Sveiki, draugi,

man ir prieks par šodienas jaunumiem! Mēs tikko ieslēdzām iespēju droši pierakstīties ar jūsu Microsoft kontu, izmantojot standartiem atbilstīgu ar FIDO2 saderīgu ierīci — bez lietotājvārda vai paroles! FIDO2 sniedz lietotājiem iespēju izmantot standartiem atbilstīgas ierīces, lai veiktu vienkāršu autentifikāciju tiešsaistes pakalpojumos, gan datora, gan mobilajā vidē. Šī iespēja jau šobrīd ir pieejama ASV, un tā būs pieejama visā pasaulē tuvāko nedēļu laikā.

Šāda ērtas lietošanas, drošības un plaša nozares atbalsta kombinācija ieviesīs būtiskas pārmaiņas gan mājas lietošanā, gan mūsdienīgās darba vietās. Katru mēnesi vairāk nekā 800 miljoni cilvēku izmanto Microsoft kontu, lai radītu, sazinātos un koplietotu no jebkuras atrašanās vietas programmā Outlook, sistēmā Office, pakalpojumā OneDrive, Bing, Skype un Xbox Live, gan darba vajadzībām, gan izklaidei. Tagad visi šie cilvēki var izmantot šo ērto lietošanas pieredzi un ievērojami uzlaboto drošību.

Sākot no šodienas, varat izmantot FIDO2 ierīci vai Windows Hello, lai pierakstītos savā Microsoft kontā, izmantojot pārlūkprogrammu Microsoft Edge.

Noskatieties šo īso video, kurā parādīts, kā tas darbojas.

Microsoft vēlas izskaust paroles un palīdzēt cilvēkiem aizsargāt viņu datus pret apdraudējumiem. Mēs esam Fast Identity Online (FIDO) Alliance un World Wide Web Consortium (W3C) asociāciju dalībnieks, tāpēc sadarbojamies ar citiem, lai radītu atvērtus standartus nākamās paaudzes autentifikācijai. Microsoft ir pirmais Fortune 500 sarakstā iekļautais uzņēmums, kas atbalsta autentifikāciju bez paroles, izmantojot WebAuthn un FIDO2 specifikācijas, un Microsoft Edge atbalsta visplašāko autentifikācijas līdzekļu klāstu, salīdzinot ar citām populārākajām pārlūkprogrammām.

Ja vēlaties uzzināt papildinformāciju par to, kā tas notiek un kā sākt darbu, lasiet tālāk.

Darba sākšana

Lai pierakstītos savā Microsoft kontā, izmantojot FIDO2 drošības atslēgu:

1. Ja vēl neesat to izdarījis, pārliecinieties, vai esat atjauninājis Windows 10 ar 2018. gada oktobra atjauninājumu.
2. Dodieties uz Microsoft konta lapu pārlūkprogrammā Microsoft Edge un pierakstieties kā parasti.
3. Atlasiet Drošība > Papildu drošības opcijas un sadaļā Windows Hello un drošības atslēgas redzami norādījumi par drošības atslēgas iestatīšanu. (Drošības atslēgu varat iegādāties pie kāda no mūsu partneriem, tostarp Yubico un Feitian Technologies, kas atbalsta FIDO2 standartu.*)
4. Nākamreiz, kad pierakstāties, varat noklikšķināt uz Papildu opcijas > Izmantot drošības atslēgu, vai arī ierakstīt savu lietotājvārdu. Šajā brīdī jums būs jāizmanto drošības atslēga, lai pierakstītos.

Atgādinām arī, kā pierakstīties Microsoft kontā, izmantojot Windows Hello:

1. Pārliecinieties, vai esat atjauninājis Windows 10 ar 2018. gada oktobra atjauninājumu.
2. Ja vēl neesat to izdarījis, jums būs jāiestata Windows Hello. Ja esat iestatījis Windows Hello, viss kārtībā!
3. Nākamreiz, kad pierakstāties pārlūkprogrammā Microsoft Edge, varat noklikšķināt uz Papildu opcijas > Izmantot Windows Hello vai drošības atslēgu, vai arī ierakstīt savu lietotājvārdu. Šajā brīdī jums būs jāizmanto Windows Hello vai drošības atslēga, lai pierakstītos.

Ja jums nepieciešama papildu palīdzība, skatiet mūsu detalizētas palīdzības rakstu par to, kā veikt iestatīšanu.

*FIDO2 specifikācijā ir pieejami vairāki papildu līdzekļi, kurus uzskatām par būtiskiem drošībai, tāpēc darbosies tikai tās atslēgas, kurās ir ieviesti šie līdzekļi. Lai uzzinātu vairāk, lasiet rakstu Kas ir ar Microsoft saderīga drošības atslēga?.

Kā tas darbojas?

Mēs ieviesām WebAuthn un FIDO2 CTAP2 specifikācijas mūsu pakalpojumos, lai to īstenotu.

Atšķirībā no parolēm, FIDO2 aizsargā lietotāja akreditācijas datus, izmantojot publisko/privāto atslēgu šifrēšanu. Kad izveidojat un reģistrējat FIDO2 akreditācijas datus, ierīce (dators vai FIDO2 ierīce) ģenerē privātu un publisku atslēgu jūsu ierīcē. Privātā atslēga ierīcē tiek glabāta droši ierīcē, un to var izmantot tikai tad, kad tā ir atbloķēta, izmantojot vietējo žestu līdzekli, piemēram, biometrisko autentifikāciju vai PIN. Ņemiet vērā, ka biometriskā autentifikācija vai PIN vienmēr tiek saglabāta ierīcē. Kamēr privātā atslēga tiek saglabāta, publiskā atslēga tiek nosūtīta uz Microsoft konta sistēmu mākonī un reģistrēta ar lietotāja kontu.

Pierakstoties vēlāk, Microsoft konta sistēma nodrošina vienreizēju kodu jūsu datorā vai FIDO2 ierīcē. Jūsu dators vai ierīce pēc tam izmanto privāto atslēgu, lai parakstītu vienreizējo kodu. Parakstītais vienreizējais kods un metadati tiek nosūtīti atpakaļ Microsoft konta sistēmā, kur tiek verificēti, izmantojot publisko atslēgu. Parakstītie metadati, kā norādīts WebAuthn un FIDO2 specifikācijās, sniedz informāciju, piemēram, par lietotāja klātbūtni, un verificē autentifikāciju, izmantojot lokālo žestu līdzekli. Šie rekvizīti padara autentifikāciju ar Windows Hello un FIDO2 ierīcēm aizsargātu pret ļaunprogrammatūras veiktu pikšķerēšanu vai zādzību.

Kā tas ir ieviests Windows Hello un FIDO2 ierīcēs? Atkarībā no jūsu Windows 10 ierīces iespējām, jums ir vai nu iebūvēts drošais anklāvs, kas tiek dēvēts par aparatūrai uzticamu platformas moduli (TPM – Trusted Platform Module) vai programmatūras TPM. TPM saglabā privāto atslēgu, kuras atbloķēšanai nepieciešama jūsu seja, pirkstu nospiedums vai PIN. Līdzīgi FIDO2 ierīce, tāpat kā drošības atslēga, ir ārēja neliela ierīce ar savu iebūvēto drošo anklāvu, kas saglabā privāto atslēgu, un ir nepieciešama biometriskā autentifikācija vai PIN, lai to atbloķētu. Abi varianti piedāvā divfaktoru autentifikāciju vienā darbībā, un ir nepieciešama gan reģistrēta ierīce, gan biometriskā autentifikācija vai PIN, lai sekmīgi pierakstītos.

Lasiet šo emuāra rakstu par mūsu identitātes standartiem, kur aprakstīta visa tehniskā informācija par ieviešanu.

Turpmākie jaunumi

Mēs plānojam izlaist daudzus lieliskus uzlabojumus, lai samazinātu un pilnībā izskaustu paroļu izmantošanu. Pašreiz mēs strādājam pie identiskas pierakstīšanās pieredzes pārlūkprogrammā, izmantojot drošības atslēgas darba un mācību kontiem pakalpojumā Azure Active Directory. Uzņēmumu klientiem būs pieejams šī līdzekļa priekšskatījums nākamā gada sākumā, un viņi varēs sniegt iespēju saviem darbiniekiem iestatīt savas drošības atslēgas viņu kontos, lai pierakstītos sistēmā Windows 10 un mākonī.

Tā kā arvien lielāks skaits pārlūkprogrammu un platformu atbalsta WebAuthn un FIDO2 standartus, pierakstīšanās bez paroles — šodien pieejama pārlūkprogrammā Microsoft Edge un sistēmā Windows —, cerams, būs pieejama visiem un visā pasaulē!

Sekojiet līdzi jaunākajai informācijai nākamā gada sākumā!

Cieņā
Alekss Simonss (Alex Simons) (@Twitter: @Alex_A_Simons)
Programmu pārvaldības nodaļa
Microsoft Identity Division

The post Droša pierakstīšanās bez paroles jūsu Microsoft kontā, izmantojot drošības atslēgu vai Windows Hello appeared first on Microsoft 365 Blog.

Katru dienu ikviens Microsoft Identity Division darbinieks ierodas darbā, lai palīdzētu jums, mūsu klientiem, uzlabot savu darbinieku, partneru un klientu darba produktivitāti un atvieglotu jums drošu piekļuves uzņēmuma resursiem pārvaldību.

Biju ļoti sajūsmināts, kad uzzināju, ka korporācija Microsoft ir saņēmusi apbalvojumu 2018 Gartner Peer Insights Customers’ Choice for Access Management, Worldwide.

Savā paziņojumā Gartner paskaidroja: “Apbalvojums Gartner Peer Insights Customers’ Choice ir šajā sektorā darbojošos piegādātāju apbalvojums, kas tiek piešķirts, vadoties pēc apstiprinātu galalietotāju profesionāļu viedokļa un ņemot vērā atsauksmju skaitu un vispārējos lietotāju vērtējumus.” Lai nodrošinātu novērtēšanas taisnīgumu, Gartner uztur stingrus kritērijus, lai tiktu izvēlēti piegādātāji ar augstu klientu apmierinātības līmeni.

Šīs atzinības saņemšana ir neticami enerģizējoša. Tas ir spēcīgs apliecinājums tam, ka pozitīvi ietekmējam mūsu klientus, kuri augstu vērtē jaunievedumus, kurus šogad pievienojām Azure Active Directory (Azure AD).

Lai saņemtu šo atzinību, piegādātājam jābūt vismaz 50 publicētām atsauksmēm ar vidējo novērtējumu 4,2 zvaigznītes vai augstāku.

Tālāk ir sniegti daži citāti no mūsu klientiem rakstītajām atsauksmēm.

“Azure AD ātri kļūst par vienīgo nepieciešamo risinājumu vairumam mūsu identitātes un piekļuves problēmu.”
—Transporta nozares uzņēmuma drošības arhitekts. Lasīt visu atsauksmi.

“Azure Active Directory strauji kļūst par plaši pieejamu un universālu direktoriju pakalpojumu.”
— Galvenais tehnoloģiju speciālists pakalpojumu nozarē. Lasīt visu atsauksmi.

“[Microsoft] ir lielisks partneris tāda identitātes risinājuma ieviešanā, kas atbilst visu mūsu aģentūru vajadzībām un nodrošina ceļvedi, lai mēs varētu turpināt virzīties uz priekšu ar SSO un mantoto un no jauna izveidoto lietojumprogrammu integrāciju. Mēs arī varējām noteikt standartu attiecībā uz mūsu SaaS programmas autentifikāciju un piekļuvi.”
— Tehnoloģiju direktors valsts pārvaldes nozarē. Lasīt visu atsauksmi.

Izlasiet vēl citas korporācijai Microsoft paredzētās atsauksmes.

Pašlaik vairāk nekā 90 000 organizācijas 89 valstīs izmanto Azure AD Premium un mēs pārvaldām vairāk nekā astoņus miljardus autentifikāciju dienā. Mūsu tehniskā grupa darbojas visu diennakti, lai nodrošinātu augsta līmeņa uzticamību, mērogojamība un apmierinātību ar mūsu pakalpojumu, un mūs ļoti motivē fakts, ka esam saņēmuši mūsu klientu atzinību. Ir aizraujoši redzēt lieliskos veidus, kā daudzi mūsu klienti izmanto mūsu identitātes pakalpojumu iespējas.

Visas Azure AD darba grupas vārdā vēlos teikt pateikties visiem mūsu klientiem par šo atzinību! Nākotnē darīsim visu iespējamo, lai vēl vairāk nostiprinātu pieredzi un uzticēšanos, kas nodrošināja mums apbalvojumu Customers’ Choice.

Gartner Peer Insights Customers’ Choice logotips ir preču zīme un pakalpojumu zīme, kas pieder uzņēmumam Gartner, Inc. vai tā filiālēm un šajā rakstā ir izmantota ar atbilstošu atļauju. Visas tiesības paturētas. Apbalvojums Gartner Peer Insights Customers’ Choice tiek piešķirts, vadoties pēc atsevišķu galalietotāju subjektīvajiem viedokļiem, kuru pamatā ir to lietotāja pieredze, Gartner Peer Insights publicēto atsauksmju skaita un attiecīgā piegādātāja vispārīgā reitinga tirgū, kā tālāk izklāstīts šajā rakstā, un nekādā veidā neatspoguļo Gartner vai tā sadarbības partneru uzskatus.

Cieņā

Alekss Simonss (Alex Simons) (@Twitter: @Alex_A_Simons)
Korporatīvais viceprezidents, programmu pārvaldības nodaļa
Microsoft Identity Division

The post Korporācija Microsoft ir saņēmusi apbalvojumu 2018 Gartner Peer Insights Customers’ Choice for Access Management appeared first on Microsoft 365 Blog.

Vēlos jums pavēstīt lieliskus jaunumus! Jau otro gadu pēc kārtas korporācija Microsoft ieņem līdera vietu Gartner pārskatā un ir iekļauta 2018. gada pārskata Magic Quadrant for Access Management, Worldwide sadaļā Leaders Quadrant, pateicoties mūsu pilnīgajai vīzijai un spējām rīkoties piekļuves pārvaldības tirgū. Detalizētāku informāciju skatiet pārskata kopijā šeit.

Vadoties pēc Gartner norādītā, līderiem piemīt spējas rīkoties atbilstoši paredzamajām prasībām attiecībā uz tehnoloģiju, metodoloģiju un piegādes veidiem. Līderu darbībā arī ir redzams liecības par lomu, kāda piemīt piekļuves pārvaldībai saistītu vai tuvu produktu piedāvājumu apkopojumos.

Tālejošākā vīzija pārskatā Leaders Quadrant

Jau otru gadu pēc kārtas korporācija Microsoft ieņem vadošo vietu pārskatā Leaders Quadrant nākotnes vīzijas pilnīguma jomā. Mēs uzskatām, ka mūsu kāpums izpildes jomā arī parāda, cik svarīgi mums ir rīkoties atbilstoši stratēģijai, kas var palīdzēt organizācijām to pašreizējā situācijā un sagatavot tās identitātes nepieciešamībām nākotnē.

Korporācijā Microsoft mēs uzskatām, ka nosacītās piekļuves politikas un pretdraudu aizsardzība attiecībā uz identitātēm ir kritiski svarīgas iespējas pasaules līmeņa identitātes un piekļuves pārvaldības risinājumu nodrošināšanai. Mēs esam paveikuši lielu darbu, lai integrētu drošības politikas starp produktiem bagātīgajā ekosistēmā, ko veido Windows 10, Office 365 un EMS, nodrošinot pilnīgu lietotāju iespēju pārredzamību un kontroli. Mēs arī ņēmām vērā šogad no klientiem saņemto informāciju un atsauksmes, lai uzlabotu lietošanas pieredzi un vēl vairāk atvieglotu visu identitāšu apkopošanu vienuviet. Mēs esam apņēmušies nodrošināt novatoriskus un visaptverošus identitātes un piekļuves pārvaldības risinājumus jūsu darbiniekiem, partneriem un klientiem.

Mēs nevarētu noturēt savas līdera pozīcijas bez mūsu klientu un partneru ieguldījuma un atbalsta. Paldies jums!

Cieņā

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

Svarīga piezīme:

Gartner, Inc. publicēja šo grafiku kā daļu no lielāka izpētes dokumenta un tas ir jāizvērtē visa dokumenta kontekstā. Gartner dokuments ir pēc pieprasījuma pieejams no Microsoft.

Gartner neapstiprina nevienu pārdevēju, produktu vai pakalpojumu, kas minēts tā jaunākajos publicētajos pētījumos, kā arī neiesaka tehnoloģiju lietotājiem izvēlēties pārdevējus tikai to augstā novērtējuma vai cita statusa dēļ. Gartner publicētie pētījumi atspoguļo tikai Gartner pētniecības organizācijas viedokli, kuru nedrīkst uzskatīt par faktiem. Gartner atsakās no jebkādām garantijām — gan tiešām, gan netiešām — attiecībā uz šo pētījumu, ieskaitot jebkādas garantijas attiecībā uz piemērotību pārdošanai vai atbilstību noteiktam mērķim.

The post Vīzija un izpilde: korporācija Microsoft atkal ir ieņēmusi līdera vietu pārskatā Gartner MQ for Access Management appeared first on Microsoft 365 Blog.

kopš sākām izmantot paroles, citi cilvēki vienmēr ir mēģinājuši tās uzminēt. Šajā emuārā aplūkosim bieži sastopamu uzbrukumu, kas pēdējā laikā tiek īstenots arvien biežāk, kā arī dažas labākās prakses aizsardzībai pret to. Šis uzbrukums parasti tiek dēvēts par paroles šalti.

Paroles šalts uzbrukumā ļaundari izmēģina visbiežāk lietotās paroles daudziem dažādiem kontiem un pakalpojumiem, lai piekļūtu visiem atrastajiem ar paroli aizsargātajiem līdzekļiem. Mērķis parasti ir daudzas dažādas organizācijas un identitātes nodrošinātāji. Piemēram, uzbrucējs izmanto plaši pieejamu rīkkopu, piemēram, Mailsniper, lai uzskaitītu visus lietotājus vairākās organizācijās, un pēc tam izmēģina “P@$$w0rd” un “Password1” visiem šiem kontiem. Uzbrukums var izskatīties šādi.

Šis uzbrukuma modelis nav konstatējams vairumam atklāšanas metožu, jo no atsevišķa lietotāja vai uzņēmuma skatupunkta šis uzbrukumu izskatās tikai kā atsevišķa nesekmīga pieteikšanās.

Uzbrucējiem tā ir veiksmes spēle — viņi zina, ka dažas paroles tiek lietotas ļoti bieži. Pat tad, ja šīs bieži lietotās paroles tiek izmantotas tikai 0,5-1,0% kontu, uzbrucēji gūs veiksmes dažos gadījumos no katriem tūkstoš uzbrukumiem un tas ir pietiekami, lai šī taktika būtu efektīva.

Viņi izmanto šos kontus, lai iegūtu datus no e-pasta ziņojumiem, ievāktu kontaktinformāciju un nosūtītu pikšķerēšanas saites, kā arī, lai paplašinātu parlesu šalts mērķa grupu. Uzbrucējiem nav īpaši svarīgi, kas ir šie sākotnējie mērķi — ir svarīgi tikai tas, ka tiek gūti panākumi, kurus var izmantot.

Labā ziņa ir tas, ka korporācija Microsoft ir jau ieviesusi un darījusi pieejamus vairākus rīkus aizsardzībai pret šiem uzbrukumiem un drīzumā ir gaidāmi jauni rīki. Turpiniet lasīt, lai uzzinātu, ko varat darīt tūlīt un turpmākajos mēnešos, lai apturētu paroles šalts uzbrukumus.

Četras vienkāršās darbības aizsardzībai pret paroles šalts uzbrukumiem

1. darbība. Mākoņa autentifikācijas izmantošana

Mākonī mēs redzam miljardiem pierakstīšanās Microsoft sistēmās gadījumu katru dienu. Mūsu drošības noteikšanas algoritmu ļauj mums konstatēt un bloķēt uzbrukumus to notikšanas laikā. Tā kā šīs ir reāllaika noteikšanas un aizsardzības sistēmas, kas tiek darbinātas no mākoņa, tās ir pieejami tikai tad, ja tiek veikta Azure AD autentifikācija mākonī (tostarp tranzīta autentifikācija).

Smart Lockout

Mākonī, mēs izmantojam līdzekli Smart Lockout, lai pierakstīšanās mēģinājumus, kas šķiet esam no sankcionētajiem lietotājiem, atšķirtu no pierakstīšanās mēģinājumiem, kurus, iespējams, veic uzbrucējs. Mēs varam bloķēt uzbrucēju, vienlaikus ļaujot sankcionētajiem lietotājiem turpināt izmantot kontu. Tas novērš pakalpojumatteici lietotājam un aptur paroles šalts uzbrukumus. Tas attiecas uz visiem Azure AD pierakstīšanās gadījumiem neatkarīgi no licences līmeņa, kā arī uz visiem Microsoft konta pierakstīšanās gadījumiem.

Nomnieki, kas izmanto Active Directory federācijas pakalpojumu (ADFS), var izmantot viedo lokauts tieši ADFS sistēmā Windows Server 2016, sākot no 2018. gada marta — šī iespēja tiek nodrošināta, izmantojot Windows Update.

IP bloķēšana

IP bloķēšana darbojas, analizējot šos miljardus pierakstīšanās gadījumu, lai novērtētu trafika kvalitāti no katras IP adreses, kas mēģina pieslēgties Microsoft sistēmām. Izmantojot šo analīzi, IP bloķēšana atrod IP adreses, kas rīkojas ļaunprātīgi, un bloķē šos pierakstīšanās gadījumus reāllaikā.

Uzbrukumu simulācijas

Tagad publiskajā priekšskatījumā pieejamais uzbrukumu simulators, kas ir daļa no Office 365 Threat Intelligence, ļauj klientiem palaist simulētus uzbrukumus saviem galalietotājiem, noteikt, kā lietotāji rīkojas uzbrukuma gadījumā, kā arī atjaunināt politikas un nodrošināt, lai tiktu izmantoti atbilstoši drošības rīki organizācijas aizsardzībai pret apdraudējumu, piemēram, paroles šalts uzbrukumiem.

Lietas, kuras iesakām veikt nekavējoties

1. Ja izmantojat mākoņa autentifikāciju, jums nav jāuztraucas
2. Ja izmantojot ADFS vai citu hibrīdu scenāriju, meklējiet 2018. gada marta ADFS jauninājumu attiecībā uz Smart Lockout
3. Izmantojiet uzbrukumu simulatoru, lai proaktīvi novērtētu savu drošības situāciju un veiktu korekcijas

2. darbība. Daudzfaktoru autentifikācijas izmantošana

Paroles ir atslēga, ar kuru var piekļūt kontam, bet sekmīgā paroles šalts uzbrukumā uzbrucējs uzmin pareizo paroli. Lai to nepieļautu, ir jāizmanto kaut kas vairāk, nevis tikai parole, lai atšķirtu konta īpašnieku no uzbrucēja. Tālāk ir izklāstīti trīs veidi, kā to paveikt.

Uz riska balstītas daudzfaktoru autentifikācijas izmantošana

Azure AD Identity Protection izmanto iepriekšminētos pieteikšanās datus un pievieno sarežģītu algoritmisko mācīšanos un algoritmisko noteikšanu, lai novērtētu risku attiecībā uz katru pierakstīšanās sistēmā gadījumu. Tādējādi uzņēmumu klienti var izveidot politikas produktā Identity Protection, kas lietotājam prasa autentifikāciju, izmantojot otru faktoru, tikai tad, ja konkrētajam lietotājam vai sesijai ir konstatēts risks. Tas samazina slodzi lietotājiem un liedz rīkoties ļaundariem. Papildinformācija par Azure AD Identity Protection ir atrodama šeit.

Vienmēr ieslēgta daudzfaktoru autentifikācija

Lai nodrošinātu papildu drošību, varat izmantot Azure MFA, lai saviem lietotājiem vienmēr pieprasītu daudzfaktoru autentifikāciju, gan mākoņa autentifikācijā, gan ADFS. Kaut arī ir nepieciešams, lai lietotājiem vienmēr būtu viņu ierīces un tie biežāk veiktu daudzfaktoru autentifikāciju, tādējādi uzņēmumam tiek nodrošināta visaugstākā līmeņa drošība. Tai ir jābūt iespējotai visiem organizācijas administratoriem. Uzziniet vairāk par Azure daudzfaktoru autentifikāciju šeit, kā arī par Azure MFA ADFS konfigurēšanu.

Azure MFA kā primārā autentifikācija

Produktā ADFS 2016 jums ir iespēja izmantotAzure MFA kā primāro autentifikāciju bez paroles. Tas ir lielisks rīks, lai nodrošinātu aizsardzību pret paroles šalts un paroles zādzību uzbrukumiem — ja paroles nav, to nevar uzminēt. Tas lieliski noder visu veidu ierīcēm ar dažādiem formas faktoriem. Turklāt tagad varat izmantot paroli kā otru faktoru tikai tad, jūsu OTP ir validēts, izmantojot Azure MFA. Papildinformācija par paroles izmantošanu kā otru faktoru ir atrodama šeit.

Lietas, kuras iesakām veikt nekavējoties

1. Mēs iesakām vienmēr iespējot daudzfaktoru autentifikāciju visiem administratoriem savā organizācijā, it īpaši abonementu īpašniekiem un nomnieku administratoriem. Tiešām, izdariet to tūlīt.
2. Lai nodrošinātu vislabāko pieredzi saviem pārējiem lietotājiem, iesakām uz risku balstītu daudzfaktoru autentifikāciju, kas ir pieejam ar Azure AD Premium P2 licencēm.
3. Pretējā gadījumā izmantojiet Azure MFA mākoņa autentifikācijai un ADFS.
4. Produktā ADFS veiciet jaunināšanu uz ADFS sistēmā Windows Server 2016, lai izmantotu Azure MFA kā primāro autentifikāciju, it īpaši ārtīkla piekļuvei.

3. darbība. Labākas paroles visiem lietotājiem

Arī tad, ja ir veikts viss iepriekšminētais, nozīmīgs aizsardzības pret paroles šalts uzbrukumu komponents ir nodrošināšana, lai visu lietotāju paroles būtu grūti uzminamas. Lietotājiem bieži vien ir sarežģīti izveidot grūti uzminamas paroles. Microsoft palīdz to paveikt, nodrošinot šos rīkus.

Aizliegtās paroles

Pakalpojumā Azure AD katram paroles maiņas un atiestatīšanas gadījumam tiek veikta aizliegto paroļu pārbaude. Kad tiek iesniegta jauna parole, tā tiek aptuveni salīdzināta ar vārdiem, kas ietilpst parolēm nederīgo vārdu sarakstā (un izmaiņas vārdu pareizrakstībā šeit nepalīdz). Ja tiek konstatēta atbilstība, parole tiek noraidīta un lietotājam tiek lūgts izvēlēties grūtāk uzminamu paroli. Mēs veidojam bieži uzbrukumos izmantoto paroļu sarakstu un bieži to atjauninām.

Pielāgotas aizliegtās paroles

Lai vēl vairāk uzlabotu aizliegto paroļu izmantošanas nepieļaušanu, mēs nomniekiem atļausim pielāgot savus aizliegto paroļu sarakstus. Administratori var izvēlēties uzņēmumam raksturīgus vārdus, piemēram, slavenus darbiniekus un uzņēmuma dibinātājus, produktus, atrašanās vietas, reģionāli specifiskus vārdus u.c., lai nepieļautu to izmantošanu lietotāju parolēs. Šis saraksts tiks ieviests papildus globālajam sarakstam un nebūs jāizvēlas viens no tiem. Tas pašreiz ir ierobežotajā priekšskatījumā un tiks ieviests šajā gadā.

Aizliegtās paroles lokālām izmaiņām

Šajā pavasarī mēs izlaižam rīku, kas ļaus uzņēmuma administratoriem aizliegt paroles hibrīdās Azure AD Active Directory vidēs. Aizliegto paroļu saraksti tiks no mākoņa sinhronizēti ar jūsu lokālo vidi un ieviesti katrā domēna kontrollerī ar attiecīgo aģentu. Tas palīdz administratoriem nodrošināt, lai lietotāju paroles būtu grūtāk uzminamas neatkarīgi no tā, kur lietotājs maina savu paroli — mākonī vai lokāli. Šis rīks 2018. gada februārī tikai izlaists ierobežotā privātā priekšskatījumā un šogad kļūs vispārīgi pieejams.

Mainiet savus uzskatus par parolēm

Daudzi bieži sastopami pieņēmumi par labu paroļu izveidošanu nav pareizi. Parasti metodes, kurām vajadzētu palīdzēt gūt vēlamos rezultātus, realitātē izraisa paredzamu lietotāju rīcību — piemēram, noteiktu rakstzīmju veidu un periodiskas paroles nomaiņas pieprasīšana izraisa specifisku paroles modeļu rašanos. Detalizētāku informāciju lasiet mūsu norādījumu par parolēm tehniskajā dokumentā. Ja izmantojat Active Directory ar PTA vai ADFS, atjauniniet savas paroļu politikas. Ja izmantojat mākoni pārvaldītus kontus, apsveriet iespēju iestatīt nebeidzamu paroļu derīguma termiņu.

Lietas, kuras iesakām veikt nekavējoties

1. Kad tiks izlaists Microsoft aizliegto paroļu rīks, instalējiet to lokāli, lai palīdzētu lietotājiem izveidot labākas paroles.
2. Pārskatiet savas paroļu politikas un apsveriet iespēju iestatīt derīguma termiņu, kas nekad nebeidzas, lai jūsu lietotāji neizmantotu sezonālus modeļus paroļu izveidei.

4. darbība. Citi izcili Active Directory un ADFS līdzekļi

Ja izmantojat hibrīdu autentifikāciju ar ADFS un Active Directory, ir vēl citas darbības, kuras varat veikt, lai izsargātu savu vidi pret paroles šalts uzbrukumiem.

Vispirms: organizācijām, kurās tiek izmantota sistēma Windows Server 2012 vai ADFS 2.0, ir jāplāno pāriešana uz ADFS sistēmā Windows Server 2016 pēc iespējas drīzāk. Jaunākā versija tiks ātrāk atjaunināta ar bagātīgāku iespēju klāstu, piemēram, ārtīkla lokautu. Un ņemiet vērā: mēs esam ļoti atvieglojuši jaunināšanu no Windows Server 2012R2 uz 2016.

Mantotas autentifikācijas no ārtīkla bloķēšana

Mantotajiem autentifikācijas protokoliem nav iespēju ieviest MFA un tādēļ vislabākā metode ir bloķēt tos no ārtīkla. Tas neļaus paroles šalts uzbrucējiem izmantot MFA trūkumu šajos protokolos.

ADFS tīmekļa lietojumprogrammas starpniekservera ārtīkla lokauta iespējošana

Ja ADFS tīmekļa lietojumprogrammas starpniekserverī nav iestatīts ārtīkla lokauts, ir ieteicams to iespējot pēc iespējas ātrāk, lai lietotājiem nodrošinātu aizsardzību pret iespējamo paroles pārlases uzbrukumu.

Azure Active Directory Connect Health izvietošana ADFS

Azure AD Connect Health tver IP adreses, kas reģistrētas ADFS žurnālos attiecībā uz nederīgiem lietotājvārda/paroles pieprasījumiem, nodrošina papildu uzrādīšanu dažādos scenārijos un sniedz papildu ieskatus atbalsta inženieriem, atverot ar palīdzību saņemama atbalsta gadījumus.

Lai izvietotu, lejupielādējiet jaunāko Azure AD Connect Health Agent for ADFS versiju visos ADFS serveros (2.6.491.0). ADFS serveros jādarbojas sistēmai Windows Server 2012 R2 ar instalētu KB 3134222 vai Windows Server 2016.

Piekļuves metožu bez paroles izmantošana

Ja paroles nav, to nevar uzminēt. Šīs autentifikācijas metodes bez paroles ir pieejamas ADFS un tīmekļa lietojumprogrammas starpniekserverim:

1. Autentifikācija, kas izmanto sertifikātu, ļauj ugunsmūrī pilnībā bloķēt lietotājvārda/paroles galapunktus. Papildinformācija par sertifikātu izmantošanu autentifikācijai pakalpojumā ADFS
2. Azure MFA, kā minēts iepriekš, var izmantot kā otru faktoru mākoņa autentifikācijā, kā arī ADFS 2012 R2 un 2016. Bet to arī var izmantot kā primāro faktoru ADFS 2016, lai pilnībā likvidētu paroļu šalts iespējamību. Informācija par Azure MFA konfigurēšanu ar ADFS ir pieejama šeit
3. Windows Hello uzņēmumiem ir pieejams sistēmā Windows 10 un tam atbalstu nodrošina ADFS sistēmā Windows Server 2016. Tas iespējo piekļuvi pilnībā bez paroles, tostarp arī no ārtīkla, izmantojot stipras kriptogrāfiskās atslēgas, kas piesaistītas lietotājam un ierīcei. Tas ir pieejams uzņēmuma pārvaldītām ierīcēm, kas pievienotas Azure AD vai hibrīdam Azure AD, kā arī personiskām ierīcēm, izmantojot opciju Pievienot darba vai mācību kontu iestatījumu programmā. Iegūstiet papildinformāciju par Hello darbam.

Lietas, kuras iesakām veikt nekavējoties

1. Jaunināšana uz ADFS 2016 ātrākai atjaunināšanai
2. Mantotas autentifikācijas no ārtīkla bloķēšana.
3. Izvietojiet Azure AD Connect Health aģentus darbam ar ADFS visos savos ADFS serveros.
4. Apsveriet iespēju izmantot primāro autentifikācijas metodi bez paroles, piemēram, Azure MFA, sertifikātus vai Windows Hello darbam.

Papildus: Savu Microsoft kontu aizsardzība

Ja esat Microsoft konta lietotājs

• Lieliski — jūs jau esat aizsargāts! Microsoft kontiem arī tiek izmantots Smart Lockout, IP bloķēšana, uz risku balstīta divpakāpju verifikācija, aizliegtās paroles un citi līdzekļi.
• Bet veltiet pāris minūtes, lai dotos uz Microsoft konta drošības lapu, un izvēlieties Drošības informācijas atjaunināšana, lai pārskatītu savu drošības informāciju, kas tiek izmantota uz risku balstītai divpakāpju verifikācijai.
• Apsveriet iespēju pastāvīgi turēt ieslēgtu divpakāpju verifikāciju (to var paveikt šeit), lai kontam nodrošinātu pēc iespējas augstāka līmeņa drošību.

Vislabākā aizsardzība ir… šajā emuārā sniegto ieteikumu ievērošana

Paroles šalts ir nopietns apdraudējums visiem pakalpojumiem internetā, kas izmanto paroles, bet šajā emuārā norādīto darbību veikšana jums nodrošinās maksimālu aizsardzību pret šo uzbrukumu vektoru. Tā kā dažādu veidu uzbrukumiem ir līdzīgas iezīmes, šie ir vispārīgi ieteikumi efektīvas aizsardzības nodrošināšanai. Jūsu drošība vienmēr ir mūsu galvenā prioritāte un mēs pastāvīgi strādājam, lai izveidotu jaunus un efektīvus līdzekļus aizsardzībai pret paroles šalts un visu pārējo veidu uzbrukumiem. Izmantojiet iepriekšminētās iespējas un regulāri atgriezieties, lai uzzinātu par jauniem rīkiem aizsardzībai pret ļaundariem internetā.

Ceru, ka šī informācija ir jums noderīga. Kā vienmēr, mēs labprāt saņemsim jūsu atsauksmes un ieteikumus.

Cieņā

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

The post Azure AD un ADFS vislabākās prakses: aizsardzība pret paroles šalts uzbrukumiem appeared first on Microsoft 365 Blog.

Ceru, ka šīs dienas raksts jums šķitīs tikpat interesants, kā man. Tas sniegs patīkamu atpūtu jūsu prātam, un šeit iezīmēta aizraujoša vīzija par digitālo identitāšu nākotni.

Pēdējo 12 mēnešu laikā mēs esam veikuši ieguldījumus ideju kopas radīšanā par bloku ķēdes (un citu izplatītās virsgrāmatas tehnoloģiju) izmantošanu, lai izveidotu jaunus digitālās identitātes veidus, jaunu identitāšu izveide, lai uzlabotu personas konfidencialitāti, drošību un kontroli. Mūs ļoti iepriecina tas, ko esam uzzinājuši, kā arī jaunās partnerības, ko šajā procesā esam izveidojuši. Šodien mēs izmantojam iespēju dalīties savā domājumā un redzējumā ar jums. Šis emuārs ir daļa no sērijas un turpina Pegijas Džonsones (Peggy Johnson) emuāra ierakstu ar paziņojumu, ka Microsoft ir pievienojusies ID2020 iniciatīvai. Ja vēl neesat lasījuši Pegijas rakstu, iesaku to izlasīt vispirms.

Es lūdzu Ankuram Patelam (Ankur Patel), manas grupas projektu vadītājam uzsākt mūsu diskusiju par decentralizētām digitālajām identitātēm. Viņa raksta uzmanības centrā ir dažas galvenās mūsu iegūtās atziņas un principi, ko mēs izmantojam, lai turpinātu veikt ieguldījumus šajā jomā.

Kā vienmēr, mēs priecāsimies par jūsu domām un atsauksmēm.

Cieņā

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

———-

Sveiki, esmu Ankurs Patels no Microsoft Identity Division. Tā ir lieliska privilēģija dalīties ar jums dažos mūsu gūtajos atzinumos un turpmākajā virzībā, pamatojoties uz mūsu centieniem attīstīt decentralizētas identitātes, kuru pamatā ir bloku ķēdes un izplatītā virsgrāmata.

Mūsu redzējums

Kā daudzi no jums to piedzīvo savā ikdienā, pasaulē norit globālas digitālas pārmaiņas, arvien vairāk saplūstot digitālajai un fiziskajai realitātei un veidojot vienotu integrētu mūsdienīgu dzīvesstilu. Šajā jaunajā pasaulē ir nepieciešams jauns digitālās identitātes modelis, kas uzlabo individuālo privātumu un drošību fiziskajā un digitālajā pasaulē.

Microsoft mākoņa identitātes sistēmas jau šobrīd sniedz tūkstošiem izstrādātāju, organizāciju un miljardiem lietotāju iespēju strādāt, atpūsties un sasniegt vairāk. Taču mēs vēl varam darīt ļoti daudz, lai sniegtu visiem līdzvērtīgas iespējas. Mēs virzāmies pretī pasaulei, kurā miljardiem cilvēku, kas šobrīd dzīvo bez uzticamas identitātes, varēs beidzot īstenot mūsu kopīgos sapņus kā nodrošināt izglītību bērniem, uzlabot dzīves kvalitāti vai izveidot uzņēmumu.

Lai sasniegtu šo vīziju, mēs uzskatām, ka ir būtiski indivīdiem piešķirt īpašumtiesības un kontroli pār visiem viņu digitālās identitātes elementiem. Tā vietā, lai piešķirtu plašu piekrišanu neskaitāmām programmām un pakalpojumiem un izplatītu savus identitātes datus lielam skaitam pakalpojumu nodrošinātāju, indivīdiem nepieciešams drošs, šifrēts digitālais centrs, kur glabāt identitātes datus un viegli kontrolēt piekļuvi.

Katram no mums ir nepieciešama mums pašiem piederoša digitālā identitāte, kurā droši un privāti tiek glabāti visi mūsu digitālās identitātes elementi.  Šai privātajā īpašumā esošajai identitātei jābūt ērti lietojamai un jāsniedz mums pilnīga kontrole pār to, kā notiek piekļuve mūsu identitātes datiem un to izmantošana.

Mēs zinām, ka šādas pašpārvaldītas digitālās identitātes nodrošināšana ir ārpus viena uzņēmuma vai organizācijas iespējām. Mēs esam apņēmušies cieši sadarboties ar saviem klientiem, partneriem un kopienu, lai radītu nākamās paaudzes digitālās identitātes iespējas, un mēs labprāt veidojam partnerību ar daudziem nozares cilvēkiem, kuri sniedz izcilu ieguldījumu šajā jomā.

Ko esam uzzinājuši

Šodien dalīsimies ar mūsu vērtīgākajām atziņām, balstoties uz to, ko esam uzzinājuši savā decentralizētas indentitātes idejas inkubatorā, kas vērsts uz labākas pieredzes nodrošināšanu, uzticamības veicināšanu un domstarpību samazināšanu, vienlaikus ļaujot katrai personai kļūt par savas digitālās identitātes īpašnieku un pārvaldnieku.

1. Kļūstiet par savas identitātes īpašnieku un kontrolējiet to. Šodien lietotāji plaši piešķir savu piekrišanu neskaitāmām programmām un pakalpojumiem, kas vāc, izmanto un saglabā viņu datus ārpus lietotāju kontroles. Datu pārkāpumi un identitātes zādzības kļūst arvien sarežģītas un biežās, tāpēc lietotājiem ir nepieciešams veids, kā iegūt savas identitātes īpašumtiesības. Pēc decentralizētu krātuves sistēmu, vienošanās protokolu, bloku ķēžu un dažādu jauno standartu izpētes mēs uzskatām, ka bloku ķēdes tehnoloģija un protokoli ir lieliski piemēroti decentralizētas identitātes (Decentralized ID — DID) nodrošināšanai.
2. Iebūvēt privātums pēc noklusējuma.
   Šodien programmas, pakalpojumi un organizācijas nodrošina ērtu, paredzamu un pielāgotu lietošanas pieredzi, ko nosaka identitātei piesaistītu datu kontroli. Mums nepieciešams drošs šifrēts digitāls centrs (ID centri), kas var mijiedarboties ar lietotāja datiem un ievērot lietotāju privātumu un kontroli.
3. Uzticību izpelnās indivīdi, bet rada kopiena.
   Tradicionālās identitātes sistēmas lielākoties ir vērstas uz autentifikāciju un piekļuves pārvaldību. Privāta identitātes sistēma ļauj koncentrēties uz autentiskumu un uzticības izveidi kopienai. Decentralizētā sistēmā uzticības pamatā ir apstiprinājumi: pieprasījumi, ko apliecina citas identitātes — un tas palīdz apstiprināt indivīda identitāti.
4. Programmas un pakalpojumi, kuru centrā ir lietotājs.
   Dažas no populārākajām programmām un pakalpojumiem šodien piedāvā personalizētu pieredzi saviem lietotājiem, iegūstot piekļuvi lietotāja personas identificēšanas informācijai (PII). Decentralizētas identitātes un ID centri ļauj izstrādātājiem piekļūt precīzākai apliecinājumu kopai, vienlaikus samazinot juridiskos un atbilstības riskus, apstrādājot šādu informāciju, nevis kontrolējot to lietotāja vārdā.
5. Atvērts, sadarbspējīgs pamats.
   Lai izveidotu efektīvu, decentralizētu identitātes ekosistēmu, kas ir visiem pieejama, tās pamatā jābūt standartizētām atklātā pirmkoda tehnoloģijām, protokoliem un atsauksmju ieviešanai. Pēdējā gada laikā mēs piedalāmies decentralizētas identitātes nodibinājumā (Decentralized Identity Foundation — DIF) kopā ar līdzīgi motivētiem indivīdiem un organizācijām. Mēs kopīgi izstrādājam tālāk minētos galvenos komponentus:
   

• Decentralizēti identifikatori (DID) — W3C specifikācija, kas definē kopēju dokumentu formātu decentralizēta identifikatora stāvokļa aprakstīšanai
  
• Identitātes centri — šifrēta identitātes datu krātuve, kurā iekļauta ziņojumu/nolūku pārraide, apliecinājumu apstrāde un identitātei specifiski skaitļošanas galapunkti. 
  
• Universāls DID atrisinātājs — serveris, kas atrisina decentralizētas identitātes visās bloku ķēdēs 
  
• Apstiprināmi akreditācijas dati — W3C specifikācija, kas definē dokumentu formātu DID apliecinājumu kodēšanai.   
  

6. Gatavība pasaules mērogam:
   Lai atbalstītu milzīgo lietotāju, organizāciju un ierīču pasauli, pamatā esošajai tehnoloģijai jābūt tradicionālajām sistēmām līdzvērtīgai mērogošanas iespējai un veiktspējai. Dažas publiskās bloku ķēdes (piemēram, Bitcoin [BTC], Ethereum, Litecoin) nodrošina stabilu pamatu decentralizētu identitāšu saknēm, DPKI operāciju reģistrēšanai un apliecinājumu noenkurošanai. Lai gan dažām bloku ķēžu kopienām ir palielināta ķēdes transakciju kapacitāte (piemēram, bloku ķēde tiek palielināta), šāda pieeja parasti vājina tīkla decentralizāciju un nevar sasniegt miljoniem transakciju sekundē, ko sistēmai būtu jāģenerē pasaules mērogā. Lai pārvarētu šos tehnisko šķēršļus, mēs kopīgi strādājam pie decentralizētiem Layer 2 protokoliem, kas tiek izpildīti šajās publiskajās bloku ķēdēs, lai sasniegtu globālu mērogu, vienlaikus saglabājot pasaules klases DID sistēmas atribūtus.
   
7. Pieejamība visiem:
   Bloku ķēdes ekosistēmas joprojām lielākoties ir agrīnas ieviešanas stadijā, kuru radītāji ir apņēmīgi veltīt laiku, pūles un enerģiju, lai pārvaldītu atslēgas un aizsargātu ierīces. Mēs nevaram sagaidīt, ka ar to nodarbosies parasti cilvēki. Galvenie pārvaldības izaicinājumi, kas ietver atkopšanu, rotāciju un drošu piekļuvi, mums ir jāpadara intuitīvi un vienkārši.
   

Mūsu nākamie soļi

Jaunas sistēmas un lielas idejas bieži izklausās jēdzīgi tikai uz papīra. Viss saslēdzas, un pieņēmumi šķiet pamatoti. Tomēr produktu izstrādes un inženieru komandas mācās galvenokārt no praktiskās pieredzes.

Šodien programmu Microsoft Authenticator jau izmanto miljoniem cilvēku, lai apliecinātu savu identitāti katru dienu. Nākamais solis būs eksperiments ar decentralizētām identitātēm, pievienojot tām atbalstu programmā Microsoft Authenticator. Ar piekrišanu Microsoft Authenticator varēs darboties kā jūsu lietotāja aģents, lai pārvaldītu identitātes datus un šifrēšanas atslēgas. Šajā variantā tikai ID ir iesakņots ķēdē. Identitātes dati tiek glabāti ID centrā ārpus ķēdes (ko Microsoft neredz), un šis centrs ir šifrēts, izmantojot šīs šifrēšanas atslēgas.

Pēc šīs iespējas pievienošanas programmas un pakalpojumi varēs mijiedarboties ar lietotāju datiem, izmantojot bieži lietotu ziņojumapmaiņas darbību, pieprasot detalizētu piekrišanu. Sākotnēji mēs atbalstīsim atsevišķu decentralizētu identitāšu grupu bloku ķēdēs, un turpmāk visdrīzāk pievienosim jaunas.

Nākotnes plāni

Esam pagodināti un priecīgi pieņemt tik vērienīgu izaicinājumu, taču mēs apzināmies, ka to nevaram paveikt vienatnē. Mēs paļaujamies uz atbalstu un pienesumu no mūsu alianses partneriem, decentralizētas identitātes nodibinājuma biedriem un Microsoft plašo izstrādātāju, politiku veidotāju, biznesa partneru, aparatūras un programmatūras ražotāju ekosistēmu. Taču visvairāk mums nepieciešams jūsu, mūsu klientu atbalsts, lai sniegtu atsauksmes par pirmajiem mūsu testētajiem scenārijiem.

Šis ir mūsu pirmais raksts par mūsu darbu pie decentralizētas identitātes izveides. Turpmākajos rakstos dalīsimies ar informāciju par mūsu realizētajām koncepcijām, kā arī tehnisko informāciju par iepriekš minētajām galvenajām jomām.

Mēs aicinām jūs pievienoties šajā projektā!

Galvenie resursi:

• Sekojiet mūsu kontam @AzureAD tīklā Twitter
  
• Sazinieties ar decentralizētas identitātes nodibinājumu (DIF)
  
• Piedalieties W3C akreditācijas datu kopienas grupā
  

Cieņā

Ankurs Patels (Ankur Patel) (@_AnkurPatel)

Galvenais programmas vadītājs

Microsoft Identity Division

The post Decentralizētas digitālās identitātes un bloku ķēde: nākotne mūsu acīm appeared first on Microsoft 365 Blog.

Azure AD nosacījuma piekļuve (CA) ir uzņēmusi pilnus apgriezienus. Organizācijas visā pasaulē to izmanto, lai nodrošinātu drošu un atbilstīgu piekļuvi lietojumprogrammām. Katru mēnesi nosacījuma piekļuve tagad tiek izmantota vairāk nekā 10 tūkstošu organizāciju un vairāk nekā 10 miljonu aktīvo lietotāju aizsardzībai. Ir apbrīnojami redzēt, cik ātri mūsu klienti ir sākuši to izmantot.

Esam saņēmuši daudz atsauksmju nosacījuma piekļuves ietekmi uz lietotājiem. Tā kā tūlītēji ir pieejamas tik plašas iespējas, ir nepieciešams veids, kā uzzināt par nosacījuma piekļuves politiku ietekmi uz lietotāju dažādos pierakstīšanās apstākļos.

Mēs uzklausījām jūs un šodien ar prieku paziņoju, ka nosacījuma piekļuves rīks What If ir izlaists publiskajā priekšskatījumā. Rīks What If palīdz izprast politikas ietekmi uz lietotāja pierakstīšanos jūsu norādītajos apstākļos. Tā vietā, lai gaidītu lietotāja atsauksmes par notikušo, vienkārši varat izmantot rīku What If.

Darba sākšana

Vai esat gatavs sākt darboties ar šo rīku? Varat vienkārši veikt tālāk norādītās darbības.

• Dodieties uz Azure AD nosacījuma piekļuvi
• Noklikšķiniet uz What If

• Atlasiet pārbaudāmo lietotāju

• [Neobligāti] Pēc vajadzības atlasiet programmu, IP adresi, ierīču platformas, klienta lietojumprogrammu un pierakstīšanās risku.
• Noklikšķiniet uz What If un skatiet politikas, kas ietekmēs lietotāja pierakstīšanos.

Dažreiz jautājums, kuru mēģināt atbildēt, ir “Kāpēc ir politiku nevar lietot?”, nevis “Kādas politikas tiks lietotas?”. Šis rīks var jums palīdzēt arī šajā gadījumā. Pārejiet uz cilni “Politikas, kas netiks nelietas”, un varēsit skatīt politikas nosaukumu un iemeslu, kāpēc politika netiek lietota. Vai tas nav lieliski?

Vai vēlaties uzzināt vairāk par rīku What If?

Sniedziet mums savas atsauksmes.

Šis ir tikai sākums. Mēs jau strādājam, lai nodrošinātu vairāk jauninājumu šajā jomā. Kā vienmēr, mēs labprāt saņemsim jūsu atsauksmes un ieteikumus attiecībā uz šo priekšskatījumu, kā arī attiecībā uz Azure AD nosacījuma piekļuvi. Mēs pat esam izveidojuši īsu aptauju par rīku What If, kurā varat piedalīties.

Mēs vēlamies uzzināt jūsu domas!

Cieņā

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

The post Publiskais priekšskatījums: Rīks What If Azure AD nosacījuma piekļuves politikām appeared first on Microsoft 365 Blog.

Ja sekojat līdzi emuāram, jūs zināt, ka mēs atbalstām plašu iespēju klāstu, lai lokālu direktoriju vai IAM risinājumu savienotu ar Azure Active Directory. Patiesībā neviens nozarē nesniedz klientiem tik daudz iespēju, kā to darām mēs.

Nav nekāds pārsteigums, ka viens no visbiežāk man uzdotajiem jautājumiem ir par to, kuru iespēju es ieteiktu. Es vienmēr kavējos ar skaidras atbildes sniegšanu. Pēdējo 6 gadu laikā strādājot ar identitātēm, esmu sapratis, ka katra organizācija atšķiras un tām ir atšķirīgi mērķi un prasības attiecībā uz izvietošanas ātrumu, drošību, investīcijām, tīkla arhitektūru, korporatīvo kultūru, atbilstības prasībām un darba vidi. Tas ir viens no iemesliem, kāpēc mēs esam veikuši ieguldījumus, lai sniegtu jums izvēli iegūt savām vajadzībām atbilstošāko iespēju. (Protams, tas nenozīmē, ka man nav viedokļa — ja tā būtu mana organizācija, es noteikti izmantotu mūsu jaunās tranzīta autentifikācijas iespējas un Azure Active Directory Connect Sync.  Abi šie risinājumi ir ātri ieviešami, un to uzturēšana prasa mazas izmaksas. Taču tas ir tikai viena cilvēka viedoklis.)

Tā vietā, lai veltītu daudz laika satraukumam par to, ko es vai kāds cits jums iesaka, varbūt labāk aplūkosim, ko klienti reāli izmanto? Tā man šķiet labākā lieta, ar ko sākt.

Azure Active Directory Momentum

Sākumā daži skaitļi par Azure AD kopējo izmantošanu, lai jums būtu konteksts par tālāk sniegtajiem skaitļiem. Runājot par Azure AD kopumā, mēs joprojām redzam lielu to organizāciju skaita pieaugumu, kuras izmanto mūsu mākoņa identitātes pakalpojumus un veicina Azure AD Premium popularitāti.

Visvairāk mani iepriecina neticamais Azure Active Directory lietojuma pieaugums ar trešo pušu lietojumprogrammām. Katru mēnesi tiek izmantotas vairāk nekā 300 tūkstoši trešo pušu lietojumprogrammu, un milzīgs skaits organizāciju sāk izmantot Azure Active Directory kā savu mākoņa identitātes platformu.

Lietotāju sinhronizēšana ar Azure Active Directory

Lielākā daļa Azure AD nomnieku ir mazas organizācijas, kas neveic lokālā Active Directory sinhronizāciju ar Azure Active Directory. Lielākas organizācijas gandrīz vienmēr veic sinhronizāciju, un tās veido vairāk nekā 50% no 950 miljoniem lietotāju kontu pakalpojumā Azure Active Directory.

Šeit ir jaunākie dati par to, kā organizācijas sinhronizē lietotājus ar pakalpojumu Azure Active Directory:

• Vairāk nekā 180 tūkstoši nomnieku sinhronizē savu lokālo Windows Server Active Directory ar Azure Active Directory.
• Vairāk nekā 170 tūkstoši nomnieku šim nolūkam izmanto Azure AD Connect.
• Neliels klientu skaits izmanto citus risinājumus:
  • 7% izmanto mūsu mantotos rīkus DirSync vai Azure AD Sync.
  • 1,9% izmanto Microsoft Identity Manager vai Forefront Identity Manager.
  • Mazāk nekā 1% izmanto pielāgotu vai trešās puses risinājumu.

Autentificēšana, izmantojot Azure Active Directory

Pēdējā emuāra ierakstā par autentifikāciju es dalījos ar datiem, kuru pamatā bija autentifikācijas apjomi. Jūs norādījāt, ka tādējādi skaitļus bija sarežģīti iekļaut kontekstā un ka jūs vairāk interesē aktīvo lietotāju skaits. Tāpēc šoreiz minēšu skaitļus, balstoties uz ikmēneša aktīvo lietotāju skaitu.

31. oktobrī bija vairāk nekā 152 miljoni Azure Active Directory ikmēneša aktīvo lietotāju. No šiem aktīvajiem lietotājiem:

• 55% veica autentifikāciju, izmantojot federācijas produktu vai pakalpojumu;
• 24% veica autentifikāciju, izmantojot Password Hash Sync;
• 21% ir tikai mākoņa lietotāji;
• Azure AD tranzīta autentifikācijai, kas tika iekļauta vispārējās pieejamības laidienā tikai pirms mēneša, jau ir vairāk nekā pusmiljons ikmēneša aktīvo lietotāju, un šis skaits pieaug par 50% mēnesī.

Iedziļinoties, tālāk seko citi interesanti dati:

• 46% no visiem aktīvajiem lietotājiem veic autentifikāciju, izmantojot AD federācijas pakalpojumus.
• Vairāk nekā 2% no visiem aktīvajiem lietotājiem veic autentifikāciju, izmantojot Ping Federate. Ping ir visstraujāk izplatītā un populārākā trešās puses iespēja.
• 2% no visiem aktīvajiem lietotājiem veic autentifikāciju, izmantojot kādu trešās puses IDaaS pakalpojumu, piemēram, Centrify, Okta vai OneAuth.
• 1% no visiem aktīvajiem lietotājiem veic autentifikāciju, izmantojot trešās puses federācijas serveri, kas nav Ping Federate.

Galvenie secinājumi

Šie ir diezgan interesanti dati, un tie iezīmē dažas tendences:

1. Azure AD Connect ir kļuvis par standarta risinājumu sinhronizēšanai starp Windows Server AD un Azure AD. To izmanto vairāk nekā 90 procenti no sinhronizācijas nomniekiem.
2. Azure AD Password Hash Sync ir kļuvusi par ļoti populāru izvēli mūsu klientu vidū, ar desmitiem miljonu ikmēneša aktīvo lietotāju.
3. Arvien lielāki uzņēmumi ir sākuši izmantot Azure AD, Ping Federate kļūst aizvien populārāka opcija. Mūsu partnerattiecības ar Ping patiesi ir atmaksājušās šiem lielajiem klientiem.
4. Neskatoties uz visu plašo aptvērumu plašsaziņas līdzekļos un popularitāti tirgū, citi IDaaS piegādātāji joprojām ir ļoti maza daļa no Azure AD/Office365 biznesa.
5. Mūsu jaunā tranzīta autentifikācijas iespēja, kas tika iekļauta vispārējas pieejamības laidienā tikai pirms mēneša, ir lieliski iesaistījusies tirgū ar vairāk nekā 500 000 ikmēneša aktīvo lietotāju. Ja pašreizējais tendences saglabāsies, kādā brīdī laika periodā no nākamajiem sešiem mēnešiem līdz gadam to izmantos vairāk unikālo lietotāju nekā visus pārējos IDaaS piegādātājus kopā.

Kopsavilkums

Tāpat kā pagājušoreiz, šie skaitļi atklāj visai skaidru ainavu. Mēs izstrādājam Azure Active Directory kā atvērtu un uz standartiem balstītu risinājumu, lai mūsu klienti var izmantot plašu trešo pušu iespēju klāstu. Tomēr lielākajai daļai klientu mūsu gatavie identitātes risinājumi šķiet pilnībā atbilstoši viņu vajadzībām. Un šis skaits turpina augt.

Papildus dati parāda arī to, ka vienkāršībai, ko esam ieviesuši Azure AD Connect, ir bijusi liela ietekme. Risinājums tiek plaši ieviests un ir visstraujāko popularitāti ieguvusī iespēja savienojumam ar Windows Server AD un Azure AD/Office 365.

Ceru, ka šis emuāra ieraksts jums šķita interesants un noderīgs! Kā vienmēr, mēs labprāt saņemtu jūsu atsauksmes vai ieteikumus.

Cieņā

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

The post Kā organizācijas saista savas lokālās identitātes ar Azure Active Directory appeared first on Microsoft 365 Blog.

Šodien ar prieku pavēstu, ka tikko iespējojām Microsoft Teams viesu piekļuvi, kuras pamatā ir Azure AD B2B sadarbības līdzekļi.

Tagad pakalpojumā Teams varat iespējot partneru sadarbību mijiedarbībai tērzēšanas sarunās, programmās un failu koplietošanā. Tas viss ar ērti izmantojams, kā arī tam ir uzņēmuma līmeņa aizsardzība Azure Active Directory, kas jūsu darbiniekiem ir iespējota jau ilgu laiku.

Tagad ikvienu, kam ir Azure Active Directory konts jebkurā organizācijā, var uzaicināt kā vieslietotāju pakalpojumā Microsoft Teams.

Klienti jau ir izveidojuši vairāk nekā 8 miljonus vieslietotāju, izmantojot Azure AD B2B līdzekļus, un tas vēl ir tikai sācies. Microsoft Teams atbalsta pievienošana ir galvenais klientu pieprasījums, tāpēc ar prieku ieslēdzām šo jauno iespēju, lai saglabātu attīstības tempu. Ceru, ka to izmēģināsit jau šodien!

Tāpēc piesakieties pakalpojumā Teams un uzaiciniet savus partnerus strādāt kopā ar jums.

Kā vienmēr, sazinieties ar mums, lai sniegtu atsauksmes, diskutētu un sniegtu ieteikumus. Jūs zināt, ka mēs to ņemam vērā!

Ar cieņu,

Alekss Simonss (Alex Simons) (@Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

P.S. Mēs jau strādājam pie tā, lai pakalpojumā Teams pievienotu papildu Azure AD iespējas, tostarp atbalstu ārējiem lietotājiem ar jebkuru uzņēmuma vai patērētāja e-pasta kontu. Drīzumā gaidiet par to papildu jaunumus!

The post Azure AD B2B sadarbība pakalpojumā Microsoft Teams appeared first on Microsoft 365 Blog.

Vēlos jums pavēstīt lieliskus jaunumus! Gartner izlaida savu 2017. gada piekļuves pārvaldības maģisko kvadrantu (Magic Quadrant for Access Management — AM MQ), kurā ir redzams, ka korporācija Microsoft ir ievietota līderu kvadrantā, pateicoties mūsu vīzijas pilnībai un spējai to ieviest.

AM MQ ir jauns MQ. Tas atšķiras no norakstītā IDaaS MQ, un šī ir pirmā reize, kad tas tiek publicēts. Azure Active Directory ir šajā ziņojumā novērtētais produkts.

Gartner 2017. gada piekļuves pārvaldības maģiskais kvadrants

Mēs sadarbojāmies ar Gartner, lai būtu pieejamas šī ziņojuma papildu kopijas, kurām varat piekļūt šeit

Uzskatām, ka korporācijas Microsoft lieliskā vieta apliecina mūsu vīzijas nodrošināt pilnīgu identitātes un piekļuves pārvaldības risinājumu darbiniekiem, partneriem un klientiem pareizību, un tas viss tiek nodrošināts ar pasaules klases identitātes aizsardzību, kuras pamatā ir risinājums Microsoft Intelligent Security Graph. 

Uzskatām, ka Gartner analīze parāda daudz ko par mūsu saistībām attiecībā uz identitātes un piekļuves pārvaldības vietu. Vēl svarīgāk, Microsoft uzskata, ka tas daudz ko pasaka par mūsu klientiem, ieviešanas partneriem un ISV partneriem, kas ar mums sadarbojās, ik dienu veltot savu laiku un enerģiju, lai nodrošinātu, ka mūsu veidotie produkti un pakalpojumi atbilst to vajadzībām un ļauj tiem attīstīties pasaulē, ko arvien vairāk virza mākoņa tehnoloģijas.

Apsolām turpināt novatorisku iespēju nodrošināšanu jūsu vajadzību apmierināšanai saistībā ar identitātes un piekļuves pārvaldību, kā arī lai vēl vairāk uzlabotu mūsu vietu Gartner AM MQ līderu kvadrantā.

Ar cieņu,

Alekss Simonss (Alex Simons) (Twitter: @Alex_A_Simons)

Programmu pārvaldības nodaļas direktors

Microsoft Identity Division

The post Azure AD nonāk Gartner 2017. gada piekļuves pārvaldības maģiskā kvadranta līderu kvadrantā! appeared first on Microsoft 365 Blog.