et autres types d’attaques. Utilisez les méthodes de protection présentées ci-dessus et guettez régulièrement les nouveaux outils mis à votre disposition pour vous protéger des assaillants sur Internet.

J’espère que ces informations vous seront utiles. Comme toujours, n’hésitez pas à nous faire part de vos commentaires et suggestions.

Cordialement,

Alex Simons (Twitter : @Alex_A_Simons)

Directeur Gestion des programmes

Microsoft Identity Division

The post Meilleures pratiques Azure AD et ADFS : Contrer les attaques par pulvérisation de mots de passe appeared first on Microsoft 365 Blog.

J’espère que ce billet de blog vous intéressera autant que moi. Il présente l’avenir des identités numériques sous un angle passionnant.

Au cours des 12 derniers mois, nous avons investi dans l’incubation d’un ensemble d’idées en lien avec l’utilisation de Blockchain (et d’autres technologies de registre distribué) afin de créer de nouveaux types d’identités numériques, des identités conçues de toutes pièces pour améliorer la confidentialité, la sécurité et le contrôle personnels. Ce processus nous a permis de tirer des enseignements et de nouer des partenariats particulièrement intéressants. Nous en profitons aujourd’hui pour vous faire part de nos réflexions et orientations. Ce blog, qui s’inscrit dans une série, fait suite au billet de blog de Peggy Johnson annonçant que Microsoft a rejoint l’initiative ID2020. Si vous n’avez pas encore lu le billet de Peggy, je vous invite à le faire avant de poursuivre la lecture de cette page.

J’ai demandé à Ankur Patel, responsable de ces incubations au sein de mon équipe, de lancer la discussion sur les identités numériques décentralisées. Son billet met l’accent sur les principaux enseignements que nous avons tirés ainsi que sur les principes qui en découlent et sur lesquels nous nous appuyons pour orienter nos investissements dans ce domaine.

Et comme toujours, vos avis et commentaires sont les bienvenus.

Cordialement,

Alex Simons (Twitter : @Alex_A_Simons)

Directeur Gestion des programmes

Microsoft Identity Division

———-

Bonjour à tous, je suis Ankur Patel de la Microsoft Identity Division. C’est un immense privilège pour moi de vous présenter une partie des enseignements et des orientations qui découlent des idées que nous avons laissé incuber dans le domaine des identités décentralisées basées sur un registre distribué/Blockchain.

Notre vision

Comme beaucoup d’entre vous le constatent chaque jour, le monde est confronté à une transition numérique globale où réalité numérique et réalité physique se confondent pour créer un mode de vie moderne et intégré. Ce nouveau monde a besoin d’un nouveau modèle d’identité numérique, un modèle capable d’améliorer la confidentialité et la sécurité des personnes dans le monde physique et dans le monde numérique.

Les systèmes d’identité cloud de Microsoft permettent déjà à des milliers de développeurs et d’organisations, ainsi qu’à des milliards d’individus de travailler, de jouer et d’améliorer leur productivité. Et pourtant, nous pouvons encore aller beaucoup plus loin pour donner à chacun les moyens d’agir. Nous aspirons à un monde dans lequel les milliards de personnes qui vivent aujourd’hui sans identité fiable pourront enfin réaliser les rêves que nous partageons tous en termes d’éducation des enfants, d’amélioration de la qualité de vie ou de création d’entreprise, par exemple.

Pour y parvenir, nous pensons qu’il est essentiel que les individus s’approprient et contrôlent tous les éléments liés à leur identité numérique. Plutôt que d’accorder un consentement global à d’innombrables applications et services et de voir leurs données d’identité éparpillées entre de multiples fournisseurs, les individus ont besoin d’un hub numérique sécurisé et chiffré sur lequel ils peuvent stocker leurs données d’identité et en contrôler facilement l’accès.

Chacun de nous a besoin d’une identité numérique qui lui appartienne en propre, et qui stocke de manière sécurisée et privée tous les éléments liés à notre identité numérique.  Cette identité propre doit être facile à utiliser et nous conférer un contrôle total sur l’accès à nos données d’identité et sur leur utilisation.

Nous savons que la mise en œuvre de ce type d’identité numérique dépasse le cadre de l’entreprise. Nous nous engageons à travailler en étroite collaboration avec nos clients et partenaires ainsi qu’avec la communauté pour donner naissance à une nouvelle génération d’expériences basées sur l’identité numérique, et nous sommes impatients de nouer des partenariats avec les nombreux acteurs du secteur qui apportent déjà leur contribution à ce projet.

Nos enseignements

À cette fin, suite à notre incubation d’idées, nous présentons aujourd’hui nos réflexions les plus intéressantes en matière d’identités décentralisées. L’objectif est d’aboutir à des expériences enrichies, à un renforcement de la confiance et une réduction des frictions, tout en permettant à chaque personne de s’approprier et de contrôler son identité numérique.

1. S’approprier et contrôler son identité. Aujourd’hui, les utilisateurs accordent leur consentement global à d’innombrables applications et services sans pouvoir contrôler la collecte, l’utilisation et la conservation de leurs données. Les violations de données et les usurpations d’identité sont de plus en plus fréquentes et sophistiquées, d’où la nécessité pour les utilisateurs de trouver un moyen de s’approprier leur identité. Après avoir examiné les systèmes de stockage décentralisés, les protocoles de consensus, les blockchains et un ensemble de normes émergentes, nous pensons que les protocoles et la technologie Blockchain sont adaptés aux ID décentralisés (DID).
2. Protection de la confidentialité dès la conception, de bout en bout.
   Aujourd’hui, les applications, les services et les organisations proposent des expériences pratiques, prévisibles et personnalisées qui dépendent du contrôle des données liées à l’identité. Nous avons besoin d’un hub numérique sécurisé et chiffré (Hub d’ID) capable d’interagir avec les données des utilisateurs tout en respectant la confidentialité et le contrôle de ces derniers.
3. La confiance est gagnée par des individus, et construite par la communauté.
   Les systèmes d’identité traditionnels sont principalement orientés vers l’authentification et la gestion des accès. Un système d’identité autonome met l’accent sur l’authenticité et sur la manière dont la communauté peut établir la confiance. Dans un système décentralisé, la confiance repose sur des attestations : des revendications que d’autres entités approuvent – ce qui permet de confirmer les facettes de l’identité d’une personne.
4. Des applications et des services conçus en plaçant l’utilisateur au centre.
   Les applications et services les plus intéressants sont actuellement ceux qui offrent des expériences personnalisées à leurs utilisateurs tout en leur donnant accès à leurs informations d’identification personnelle. Les DID et les Hubs d’ID peuvent permettre aux développeurs d’accéder à un ensemble plus précis d’attestations tout en réduisant les risques juridiques et de conformité en traitant ces informations, au lieu de les contrôler pour le compte de l’utilisateur.
5. Fondation ouverte et interopérable.
   Pour créer un écosystème d’identités décentralisées robuste et accessible à tous, celui-ci doit s’appuyer sur des technologies, des protocoles et des implémentations de référence standard et open source. Au cours de l’année écoulée, nous avons participé à la Decentralized Identity Foundation (DIF) avec des individus et des organisations tous déterminés à relever ce défi. Nous développons conjointement les composants clés suivants :
   

• Identifiants décentralisés (DID) : spécification du W3C qui définit un format de document commun pour décrire l’état d’un identifiant décentralisé.
  
• Hubs d’identités : magasin d’identités chiffrées comprenant un relais de message/d’intention, un traitement des attestations, et des points de terminaison de calcul spécifiques à l’identité. 
  
• Résolveur universel de DID : serveur qui résout les DID sur l’ensemble des blockchains. 
  
• Informations d’identification vérifiables : spécification du W3C qui définit un format de document pour coder les attestations basées sur les DID.   
  

6. Prêt pour la mise à l’échelle mondiale :
   Pour prendre en charge tout un monde d’utilisateurs, d’organisations et d’appareils, la technologie sous-jacente doit être capable d’évoluer et d’atteindre des performances comparables à celles des systèmes traditionnels. Certains blockchains publics (Bitcoin [BTC], Ethereum, Litecoin, pour n’en nommer que quelques-uns) fournissent une base solide pour l’enracinement des DID, l’enregistrement des opérations DPKI et l’ancrage des attestations. Alors que certaines communautés Blockchain ont augmenté la capacité des transactions en chaîne (par exemple, augmentation de la taille des blocs), cette approche dégrade généralement la décentralisation du réseau et ne peut atteindre les millions de transactions par seconde que le système générerait à l’échelle mondiale. Pour surmonter ces obstacles techniques, nous collaborons sur des protocoles décentralisés de couche 2 qui s’appliquent au-dessus de ces blockchains publics pour atteindre l’échelle mondiale, tout en préservant les attributs d’un système DID de classe mondiale.
   
7. Accessible à tous :
   Aujourd’hui encore, l’écosystème Blockchain est principalement composé d’utilisateurs qui l’ont adopté très tôt et qui sont prêts à consacrer du temps, des efforts et de l’énergie à la gestion des clés et à la sécurisation des appareils. Ce qui n’est pas le cas du grand public. Nous devons veiller à ce que les principaux défis de gestion, tels que la récupération, la rotation et l’accès sécurisé, soient intuitifs et à toute épreuve.
   

Nos prochaines étapes

Sur le papier, les nouveaux systèmes et les grandes idées paraissent souvent parfaits. Tous les éléments semblent s’emboîter et toutes les hypothèses semblent solides. Mais c’est au moment de la livraison que les équipes produits et ingénierie tirent le plus d’enseignements.

Aujourd’hui, des millions de personnes utilisent déjà l’application Microsoft Authenticator pour confirmer leur identité. Notre prochaine étape va consister à expérimenter les identités décentralisées en les prenant en charge dans Microsoft Authenticator. Avec un consentement, Microsoft Authenticator pourra agir en tant qu’agent utilisateur pour gérer les données d’identité et les clés de chiffrement. Dans cette conception, seul l’ID est enraciné dans la chaîne. Les données d’identité sont stockées dans un Hub d’ID hors chaîne (que Microsoft ne peut pas voir) chiffré à l’aide de ces clés.

Une fois que cette fonctionnalité sera ajoutée, les applications et services pourront interagir avec les données des utilisateurs via un canal de messagerie commun en demandant un consentement détaillé. Dans un premier temps, nous prendrons en charge un groupe sélectionné d’implémentations DID parmi les blockchains, et nous en ajouterons probablement d’autres à l’avenir.

Perspectives d’avenir

C’est avec humilité et enthousiasme que nous nous apprêtons à nous attaquer à un défi d’une telle ampleur, et nous sommes conscients que nous ne pouvons y arriver seuls. Nous comptons sur le soutien et la contribution de nos partenaires de l’alliance, des membres de la Decentralized Identity Foundation et de l’écosystème hétérogène de Microsoft, composé de concepteurs, de décideurs, de partenaires commerciaux, et de fabricants de matériel et de logiciels. Et n’hésitez surtout pas à nous faire part de vos commentaires lorsque nous commencerons à tester cette première série de scénarios.

Ce billet de blog est le premier consacré à notre travail sur l’identité décentralisée. Dans les prochains billets, nous présenterons des informations sur nos preuves de concept, ainsi que des détails techniques sur les domaines clés décrits ci-dessus.

Nous sommes impatients de vous accueillir dans cette aventure !

Ressources clés :

• Suivez-nous sur Twitter via le hashtag @AzureAD
  
• Rejoignez la Decentralized Identity Foundation (DIF)
  
• Participez au W3C Credentials Community Group
  

Cordialement,

Ankur Patel (@_AnkurPatel)

Directeur de programme principal

Microsoft Identity Division

The post Identités numériques décentralisées et blockchain : notre vision de l’avenir appeared first on Microsoft 365 Blog.

Aujourd’hui, à Microsoft Ignite, nous avons dévoilé une nouvelle vision de l’autonomisation des employés de terrain à l’ère numérique, et introduit Microsoft 365 F1, une nouvelle offre qui associe Office 365, Windows 10 et Enterprise Mobility + Security pour fournir une solution complète et intelligente qui outille les travailleurs.

L’environnement de travail moderne exige que les entreprises répondent aux nouvelles attentes des employés, interconnectent une main-d’œuvre éparpillée, et fournissent les outils permettant à tous les employés de créer, d’innover et de collaborer pour résoudre les problèmes des clients et des entreprises. Un environnement de travail véritablement moderne fait ressortir le meilleur de l’ingéniosité des employés, crée une culture d’innovation et d’action, et accueille et outille tous les acteurs, de l’équipe de direction à la main-d’œuvre de terrain.

Les employés de terrain représentent la majorité de la main-d’œuvre mondiale. Au nombre de deux milliards dans le monde, ils opèrent, derrière des comptoirs, au téléphone, dans des hôpitaux, dans des usines ou n’importe où sur le terrain. Ils sont souvent les premiers à entrer en contact avec les clients, les premiers à incarner l’enseigne d’une entreprise, et les premiers à voir les produits et services en action. Ils constituent l’épine dorsale de bon nombre des secteurs les plus importants, sans laquelle les ambitions de nombreuses organisations ne pourraient pas se concrétiser.

Nous voyons une opportunité pour la technologie d’offrir aux employés de terrain une expérience plus intuitive, immersive et stimulante. Microsoft est dans une position unique pour aider les entreprises à exploiter pleinement le potentiel de leur main-d’œuvre de terrain avec des offres de produits commerciaux, dont Microsoft 365, Dynamics 365, Microsoft IoT, Microsoft AI, Microsoft HoloLens, ainsi que l’écosystème Windows Mixed Reality.

L’introduction de Microsoft 365 F1 marque une étape de progression importante vers notre vision d’impliquer la main-d’œuvre de terrain dans la transition numérique en dotant chaque travailleur de la technologie nécessaire.

Transformation de l’expérience des employés de terrain

Microsoft 365 F1 inclut les capacités et outils permettant à chaque travailleur de convertir ses idées en actions. Il renforce la culture et la communauté, avec le service Diffusion de réunion Skype pour les réunions-débats interactives, et Yammer pour aider les employés à trouver et à partager les meilleures pratiques au sein de l’organisation.

Microsoft 365 F1 facilite la formation et le perfectionnement des employés, Microsoft Stream permet de partager du contenu et des vidéos dynamiques en fonction du rôle, et SharePoint permet de distribuer facilement des supports d’intégration et de formation, ainsi que de gérer les connaissances institutionnelles au sein d’un emplacement sécurisé.

Il soutient la productivité sur le terrain et numérise les processus métier, avec Microsoft StaffHub, une application spécialement conçue pour aider les employés de terrain à gérer leur journée de travail, et Microsoft PowerApps et Flow pour automatiser les activités quotidiennes. Aujourd’hui, nous annonçons l’ajout de nouvelles fonctionnalités à StaffHub, notamment la possibilité pour les employés de prendre et quitter leur service, et de suivre leurs tâches. Nous facilitons également l’interconnexion des employés dans StaffHub, en intégrant la messagerie à Microsoft Teams, plateforme de travail en équipe, et en mettant en évidence les annonces d’entreprise faites dans Yammer. Enfin, nous permettons aux clients de connecter StaffHub à des systèmes de gestion du personnel, ainsi qu’à d’autres outils, avec la mise à disposition d’API générales.

Microsoft 365 F1 simplifie la gestion informatique, réduit les coûts, et étend la sécurité à l’ensemble des employés et points de terminaison. Azure Active Directory assure la gestion des identités et des accès des employés. Microsoft Intune aide à sécuriser les appareils. Et de nouvelles fonctionnalités de Windows 10 simplifient la gestion des expériences des employés de terrain, en prenant en charge les appareils à usage spécifique verrouillés avec l’accès affecté Windows et le déploiement automatisé avec Windows AutoPilot.

Enfin, nous reconnaissons l’importance de fournir aux employés de terrain des appareils simplifiés et sécurisés qui minimisent le coût total de possession. Aujourd’hui, nous annonçons la disponibilité prochaine de nouveaux appareils commerciaux avec Windows 10 S proposés par nos partenaires fabricants d’ordinateurs OEM HP, Lenovo et Acer. Commercialisés à partir de 275 USD, ces appareils bénéficiant d’une gestion et d’une identité basées sur le cloud constituent une solution idéale pour les environnements de terrain.

Nous sommes incroyablement enthousiasmés par l’opportunité qui s’offre à nous d’outiller les employés de terrain. Et ce n’est qu’un début !

Pour en savoir plus sur notre vision, visitez notre nouvelle page Optimisez l’impact de vos employés de terrain, et consultez le tableau ci-dessous pour découvrir ce qui est inclus dans Microsoft 365 F1.

—Bryan Goode

The post Tous les travailleurs sont les bienvenus avec Microsoft 365 appeared first on Microsoft 365 Blog.