Noriu su jumis visais pasidalyti puikiomis naujienomis! Jau antrus metus iš eilės „Gartner“ savo ataskaitoje „2018 Magic Quadrant for Access Management, Worldwide“ įvardijo „Microsoft“, atsižvelgdama į mūsų vizijos išsamumą ir įgyvendinimą prieigos valdymo rinkoje. Sužinokite, kodėl, peržiūrėję nemokamą ataskaitos kopiją čia.

Pasak „Gartner“, lyderiai įrodo, kad geba imtis veiksmų reaguodami į numatomus reikalavimus, susijusius su technologijomis, metodika ar teikimo būdais. Lyderiai taip pat praktiškai parodo, kokį vaidmenį vaidina prieigos valdymas susijusių ar gretimų produktų pasiūlymų rinkinyje.

Labiausiai išplėtota vizija lyderių grupėje

„Microsoft“ užima pirmąją poziciją lyderių grupėje pagal vizijos išsamumą antrus metus iš eilės. Manome, kad postūmis įgyvendinimo srityje taip pat parodo, kaip svarbu mums imtis įgyvendinti strategiją, kuri gali padėti organizacijoms spręsti šiandienos rūpesčius ir parengti jas rytojaus poreikiams tapatybės srityje.

Mes, „Microsoft“, skatiname sąlyginės prieigos strategijas ir tapatybių apsaugą nuo grėsmių, nes tai yra ypač svarbūs dalykai norint pateikti pasaulinio lygio tapatybių ir prieigos valdymo sprendimą. Tobulindami visapusę „Windows 10“, „Office 365“ ir EMS ekosistemą, taip pat sunkiai dirbame siekdami produktuose integruoti saugos strategijas, kurios suteiktų įžvalgų ir leistų valdyti visą vartotojų patirtį. Šiemet taip pat atsižvelgėme į savo klientų įžvalgas ir atsiliepimus, siekdami gerinti vartotojų patirtį ir dar labiau palengvinti visų tapatybių sutelkimą vienoje vietoje. Esame pasiryžę teikti novatoriškus ir išsamius tapatybių ir prieigos valdymo sprendimus jūsų darbuotojams, partneriams ir klientams.

Mes nebūtume sugebėję likti šios srities lyderiais be savo klientų ir partnerių atsiliepimų ir palaikymo. Ačiū!

Pagarbiai

Alex Simons („Twitter“: @Alex_A_Simons)

Programų valdymo direktorius

„Microsoft“ tapatybių valdymo skyrius

Svarbi pastaba.

Šią informacinę diagramą paskelbė „Gartner, Inc.“ kaip dalį didesnio tyrimo dokumento, todėl ją reikėtų vertinti viso dokumento kontekste. Pateikę prašymą, „Gartner“ dokumentą galite atsisiųsti iš „Microsoft“.

„Gartner“ neremia jokių tiekėjų, produktų ar paslaugų, aprašytų savo tyrimų leidiniuose, ir neteikia patarimų technologijų vartotojams rinktis tik tuos tiekėjus, kurie turi aukščiausius reitingus ar kitokius įvertinimus. „Gartner“ tyrimų leidinius sudaro „Gartner“ tyrimų organizacijos nuomonės ir jos neturėtų būti suprantamos kaip faktų konstatavimas. „Gartner“ neteikia jokių garantijų, išreikštų ar numanomų, susijusių su šiuo tyrimu, įskaitant pardavimo ar tinkamumo tam tikram tikslui garantijas.

The post Vizija ir vykdymas: „Microsoft“ dar kartą įvardyta lydere ataskaitoje „Gartner MQ for Access Management“ appeared first on Microsoft 365 Blog.

Nuo pat slaptažodžių atsiradimo žmonės bandė juos atspėti. Šiame tinklaraščio įraše aptariame dažną atakos tipą, kuris pastaruoju metu naudojamas DAUG dažniau, ir pateikiame geriausią praktiką, kaip nuo jų apsisaugoti. Ši ataka įprastai vadinama vieno slaptažodžio bandymo ataka.

Vykdydami vieno slaptažodžio bandymo atakas, nusikaltėliai bando dažniausiai naudojamus slaptažodžius daugybėje skirtingų paskyrų ir tarnybų, siekdami gauti prieigą prie bet kokių slaptažodžiu apsaugotų išteklių, kuriuos jiems pavyksta rasti. Paprastai tai apima daugybę skirtingų organizacijų ir tapatybės valdymo sprendimų teikėjų. Pavyzdžiui, įsilaužėlis gali naudoti visuotinai prieinamą įrankių rinkinį, tokį kaip „Mailsniper“, kad gautų visų vartotojų skirtingose organizacijose sąrašą, o tada bandydamas patekti į visas šias paskyras bando slaptažodžius „Sl@ptaz0d1$“ ir „Slaptazodis1“. Kad jums būtų kiek aiškiau, tokia ataka gali atrodyti taip:

Šis atakos modelis apeina daugumą aptikimo metodų, nes žvelgiant iš atskiro vartotojo ar įmonės požiūrio taško, tokia ataka atrodo, kaip tik pavienis nepavykęs prisijungimas.

Įsilaužėliams tai yra skaičių žaidimas: jie žino, kad kažkas naudoja slaptažodį, kuris yra labai paplitęs. Nors tie dažniausiai naudojami slaptažodžiai sudaro viso labo 0,5–1,0 proc. paskyrose naudojamų slaptažodžių, pabandęs įsilaužti į kelis tūkstančius paskyrų įsilaužėliui kelis kartus pavyks, o tai jau veiksminga.

Jie naudoja paskyra, kad gautų duomenis iš el. laiškų, surinktų kontaktinę informaciją ir siųstų apsimestinius saitus arba tiesiog išplėstų vieno slaptažodžio bandymo atakų tikslinę grupę. Įsilaužėliams nelabai rūpi, kas yra tie pirminiai taikiniai – jiems svarbu sėkmė, kurią jie gali išnaudoti.

Gera žinia yra ta, kad „Microsoft“ jau dabar yra įdiegusi daugybę priemonių, kurios sumažina tokių atakų efektyvumą, ir ketina pristatyti dar daug. Skaitykite toliau ir sužinokite, ką galite padaryti dabar ir per ateinančius mėnesius, kad sustabdytumėte vieno slaptažodžio bandymo atakas.

Keturi paprasti veiksmai siekiant sužlugdyti vieno slaptažodžio bandymo atakas

1 veiksmas: naudokite debesies autentifikavimą

Debesyje kiekvieną dieną vyksta milijardai prisijungimų prie „Microsoft“ sistemų. Mūsų apsauginiai aptikimo algoritmai leidžia aptikti ir užblokuoti atakas iškart joms prasidėjus. Kadangi tai yra tikralaikio aptikimo ir apsaugos sistemos, veikiančios debesyje, jos galimos tik atliekant „Azure AD“ autentifikavimą debesyje (įskaitant tiesioginį autentifikavimą).

Išmanusis blokavimas

Debesyje naudojame išmanųjį blokavimą, kad atskirtume prisijungimo bandymus, kurie atrodo kaip tikrojo vartotojo, nuo prisijungimų, kuriuos gali vykdyti įsilaužėlis. Galime užblokuoti įsilaužėlį ir tuo pačiu metu leisti tikrajam vartotojui naudotis paskyra. Tai neleidžia įvykti vartotojo aptarnavimo perkrovai ir sustabdo pernelyg aktyvias vieno slaptažodžio bandymo atakas. Funkcija taikoma visiems „Azure AD“ prisijungimams, neatsižvelgiant į licencijos lygį, ir visiems prisijungimams prie „Microsoft“ paskyrų.

Nuomotojai, naudojantys „Active Directory“ susiejimo tarnybą (ADFS), galės naudoti išmaniojo užrakinimo funkciją ADFS tarnyboje „Windows Server 2016“ operacinėje sistemoje nuo 2018 m. kovo – ieškokite šios funkcijos „Windows Update“ naujinime.

IP blokavimas

IP blokavimas veikia analizuojant tuos milijardus prisijungimų, kad būtų įvertinta kiekvieno IP adreso, pasiekiančio „Microsoft“ sistemas, srauto kokybė. Atlikdama šią analizę, IP blokavimo funkcija randa IP adresus, kurie veikia piktavališkai, ir realiuoju laiku užblokuoja šiuos bandymus prisijungti.

Atakų simuliavimas

Atakų simuliatorius, jau pasiekiamas viešosios peržiūros režimu, yra dalis „Office 365“ grėsmių analizės ir leidžia klientams vykdyti imitacines savo galutinių vartotojų atakas, suprasti, kaip vartotojai elgiasi atakos metu, naujinti strategijas ir užtikrinti, kad būtų parengti tinkami saugos įrankiai, kurie apsaugos organizaciją nuo grėsmių, pvz., vieno slaptažodžio bandymo atakų.

Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:

1. Jei naudojate debesies autentifikavimą, jūs apsaugoti
2. Jei naudojate ADFS ar kitą hibridinį scenarijų, laukite išmaniajam blokavimui skirto ADFS naujinimo 2018 m. kovą
3. Naudokite atakų imitavimo priemonę, kad aktyviai vertintumėte savo saugos padėtį ir atliktumėte keitimus

2 veiksmas: naudokite kelių dalių autentifikavimą

Slaptažodis yra raktas paskyrai pasiekti, bet įvykdžius sėkmingą vieno slaptažodžio bandymo ataką, įsilaužėlis atspėjo teisingą slaptažodį. Norėdami sustabdyti įsilaužėlius, turime naudoti kažką daugiau nei tik slaptažodį, kad atskirtume paskyros savininką nuo įsilaužėlio. Toliau pateikiami trys būdai tai padaryti.

Rizika pagrįstas kelių dalių autentifikavimas

„Azure AD Identity Protection“ naudoja pirmiau minėtus prisijungimo duomenis ir įtraukia patobulintą mašininį mokymą bei algoritminį aptikimą, kad kiekvienam sistemą pasiekusiam prisijungimo bandymui priskirtų rizikos įvertinimą. Tai leidžia verslo klientams kurti strategijas tarnyboje „Identity Protection“, kurios paragina vartotoją patvirtinti tapatybę naudojant antrą veiksnį tuo atveju, jei būtų aptikta su vartotoju ar seansu susijusi rizika. Tai sumažina naštą vartotojams ir sudaro kliūčių nusikaltėliams. Sužinokite daugiau apie „Azure AD Identity Protection“ čia.

Visada įjungtas kelių dalių autentifikavimas

Siekdami didesnio saugumo, galite nustatyti, kad „Azure“ MFA vartotojų visada reikalautų kelių dalių autentifikavimo, tiek naudojant debesies autentifikavimą, tiek ir ADFS. Nors šis metodas reikalauja, kad galutiniai vartotojai visada turėtų savo įrenginius ir dažniau atliktų kelių dalių autentifikavimą, jis užtikrina didžiausią įmonės apsaugą. Šis metodas turėtų būti įjungtas kiekvienam administratoriui organizacijoje. Sužinokite daugiau apie „Azure“ kelių dalių autentifikavimą čia ir kaip sukonfigūruoti „Azure“ MFA, skirtą ADFS.

„Azure“ MFA kaip pirminis autentifikavimas

Tarnyboje ADFS 2016 turite galimybę naudoti „Azure“ MFA kaip pirminį autentifikavimą, skirtą autentifikavimui be slaptažodžio. Tai puiki priemonė apsisaugoti nuo vieno slaptažodžio bandymo atakų ir slaptažodžio vagystės atakų: jei nėra slaptažodžio, jo neįmanoma atspėti. Tai puikiai veikia visų tipų ir įvairių formos koeficientų įrenginiuose. Be to, dabar galite naudoti slaptažodį kaip antrąjį veiksnį tik kai OTP buvo patvirtintas naudojant „Azure“ MFA. Sužinokite daugiau apie slaptažodžio kaip antrojo veiksnio naudojimą čia.

Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:

1. Labai rekomenduojame įgalinti visada įjungtą kelių dalių autentifikavimą visiems organizacijos administratoriams, ypač prenumeratų savininkams ir nuomotojų administratoriams. Tikrai, padarykite tai dabar.
2. Kad likusiems vartotojams būtų patogiausia, rekomenduojame naudoti rizika pagrįstą kelių dalių autentifikavimą, kuris galimas turint „Azure AD Premium P2“ licencijas.
3. Priešingu atveju naudokite „Azure“ MFA debesies autentifikavimui ir ADFS.
4. ADFS tarnyboje atnaujinkite į ADFS operacinėje sistemoje „Windows Server 2016“, kad galėtumėte naudoti „Azure“ MFA kaip pirminį autentifikavimą, ypač bet kokiai ekstraneto prieigai.

3 veiksmas: geresni visų vartotojų slaptažodžiai

Net ir taikant visas išvardytas priemones, svarbiausias dalykas norint apsisaugoti nuo vieno slaptažodžio bandymo atakų yra visiems vartotojams turėti sunkiai atspėjamus slaptažodžius. Vartotojai dažnai nežino, kaip sukurti sunkiai atspėjamą slaptažodį. Teikdama šiuos įrankius „Microsoft“ padeda tai padaryti.

Uždrausti slaptažodžiai

„Azure AD“ sistemoje atliekant kiekvieną slaptažodžio pakeitimą ir nustatymą iš naujo, slaptažodį patikrina uždraustų slaptažodžių tikrintuvas. Pateikus naują slaptažodį, jis apytiksliai palyginamas su sąrašu žodžių, kurių niekada negali būtų niekieno slaptažodyje (l33t-sp3@k rašyba nepadeda). Jei slaptažodis atitinka sąrašo įrašą, jis atmetamas ir vartotojo prašoma pasirinkti slaptažodį, kurį būtų sunkiau atspėti. Mes sudarome dažniausiai atakuojamų slaptažodžių sąrašą ir dažnai jį naujiname.

Pasirinktiniai uždrausti slaptažodžiai

Kad draudžiamų slaptažodžių funkcija būtų dar veiksmingesnė, ketiname leisti klientams tinkinti savo uždraustų slaptažodžių sąrašus. Administratoriai gali pasirinkti žodžius, susijusius su savo organizacija – įžymūs darbuotojai ir įkūrėjai, produktai, vietos, regioninius simbolius ir t. t. – ir neleisti jų naudoti vartotojų slaptažodžiuose. Šis sąrašas bus įgalintas kartu su visuotiniu sąrašu, todėl nereikės rinktis tik vieno iš jų. Šiuo metu funkcija veikia peržiūros režimu ir bus išleidžiama šiemet.

Uždrausti slaptažodžiai keičiant vietinėje sistemoje

Šį pavasarį išleisime įrankį, leisiantį įmonių administratoriams uždrausti slaptažodžius hibridinėse „Azure AD“–„Active Directory“ aplinkose. Debesyje saugomas uždraustų slaptažodžių sąrašas bus sinchronizuojamas su jūsų vietine aplinka ir naudojant agentą įgalintas kiekviename domeno valdiklyje. Tai administratoriams leidžia užtikrinti, kad vartotojų slaptažodžiai būtų sunkiau atspėjami, nesvarbu, ar vartotojas pakeičia savo slaptažodį debesyje ar vietinėje aplinkoje. 2018 m. sausį išleista funkcijos privačios peržiūros versija ir šiemet bus išleista bendrojo prieinamumo versija.

Pakeiskite savo požiūrį į slaptažodžius

Esama daug klaidingų nuostatų apie tai, kas yra geras slaptažodis. Paprastai tai, kas padėtų matematiškai, iš tiesų yra nuspėjamas vartotojo elgesys: pavyzdžiui, reikalaujant tam tikrų simbolių tipų ir periodinio slaptažodžio pakeitimo atsiranda konkretūs slaptažodžių sudarymo modeliai. Daug išsamesnės informacijos gausite perskaitę mūsų slaptažodžio rekomendacijų dokumentą. Jei naudojate „Active Directory“ su PTA arba ADFS, atnaujinkite savo slaptažodžių strategijas. Jei naudojate debesies valdomas paskyras, galite nustatyti, kad slaptažodžiai būtų neriboto galiojimo laiko.

Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:

1. kai bus išleistas „Microsoft“ uždraustų slaptažodžių įrankis, įdiekite jį vietinėje aplinkoje, kad padėtumėte vartotojams sukurti geresnius slaptažodžius.
2. Peržiūrėkite savo slaptažodžių strategijas ir apsvarstykite galimybę nustatyti, kad jie būtų neriboto galiojimo laiko, kad vartotojai nenaudotų sezoninių modelių kurdami slaptažodžius.

4 veiksmas: daugiau nuostabių ADFS ir „Active Directory“ funkcijų

Jei naudojate hibridinį ADFS ir „Active Directory“ autentifikavimą, yra daugiau veiksmų, kurių galite imtis, kad apsaugotumėte savo aplinką nuo vieno slaptažodžio bandymo atakų.

Pirmasis veiksmas: jei naudojate ADFS 2.0 arba „Windows Server 2012“, kuo greičiau pereikite prie ADFS sistemoje „Windows Server 2016“. Naujausia versija bus naujinama sparčiau ir turės daugiau funkcijų, pvz., ekstraneto blokavimas. Ir atminkite: tapo labai paprasta atnaujinti „Windows Server 2012R2“ į „Windows Server 2016“.

Užblokuokite senstelėjusį autentifikavimą iš ekstraneto

Senstelėję autentifikavimo protokolai neturi galimybės taikyti MFA, todėl geriausias pasirinkimas yra užblokuoti juos iš ekstraneto. Tai neleis vieno slaptažodžio bandymo atakas vykdantiems nusikaltėliams išnaudoti šių protokolų MFA nebuvimą.

Įgalinkite ADFS žiniatinklio programų tarpinio serverio ekstraneto blokavimą

Jei ADFS žiniatinklio programų tarpiniame serveryje nėra ekstraneto blokavimo, turėtumėte kuo greičiau jį įgalinti, kad apsaugotumėte savo vartotojus nuo potencialios slaptažodžio grubios jėgos atakos.

Įdiekite „Azure AD Connect Health“ ADFS tarnyboje

„Azure Active Directory Connect Health“ užfiksuoja IP adresus, įrašytus ADFS blogo vartotojo vardo / slaptažodžio žurnaluose, suteikia papildomos informacijos apie įvairius scenarijus ir suteikia papildomų įžvalgų, kurios padės inžinieriams atidarant pagalbos atvejus.

Norėdami įdiegti, atsisiųskite naujausią „Azure AD Connect Health“ agento, skirto ADFS, versiją ir įdiekite visuose ADFS serveriuose (2.6.491.0). ADFS serveriuose turi veikti arba „Windows Server 2012 R2“ su įdiegtu KB 3134222, arba „Windows Server 2016“.

Nenaudokite ne slaptažodžiais pagrįstus prieigos metodus

Nenaudojant slaptažodžio, slaptažodžio neįmanoma atspėti. Šie ne slaptažodžiais pagrįsti prieigos metodai galimi ADFS ir žiniatinklio programų tarpiniam serveriui:

1. Sertifikatais pagrįstas autentifikavimas leidžia užkardoje visiškai užblokuoti vartotojo vardo / slaptažodžio galinius punktus. Sužinokite daugiau apie sertifikatais pagrįstą ADFS autentifikavimą
2. Kaip jau minėta, „Azure“ MFA galima naudoti kaip antrą debesies bei ADFS 2012 R2 ir 2016 autentifikavimo veiksnį. Tačiau jį taip pat galima naudoti kaip pirminį veiksnį ADFS 2016 tarnyboje, siekiant visiškai panaikinti vieno slaptažodžio bandymo atakų galimybę. Čia sužinokite, kaip konfigūruoti „Azure“ MFA naudojant ADFS čia
3. „Windows Hello“ verslui, kuri galima „Windows 10“ sistemoje ir kurią palaiko ADFS sistemoje „Windows Server 2016“, įgalina prieigą, įskaitant prieigą iš ekstraneto, visiškai nenaudojant slaptažodžio, kuri paremta sudėtingais kriptografiniais raktais, susieitais tiek su vartotoju, tiek su įrenginiu. Funkcija galima įmonės valdomuose įrenginiuose, kurie prijungti prie „Azure AD“ ar hibridinio „Azure AD“, bei asmeniniuose įrenginiuose naudojant „Įtraukti darbo ar mokymo įstaigos paskyrą“ parametrų programoje. Gaukite daugiau informacijos apie „Hello“ verslui.

Dalykai, kuriuos jums rekomenduojame atlikti kuo greičiau:

1. Atnaujinkite versiją į ADFS 2016, kad greičiau gautumėte naujinimus
2. Užblokuokite senstelėjusį autentifikavimą iš ekstraneto.
3. Įdiekite „Azure AD Connect Health“, skirtą ADFS, visuose savo ADFS serveriuose.
4. Apsvarstykite galimybę naudoti pirminio autentifikavimo be slaptažodžio metodą, pvz., „Azure“ MFA, sertifikatus ar „Windows Hello“ verslui.

Papildomi veiksmai: „Microsoft“ paskyrų apsauga

Jei esate „Microsoft“ paskyros naudotojas:

• gera žinia, jūs jau apsaugoti! „Microsoft“ paskyros taip pat turi išmaniojo blokavimo, IP blokavimo, rizika pagrįsto patvirtinimo dviem veiksmais, uždraustų slaptažodžių ir kt. funkcijas.
• Tačiau skirkite dvi minutes ir nuėję į „Microsoft“ paskyros saugos puslapį pasirinkite „Atnaujinti saugos informaciją, kad peržiūrėtumėte savo saugos informaciją, kurią naudoja rizika pagrįsto patvirtinimo dviem veiksmais funkcija
• Siekdami užtikrinti didžiausią įmanomą paskyros saugą, galite įgalinti visada įjungtą patvirtinimą dviem veiksmais čia.

Geriausia apsauga yra… vadovautis šiame straipsnyje pateiktomis rekomendacijomis

Vieno slaptažodžio bandymo atakos yra rimta grėsmė kiekvienai tarnybai internete, kuri naudoja slaptažodžius, bet šiame straipsnyje pateikti veiksmai padės užtikrinti maksimalią apsaugą nuo tokių atakų. Kadangi daugelio tipų atakas sieja panašūs bruožai, tai apskritai yra geri apsaugos patarimai. Jūsų sauga visada yra mūsų didžiausias prioritetas ir mes be perstojo sunkiai dirbame siekdami sukurti naujas, pažangias apsaugos nuo vieno slaptažodžio bandymo atakų ir visų kitų tipų atakų priemones. Naudokite šiandien išvardytas priemones ir reguliariai tikrinkite, ar yra naujų įrankių, skirtų apsisaugoti nuo internete veikiančių nusikaltėlių.

Tikiuosi, kad ši informacija jums bus naudinga. Kaip visada, labai norėtume išgirsti jūsų atsiliepimų ar pasiūlymų.

Pagarbiai

Alex Simons („Twitter“: @Alex_A_Simons)

Programų valdymo direktorius

„Microsoft“ tapatybių valdymo skyrius

The post „Azure AD“ ir ADFS geriausia praktika: apsisaugokite nuo vieno slaptažodžio bandymo atakų appeared first on Microsoft 365 Blog.

Tikiuosi, šiandienos įrašas jums bus toks pat įdomus, kaip ir man. Jame pateikiama labai įdomi skaitmeninių tapatybių valdymo ateities vizija.

Pastaruosius 12 mėnesių investuojame į blokų grandinės (ir kitų paskirstytųjų didžiosios knygos technologijų) idėjų tobulinimą, siekdami nuo nulio sukurti naujų tipų skaitmenines tapatybes, kurios pagerintų asmens privatumą, saugą ir kontrolę. Labai džiaugiamės tuo, ką sužinojome, ir naujomis partnerystėmis, kurias užmezgėme šio proceso metu. Šiandien norėtume su jumis pasidalyti savo mintimis ir vizija. Šis įrašas yra serijos dalis ir paremtas Peggy Johnson tinklaraščio įrašu, kuriame skelbiama, kad „Microsoft“ prisijungė prie ID2020 iniciatyvos. Jei dar neperskaitėte Peggy įrašo, rekomenduoju pirma jį perskaityti.

Paprašiau Ankur Patel, mano komandos programų vadovo, vadovaujančio šiam tobulinimui, pradėti mūsų diskusiją apie decentralizuotas skaitmenines tapatybes. Jo įraše aptariama keletas pagrindinių dalykų, kuriuos sužinojome, ir keletas iš to išplaukiančių principų, kurių laikomės didindami savo investicijas šioje srityje.

Ir kaip visada, norėtume išgirsti jūsų mintis ir atsiliepimus.

Pagarbiai

Alex Simons („Twitter“: @Alex_A_Simons)

Programų valdymo direktorius

„Microsoft“ tapatybių valdymo skyrius

———-

Sveiki visi, esu Ankur Patel iš „Microsoft“ tapatybių valdymo skyriaus. Man garbė turėti šią galimybę pasidalyti tuo, ką sužinojome, bei ateities vizija, susijusia su mūsų pastangomis sukurti blokų grandine / paskirstytąja didžiąja knyga pagrįstas decentralizuotas tapatybes.

Ką matome

Daugelis iš jūsų kiekvieną dieną mato, kad pasaulyje vyksta visuotinė skaitmeninė transformacija, kai skaitmeninė ir fizinė realybės susilieja į vieną integruotą šiuolaikinį gyvenimo būdą. Šiam naujam pasauliui reikia naujo skaitmeninių tapatybių valdymo modelio, tokio, kuris padidintų asmens privatumą ir saugą fizinėje ir skaitmeninėje erdvėje.

„Microsoft“ debesies tapatybių valdymo sistemos jau suteikia didesnių galimybių tūkstančiams programų kūrėjų, organizacijų ir milijardams žmonių, kad jie galėtų dirbti, mėgautis ir pasiekti daugiau. Tačiau siekdami suteikti kiekvienam daugiau galimybių, dar turime daug ką nuveikti. Siekiame sukurti pasaulį, kad milijardai žmonių, šiandien gyvenančių be patikimai asmens tapatybę nustatančio dokumento, galų gale galėtų realizuoti svajones, kurias visi puoselėjame, tokias kaip vaikų švietimas, mūsų gyvenimo kokybės gerinimas ar verslo pradžia.

Norint pasiekti šį tikslą, manome, kad žmonės turi valdyti ir kontroliuoti visus savo skaitmeninės tapatybės elementus. Užuot suteikus platų sutikimą daugybei programų ir tarnybų ir laikant tapatybės duomenis pas daugybę sprendimų teikėjų, žmonėms reikia saugaus, užšifruoto skaitmeninio telkinio, kuriame jie galėtų saugoti savo tapatybės duomenis ir lengvai valdyti prieigą prie jų.

Kiekvienam iš mūsų reikia nuosavos skaitmeninės tapatybės, tokios, kuri saugiai ir privačiai saugotų visus mūsų skaitmeninės tapatybės elementus.  Ši nuosava tapatybė turi būti paprasta naudoti ir leisti visiškai kontroliuoti, kaip mūsų tapatybės duomenys pasiekiami ir naudojami.

Žinome, kad tokios savarankiškos skaitmeninės tapatybės įgalinimas aprėpia daugiau nei bet kuri viena įmonė ar organizacija. Esame pasiryžę glaudžiai bendradarbiauti su savo klientais, partneriais ir bendruomene, kad sukurtume naujos kartos skaitmenines tapatybės galimybes, ir džiaugiamės galėdami bendradarbiauti su tiek daug šioje pramonės šakoje dirbančių žmonių, kurie labai daug prisideda prie šio tikslo.

Ką sužinojome

Tuo tikslu šiandien dalijamės savo mintimis pagal tai, ką išmokome kurdami savo decentralizuotą tapatybę – tai pastangos siekiant pagerinti vartotojo patirtį, padidinti pasitikėjimą, sumažinti kliūtis ir suteikti galimybę kiekvienam žmogui valdyti ir kontroliuoti savo skaitmeninę tapatybę.

1. Tapatybės valdymas ir kontroliavimas. Šiandien vartotojai suteikia platų sutikimą daugybei programų ir tarnybų, kurių duomenų rinkimo, naudojimo ir saugojimo vartotojai kontroliuoti negali. Duomenų saugos pažeidimai ir tapatybių vagystės tampa sudėtingesnės ir dažnesnės, todėl vartotojams reikia būdo perimti savo tapatybę į savo rankas. Išnagrinėję decentralizuotas saugojimo sistemas, sutarimo protokolus, blokų grandines ir įvairius naujus standartus, manome, kad blokų grandinės technologija ir protokolai tinka norint įgalinti decentralizuotus ID (DID).
2. Iš anksto apgalvotas privatumas, sukurtas nuo nulio.
   Šiandien programos, tarnybos ir organizacijos teikia patogias, numatomas ir pritaikytas paslaugas, kurios priklauso nuo su tapatybe susietų duomenų valdymo. Mums reikia saugaus užšifruoto skaitmeninio telkinio (ID telkiniai), kuris galėtų sąveikauti su vartotojo duomenimis taip, kad būtų paisoma vartotojo privatumo ir kontrolės.
3. Pasitikėjimą užsitarnauja žmonės, o jį sukuria bendruomenė.
   Įprastos tapatybių valdymo sistemos daugiausia nukreiptos į autentifikavimą ir prieigos valdymą. Savarankiška tapatybių valdymo sistema taip pat atsižvelgia į autentiškumą ir tai, kaip bendruomenė gali įtvirtinti pasitikėjimą. Decentralizuotoje sistemoje pasitikėjimas paremtas paliudijimais – tvirtinimais, kuriuos paremia kiti subjektai – tai padeda patvirtinti asmens tapatybės aspektus.
4. Programos ir tarnybos sukurtos taip, kad vartotojas būtų svarbiausia dalis.
   Šiandien patraukliausios programos ir tarnybos yra tos, kurios teikia kiekvienam vartotojui pritaikytas galimybes, gaunant prieigą prie to vartotojo asmens identifikavimo informacijos (PII). DID ir ID telkiniai gali leisti programų kūrėjams gauti prieigą prie tikslesnių paliudijimų ir sumažinti teisinę ir atitikties riziką apdorojant tokią informaciją, užuot ją kontroliavus vartotojo vardu.
5. Atviras, interaktyvus pagrindas.
   Norint sukurti patikimą decentralizuotą tapatybių valdymo ekosistemą, pasiekiamą visiems, ji turi būti sukurta remiantis standartinėmis, atvirojo kodo technologijomis, protokolais ir realizavimo pavyzdžiais. Jau metus dalyvaujame „Decentralized Identity Foundation“ (DIF) veikloje kartu su asmenimis ir organizacijoms, kurie yra taip pat motyvuoti imtis šio iššūkio. Bendromis jėgomis kuriame šiuos pagrindinius komponentus:
   

• Decentralizuoti identifikatoriai (DID) – W3C specifikacija, kuri apibrėžia bendrą dokumento formatą, skirtą apibūdinti decentralizuoto identifikatoriaus būseną
  
• Tapatybių telkiniai – užšifruota tapatybių duomenų saugykla, kurioje vyksta pranešimo / paskirties perdavimas, liudijimo apdorojimas ir yra konkrečios tapatybės skaičiavimo galiniai punktai.
  
• Universalus DID vertiklis – serveris, kuris verčia DID skirtingose blokų grandinėse
  
• Patikrinami kredencialai – W3C specifikacija, nurodanti dokumento formatą, skirtą užkoduoti DID pagrįstus liudijimus.   
  

6. Parengimas naudoti pasauliniu mastu.
   Kad galėtų palaikyti milžinišką kiekį vartotojų, organizacijų ir įrenginių, pamatinė technologija turi turėti tradicines sistemas atitinkantį išplečiamumą ir našumą. Kai kurios viešos blokų grandinės (pvz., „Bitcoin“ [BTC], „Ethereum“, „Litecoin“) sukuria tvirtą pagrindą DID diegimui, DPKI operacijų įrašymui ir liudijimų fiksavimui. Nors kai kurios blokų grandinės bendruomenės padidino grandinėje vykstančių operacijų pajėgumus (pvz., padidino blokų dydį), toks metodas paprastai pablogina tinklo decentralizuotą būseną ir negali pasiekti milijonų operacijų per sekundę, kurias sistema generuotų pasauliniu mastu. Siekdami įveikti šiuos techninius barjerus, bendradarbiaujame dirbdami su decentralizuotais antrojo sluoksnio protokolais, kurie veikia kartu su šiomis viešomis blokų grandinėmis, kad būtų pasiektas pasaulinis mastas ir išsaugoti pasaulinės klasės DID sistemos atributai.
   
7. Prieinama visiems.
   Šiandien blokų grandinės ekosistema yra daugiausia ankstyvieji naudotojai, pasiryžę skirti laiko, pastangų ir energijos valdydami raktus ir apsaugodami įrenginius. Negalime tikėtis, kad to paties imsis bendroji žmonių masė. Mums reikia pasiekti, kad svarbiausi valdymo klausimai, tokie kaip atkūrimas, rotacija ir saugi prieiga, būtų intuityvūs ir patikimi.
   

Tolesni mūsų veiksmai

Naujos sistemos ir ambicingos idėjos atrodo prasmingos teoriškai. Visos linijos susijungia ir prielaidos atrodo pagrįstos. Vis dėlto produktų ir inžinierių komandos daugiausia išmoksta praktiniame lygmenyje.

Šiandien „Microsoft Authenticator“ programą kiekvieną dieną jau naudoja milijonai žmonių, kad patvirtintų savo tapatybę. Mūsų tolesnis žingsnis – eksperimentuoti su decentralizuotomis tapatybėmis įtraukiant jų palaikymą į „Microsoft Authenticator“. Gavusi sutikimą, „Microsoft Authenticator“ galės veikti kaip jūsų vartotojo agentas ir valdyti tapatybės duomenis bei kriptografinius raktus. Šioje sistemoje tik ID yra įdiegtas grandinėje. Tapatybės duomenys saugomi ne grandinėje esančiame ID telkinyje (kurio „Microsoft“ negali matyti) ir yra užšifruoti naudojant šiuos kriptografinius raktus.

Kai įtrauksime šią funkciją, programos ir tarnybos galės sąveikauti su vartotojo duomenimis bendruoju pranešimų kanalu prašydamos specifinio sutikimo. Iš pradžių palaikysime pasirinktinę DID realizacijų grupę skirtingose blokų grandinėse, o ateityje tikriausiai įtrauksime ir daugiau.

Žvelgiame į priekį

Esame pasiryžę ir nekantraujame imtis tokio milžiniško iššūkio, tačiau suprantame, kad to negalime pasiekti vieni. Tikimės, kad mums padės ir prie mūsų prisidės mūsų aljanso partneriai, „Decentralized Identity Foundation“ ir įvairiapusė „Microsoft“ dizainerių bendruomenė, politikos formuotojai, verslo partneriai, aparatinės ir programinės įrangos kūrėjai. Dar svarbiau, mums prireiks jūsų, mūsų klientų, kad mums pradedant testuoti pirmuosius kelis scenarijus pateiktumėte savo atsiliepimų.

Tai mūsų pirmasis įrašas apie mūsų darbą kuriant decentralizuotą tapatybių valdymo sistemą. Kituose įrašuose pateiksime informacijos apie savo koncepcijos įrodymus bei pirmiau aprašytų pagrindinių sričių techninę informaciją.

Tikimės, kad prisijungsite prie mūsų įgyvendinant šią idėją!

Pagrindiniai ištekliai:

• Stebėkite mus tinkle „Twitter“: @AzureAD
  
• Įsitraukite į „Decentralized Identity Foundation“ (DIF) veiklą
  
• Dalyvaukite W3C kredencialų bendruomenės grupėje
  

Pagarbiai

Ankur Patel (@_AnkurPatel)

Pagrindinis programų vadovas

„Microsoft“ tapatybių valdymo skyrius

The post Decentralizuotas skaitmeninių tapatybių valdymas ir blokų grandinė: mūsų ateities vizija appeared first on Microsoft 365 Blog.

Šiandien „Microsoft Ignite“ supažindinome su nauja vizija, kaip skaitmeniniame amžiuje suteikti galimybių aptarnaujančiam personalui, ir pristatėme „Microsoft 365 F1“ – naują pasiūlymą, sujungiantį „Office 365“, „Windows 10“ ir „Enterprise Mobility + Security“ ir suteikiantį išsamų bei sumanų sprendimą, kaip suteikti galimybes visiems darbuotojams.

Norėdamos užtikrinti modernias darbo vietas, įmonės turi atitikti naujų darbuotojų lūkesčius, prijungti labiau paskirstytą darbo jėgą ir suteikti įrankių, leidžiančių visiems darbuotojams kurti, taikyti naujoves ir dirbti kartu sprendžiant klientų ir verslo problemas. Išties moderni darbo vieta išryškina darbuotojų išradingumą, sukuria inovacijų ir veiksmų kultūrą ir maloniai priima bei suteikia galimybes visiems darbuotojams, pradedant vadovų komanda ir baigiant aptarnaujančiu personalu.

Aptarnaujantis personalas sudaro didžiąją dalį mūsų visuotinės darbo jėgos. Tai du milijardai žmonių visame pasaulyje, stovinčių prie prekystalių, atsiliepiančių į skambučius, dirbančių klinikose, parduotuvių salėse ir lauke. Dažnai jie yra pirmieji, sutinkantys klientus, pirmieji, atstovaujantys įmonės prekės ženklui, ir pirmieji, pamatantys naudojamus produktus bei paslaugas. Jie yra daugelio didžiausių pasaulio pramonės šakų stuburas ir be jų daugelis organizacijų negalėtų įgyvendinti savo tikslų.

Manome, kad technologija galėtų užtikrinti aptarnaujančiam personalui intuityvesnę, labiau įtraukiančią ir daugiau galimybių suteikiančią patirtį. „Microsoft“ padėtis yra unikali ir mes galime padėti įmonėms išnaudoti jų aptarnaujančios darbo jėgos potencialą, pasiūlydami savo komercinius produktus, apimančius „Microsoft 365“, „Dynamics 365“, „Microsoft IoT“, „Microsoft AI“ ir „Microsoft HoloLens“ bei „Windows Mixed Reality“ ekosistemą.

„Microsoft 365 F1“ pristatymas yra svarbus tolesnis žingsnis link mūsų vizijos įtraukti aptarnaujančią darbo jėgą į skaitmeninę transformaciją, suteikiant kiekvienam darbuotojui galimybių pasitelkiant technologiją, įgyvendinimo.

Aptarnaujančio darbuotojo patirties transformavimas

„Microsoft 365 F1“ apima galimybes ir įrankius, leidžiančius kiekvienam darbuotojui paversti savo idėjas veiksmais. Ji skatina kultūrą ir bendruomeniškumą, suteikdama „Skype“ susitikimų transliavimo galimybę interaktyviems susitikimams rengti ir „Yammer“, kad darbuotojai galėtų lengviau rasti geriausios praktikos pavyzdžių ir galėtų jais pasidalyti su visa įmone.

„Microsoft 365 F1“ leidžia lengvai išmokyti darbuotojus ir suteikti jiems naujų įgūdžių, pasitelkiant „Microsoft Stream“ ir bendrinant vaidmenimis pagrįstą turinį bei vaizdo įrašus, ir „SharePoint“, kuriuo naudojantis galima lengvai platinti parengiamąją bei mokymo medžiagą ir valdyti institucines žinias vienoje saugoje vietoje.

Ji leidžia palaikyti aptarnaujančio personalo produktyvumą ir skaitmeninti verslo procesus, pasitelkiant „Microsoft StaffHub“ – specialiai aptarnaujančiam personalui sukurtą programą, leidžiančią darbuotojams valdyti savo darbo dieną, taip pat „Microsoft PowerApps“ ir „Flow“ – kasdienei veiklai automatizuoti. Šiandien pristatome naujas „StaffHub“ galimybes, įskaitant galimybę darbuotojams registruoti savo atvykimo / išvykimo laiką bei sekti užduotis. Taip pat palengviname darbuotojų galimybes palaikyti ryšį „StaffHub“, integruodami tiesioginius pranešimus į „Microsoft Teams“ – komandinio darbo telkinį – ir paryškindami įmonės pranešimus, pateikiamus „Yammer“. Galiausiai suteikiame klientams galimybę prijungti „StaffHub“ prie darbo jėgos valdymo sistemų ir kitų įrankių su bendrų API naudojimo galimybe.

„Microsoft 365 F1“ supaprastina IT valdymą, sumažina išlaidas ir užtikrina visų darbuotojų bei galinių punktų apsaugą. „Azure Active Directory“ leidžia valdyti darbuotojų tapatybes ir prieigą; „Microsoft Intune“ padeda apsaugoti įrenginius; naujos „Windows 10“ funkcijos supaprastina aptarnaujančio personalo patirčių valdymą, palaikydamos užrakintus vienos paskirties įrenginius su „Windows Assigned Access“ ir automatizuotą diegimą su „Windows AutoPilot“.

Galiausiai – suprantame, kad svarbu suteikti aptarnaujančiam personalui supaprastintus ir saugius įrenginius, maksimaliai sumažinančius bendrąsias išlaidas, susijusias su tų įrenginių nuosavybe. Šiandien skelbiame apie naujus komercinius įrenginius su „Windows 10 S“ iš mūsų OĮG partnerių HP, „Lenovo“ ir „Acer“. Kainuojantys vos nuo 275 USD, šie įrenginiai turi debesų technologijos pagrindu veikiančias tapatybės ir valdymo funkcijas ir idealiai tinka naudoti aptarnavimo aplinkoje.

Nepaprastai džiaugiamės galimybe suteikti aptarnaujantiems darbuotojams daugiau galimybių ir tai tik pradžia!

Norėdami sužinoti daugiau apie mūsų viziją, apsilankykite mūsų naujajame „Firstline Worker“ puslapyje ir peržiūrėkite toliau pateiktą lentelę, kurioje nurodyta, kas įtraukta į „Microsoft 365 F1“.

– Bryan Goode

The post Su „Microsoft 365“ – visi darbuotojai džiaugiasi appeared first on Microsoft 365 Blog.