אני רוצה לחלוק אתכם היום בשורות נהדרות! זו השנה השנייה ברציפות שבה מיקמה Gartner את Microsoft ב- Leaders Quadrant בדוח Magic Quadrant לשנת 2018 בנושא ניהול גישה, ברחבי העולם, על סמך שלמות החזון והיכולת לבצע בשוק ניהול הגישה. גלה מדוע בעותק נוסף של הדוח כאן.

על-פי Gartner, חברות מובילות מגלות יכולות ביצוע טובות לדרישות צפויות הקשורות לטכנולוגיה, למתודולוגיה או לאמצעי מסירה. חברות מובילות מציגות גם עדויות לאופן שבו ניהול גישה נוטל חלק באוסף של הצעות מוצר קשורות או סמוכות.

החברה המובילה בשלמות החזון ב- Leaders Quadrant

Microsoft דורגה כחברה המובילה בשלמות החזון ב- Leaders Quadrant, זו השנה השנייה ברציפות. אנו מאמינים שהעליה שלנו בביצוע ממחישה גם כמה חשוב לנו ליישם אסטרטגיה שיכולה לעזור לארגונים בשלב הנוכחי שלהם ולהכין אותם לצרכי זהויות בעתיד.

ב- Microsoft, אנו מיישמים פריטי מדיניות של גישה מותנית ושל הגנה מפני איומים עבור זהויות כיכולות חיוניות לפתרון לניהול זהויות וגישה ברמה עולמית. כחלק מסביבה אקולוגית עשירה עם Windows 10,‏ Office 365 ו- EMS, עבדנו קשה על שילוב מדיניות אבטחה של מוצרים שונים כדי לספק לך ניראות ושליטה בחוויית המשתמש המלאה. לקחנו גם בחשבון את התובנות והמשוב של הלקוחות שלנו השנה כדי לשפר את החוויה ולהקל עליך עוד יותר את ריכוז כל הזהויות במקום אחד. אנו מחויבים לספק פתרונות ניהול גישה וזהויות חדשניים ומקיפים עבור העובדים, השותפים והלקוחות שלך.

לא היינו מצליחים להמשיך להוביל במרחב זה ללא המשובים והתמיכה של הלקוחות והשותפים שלנו – תודה לכם!

בברכה,

אלכס סימונס (Twitter:‏ ‎@Alex_A_Simons)

מנהל ניהול תוכניות

חטיבת הזהויות של Microsoft

הערה חשובה:

פריט גרפי זה פורסם על-ידי Gartner, Inc.‎ כחלק ממסמך רחב יותר של מחקר ויש להעריך אותו בהקשר של המסמך כולו. המסמך של Gartner זמין לבקשת Microsoft.

Gartner אינה תומכת בשום ספק, מוצר או שירות המתואר בפרסומי המחקר שלה, ואינה מייעצת למשתמשי טכנולוגיה לבחור רק את הספקים עם הדירוגים הגבוהים ביותר או ייעוד אחר. פרסומי המחקר של Gartner מורכבים מדעותיו של ארגון המחקר של Gartner ואין לפרש אותם כהצהרת עובדות. Gartner מתנערת מכל התחייבות, מפורשת או משתמעת, ביחס למחקר זה, לרבות כל התחייבות לסחירות או התאמה למטרה מסוימת.

The post חזון וביצוע: Microsoft הוכרזה שוב כחברה מובילה בדירוג Gartner MQ בנושא ניהול גישה appeared first on Microsoft 365 Blog.

מאז ומתמיד – כשהיו לנו סיסמאות, אנשים ניסו לנחש מהן. בבלוג זה נעסוק במתקפה נפוצה שלאחרונה הפכה להיות הרבה יותר תכופה ונציין כמה שיטות עבודה מומלצות להתגונן מפניה. מתקפה זו ידועה בשם Password Spray.

במתקפה מסוג Password Spray, התוקפים מנסים את הסיסמאות הנפוצות ביותר בחשבונות ושירותים רבים ושונים כדי להשיג גישה לכל הנכסים שהם יכולים למצוא, המוגנים באמצעות סיסמה. לרוב, הם פרוסים על פני ארגונים וספקי זהויות רבים ושונים. לדוגמה, תוקף ישתמש בערכת כלים זמינה בדרך כלל, כמו Mailsniper כדי לספור את כל המשתמשים בכמה ארגונים, ולאחר מכן ינסה את הסיסמה "P@$$w0rd" ו- "Password1" בכל החשבונות הללו. כדי שתקבל מושג, המתקפה עשויה להיראות כמו:

דפוס זה של מתקפה מצליח להתחמק מרוב טכניקות הזיהוי מכיוון שמעמדת היתרון של משתמש יחיד או חברה, המתקפה נראית בדיוק כמו כניסה יחידה שנכשלה.

עבור התוקפים, זה משחק של מספרים: הם יודעים שבחוץ מסתובבות כמה סיסמאות נפוצות מאוד. על אף שהסיסמאות המאוד נפוצות הללו נמצאות ב- 0.5-1.0% מהחשבונות בלבד, התוקף יזכה בכמה הצלחות מבין אלפי החשבונות שהוא תוקף, וזה מספיק כדי להיות יעיל.

הם משתמשים בחשבונות כדי לקבל נתונים מהודעות דואר אלקטרוני, לאסוף מידע על אנשי קשר ולשלוח קישורי דיוג או פשוט להרחיב את קבוצת היעד של מתקפת ה- Password Spray. לתוקפים לא ממש משנה מיהם היעדים הראשונים – רק שהם יזכו להצלחה כלשהי שתאפשר להם למנף את התקיפה.

החדשות הטובות הן שחברת Microsoft כבר מציעה הרבה כלים זמינים שיושמו כדי ליירט מתקפות אלה, ושכלים נוספים עומדים להגיע בקרוב. קרא עוד כדי לבדוק מה תוכל לעשות עכשיו ובחודשים הקרובים כדי לעצור מתקפות Password Spray.

ארבעה שלבים פשוטים ליירוט של מתקפות Password Spray

שלב 1: שימוש באימות ענן

בענן, אנו רואים מיליארדי כניסות למערכות של Microsoft מדי יום. האלגוריתמים שלנו לזיהוי אבטחה מאפשרים לנו לזהות ולחסום מתקפות בזמן שהן מתרחשות. מכיוון שמדובר במערכות לזיהוי והגנה בזמן אמת הלקוחות מהענן, הן זמינות רק במהלך אימות Azure AD בענן (כולל אימות מעבר).

נעילה חכמה

בענן, אנו משתמשים ב'נעילה חכמה' כדי להבחין בין ניסיונות כניסה שנראים כאילו הם מגיעים ממשתמש חוקי לבין כניסות ממשתמש שעלול להיות תוקף. אנו יכולים לנעול את התוקף ובמקביל לאפשר למשתמש החוקי להמשיך להשתמש בחשבון. כך נמנעת מניעת השירות מן המשתמש ומתקפות Password Spray "נלהבות" מדי נחסמות. זה חל על כל הכניסות של Azure AD ללא קשר לרמת הרשיון ולכל הכניסות לחשבונות Microsoft.

דיירים המשתמשים ב- Tenants using Active Directory Federation Services‏ (ADFS) יוכלו להשתמש ב'נעילה חכמה' באופן מקורי ב- ADFS ב-Windows Server 2016 החל במרץ 2018—חפש יכולת זו להגיע דרך Windows Update.

נעילת IP

נעילת IP פועלת על-ידי ניתוח מיליארדי הכניסות כדי להעריך את איכות התעבורה מכל כתובת IP שמגיעה למערכות של Microsoft. בעזרת ניתוח זה, נעילת ה- IP מאתרת כתובות IP הפועלות בצורה זדונית וחוסמת את הכניסות הללו בזמן אמת.

הדמיות תקיפה

מדמה התקיפות המהווה חלק מ- Office 365 Threat Intelligence, הזמין כעת בגירסת קדם-הפצה, מאפשר ללקוחות להפעיל תקיפות מדומות אצל משתמשי הקצה שלהם, לקבוע כיצד המשתמשים שלהם מתנהגים במקרה של תקיפה, לעדכן את המדיניות ולהבטיח שימוש בכלי אבטחה מתאימים כדי להגן על הארגון מפני איומים כמו מתקפות Password Spray.

דברים שמומלץ לעשות בהקדם האפשרי:

1. אם אתה משתמש באימות ענן, אתה מכוסה
2. אם אתה משתמש ב- ADFS או בתרחיש היברידי אחר, חפש שדרוג ADFS במרץ 2018 עבור 'נעילה חכמה'
3. השתמש במדמה התקיפות כדי להעריך באופן יזום את מצב האבטחה שלך ולהתאים את עצמך למצב

שלב 2: שימוש באימות רב-גורמי

סיסמה היא מפתח הגישה לחשבון, אבל במתקפה מוצלחת מסוג Password Spray, התוקף ניחש את הסיסמה הנכונה. כדי לעצור אותו, עלינו להשתמש ביותר מסיסמה כדי להבחין בין בעלי החשבון לתוקף. להלן שלוש הדרכים לעשות זאת.

אימות רב-גורמי מבוסס סיכון

Azure AD Identity Protection משתמש בנתוני הכניסה שצוינו לעיל ומוסיף למידת מכונה מתקדמת וזיהוי אלגוריתמי לדירוג הסיכון בכל כניסה שמגיעה למערכת. זה מאפשר ללקוחות ארגוניים ליצור מדיניות ב- Identity Protection המנחה את המשתמש לבצע אימות עם גורם שני אם, ורק אם, זוהה סיכון עבור המשתמש או עבור ההפעלה. כך המשתמשים אינם צריכים לטרוח כל כך וה"חבר'ה הרעים" נחסמים. קבל מידע נוסף על 'Azure AD Identity Protection' כאן.

אימות רב-גורמי הפועל תמיד

לקבלת שכבה נוספת של אבטחה, ניתן להשתמש ב- Azure MFA כדי לדרוש אימות רב-גורמי עבור המשתמשים שלך כל הזמן, הן באימות ענן והן ב- ADFS. על אף שזה מחייב את משתמשי הקצה להחזיק תמיד במכשירים שלהם ולבצע אימות רב-גורמי לעתים קרובות יותר, דרך זו מספקת את מידת האבטחה הרבה ביותר עבור הארגון. היא אמורה להיות זמינה לכל מנהל מערכת בארגון. קבל מידע נוסף על 'Azure Multi-Factor Authentication' כאן וגלה כיצד להגדיר את Azure MFA עבור ADFS.

Azure MFA כאימות ראשי

ב- ADFS 2016, יש לך אפשרות להשתמש ב- Azure MFA כאימות ראשי לאימות נטול סיסמאות. זהו כלי נהדר להגנה מפני מתקפות מסוג Password Spray וגניבת סיסמאות: אם אין סיסמה, אי אפשר לנחש אותה. זה פועל היטב בכל סוגי המכשירים עם גורמי צורה שונים. כמו כן, כעת ניתן להשתמש בסיסמה כגורם שני בלבד, לאחר אימות ה- OTP שלך בעזרת Azure MFA. קבל מידע נוסף על 'שימוש בסיסמאות כגורם שני' כאן.

דברים שמומלץ לעשות בהקדם האפשרי:

1. אנו ממליצים מאוד להפוך לזמין את האימות הרב-גורמי הפועל תמיד עבור כל מנהלי המערכת בארגון, ובעיקר עבור בעלי מנויים ומנהלי מערכת של דיירים. ברצינות, עשו זאת כבר עכשיו.
2. לחוויה הטובה ביותר עבור שאר המשתמשים שלך, אנו ממליצים על אימות רב-גורמי מבוסס סיכון, שהנו זמין עם רשיונות של Azure AD Premium P2.
3. אחרת, השתמש ב- Azure MFA לאימות ענן ול- ADFS.
4. ב- ADFS, שדרג ל- ADFS ב- Windows Server 2016 כדי להשתמש ב- Azure MFA כאימות הראשי, בעיקר עבור כל הגישה שלך לאקסטרא-נט.

שלב 3: סיסמאות טובות יותר לכולם

על אף כל האמור לעיל, רכיב מפתח של ההגנה מפני מתקפות Password Spray הוא שכל המשתמשים יחזיקו בסיסמאות שקשה לנחש. לרוב קשה למשתמשים לדעת כיצד ליצור סיסמאות קשות לניחוש. Microsoft עוזרת לך בכך בעזרת הכלים הבאים.

סיסמאות מוחרמות

ב- Azure AD, כל שינוי ואיפוס סיסמה עוברים דרך בודק סיסמאות מוחרמות. כשנשלחת סיסמה חדשה, מתבצעת התאמה חלקית שלה מול רשימת מילים שאף אחד, אף פעם, אינו צריך לכלול בסיסמה שלו (ואיות l33t-sp3@k לא עוזר). אם יש התאמה, הסיסמה נדחית, והמשתמש מתבקש לבחור סיסמה קשה יותר לניחוש. בנינו את הרשימה של הסיסמאות המותקפות לעתים תכופות ביותר ואנו מעדכנים אותה לעתים תכופות.

סיסמאות מוחרמות בהתאמה אישית

כדי לשפר את הסיסמאות המוחרמות עוד יותר, אנו עומדים לאפשר לדיירים להתאים אישית את רשימת הסיסמאות המוחרמות שלהם. מנהלי מערכת יכולים לבחור מילים נפוצות בארגון – עובדים ומייסדים מפורסמים, מוצרים, מיקומים, סמלים אזוריים וכו' – ולמנוע את השימוש בהן בסיסמאות המשתמשים שלהם. רשימה זו תיאכף בנוסף לרשימה הגלובלית, כדי שלא תצטרך לבחור אחת מהשתיים. היא זמינה כעת בתצוגה מקדימה מוגבלת ותופץ במהלך השנה.

סיסמאות מוחרמות עבור שינויים מקומיים

באביב השנה, נשיק כלי המאפשר למנהלי מערכת בארגון להחרים סיסמאות בסביבות היברידיות של Azure AD-Active Directory. רשימות של סיסמאות מוחרמות יסונכרנו מהענן עם הסביבות המקומיות שלך וייאכפו בכל בקר תחום עם הסוכן. זה עוזר למנהלי מערכת להבטיח שהסיסמאות של המשתמשים קשות יותר לניחוש, ולא משנה היכן – בענן או בסביבה מקומית – משנה המשתמש את הסיסמה שלו. אפשרות זו זמינה בתצוגה מקדימה פרטית מוגבלת בפברואר 2018 ותופץ בזמינות כללית במהלך השנה.

שינוי אופן החשיבה על סיסמאות

הרבה תפיסות נפוצות לגבי השאלה "מה הופך סיסמה לטובה", הן שגויות. לרוב, משהו שאמור לעזור מבחינה מתמטית למעשה מוביל לאופן פעולה צפוי של המשתמש: לדוגמה, הדרישה לסוגי תווים ושינויי סיסמה תקופתיים מובילים שניהם לדפוסים ספציפיים של סיסמאות. קרא את הסקירה הטכנית שלנו 'הדרכה בנושא סיסמאות' לקבלת מידע נוסף ומפורט. אם אתה משתמש ב- Active Directory עם PTA או ADFS, עדכן את מדיניות הסיסמאות שלך. אם אתה משתמש בחשבונות המנוהלים בענן, שקול להגדיר את הסיסמאות שלך לאפשרות 'התוקף לא יפוג לעולם'.

דברים שמומלץ לעשות בהקדם האפשרי:

1. כשהוא יופץ, התקן את כלי הסיסמאות המוחרמות של Microsoft באופן מקומי כדי לעזור למשתמשים שלך ליצור סיסמאות טובות יותר.
2. עיין במדיניות הסיסמאות שלך ושקול להגדיר אותן לאפשרות 'התוקף לא יפוג לעולם' כדי שהמשתמשים שלך לא ישתמשו בדפוסים עונתיים כדי ליצור את הסיסמאות שלהם.

שלב 4: תכונות נהדרות נוספות ב- ADFS וב- Active Directory

אם אתה משתמש באימות היברידי עם ADFS ו- Active Directory, תוכל לבצע עוד שלבים כדי לאבטח את הסביבה שלך מפני מתקפות Password Spray.

השלב הראשון: בארגונים שפועל בהם ADFS 2.0 או Windows Server 2012, תכנן לעבור אל ADFS ב- Windows Server 2016 בהקדם האפשרי. הגירסה העדכנית ביותר תעודכן מהר יותר עם סדרת יכולות עשירה יותר, כגון נעילת אקסטרא-נט. וזכור: אנו מאפשרים שדרוג קל ממש מ- Windows Server 2012R2 ל- 2016.

חסימת אימות מדור קודם באקסטרא-נט

לפרוטוקולי אימות מדור קודם אין אפשרות לאכוף MFA, לכן הגישה הטובה ביותר היא לחסום אותם בפני האקסטרא-נט. כך לא יוכלו תוקפי ה- Password Spray לנצל את העדר ה- MFA בפרוטוקולים אלה.

הפעלה של נעילת אקסטרא-נט בשרת ה- Proxy ‏ADFS Web Application

אם אין לך נעילת אקסטרא-נט בשרת ה- Proxy ‏ADFS Web Application, עליך להפעיל אותה בהקדם האפשרי כדי להגן על המשתמשים שלך מפני העמדת הסיסמאות שלהם בסכנה פוטנציאלית למתקפת Brute Force.

פריסה של Azure AD Connect Health עבור ADFS

Azure AD Connect Health לוכד כתובות IP המתועדות ביומני ה- ADFS בעקבות בקשות שגויות לשם משתמש/סיסמה, מספק לך דיווח נוסף לגבי מגוון תרחישים ומספק תובנות נוספות התומכות במהנדסים כשהם פותחים מקרי תמיכה נתמכים.

לצורך פריסה, הורד את הגירסה העדכנית ביותר של סוכן Azure AD Connect Health עבור ADFS בכל שרתי ה- ADFS ‏(2.6.491.0). שרתי ה- ADFS חייבים להפעיל את Windows Server 2012 R2 עם התקנה של KB 3134222 או Windows Server 2016.

שימוש בשיטות שאינן מבוססות על סיסמאות

כשאין סיסמה, אי אפשר לנחש אותה. שיטות אימות אלה, שאינן מבוססות על סיסמאות, זמינות עבור ADFS ו- Web Application Proxy:

1. אימות מבוסס אישורים מאפשר חסימה מוחלטת של נקודות הקצה שם משתמש/סיסמה בחומת האש. קבל מידע נוסף על אימות מבוסס אישורים ב- ADFS
2. ניתן להשתמש ב- Azure MFA, כפי שצוין לעיל, כגורם שני באימות ענן וב- ADFS 2012 R2 ו- 2016. אולם ניתן גם להשתמש בו כגורם ראשי ב- ADFS 2016 כדי למנוע לחלוטין את האפשרות למתקפות Password Spray. גלה כיצד 'להגדיר את Azure MFA עם ADFS' כאן
3. Windows Hello לעסקים, הזמין ב- Windows 10 ונתמך על-די ADFS ב- Windows Server 2016, מאפשר גישה לגמרי נטולת סיסמאות, כולל מתוך האקסטרא-נט, המבוססת על מפתחות הצפנה חזקים הקשורים הן למשתמש והן למכשיר. הוא זמין עבור מכשירים המנוהלים על-ידי הארגון שצורף אליהם Azure AD או Hybrid Azure AD, וכן מכשירים אישיים דרך "הוסף חשבון עבודה או לימודים " מאפליקציית ההגדרות. קבל מידע נוסף על Hello לעסקים.

דברים שמומלץ לעשות בהקדם האפשרי:

1. שדרוג ל- ADFS 2016 לקבלת עדכונים מהירים יותר
2. חסום אימות מדור קודם באקסטרא-נט.
3. פרוס סוכנים של Azure AD Connect Health עבור ADFS בכל שרתי ה- ADFS שלך.
4. שקול להשתמש בשיטת אימות ראשי נטולת סיסמאות, כגון Azure MFA, אישורים או Windows Hello לעסקים.

בונוס: הגנה על חשבונות Microsoft שלך

אם אתה משתמש בחשבון Microsoft:

• חדשות טובות, אתה כבר מוגן! חשבונות של Microsoft כוללים גם 'נעילה חכמה', 'נעילת IP', אימות דו-שלבי מבוסס סיכון, סיסמאות מוחרמות ועוד.
• בכל זאת, הקדש שתי דקות מזמנך ועבור על דף האבטחה של חשבון Microsoft ובחר "עליך לעדכן את מידע האבטחה שלך" כדי לעיין במידע האבטחה המשמש לאימות דו-שלבי מבוסס סיכון
• שקול להפעיל אימות דו-שלבי הפועל תמיד כאן כדי לספק לחשבון שלך את האבטחה הטובה ביותר שאפשר.

ההגנה הטובה ביותר היא… למלא אחר ההמלצות המופיעות בבלוג זה

מתקפות Password Spray הן איום רציני לכל שירות באינטרנט שמשתמש בסיסמאות, אך ביצוע הפעולות המופיעות בבלוג זה יספק לך את מרב ההגנה מפני וקטור המתקפה. ומשום שסוגים רבים של מתקפות חולקים תכונות דומות, מדובר בהצעות טובות להגנה, נקודה. האבטחה שלך ניצבת תמיד בראש סדרי העדיפויות שלנו ואנו עושים מאמצים רבים ומתמשכים כדי לפתח הגנות חדשות ומתקדמות מפני מתקפות Password Spray ומפני כל סוגי המתקפות האחרות האורבות לך בחוץ. השתמש בכלים שצוינו היום ובדוק לעתים תכופות אם קיימים כלים חדשים להגנה מפני תוקפים שמסתתרים באינטרנט.

אני מקווה שמידע זה הועיל לך. כמו תמיד, נשמח לשמוע כל משוב או הצעה.

בברכה,

אלכס סימונס (Twitter: ‏‎@Alex_A_Simons)

מנהל ניהול תוכניות

חטיבת הזהויות של Microsoft

The post שיטות עבודה מומלצות של Azure AD ו- ADFS: הגנה מפני מתקפות Password Spray appeared first on Microsoft 365 Blog.

אני מקווה שהפרסום של היום יעניין אתכם כפי שהוא מעניין אותי. הוא מהנה ומשרטט חזון מרגש לגבי העתיד של זהויות דיגיטליות.

במהלך 12 החודשים האחרונים השקענו בחממה טכנולוגית לפיתוח רעיונות לשימוש בבלוקצ'יין (ובטכנולוגיות ספר חשבונות מבוזר אחרות) כדי ליצור סוגים חדשים של זהויות דיגיטליות, זהויות שתוכננו מהיסוד לשפר את הפרטיות, האבטחה והבקרה האישיות. אנחנו נרגשים למדי ממה שלמדנו ומהשותפויות החדשות שיצרנו בעת התהליך. היום אנחנו מנצלים את ההזדמנות לשתף אתכם את המחשבות והיעדים שלנו. בלוג זה מהווה חלק מסידרה והמשך לפרסום בבלוג של פגי ג'ונסון שכלל את ההכרזה על ההצטרפות של Microsoft ליוזמה ID2020. אם עדיין לא קראתם את הפרסום של פגי, אני ממליץ לכם לקרוא אותו קודם.

ביקשתי מאנקור פאטל, מנהל הפרוייקט בצוות שלי שניהל את הפעילות בחממה, להתחיל דיון בנושא זהויות דיגיטליות מבוזרות. הפרסום שלו מתמקד בכמה מהלקחים הבסיסיים שלמדנו ובכמה מהעקרונות שגיבשנו, המשמשים אותנו לקידום ההשקעות שלנו בתחום זה מעתה והלאה.

וכמו תמיד, נשמח לשמוע את המחשבות והמשוב שלכם.

בברכה,

אלכס סימונס (Twitter: ‏‎@Alex_A_Simons)

מנהל ניהול תוכניות

חטיבת הזהויות של Microsoft

———-

שלום לכולם, אני אנקור פאטל מחטיבת הזהויות של Microsoft. זוהי הזדמנות נפלאה לספר על כמה מהלקחים שלנו והיעדים העתידיים, בהסתמך על המאמצים שלנו בחממה הטכנולוגית של זהויות מבוזרות המבוססות על בלוקצ'יין/ספר חשבונות מבוזר.

מה אנחנו רואים

כפי שרבים מכם חשים מדי יום, העולם עובר מהפך דיגיטלי גלובלי שבמסגרתו המציאות הדיגיטלית והמציאות הפיזית מתערבבות בדרך חיים מודרנית ומשולבת אחת. העולם החדש הזה זקוק למודל חדש של זהות דיגיטלית, שמשפר את הפרטיות והאבטחה האישיים ברחבי העולם הפיזי והדיגיטלי.

המערכות של Microsoft לזהויות בענן מעצימות כבר אלפי מפתחים וארגונים ומיליארדי אנשים, ומאפשרות להם לעבוד, לשחק ולהשיג יותר. ועדיין אנחנו צריכים לעשות עוד הרבה כדי להעצים את כולם. אנחנו שואפים לבנות עולם שבו מיליארדי האנשים שחיים כיום ללא מזהה מהימן יוכלו סוף סוף להגשים את החלומות המשותפים לכולנו, כגון חינוך ילדינו, שיפור איכות החיים שלנו או פתיחת עסק.

כדי להשיג חזון זה, אנחנו סבורים שחיוני שאנשים יקבלו בעלות על כל הרכיבים של הזהות הדיגיטלית שלהם וישלטו בהם. במקום להעניק הסכמה רחבה לאינספור אפליקציות ושירותים, ולהפיץ את נתוני הזהות שלהם לספקים רבים, אנשים זקוקים למרכז דיגיטלי מוצפן ומאובטח שבו הם יוכלו לאחסן את הנתונים הדיגיטליים שלהם ולשלוט בקלות בגישה אליהם.

כל אחד מאתנו זקוק לזהות דיגיטלית הנמצאת בבעלותו, זהות דיגיטלית שמאחסנת באופן מאובטח ופרטי את כל רכיביה.  זהות זו בבעלות עצמית חייבת להיות קלה לשימוש ולתת לנו שליטה מלאה על אופן הגישה לנתוני הזהות שלנו ואופן השימוש בהם.

אנחנו יודעים שהמשימה לאפשר סוג זה של זהות דיגיטלית בריבונות עצמית היא גדולה יותר מכל חברה או ארגון. אנחנו מחויבים לעבוד בשיתוף פעולה הדוק עם הלקוחות והשותפים שלנו והקהילה כדי ליצור את הדור הבא של חוויות המבוססת על זהות דיגיטלית, ואנחנו נרגשים ליצור שותפות עם כל כך הרבה אנשים בענף שתורמים תרומות מדהימות בתחום זה.

מה למדנו

למטרה זו אנחנו משתפים היום את החשיבה הטובה ביותר שלנו בהתבסס על הלקחים שלמדנו מהחממה הטכנולוגית של הזהות המבוזרת, מאמץ שמיועד לאפשר חוויות עשירות יותר, לשפר את האמון ולצמצם את הקשיים, תוך העצמת כל אדם כך שיחזיק את הזהות הדיגיטלית שלו בבעלותו וישלוט בה.

1. החזק את הזהות שלך בבעלותך ושלוט בה. כיום, המשתמשים מעניקים הסכמה רחבה לאינספור אפליקציות ושירותים לצורך איסוף, שימוש ושמירה מעבר לשליטתם. הפרות הנתונים וגניבת הזהויות הופכות למתוחכמות יותר ותכופות יותר, והמשתמשים זקוקים לדרך לקבל בעלות על הזהות שלהם. לאחר בחינת מערכות אחסון מבוזרות, פרוטוקולים של קונצנזוס, בלוקצ'יין ומגוון תקנים מתפתחים, אנו סבורים שהטכנולוגיה והפרוטוקולים של בלוקצ'יין מותאמים היטב לאפשר מזהים מבוזרים (DID).
2. פרטיות כחלק מתכנון המוצר, שמובנית בו מהיסוד.
   כיום, אפליקציות, שירותים וארגונים מספקים חוויות נוחות, צפויות ומותאמות שתלויות בשליטה על נתונים הקשורים לזהות. אנחנו זקוקים למרכז דיגיטלי (מרכז זהות) מוצפן ומאובטח שיכול לקיים אינטראקציה עם נתוני המשתמש ולכבד את הפרטיות והשליטה של המשתמש.
3. האמון מושג על-ידי יחידים ונבנה על-ידי הקהילה.
   מערכות מסורתיות של זהויות מתוכננות בעיקר לאימות ולניהול גישה. מערכת זהות בבעלות עצמית שמה דגש רב יותר על אמינות והאופן שבו הקהילה יכולה ליצור אמון. במערכת מבוזרת, אמון מבוסס על הצהרות: טענות שישויות אחרות מאשרות – דבר שעוזר להוכיח היבטים של זהותו של אדם.
4. אפליקציות ושירותים שנבנים סביב המשתמש.
   כמה מהאפליקציות והשירותים המרתקים ביותר כיום הם אלו שמציעים חוויות המותאמות אישית למשתמשים שלהם על-ידי קבלת גישה למידע המאפשר זיהוי אישי (PII) של המשתמשים. מזהים מבוזרים ומרכזי זהויות יכולים לאפשר למפתחים לקבל גישה לקבוצה מדויקת יותר של הצהרות תוך הפחתת הסיכונים המשפטיים וסיכוני התאימות על-ידי עיבוד מידע כזה, במקום לשלוט בו בשם המשתמש.
5. בסיס פתוח ובעל יכולת פעולה הדדית.
   כדי ליצור אקוסיסטמה חסינה של זהויות מבוזרות הנגישה לכולם, יש לבנות אותה בהתבסס על טכנולוגיות, פרוטוקולים ויישומי עזר סטנדרטיים של קוד פתוח. בשנה האחרונה השתתפנו ב- Decentralized Identity Foundation‏ (DIF) עם אנשים וארגונים שיש להם מוטיבציה דומה לקחת על עצמם את האתגר הזה. אנו מפתחים באופן שיתופי את הרכיבים המרכזיים הבאים:
   

• מזהים מבוזרים (DID) – מפרט W3C שמגדיר תבנית מסמך משותפת לתיאור המצב של מזהה מבוזר
  
• מרכזי זהויות – מאגר נתונים מוצפן של זהות שכולל ממסר הודעות/כוונות, טיפול בהצהרות ונקודות קצה של מיחשוב המתייחסות ספציפית לזהות. 
  
• מפענח DID אוניברסלי – שרת שמפענח מזהי DID בין מערכות בלוקצ'יין 
  
• אישורים הניתנים לאימות – מפרט W3C שמגדיר תבנית מסמך לקידוד הצהרות המבוססות על DID.   
  

6. מוכנות לקנה מידה עולמי:
   כדי לתמוך בעולם רחב של משתמשים, ארגונים ומכשירים, הטכנולוגיה המשמשת כבסיס חייבת להיות מסוגלת לקנה מידה וביצועים בצורה שווה למערכות מסורתיות. כמה מערכות בלוקצ'יין ציבוריות (בין היתר, ביטקוין [BTC], אתריום ולייטקוין) מספקות בסיס איתן להשרשת מזהי DID, תיעוד פעולות DPKI ועיגון הצהרות. בעוד שקהילות בלוקצ'יין מסוימות הגדילו את קיבולת הטרנזקציות (לדוגמה, על-ידי הגדלת גודל הבלוקים), גישה זו פוגעת בדרך כלל במצב המבוזר של הרשת ואינה יכולה להגיע למיליוני הטרנזקציות לשניה שהמערכת תיצור בקנה מידה עולמי. כדי להתגבר על מחסומים טכניים אלה, אנחנו משתפים פעולה בפרוטוקולי שכבה 2 מבוזרים שפועלים מעל מערכות בלוקצ'יין ציבוריות אלה כדי להשיג קנה מידה עולמי, תוך שמירה על התכונות של מערכת DID ברמה עולמית.
   
7. נגיש לכולם:
   האקוסיסטמה של בלוקצ'יין כיום מורכבת עדיין בעיקר ממאמצים מוקדמים שיש להם נכונות להשקיע זמן ואנרגיה בניהול מפתחות ואבטחת מכשירים. זה לא דבר שאנחנו יכולים לצפות שאנשים רגילים יתעסקו בו. אנחנו צריכים להפוך אתגרי ניהול מרכזיים, כגון שחזור, החלפה וגישה מאובטחת, לאינטואיטיביים וחסיני תקלות.
   

הצעדים הבאים שלנו

מערכות חדשות ורעיונות גדולים נראים הגיוניים לעתים קרובות על לוח ציור. כל הקווים מתחברים, וההנחות נראות מוצקות. עם זאת, צוותי מוצרים והנדסה לומדים הכי הרבה כשהמוצר משווק בפועל.

כיום, מיליוני אנשים משתמשים כבר באפליקציה Microsoft Authenticator כדי להוכיח את הזהות שלהם מדי יום. בצעד הבא, נתנסה בזהויות מבוזרות על-ידי הוספת תמיכה עבורן ל- Microsoft Authenticator. בכפוף להסכמה, האפליקציה Microsoft Authenticator תוכל לפעול כסוכן המשתמש שלכם לצורך ניהול נתוני זהות ומפתחות הצפנה. על-פי תכנון זה, רק המזהה מושרש בשרשרת. נתוני זהות מאוחסנים במרכז זהות מחוץ לשרשרת (ש- Microsoft אינה יכולה לראות) שמוצפן באמצעות מפתחות הצפנה אלה.

לאחר הוספת יכולת זו, אפליקציות ושירותים יוכלו לקיים אינטראקציה עם הנתונים של המשתמש באמצעות ערוץ העברת הודעות משותף על-ידי הצגת בקשה להסכמה פרטנית. בתחילה נתמוך בקבוצה נבחרת של יישומי DID בין מערכות בלוקצ'יין, וסביר להניח שנוסיף עוד יישומים בעתיד.

במבט קדימה

אנחנו נרגשים לקחת על עצמנו אתגר כל כך עצום, אבל יודעים גם שאנחנו לא יכולים להתגבר עליו לבד. אנו מסתמכים על התמיכה והתגובות של השותפים שלנו, חברים ב- Decentralized Identity Foundation, ועל האקוסיסטמה המגוונת של Microsoft, הכוללת מעצבים, קובעי מדיניות, שותפים עסקיים ויצרני חומרה ותוכנה. וחשוב מכל, אנו נזדקק לכם, הלקוחות שלנו – נשמח אם תספקו משוב בזמן שנתחיל לבדוק תרחישים ראשונים אלה.

זהו הפרסום הראשון שעוסק בעבודה שלנו על הזהות המבוזרת. בפרסומים הבאים נשתף מידע אודות הוכחות הרעיון שלנו, וכן פרטים טכניים לגבי התחומים המרכזיים המתוארים לעיל.

אנו מצפים שתצטרפו אלינו ביוזמה זו!

משאבים עיקריים:

• עקבו אחרינו ב- ‎@AzureAD ב- Twitter
  
• גלו מעורבות ב- Decentralized Identity Foundation‏ (DIF)
  
• השתתפו ב- W3C Credentials Community Group
  

בברכה,

אנקור פאטל (‎@_AnkurPatel)

מנהל תוכניות ראשי

חטיבת הזהויות של Microsoft

The post זהויות דיגיטליות מבוזרות ובלוקצ'יין: העתיד מנקודת מבטנו appeared first on Microsoft 365 Blog.

היום חשפנו ב- Microsoft Ignite את החזון החדש להעצמת Firstline Workers בעידן הדיגיטלי והצגנו את Microsoft 365 F1 – מוצר חדש שמקבץ יחד את Office 365‏, Windows 10 ו- Enterprise Mobility + Security כדי לספק פתרון חכם ומלא להעצמת כל העובדים.

מקום העבודה המודרני מחייב את החברות לעמוד בציפיות החדשות של העובדים, לחבר בין עובדים מבוזרים יותר ולספק את הכלים שמאפשרים לעובדים ליצור, לחדש ולעבוד יחד כדי לספק פתרון לבעיות של הלקוחות ושל החברה. מקום עבודה מודרני באמת מפיק את המיטב מכושר ההמצאה של העובדים, יוצר תרבות של חדשנות ופעולה, ומקבל בברכה ומעצים את כל העובדים, החל מצוות המנהלים וכלה בעובדי Firstline Workforce.‏

Firstline Workers כולל את רוב העובדים הגלובליים שלנו. עובדים אלה, שמספרם מגיע לשני מיליארד אנשים ברחבי העולם, הם האנשים שעומדים מאחורי הדלפק, עונים לטלפון, עובדים במרפאות, מאיישים את רצפת הייצור ועובדים בשטח. לעתים קרובות הם הראשונים שיוצרים קשר עם הלקוחות, הראשונים שמייצגים את מותג החברה והראשונים שרואים את המוצרים והשירותים בפעולה. הם יוצרים את עמוד השדרה של התעשיות הגדולות בעולם, ובלעדיהם, המטרות של ארגונים רבים לא יוכלו להתממש.

אנו רואים הזדמנות שבה הטכנולוגיה תעניק ל- Firstline Workers חוויה אינטואיטיבית, מודרנית ומעצימה יותר. Microsoft נמצאת במעמד מיוחד שמאפשר לה לסייע לחברות לנצל את הפוטנציאל של ה- Firstline Workforce שלהם באמצעות המוצרים המסחריים שלנו, שכוללים את Microsoft 365‏, Dynamics 365‏, Microsoft IoT‏, Microsoft AI ו- Microsoft HoloLens וכן את האקוסיסטמיה של Windows Mixed Reality.

הצגת Microsoft 365 F1 מהווה צעד משמעותי לקראת מימוש החזון שלנו לשילוב ה- Firstline Workforce בשינוי הדיגיטלי על-ידי אספקת טכנולוגיה לכל עובד.

שינוי החוויה של Firstline Worker

Microsoft 365 F1 כולל את היכולות והכלים כדי לאפשר לכל עובד להעביר את הרעיונות שלו לפסים מעשיים. הוא מעודד תרבות וקהילה, באמצעות 'שידור פגישת Skype' שמאפשר לקיים פגישות אינטראקטיבית ובאמצעות Yammer שמסייע לעובדים לאתר ולשתף שיטות עבודה מומלצות בחברה כולה.

Microsoft 365 F1 מאפשר להדריך ולהכשיר בקלות את כל העובדים, כאשר Microsoft Stream משמש לשיתוף תכנים וסרטוני וידאו דינמיים ומבוססי תפקידים ו- SharePoint מפיץ בקלות חומרי קליטת משתמשים והדרכה ומנהל את הידע המוסדי במקום מאובטח אחד.

הוא תומך בפרודוקטיביות ובתהליכים העסקיים הדיגיטליים של עובדי Firstline באמצעות Microsoft StaffHub, אפליקציה שנבנתה במיוחד לניהול יום העבודה של עובדי Firstline Workers, וכן באמצעות Microsoft PowerApps ו- Flow שהופכים את הפעילויות היומיומיות לאוטומטיות. היום אנו מכריזים על היכולות החדשות שנוספו ל- StaffHub, כולל היכולת של עובדים להחתים שעון בכניסה וביציאה ולעקוב אחר משימות. בנוסף, שילבנו תכונת העברת הודעות ב- Microsoft Teams, המרכז לעבודת צוות, והדגשנו את ההכרזות הארגוניות המתפרסמות ב- Yammer כדי לסייע לעובדים להישאר מחוברים ב- StaffHub. לסיום,אנו מאפשרים ללקוחות לחבר את StaffHub למערכות ניהול העובדים ולכלים אחרים באמצעות הזמינות של ממשקי API כלליים.

Microsoft 365 F1 מייעל את ניהול ה- IT, ממזער עלויות ומרחיב את האבטחה לכל העובדים ונקודות הקצה. Azure Active Directory מספק תכונות ניהול של זיהוי עובדים וגישה לעובדים, Microsoft Intune מסייע לאבטח מכשירים ותכונות חדשות של Windows 10 מפשטות את ניהול חוויות השימוש של Firstline Workers כדי לתמוך בנעילת מכשירים חד תכליתיים באמצעות Windows Assigned Access בופריסה אוטומטית באמצעות Windows AutoPilot.

לסיום, אנו מכירים בחשיבות של אספקת מכשירים יעילים ומאובטחים ל- Firstline Workers שתורמים למזעור עלות הבעלות הכוללת. היום אנו מכריזים על מכשירים מסחריים חדשים עם Windows 10 S של שותפי ה- OEM שלנו HP‏, Lenovo ו- Acer. מכשירים אלה, שמתחילים במחיר זול של $275, נהנים מתכונות ניהול וזהות מבוססות ענן ומציעים פתרון אידאלי לסביבות Firstline.

אנו נרגשים מאוד מההזדמנות להעצים את ה- Firstline Workers ואנחנו רק בתחילת הדרך!

למידע נוסף על החזון שלנו, בקר בדף Firstline Worker החדש ועיין בטבלה למטה כדי לברר מה נכלל ב- Microsoft 365 F1.

—בריאן גוד

The post קבלת פנים לכל העובדים באמצעות Microsoft 365 appeared first on Microsoft 365 Blog.