Beste mensen,

Ik ben zo blij om dit nieuws vandaag te delen. We hebben zojuist de mogelijkheid ingeschakeld om je veilig aan te melden met je Microsoft-account met een FIDO2-compatibel apparaat op basis van standaarden. Je hebt geen gebruikersnaam of wachtwoord nodig. Met FIDO2 kunnen gebruikers gebruikmaken van apparaten op basis van standaarden om zich gemakkelijk aan te melden bij onlineservices, zowel op mobiel als desktop. Dit is nu beschikbaar in de Verenigde Staten en wordt wereldwijd beschikbaar gemaakt in de komende paar weken.

Deze combinatie van gebruiksgemak, beveiliging en brede steun vanuit de industrie is transformatief, zowel voor thuis als voor de moderne werkplek. Elke maand gebruiken meer dan 800 miljoen mensen een Microsoft-account om te maken, te verbinden en te delen van overal over de hele wereld met Outlook, Office, OneDrive, Bing, Skype en Xbox Live voor werk en plezier. En nu kunnen al deze mensen profiteren van deze simpele gebruikerservaring en enorm verbeterde beveiliging.

Vanaf vandaag kun je een FIDO2-apparaat of Windows Hello gebruiken om je aan te melden bij je Microsoft-account met de Microsoft Edge-browser.

Bekijk deze korte video die laat zien hoe het werkt:

Microsoft is op een missie om wachtwoorden niet meer te gebruiken en de gegevens en accounts van mensen te beschermen tegen bedreigingen. Als een lid van de Fast Identity Online (FIDO) Alliance en het World Wide Web Consortium (W3C) hebben we samengewerkt met anderen om open standaarden te ontwikkelen voor de volgende generatie van authenticatie. Ik ben blij te kunnen mededelen dat Microsoft het eerste Fortune 500-bedrijf is dat verificatie zonder wachtwoord ondersteunt door middel van de WebAuthn- en FIDO2-specificaties, en Microsoft Edge ondersteunt het grootste bereik aan verificators in vergelijking met andere bekende browsers.

Blijf lezen als je meer wilt weten over hoe het werkt en hoe je aan de slag kunt.

Aan de slag

Doe het volgende om je aan te melden bij je Microsoft-account met een FIDO2-beveiligingssleutel:

1. Werk bij naar de Windows 10 oktober 2018-update als je dit nog niet gedaan hebt.
2. Ga naar de Microsoft-accountpagina in Microsoft Edge en meld je aan zoals je dat normaal zou doen.
3. Selecteer Beveiliging > Meer beveiligingsopties en onder Windows Hello en beveiligingssleutels zie je instructies voor het instellen van een beveiligingssleutel. (Je kunt een beveiligingssleutel kopen van een van onze partners, zoals Yubico en Feitian Technologies die de FIDO2-standaard ondersteunen.*)
4. De volgende keer dat je je aanmeldt, kun je of klikken op Meer opties > Beveiligingssleutel gebruiken, of je gebruikersnaam intypen. Dan wordt je gevraagd om een beveiligingssleutel te gebruiken om je aan te melden.

En als reminder volgt hieronder hoe je je bij je Microsoft-account aanmeldt met Windows Hello:

1. Zorg ervoor dat je systeem is bijgewerkt naar de Windows 10 oktober 2018-update.
2. Als je dit al niet gedaan hebt, moet je Windows Hello instellen. Als Windows Hello al is ingesteld, kun je aan de slag.
3. De volgende keer dat je je aanmeldt met Microsoft Edge kun je of klikken op Meer opties > Windows Hello of een beveiligingssleutel gebruiken, of je gebruikersnaam intypen. Dan wordt je gevraagd om Windows Hello of een beveiligingssleutel te gebruiken om je aan te melden.

Bekijk ons gedetailleerde Help-artikel om aan de slag te gaan als je meer hulp nodig hebt.

*Er zijn een aantal optionele functies in de FIDO2-specificaties waarvan we geloven dat deze cruciaal zijn voor beveiliging, dus alleen sleutels die deze functies hebben geïmplementeerd zullen werken. Lees What is a Microsoft-compatible security key? voor meer informatie.

Hoe werkt het?

Achter de schermen hebben we de WebAuthn- en FIDO2 CTAP2- specificaties geïmplementeerd in onze services om dit een realiteit te maken.

In tegenstelling tot wachtwoorden beschermt FIDO2 gebruikersreferenties met openbare/persoonlijke sleutelversleuteling. Wanneer je een FIDO2-referentie maakt en registreert, genereert het apparaat (je pc of het FIDO2-apparaat) een persoonlijke en openbare sleutel op het apparaat. De persoonlijke sleutel wordt veilig opgeslagen op het apparaat en kan alleen worden gebruikt nadat het ontgrendeld is door middel van een lokale beweging als biometrie of een PIN. Houd er rekening mee dat je biometrie of PIN nooit het apparaat verlaat. Wanneer de persoonlijke sleutel is opgeslagen, wordt de openbare sleutel naar het Microsoft-accountsysteem in de cloud verzonden en geregistreerd bij je gebruikersaccount.

Als je je later aanmeldt, biedt het Microsoft-account een nonce aan je pc of FIDO2-apparaat. Je pc of apparaat gebruikt vervolgens de persoonlijke sleutel om de nonce te ondertekenen. De ondertekende nonce en metagegevens worden teruggestuurd naar het Microsoft-accountsysteem waar deze geverifieerd worden met behulp van de openbare sleutel. De ondertekende metagegevens zoals die zijn gespecificeerd door de WebAuthn- en FIDO2-specificaties bieden informatie zoals of de gebruiker aanwezig was en verifiëren de identiteitscontrole door middel van de lokale beweging. Deze eigenschappen maken verificatie met Windows Hello en FIDO2-apparaten niet “phishable” of makkelijk te stelen door malware.

Hoe implementeren Windows Hello en FIDO2-apparaten dit? Op basis van de mogelijkheden van je Windows 10-apparaat heb je of een ingebouwde veilige enclave, oftewel een hardware-Trusted Platform Module (TPM) of een software-TPM. De TPM slaat de persoonlijke sleutel op. Dit vereist ofwel je gezicht, vingerafdruk of PIN om te ontgrendelen. Op dezelfde manier is een FIDO2-apparaat, net als een beveiligingssleutel een klein extern apparaat met eigen ingebouwde veilige enclave die de persoonlijke sleutel opslaat en de biometrie of PIN vereist om hem te ontgrendelen. Beide opties bieden een tweeledige verificatiemethode in één stap, en beide vereisen een geregistreerd apparaat en biometrie of een PIN om je aan te kunnen melden.

Bekijk dit artikel op ons Identity Standards-blog over alle technische details die betrekking hebben op de implementatie.

Wat volgt?

Er komen heel veel geweldige dingen uit als onderdeel van onze inzet om de behoefte aan wachtwoorden te verminderen of zelfs weg te nemen. We zijn nu bezig dezelfde aanmeldprocedure te bouwen vanuit een browser met beveiligingssleutel voor werk- en schoolaccounts in Azure Active Directory. Zakelijke klanten kunnen begin volgend jaar de preview-versie gebruiken. Hierin kunnen hun werknemers hun eigen beveiligingssleutels instellen voor hun account om zich aan te melden bij Windows 10 en de cloud.

Bovendien wordt het niet hebben van een wachtwoord, wat nu beschikbaar is op Microsoft Edge en Windows, hopelijk overal beschikbaar naar mate er meer browsers en platforms de WebAuthn- en FIDO2-standaarden ondersteunen.

Blijf op de hoogte voor meer details begin volgend jaar.

Met vriendelijke groet,
Alex Simons (@Twitter: @Alex_A_Simons)
CVP van Programmabeheer
Microsoft Identity Division

The post Veilig aanmelden zonder wachtwoord voor je Microsoft-account met een beveiligingssleutel of Windows Hello appeared first on Microsoft 365 Blog.

Elke dag komt iedereen in de Microsoft Identity Division op het werk om jullie, onze klanten, te helpen je medewerkers, partners en klanten productiever te maken en het gemakkelijker te maken om de toegang tot je bedrijfsmiddelen veilig te beheren.

Dus was ik heel blij om te horen dat Microsoft onlangs erkend is als klantkeuze van 2018 voor toegangsbeheer over de hele wereld door Gartner Peer Insights.

In de aankondiging legde Gartner uit: “De klantkeuze van Gartner Peer Insights is een erkenning van leveranciers in deze markt door geverifieerde professionele eindgebruikers, waarbij rekening is gehouden met zowel het aantal beoordelingen als de totale gebruikerswaardering”. Om te zorgen voor een eerlijke evaluatie, legt Gartner strenge criteria aan voor het erkennen van leveranciers met een hoge graad van klanttevredenheid.

Het ontvangen van deze erkenning is ongelooflijk stimulerend. Het is een sterke bevestiging dat we een positieve impact hebben voor onze klanten, en dat ze de innovaties waarderen die we dit jaar aan Azure Active Directory (Azure AD) hebben toegevoegd.

Om deze erkenning te ontvangen, moet een leverancier minimaal 50 gepubliceerde beoordelingen hebben met een gemiddelde totale beoordeling van 4,2 sterren of hoger.

Hier zijn enkele citaten uit de beoordelingen die onze klanten voor ons hebben geschreven:

“Azure AD is hard op weg om de enige oplossing te worden voor de meeste van onze identiteits- en toegangsproblemen.”
—Ondernemingsbeveiligingsarchitect in de transportsector. Lees de volledige beoordeling.

“Azure Active Directory is met rasse schreden een maximaal beschikbare en alomtegenwoordige directoryservice aan het worden.”
—Chief Technology Officer in de dienstverlening. Lees de volledige beoordeling.

“[Microsoft] was een uitstekende partner bij het implementeren van een identiteitsoplossing [die] voldeed aan de behoeften van onze verschillende agentschappen en gaf ons een routekaart om verder te gaan met SSO en de integratie van onze bestaande en nieuw ontwikkelde toepassing. We waren ook in staat om een standaard te stellen voor de verificatie en toegang van onze SaaS-toepassing.”
—Directeur Technologie in de overheidssector. Lees de volledige beoordeling.

Lees meer beoordelingen over Microsoft.

Tegenwoordig gebruiken meer dan 90.000 organisaties in 89 landen Azure AD Premium en beheren we meer dan acht miljard verificaties per dag. Ons engineering-team werkt er dag en nacht aan om te zorgen hoge betrouwbaarheid, schaalbaarheid en tevredenheid over onze service, dus werkt de erkenning als klantkeuze heel motiverend voor ons. Het was spannend om te zien welke geweldige dingen veel van onze klanten doen met onze identiteitsservices.

Namens iedereen die aan Azure AD werkt, wil ik onze klanten hartelijk bedanken voor deze erkenning! We kijken er naar uit voort te bouwen op de ervaring en het vertrouwen die ertoe hebben geleid dat we tot klantkeuze zijn benoemd!

Het logo van Gartner Peer Insights Customers’ Choice is een handelsmerk en dienstmerk van Gartner, Inc. en/of zijn partners, en wordt hier met toestemming gebruikt. Alle rechten voorbehouden. De klantkeuzeonderscheidingen van Gartner Peer Insights worden bepaald door de subjectieve meningen van individuele eindgebruikers op basis van hun eigen ervaringen, het aantal op Gartner Peer Insights gepubliceerde beoordelingen en de algemene scores voor een gegeven leverancier op de markt, zoals hier nader beschreven, en zijn niet bedoeld om de mening van Gartner of zijn partners te vertegenwoordigen.

Met vriendelijke groet,

Alex Simons (@Twitter: @Alex_A_Simons)
CVP van Programmabeheer
Microsoft Identity Division

The post Microsoft door Gartner Peer Insights benoemd tot klantkeuze van 2018 voor toegangsbeheer appeared first on Microsoft 365 Blog.

Goed nieuws vandaag! Voor het tweede jaar op rij heeft Gartner Microsoft gepositioneerd in het leiderskwadrant van het magische kwadrant van 2018 voor toegangsbeheer wereldwijd, op basis van de volledigheid van onze visie en ons vermogen om deze uit te voeren op de markt voor toegangsbeheer. Ontdek waarom in een gratis exemplaar van het rapport hier.

Volgens Gartner geven leiders blijk van een sterke uitvoering van verwachte vereisten met betrekking tot technologie, methodologie of wijze van levering. Leiders laten ook zien hoe toegangsbeheer een rol speelt in een verzameling gerelateerde of aangrenzende productaanbiedingen.

De verste visie in het leiderskwadrant

Microsoft is voor het tweede jaar op rij in het leiderskwadrant geplaatst als verste op het gebied van Visie. We geloven dat onze sprong omhoog in Uitvoering ook laat zien hoe belangrijk het voor ons is om een strategie uit te voeren die organisaties kan helpen waar ze zijn en hen voor te bereiden op de identiteitsbehoeften van morgen.

Bij Microsoft maken we ons sterk voor voorwaardelijk toegangsbeleid en het beschermen van identiteiten tegen bedreigingen als essentiële mogelijkheden voor een identiteits- en toegangsbeheeroplossing van wereldklasse. Als onderdeel van een rijk ecosysteem met Windows 10, Office 365 en EMS, hebben we er hard aan gewerkt om het beveiligingsbeleid voor alle producten te integreren om je inzicht in en controle over de volledige gebruikerservaring te bieden. We hebben dit jaar ook gebruikgemaakt van de inzichten en feedback van onze klanten om de ervaring te verbeteren en het nog eenvoudiger te maken om al je identiteiten op één plaats te krijgen. We doen er alles aan om innovatieve en uitgebreide oplossingen voor identiteits- en toegangsbeheer te bieden voor je werknemers, partners en klanten.

Zonder de inbreng en de steun van onze klanten en partners hadden we geen leider in deze ruimte kunnen blijven zijn. Bedankt!

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

Belangrijk:

Deze afbeelding is door Gartner, Inc. gepubliceerd als onderdeel van een groter onderzoeksdocument en moet worden geëvalueerd in de context van het hele document. Het document van Gartner is op verzoek verkrijgbaar bij Microsoft.

Gartner doet geen aanbevelingen voor een specifieke leverancier, specifiek product of specifieke service vermeld in zijn onderzoekspublicaties, en adviseert technologiegebruikers niet om alleen die leveranciers te kiezen met de hoogste score of een andere aanduiding. De onderzoekspublicaties van Gartner bestaan uit de meningen van de Gartner- onderzoeksorganisatie en mogen niet als een verklaring van feiten worden beschouwd. Gartner geeft ook geen garanties, expliciet of impliciet, met betrekking tot dit onderzoek, inclusief enige garantie van verkoopbaarheid of geschiktheid voor een bepaald doel.

The post Visie en uitvoering: Microsoft weer genoemd als leider in Gartner magisch kwadrant voor toegangsbeheer appeared first on Microsoft 365 Blog.

Zo lang er wachtwoorden bestaan, hebben mensen geprobeerd ze te raden. In deze blogpost gaan we het hebben over een veelvoorkomende aanval die de laatste tijd VEEL vaker voorkomt, en een aantal best practices om je ertegen te verdedigen. Deze aanval wordt wachtwoordspray genoemd.

Bij een wachtwoordsprayaanval proberen de slechteriken de meestvoorkomende wachtwoorden uit op veel verschillende accounts en services om toegang te krijgen tot alle met een wachtwoord beveiligde items die ze kunnen vinden. Deze aanvallen betreffen gewoonlijk veel verschillende organisaties en identiteitsproviders. Een aanvaller kan bijvoorbeeld een algemeen beschikbare toolkit zoals Mailsniper gebruiken om alle gebruikers in een aantal organisaties op te sommen en vervolgens “W@chtw00rd” en “Wachtwoord1” uit te proberen op al die accounts. Om je een idee te geven: een aanval zou er zo uit kunnen zien:

Dit aanvalspatroon ontsnapt aan de meeste detectietechnieken, omdat vanuit het gezichtspunt van een individuele gebruiker of bedrijf de aanval er net uitziet als een eenmalige mislukte aanmelding.

Voor aanvallers is het kwestie van aantallen: ze weten dat er wachtwoorden zijn die erg vaak voorkomen. Hoewel deze meest voorkomende wachtwoorden slechts 0,5–1,0% van de accounts uitmaken, krijgt de aanvaller een paar successen voor elke duizend aangevallen accounts, en dat is genoeg om effectief te zijn.

Ze gebruiken de accounts om gegevens uit e-mails te halen, contactgegevens te verzamelen en phishing-links te verzenden of om de doelgroep voor de wachtwoordspray uit te breiden. De aanvallers geven er niet om wie de eerste doelen zijn – alleen dat ze een beetje succes hebben waarop ze kunnen voortbouwen.

Het goede nieuws is dat Microsoft veel tools heeft die al geïmplementeerd en beschikbaar zijn om deze aanvallen te ontkrachten, en er komen er binnenkort nog meer. Lees verder om te zien wat je nu en in de komende maanden kunt doen om aanvallen met wachtwoordsprays te stoppen.

Vier gemakkelijke stappen om wachtwoordsprayaanvallen te verstoren

Stap 1: Cloudverificatie gebruiken

In de cloud zien we elke dag miljarden aanmeldingen bij Microsoft-systemen. Met onze beveiligingsdetectiealgoritmen kunnen we aanvallen detecteren en blokkeren terwijl ze plaatsvinden. Omdat dit realtime detectie- en beveiligingssystemen zijn die vanuit de cloud worden aangestuurd, zijn ze alleen beschikbaar wanneer Azure AD-verificatie in de cloud wordt uitgevoerd (inclusief Pass Through-verificatie).

Smart Lockout

In de cloud gebruiken we Smart Lockout (slimmer vergrendeling) om onderscheid te maken tussen inlogpogingen die eruitzien alsof ze afkomstig zijn van de geldige gebruiker en aanmeldingen van mogelijke aanvallers. We kunnen de aanvaller buitensluiten terwijl de geldige gebruiker het account blijft gebruiken. Dit voorkomt denial-of-service voor de gebruiker en stopt overijverige wachtwoordsprayaanvallen. Dit is van toepassing op alle Azure AD-aanmeldingen, ongeacht het licentieniveau, en op alle aanmeldingen bij Microsoft-accounts.

Tenants die Active Directory Federation Services (ADFS) kunnen Smart Lockout vanaf maart 2018 standaard in ADFS in Windows Server 2016 gebruiken. Kijk uit naar de introductie van deze mogelijkheid via Windows Update.

IP-blokkering

IP-blokkering werkt door het analyseren van die miljarden aanmeldingen om de kwaliteit van het verkeer van elk IP-adres dat op Microsoft-systemen terechtkomt, te beoordelen. Door die analyse vindt IP-blokkering IP-adressen die kwaadaardig werken en blokkeert het deze aanmeldingen in realtime.

Aanvalssimulatie

Met Attack Simulator, dat nu beschikbaar is in openbare preview als onderdeel van Office 365 Threat Intelligence, kunnen klanten gesimuleerde aanvallen doen op hun eigen eindgebruikers, bepalen hoe hun gebruikers zich gedragen in geval van een aanval en hun beleid bijwerken om ervoor te zorgen dat er geschikte beveiligingstools aanwezig zijn om de organisatie te beschermen tegen bedreigingen zoals wachtwoordsprayaanvallen.

We raden je aan zo snel mogelijk het volgende te doen:

1. Als je cloudverificatie gebruikt, zit je goed
2. Als je ADFS of een andere hybride scenario gebruikt, kijk dan uit naar een ADFS-upgrade voor Smart Lockout in maart 2018
3. Gebruik Attack Simulator om je beveiliging procactief te evalueren en eventueel aan te passen

Stap 2: Meervoudige verificatie gebruiken

Een wachtwoord is de toegangssleutel tot een account, maar bij een geslaagde wachtwoordsprayaanval heeft de aanvaller het juiste wachtwoord geraden. Om ze te stoppen, moeten we iets anders dan alleen een wachtwoord gebruiken om onderscheid te maken tussen de accounteigenaar en de aanvaller. Hieronder staan de drie manieren om dit te doen.

Meervoudige verificatie op basis van risico

Azure AD Identity Protection maakt gebruik van de hierboven genoemde aanmeldingsgegevens en voegt geavanceerde machine learning en algoritmische detectie toe waarmee een risicoscore wordt toegewezen aan elke aanmelding die binnenkomt bij het systeem. Hierdoor kunnen zakelijke klanten in Identity Protection beleidsregels maken waardoor een gebruiker alleen wordt gevraagd zich met een tweede factor te legitimeren als er risico’s zijn gedetecteerd voor de gebruiker of voor de sessie, en anders niet. Dit vermindert de belasting voor je gebruikers en legt de slechteriken blokkades in de weg. Meer informatie over Azure AD Identity Protection hier.

Altijd meervoudige verificatie gebruiken

Voor nog meer beveiliging kun je Azure MFA gebruiken om altijd meervoudige verificatie voor je gebruikers te vragen, zowel bij cloudverificatie als in ADFS. Hoewel dit vereist dat eindgebruikers altijd hun apparaten bij de hand moeten hebben en vaker meervoudige verificatie moeten uitvoeren, biedt dit de meeste beveiliging voor je onderneming. Dit moet worden ingeschakeld voor elke beheerder in een organisatie. Meer informatie over Azure Multi-Factor Authentication hier en Azure MFA configureren voor ADFS.

Azure MFA als primaire verificatie

In ADFS 2016 kun je Azure MFA gebruiken als primaire verificatie voor verificatie zonder wachtwoord. Dit is een geweldig hulpmiddel om te waken tegen wachtwoordspray- en wachtwoorddiefstalaanvallen: als er geen wachtwoord is, kan het ook niet worden geraden. Dit werkt uitstekend voor alle apparaten van alle soorten en maten. Bovendien kun je nu wachtwoorden gebruiken als de tweede factor, nadat de OTP is gevalideerd met Azure MFA. Meer informatie over het gebruiken van wachtwoorden als de tweede factor hier.

We raden je aan zo snel mogelijk het volgende te doen:

1. We raden sterk aan om altijd meervoudige verificatie te vereisen voor alle beheerders in je organisatie, speciaal voor abonnementeigenaars en tenantbeheerders. Maar serieus, schakel dit nu meteen in.
2. Voor de beste ervaring voor de rest van je gebruikers, raden we meervoudige verificatie op basis van risico aan, wat beschikbaar is met Azure AD Premium P2-licenties.
3. Gebruik anders Azure MFA voor cloudverificatie en ADFS.
4. Upgrade in ADFS naar ADFS op Windows Server 2016 om Azure MFA te gebruiken als primaire verificatie, met name voor al je extranettoegang.

Stap 3: Betere wachtwoorden voor iedereen

Zelfs met al het bovenstaande is een belangrijk onderdeel van de verdediging tegen wachtwoordsprays dat alle gebruikers een wachtwoord hebben dat moeilijk te raden is. Het is vaak moeilijk voor gebruikers om te weten hoe ze moeilijk te raden wachtwoorden kunnen maken. Microsoft helpt je hierbij met deze tools.

Verboden wachtwoorden

In Azure AD wordt elk gewijzigd of opnieuw ingesteld wachtwoord door een controle op verboden wachtwoorden gehaald. Wanneer een nieuw wachtwoord wordt ingediend, wordt het bij benadering vergeleken met een lijst met woorden die niemand ooit in zijn wachtwoord zou moeten hebben (en l33t-sp3@k-spelling helpt niet). Als er een overeenkomst wordt gevonden, wordt het wachtwoord geweigerd en wordt de gebruiker gevraagd een wachtwoord te kiezen dat moeilijker te raden is. We hebben een lijst opgebouwd met de meest aangevallen wachtwoorden en werken deze vaak bij.

Aangepaste verboden wachtwoorden

Om verbannen wachtwoorden nog beter te maken, gaan we tenants de mogelijkheid geven hun lijst met verboden wachtwoorden aan te passen. Beheerders kunnen woorden kiezen die veel voorkomen in hun organisatie – beroemde werknemers en oprichters, producten, locaties, regionale iconen, enzovoort – en voorkomen dat die worden gebruikt in de wachtwoorden van hun gebruikers. Deze lijst wordt afgedwongen in aanvulling op de algemene lijst, zodat je niet de ene of de andere hoeft te kiezen. Dit is nu in beperkte preview en zal dit jaar worden uitgerold.

Verboden wachtwoorden voor on-premises wijzigingen

Dit voorjaar lanceren we een tool waarmee beheerders in een onderneming wachtwoorden kunnen verbieden in hybride Azure AD-Active Directory-omgevingen. De lijsten met geblokkeerde wachtwoorden worden vanuit de cloud naar je on-premises omgevingen gesynchroniseerd, en op elke domeincontroller met de agent afgedwongen. Dit helpt beheerders ervoor te zorgen dat wachtwoorden van gebruikers moeilijker te raden zijn, ongeacht waar – in de cloud of on-premises – de gebruiker een wachtwoord wijzigt. Dit is in februari 2018 gelanceerd naar beperkte privé-preview, en komt dit jaar algemeen beschikbaar.

Ga anders denken over wachtwoorden

Veel algemene opvattingen over wat een goed wachtwoord is, zijn verkeerd. Gewoonlijk zorgt iets dat wiskundig gezien zou moeten helpen, eigenlijk voor voorspelbaar gebruikersgedrag. Zo resulteren het vereisen van bepaalde tekensoorten en periodieke wachtwoordwijzigingen beide in specifieke wachtwoordpatronen. Lees ons technische document over wachtwoordrichtlijnen voor veel meer details. Als je Active Directory gebruikt met PTA of ADFS, werk je wachtwoordbeleid dan bij. Als je cloudbeheerde accounts gebruikt, overweeg dan om je wachtwoorden zo in te stellen dat ze nooit verlopen.

We raden je aan zo snel mogelijk het volgende te doen:

1. Installeer het Microsoft-hulpprogramma voor verboden wachtwoorden zodra het uitkomt on-premises, om je gebruikers te helpen betere wachtwoorden te maken.
2. Bekijk je wachtwoordbeleid en denk erover om ze zo in te stellen dat ze nooit verlopen, zodat je gebruikers geen seizoenspatronen gebruiken om hun wachtwoorden te maken.

Stap 4: Meer fantastische functies in ADFS en Active Directory

Als je hybride verificatie gebruikt met ADFS en Active Directory, zijn er meer stappen die je kunt zetten om je omgeving te beveiligen tegen wachtwoordsprayaanvallen.

De eerste stap voor organisaties met ADFS 2.0 of Windows Server 2012: maak plannen om zo snel mogelijk over te stappen op ADFS in Windows Server 2016. De nieuwste versie wordt sneller bijgewerkt, met een uitgebreidere set mogelijkheden, zoals extranetblokkering. En vergeet niet: we hebben het heel eenvoudig gemaakt om een upgrade uit te voeren van Windows Server 2012R2 naar 2016.

Verouderde verificatie van het extranet weren

Verouderde-verificatieprotocollen kunnen MFA niet afdwingen, dus het is het beste deze te weren van het extranet. Hierdoor kunnen wachtwoordsprayaanvallers niet profiteren van het gebrek aan MFA van die protocollen.

ADFS Web Application Proxy-extranetvergrendeling activeren

Als je geen extranetvergrendeling hebt geïnstalleerd op de ADFS-web toepassingsproxy, moet je deze zo snel mogelijk inschakelen om je gebruikers te beschermen tegen wachtwoordaanvallen.

Azure AD Connect Health voor ADFS implementeren

Azure AD Connect Health legt IP-adressen vast die in de ADFS-logboeken voor onjuiste gebruikersnaam/wachtwoordaanvragen worden geregistreerd, geeft je aanvullende rapportage over een reeks scenario’s en biedt extra inzicht om engineers te ondersteunen bij het openen van ondersteuningsaanvragen.

Download de nieuwste versie van Azure AD Connect Health Agent voor ADFS op alle ADFS-servers (2.6.491.0). ADFS-servers moeten gebruikmaken van Windows Server 2012 R2 met KB 3134222 geïnstalleerd of Windows Server 2016.

Toegangsmethoden zonder wachtwoord gebruiken

Zonder een wachtwoord kan een wachtwoord niet worden geraden. Deze verificatiemethoden zonder wachtwoord zijn beschikbaar voor ADFS en de Web Application Proxy:

1. Met verificatie op basis van certificaten kunnen gebruikersnaam/wachtwoord-eindpunten volledig worden geblokkeerd bij de firewall. Meer informatie over verificatie op basis van certificaten in ADFS
2. Zoals hierboven gezegd, kan Azure MFA worden gebruikt als tweede factor bij cloudverificatie en ADFS 2012 R2 en 2016. Maar in ADFS 2016 kan het ook worden gebruikt als primaire factor om de mogelijkheid van wachtwoordsprays volledig te stoppen. Leer hier Azure MFA configureren met ADFS
3. Windows Hello voor Bedrijven, beschikbaar in Windows 10 en ondersteund door ADFS in Windows Server 2016, maakt volledig wachtwoordvrije toegang mogelijk, ook vanaf het extranet, op basis van sterke cryptografiesleutels die zijn gekoppeld aan zowel de gebruiker als het apparaat. Dit is beschikbaar voor door bedrijven beheerde apparaten die zijn gekoppeld via Azure AD of Hybride Azure AD, en voor persoonlijke apparaten via ‘Werk- of schoolaccount toevoegen’ met de app Instellingen. Meer informatie over Hello voor Bedrijven.

We raden je aan zo snel mogelijk het volgende te doen:

1. Upgraden naar ADFS 2016 voor snellere updates
2. Verouderde verificatie van het extranet weren.
3. Deploy Azure AD Connect Health-agents voor ADFS implementeren op al je ADFS-servers.
4. Overwegen een wachtwoordloze primaire verificatiemethode te gebruiken, zoals Azure MFA, certificaten of Windows Hello voor Bedrijven.

Bonus: je Microsoft-accounts beschermen

Als je een gebruiker met een Microsoft-account bent:

• Goed nieuws: je bent al beschermd! Microsoft-accounts maken ook gebruik van Smart Lockout, IP-blokkering, verificatie in twee stappen op basis van risico, verboden wachtwoorden, en meer.
• Maar neem toch even twee minuten de tijd om naar de Beveiligingspagina van je Microsoft-account te gaan en de optie te kiezen om je beveiligingsgegevens bij te werken, die worden gebruikt voor verificatie in twee stappen op basis van risico
• Je kunt ook hier inschakelen dat je altijd verificatie in twee stappen wilt gebruiken, om je account te voorzien van de best mogelijke beveiliging.

De beste verdediging is… het volgen van de aanbevelingen in deze blogpost

Wachtwoordspray is een serieuze bedreiging voor elke service op het internet die gebruikmaakt van wachtwoorden, maar het nemen van de stappen in deze blogpost geeft je maximale bescherming tegen deze aanvalsvector. En omdat veel soorten aanvallen vergelijkbare kenmerken hebben, zijn dit sowieso goede suggesties om je te beschermen. Jouw veiligheid is altijd onze hoogste prioriteit, en we werken er voortdurend aan nieuwe, geavanceerde beveiligingen tegen wachtwoordspray en alle andere soorten aanvallen te ontwikkelen. Gebruik de hierboven genoemde aanbevelingen vandaag nog, en kom regelmatig terug voor nieuwe tools om je te verdedigen tegen de slechteriken op internet.

Hopelijk heb je wat aan deze informatie. Zoals altijd willen we graag feedback of suggesties ontvangen.

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

The post Best practices voor Azure AD en ADFS: Verdediging tegen wachtwoordsprayaanvallen appeared first on Microsoft 365 Blog.

Ik hoop dat jullie het bericht van vandaag net zo interessant zullen vinden als ik. Het leuk om over na te denken, en schetst een spannende visie voor de toekomst van digitale identiteiten.

In de afgelopen 12 maanden hebben we geïnvesteerd in het uitbroeden van een reeks ideeën voor het gebruik van blockchain (en andere gedistribueerde grootboektechnologieën) om nieuwe typen digitale identiteiten te creëren, identiteiten die vanaf de basis zijn ontworpen om persoonlijke privacy, beveiliging en controle te verbeteren. We zijn heel enthousiast over wat we hebben geleerd, en over de nieuwe partnerverbanden die we tijdens dit proces zijn aangegaan. Vandaag nemen we de gelegenheid te baat om onze gedachten en de kant die we op willen, met jullie te delen. Deze blogpost maakt deel uit van een serie en volgt op de blogpost van Peggy Johnson waarin wordt aangekondigd dat Microsoft is toegetreden tot het ID2020-initiatief. Als je Peggy’s bericht nog niet hebt gelezen, raad ik aan dat eerst te doen.

Ik heb Ankur Patel, de projectmanager in mijn team die deze incubaties leidt, gevraagd de startschop te geven van onze discussie over gedecentraliseerde digitale identiteiten. Zijn post richt zich op het delen van enkele van de belangrijkste dingen die we hebben geleerd, en enkele van de resulterende principes die we gebruiken als leidraad bij onze toekomstige investeringen op dit gebied.

En zoals altijd horen we graag jullie mening en feedback.

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

———-

Hallo allemaal! Ik ben Ankur Patel van de Identity Division van Microsoft. Het is een groot voorrecht deze kans te krijgen om een paar van de lessen te delen die we hebben geleerd bij onze inspanningen om op blockchain/gedistribueerde grootboeken gebaseerde gedecentraliseerde identiteiten te verwerkelijken, en welke kant we in de toekomst op willen.

Wat we zien

Zoals velen van jullie elke dag ervaren, ondergaat de wereld een wereldwijde digitale transformatie waarbij digitale en fysieke realiteit samenvloeien tot één geïntegreerde moderne manier van leven. Deze nieuwe wereld heeft behoefte aan een nieuw model voor digitale identiteit, een model dat de privacy en veiligheid van personen in de fysieke en digitale wereld verbetert.

De cloudidentiteitssystemen van Microsoft stellen al duizenden ontwikkelaars, organisaties en miljarden mensen in staat om te werken, te spelen en meer te bereiken. Maar toch is er nog veel meer dat we kunnen doen om iedereen te meer mogelijkheden te bieden. We streven naar een wereld waarin de miljarden mensen die vandaag de dag leven zonder betrouwbare ID eindelijk de dromen kunnen realiseren die we allemaal delen, zoals het opleiden van onze kinderen, het verbeteren van onze levenskwaliteit of het starten van een onderneming.

Om deze visie te bereiken, geloven we dat het essentieel is voor individuen om alle elementen van hun digitale identiteit te bezitten en te beheren. In plaats van brede toestemming te verlenen aan talloze apps en services, en hun identiteitsgegevens over meerdere providers te verspreiden, hebben mensen een veilige, versleutelde digitale hub nodig waar ze hun identiteitsgegevens kunnen opslaan en waartoe ze gemakkelijk de toegang kunnen beheren.

Elk van ons heeft een digitale identiteit nodig die van ons is, een die alle elementen van onze digitale identiteit veilig en privé opslaat.  Deze eigen identiteit moet gemakkelijk te gebruiken zijn, en ons volledige controle geven over de toegang tot en het gebruik van onze identiteitsgegevens.

We weten dat het mogelijk maken van dit soort soevereine digitale identiteit te groot is voor één bedrijf of organisatie. We streven ernaar nauw samen te werken met onze klanten, partners en de gemeenschap om de volgende generatie op digitale identiteit gebaseerde ervaringen te ontgrendelen, en we zijn blij samen te kunnen werken met zoveel mensen in de branche die fantastische bijdragen aan deze ruimte leveren.

Wat we hebben geleerd

Daarom delen we vandaag onze beste ideeën op basis van wat we hebben geleerd van onze gedecentraliseerde identiteitsincubatie, een inspanning die is gericht op het mogelijk maken van rijkere ervaringen, het vergroten van vertrouwen en het verminderen van wrijving, en het iedereen mogelijk te maken zijn of haar eigen digitale identiteit te bezitten en te beheren.

1. Bezit en beheer je identiteit. Tegenwoordig verlenen gebruikers brede toestemming aan talloze apps en services voor verzameling, gebruik en bewaring waarover zij geen controle hebben. Nu datalekken en identiteitsdiefstal steeds geavanceerder en frequenter worden, hebben gebruikers een manier nodig om hun identiteit in eigen hand te nemen. Na onderzoek van gedecentraliseerde opslagsystemen, consensusprotocollen, blockchains en een verscheidenheid aan opkomende standaarden, geloven we dat blockchain-technologie en -protocollen geschikt zijn voor het mogelijk maken van DID’s (Decentralized IDs, gedecentraliseerde ID’s).
2. Privacy volgens plan, ingebouwd vanaf het begin.
   Tegenwoordig leveren apps, services en organisaties handige, voorspelbare, op maat gemaakte ervaringen die afhankelijk zijn van controle over identiteitsgebonden gegevens. We hebben een veilige gecodeerde digitale hub (ID-hubs) nodig die kan communiceren met gebruikersgegevens, terwijl de privacy en controle van de gebruiker worden gerespecteerd.
3. Vertrouwen wordt verdiend door individuen, opgebouwd door de gemeenschap.
   Traditionele identiteitssystemen zijn meestal gericht op authenticatie en toegangsbeheer. Een eigen identiteitssysteem voegt een focus toe op authenticiteit en hoe een gemeenschap vertrouwen kan ontwikkelen. In een gedecentraliseerd systeem is vertrouwen gebaseerd op attesten: beweringen die worden onderschreven door andere entiteiten, wat helpt om facetten van iemands identiteit te bewijzen.
4. Apps en services met de gebruiker als middelpunt.
   Enkele van de meest aantrekkelijke apps en services van vandaag bieden ervaringen die zijn aangepast aan hun gebruikers door toegang te krijgen tot de persoonlijk identificeerbare informatie (PII) van de gebruiker. DID’s en ID Hubs kunnen het ontwikkelaars mogelijk maken toegang te krijgen tot meer nauwkeurige attesten, terwijl de juridische en nalevingsrisico’s verminderen door dergelijke informatie te verwerken, in plaats van deze namens de gebruiker te beheren.
5. Open, interoperabele basis.
   Om een robuust gedecentraliseerd identiteitsecosysteem te creëren dat voor iedereen toegankelijk is, moet het worden gebouwd op basis van standaard open source-technologieën, protocollen en referentie-implementaties. Het afgelopen jaar hebben we deelgenomen aan de DIF (Decentralized Identity Foundation: stichting voor gedecentraliseerde identiteit) met personen en organisaties die even gemotiveerd zijn als wij om deze uitdaging aan te gaan. We werken samen aan het ontwikkelen van de volgende belangrijke componenten:
   

• Gedecentraliseerde ID’s (DID’s) – a W3C-specificatie die een gemeenschappelijke documentindeling definieert voor het beschrijven van de status van een gedecentraliseerde ID
  
• Identiteithubs – een versleutelde identiteitsgegevensopslag met bericht/intentierelay, verwerking van attesten en identiteitspecifieke rekeneindpunten. 
  
• Universele DID-resolver – een server die DID’s omzet tussen blockchains 
  
• Verifiable Credentials – verifieerbare referenties, een W3C-specificatie die een documentindeling definieert voor het coderen van DID-attesten. 
  

6. Klaar voor gebruik op wereldschaal:
   Om een enorme wereld aan gebruikers, organisaties en apparaten te ondersteunen, moet de onderliggende technologie een schaal en prestaties kunnen leveren die vergelijkbaar zijn met traditionele systemen. Sommige openbare blockchains (Bitcoin [BTC], Ethereum, Litecoin om een select aantal te noemen) bieden een solide basis voor het grondvesten van DID’s, het opnemen van DPKI-bewerkingen en het verankeren van attesten. Hoewel sommige blockchain-gemeenschappen de transactiekracht van hun on-chain-transacties hebben verhoogd (bijvoorbeeld door de blokgrootte te verhogen), verslechtert deze aanpak over het algemeen de gedecentraliseerde status van het netwerk en kan niet de miljoenen transacties per seconde bereiken die het systeem op wereldschaal zou genereren. Om deze technische barrières te overwinnen, werken we samen aan gedecentraliseerde Laag 2-protocollen die bovenop deze openbare blockchains lopen om een wereldwijde schaal te bereiken, terwijl de kenmerken van een DID-systeem van wereldklasse behouden blijven.
   
7. Toegankelijk voor iedereen:
   Het blockchain-ecosysteem van vandaag bestaat nog steeds vooral uit koplopers die bereid zijn om tijd, moeite en energie te besteden aan het beheren van sleutels en het beveiligen van apparaten. We kunnen niet verwachten dat gewone mensen zich daarmee bezighouden. We moeten belangrijke beheeruitdagingen, zoals herstel, rotatie en veilige toegang, intuïtief en foolproof maken.
   

Volgende stappen

Nieuwe systemen en grote ideeën zien er vaak logisch uit op een whiteboard. Alle lijnen sluiten aan, en aannames lijken solide. Product- en engineeringteams leren echter het meest door een echt product te leveren.

Tegenwoordig wordt de Microsoft Authenticator-app al elke dag door miljoenen mensen gebruikt om hun identiteit te bewijzen. Als een volgende stap zullen we experimenteren met gedecentraliseerde identiteiten door ondersteuning daarvoor toe te voegen aan Microsoft Authenticator. Met jouw toestemming kan Microsoft Authenticator optreden als je gebruikersagent voor het beheren van identiteitsgegevens en cryptografische sleutels. In dit ontwerp is alleen de ID gebaseerd op de keten. Identiteitsgegevens worden opgeslagen in een ID-hub (die Microsoft niet kan zien) buiten de keten, versleuteld met behulp van deze cryptografische sleutels.

Zodra we deze mogelijkheid hebben toegevoegd, kunnen apps en services communiceren met gebruikersgegevens via een gemeenschappelijk berichtenkanaal door gedetailleerde toestemming te vragen. In eerste instantie zullen we een selecte groep DID-implementaties over blockchains ondersteunen, en waarschijnlijk zullen we er in de toekomst meer aan toevoegen.

Vooruitblik

Het aangaan van zo’n enorme uitdaging vervult ons van enthousiasme maar ook van bescheidenheid, want we weten dat we dit niet alleen kunnen bereiken. We rekenen op de steun en inbreng van onze alliantiepartners, leden van de Decentralized Identity Foundation en het diverse Microsoft-ecosysteem van ontwerpers, beleidsmakers, zakenpartners, hardware- en software-ontwikkelaars. Maar vooral hebben we jullie, onze klanten, nodig om feedback te geven terwijl we beginnen met het testen van deze eerste reeks scenario’s.

Dit is onze eerste post over ons werk aan gedecentraliseerde identiteit. In aankomende posts zullen we informatie delen over onze proofs of concept, alsmede technische details voor de belangrijkste gebieden die hierboven zijn beschreven.

We kijken uit naar jouw deelname aan deze onderneming!

Belangrijke resources:

• Volg ons @AzureAD op Twitter
  
• Betrokken raken bij Decentralized Identity Foundation (DIF)
  
• Deelnemen aan de W3C Credentials Community Group
  

Vriendelijke groet,

Ankur Patel (@_AnkurPatel)

Principal Program Manager

Microsoft Identity Division

The post Gedecentraliseerde digitale identiteiten en blockchain: de toekomst zoals wij die zien appeared first on Microsoft 365 Blog.

Voorwaardelijke toegang in Azure AD heeft een grote vlucht genomen. Organisaties overal ter wereld gebruiken het om veilige, flexibele toegang tot toepassingen te waarborgen. Voorwaardelijke toegang wordt nu elke maand gebruikt om meer dan tienduizend organisaties en tien miljoen actieve gebruikers te beschermen. Het is verbazingwekkend om te zien hoe snel onze klanten het in gebruik hebben genomen.

We hebben veel feedback ontvangen over de gebruikersimpact van voorwaardelijke toegang. Vooral dat je met zoveel kracht in handen een manier nodig hebt om te zien welke invloed een voorwaardelijk toegangsbeleid heeft op een gebruiker bij aanmelding in diverse omstandigheden.

We hebben naar jullie geluisterd, en ik ben blij dat ik vandaag de openbare preview van de ‘What If’-tool voor voorwaardelijke toegang kan aankondigen. Met de ‘What If’-tool kun je zien welke impact het beleid heeft op de aanmelding van een gebruiker onder de omstandigheden die je opgeeft. Je hoeft niet te wachten tot je van je gebruikers hoort wat er gebeurd is, maar je kunt gewoon de ‘What If’-tool gebruiken.

Aan de slag

Klaar om te gaan spelen met de tool? Voer de volgende stappen uit:

• Ga naar Azure AD voorwaardelijke toegang
• Klik op What If

• Selecteer de gebruiker die je wilt testen

• [Optioneel] Selecteer indien nodig de app, het IP-adres, apparaatplatforms, client-app, aanmeldingsrisico
• Klik op ‘What If’ en bekijk de beleidsregels die van invloed zijn op de aanmelding van de gebruiker

Soms is de vraag die je wilt beantwoorden niet ‘Welke beleidsregels zijn van toepassing’, maar ‘Waarom wordt een beleidsregel niet toegepast?’ Daar kan de tool je ook mee helpen. Ga naar het tabblad ‘Beleidsregels die niet worden toegepast’ om de naam van het beleid te zien, en vooral om de reden te zien waarom een beleidsregel niet is toegepast. Is dat niet cool?

Meer weten over de ‘What If’-tool?

Vertel ons wat je ervan vindt

Dit is nog maar het begin. We werken al aan meer innovatie op dit gebied. Zoals altijd horen we graag feedback of suggesties die je hebt over deze preview of over voorwaardelijke toegang in Azure AD. We hebben zelfs een korte enquête gemaakt over de ‘What If’-tool waaraan je kunt deelnemen.

We horen graag van je!

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

The post Openbare preview: ‘What If’-tool voor voorwaardelijk toegangsbeleid in Azure AD appeared first on Microsoft 365 Blog.

Als jullie het blog volgen, weten jullie dat we een breed scala aan opties ondersteunen voor het verbinden van een on-premises directory of IAM-oplossing met Azure AD. In feite geeft niemand in de branche klanten zoveel opties als wij.

Het is dus niet verwonderlijk dat een van de vragen die klanten mij het meest stellen, is welke ik zou aanbevelen. Ik ben altijd een beetje terughoudend om een antwoord te geven. In de afgelopen 6 jaar in de identiteitssector heb ik geleerd dat elke organisatie anders is, en verschillende doelen en vereisten heeft wat betreft snelheid van implementatie, beveiligingspostuur, vermogen om te investeren, netwerkarchitectuur, bedrijfscultuur, nalevingsvereisten en werkomgeving. Dat is een van de redenen waarom we hebben geïnvesteerd om je opties te geven, zodat je degene kunt kiezen die het beste bij je past. (Dat betekent natuurlijk niet dat ik geen mening heb; als het mijn organisatie was, zou ik zeker onze nieuwe Pass-Through-verificatiemogelijkheden en Azure AD Connect Sync willen gebruiken.  Ze zijn zowel snel te implementeren als goedkoop in onderhoud. Maar ja, dat is slechts één mening!)

En als we plaats ons zorgen te maken over wat ik of iemand anders zou aanbevelen, eens kijken naar wat klanten eigenlijk gebruiken? Dat lijkt me het beste punt om te beginnen.

Het momentum van Azure AD

Ik wil beginnen met het delen van een aantal cijfers over het algemene gebruik van Azure AD, zodat je de context hebt voor de diepere cijfers hieronder. Voor Azure AD in het algemeen blijven we een sterke groei zien in organisaties die gebruikmaken van onze basiscloudidentiteitsservices, en versnelde groei van Azure AD Premium.

De trend waar ik het meest enthousiast over ben, is de ongelooflijke groei in het gebruik van Azure AD met toepassingen van derden. Met meer dan 300.000 toepassingen van derden elke maand in gebruik, zien we dat heel veel organisaties zich wenden tot Azure AD als hun favoriete cloudidentiteitsplatform.

Gebruikers synchroniseren met Azure AD

De meeste Azure AD-tenants zijn kleine organisaties die geen on-premises AD synchroniseren met Azure AD. Grotere organisaties synchroniseren bijna altijd, en die organisaties vertegenwoordigen meer dan 50% van de 950 miljoen gebruikersaccounts in Azure AD.

Dit zijn de nieuwste gegevens over hoe organisaties gebruikers synchroniseren met Azure AD:

• > 180.000 tenants synchroniseren hun on-premises Windows Server Active Directory naar Azure AD.
• > 170.000 tenants gebruiken Azure AD Connect om dat te doen.
• Een klein aantal klanten gebruikt andere oplossingen:
  • 7% gebruikt onze oude tools DirSync of Azure AD Sync.
  • 1,9% gebruikt Microsoft Identity Manager of Forefront Identity Manager.
  • < 1% gebruikt een oplossing op maat of een oplossing van derden.

Verificatie met Azure AD

De vorige keer dat ik heb geblogd over verificatie, waren de gegevens die ik deelde gebaseerd op verificatievolumes. Jullie feedback aan mij was dat het moeilijk was de cijfers in context te plaatsen, en dat jullie meer geïnteresseerd waren in aantallen actieve gebruikers. In deze update deel ik dus cijfers op basis van aantallen actieve gebruikers per maand.

Op 31 oktober waren er iets meer dan 152 miljoen actieve gebruikers van Azure AD per maand. Van die actieve gebruikers:

• gebruikt 55% een federatieproduct of -service voor verificatie.
• verifieert 24% met Password Hash Sync.
• is 21% alleen cloudgebruiker.
• Azure AD Pass-Through-verificatie, dat pas een maand algemeen beschikbaar is, heeft al meer dan een half miljoen actieve gebruikers per maand, en dat aantal groeit met 50% per maand!

Hier zijn nog meer interessante gegevens:

• 46% van alle actieve gebruikers verifiëren met AD Federation Services.
• Iets meer dan 2% van alle actieve gebruikers verifieert met Ping Federate. Ping is de snelstgroeiende en populairste optie van derden.
• 2% van alle actieve gebruikers verifieert met behulp van een IDaaS-service van derden, zoals Centrify, Okta of OneAuth.
• 1% van alle actieve gebruikers verifieert met behulp van een andere federatieserver van derden dan Ping Federate.

Belangrijkste conclusies

Dit zijn interessante gegevens, waaruit een paar trends naar voren komen:

1. Azure AD Connect is de standaardmanier geworden om te synchroniseren tussen Windows Server AD en Azure AD. Meer dan 90 procent van de synchroniserende tenants gebruikt het nu.
2. Azure AD-wachtwoord Hash Sync is een zeer populaire optie geworden voor onze klanten, met tientallen miljoenen maandelijkse actieve gebruikers.
3. Naarmate steeds grotere ondernemingen Azure AD zijn gaan gebruiken, is ook de populariteit van Ping Federate toegenomen. Onze samenwerking met Ping heeft zijn vruchten afgeworpen voor deze grote klanten.
4. Ondanks alle berichten in de pers en markthype, blijven andere IDaaS-leveranciers een zeer klein deel van de Azure AD/Office365-activiteiten.
5. Onze nieuwe Pass-Through-verificatieoptie, die pas een maand algemeen beschikbaar is, begint al goed, met meer dan een half miljoen gebruikers per maand. Als de huidige trends doorzetten, heeft deze over zes maanden tot een jaar meer unieke gebruikers dan alle andere IDaaS-leveranciers bij elkaar.

Samenvatting

Net als de vorige keer laten deze cijfers een duidelijk beeld zien. Azure AD is open en op standaarden gebaseerd, zodat onze klanten een grote verscheidenheid aan opties van derden kunnen gebruiken. De meeste klanten vinden echter dat onze kant-en-klare identiteitsoplossingen aan hun behoeften voldoen. En dat aantal blijft groeien.

Bovendien laten de gegevens ook zien dat de mate van eenvoud die we met Azure AD Connect hebben geleverd, een grote impact heeft. De oplossing wordt op grote schaal toegepast en is verreweg de snelst groeiende optie voor het verbinden van Windows Server AD en Azure AD/Office 365.

Hopelijk vond je deze blogpost interessant en nuttig! Zoals altijd willen we graag feedback of suggesties ontvangen.

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

The post Hoe organisaties hun on-premises identiteit koppelen aan Azure AD appeared first on Microsoft 365 Blog.

Vandaag kan ik met gepaste trots aankondigen dat we net gasttoegang in Microsoft Teams hebben ingeschakeld, gebouwd op de functies voor B2B-samenwerking van Azure AD!

Het is nu mogelijk om samenwerking tussen partners in te schakelen in Teams voor interacties tussen chat, apps en bestandsdeling, allemaal met het gebruiksgemak en de geavanceerde beveiliging die Azure Active Directory al geruime tijd ondersteunt voor je werknemers.

Nu kan iedereen met een Azure Active Directory-account in een organisatie als gastgebruiker worden uitgenodigd in Microsoft Teams!

Klanten hebben al meer dan acht miljoen gastgebruikers gemaakt met behulp van de B2B-functies van Azure AD en dat is nog maar het begin. Het toevoegen van ondersteuning voor Microsoft Teams werd vaak gevraagd door klanten en we zijn dan ook erg blij dat we deze nieuwe functie kunnen inschakelen om het momentum vast te houden. Ik hoop dat jullie het vandaag nog even gaan proberen!

Log in bij Teams en nodig je partners uit om met je samen te werken.

En ook nu kun je contact met ons opnemen met feedback, opmerkingen en suggesties. Je weet dat we naar je luisteren!

Met vriendelijke groet,

Alex Simons (@Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

P.S.: We zijn al druk bezig met het toevoegen van extra Azure AD-functies aan Teams, waaronder ondersteuning voor externe gebruikers met een e-mailaccount van een organisatie of een persoonlijk account. Binnenkort meer hierover!

The post B2B-samenwerking in Azure AD met Microsoft Teams appeared first on Microsoft 365 Blog.

Ik heb goed nieuws! Gartner heeft gisteren hun Magic Quadrant voor toegangsbeheer (AM MQ) gepubliceerd voor 2017, waaruit blijkt dat Microsoft is opgenomen in het Leaders-kwadrant vanwege onze volledigheid als het gaat om visie en het vermogen om uit te voeren.

De AM MQ is een nieuwe MQ. Het is een afzonderlijke entiteit van de buiten gebruik gestelde IDaaS MQ en dit is de eerste keer dat de MQ wordt gepubliceerd. Azure Active Directory is het product dat in het rapport wordt geëvalueerd.

Magic Quadrant voor toegangsbeheer van Gartner voor 2017

We hebben in overleg met Gartner gratis exemplaren van het rapport gereserveerd, die je hier kunt downloaden.

Onze mening is dat Microsoft’s verbazingwekkende positionering een validatie is van onze visie voor het aanbieden van een complete oplossing voor identiteits- en toegangsbeheer voor medewerkers, partners en klanten, ondersteund door geavanceerde identiteitsbeveiliging op basis van Microsoft’s Intelligent Security Graph. 

Wij zijn van mening dat de analyse van Gartner veel zegt over onze commitment ten aanzien van identiteits- en toegangsbeheer. Belangrijker is echter dat Microsoft vindt dat dit veel zegt over onze klanten, implementatiepartners en ISV-partners die met ons hebben gewerkt, en die elke dag tijd en energie hebben gegeven om ervoor te zorgen dat de producten en services die we maken, voldoen aan hun behoeften en een positie innemen die ze in staat stelt om succesvol te zijn in een wereld die steeds meer wordt gestuurd door cloudtechnologie.

We beloven dat we innovatieve functies zullen blijven leveren om tegemoet te komen aan de wensen van klanten voor identiteits- en toegangsbeheer en om onze positie in het Leaders-kwadrant van de Gartner AM MQ verder te verbeteren.

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

The post Azure AD in Leaders-kwadrant van de Magic Quadrant voor 2017 van Gartner voor toegangsbeheer! appeared first on Microsoft 365 Blog.