Goed nieuws vandaag! Voor het tweede jaar op rij heeft Gartner Microsoft gepositioneerd in het leiderskwadrant van het magische kwadrant van 2018 voor toegangsbeheer wereldwijd, op basis van de volledigheid van onze visie en ons vermogen om deze uit te voeren op de markt voor toegangsbeheer. Ontdek waarom in een gratis exemplaar van het rapport hier.

Volgens Gartner geven leiders blijk van een sterke uitvoering van verwachte vereisten met betrekking tot technologie, methodologie of wijze van levering. Leiders laten ook zien hoe toegangsbeheer een rol speelt in een verzameling gerelateerde of aangrenzende productaanbiedingen.

De verste visie in het leiderskwadrant

Microsoft is voor het tweede jaar op rij in het leiderskwadrant geplaatst als verste op het gebied van Visie. We geloven dat onze sprong omhoog in Uitvoering ook laat zien hoe belangrijk het voor ons is om een strategie uit te voeren die organisaties kan helpen waar ze zijn en hen voor te bereiden op de identiteitsbehoeften van morgen.

Bij Microsoft maken we ons sterk voor voorwaardelijk toegangsbeleid en het beschermen van identiteiten tegen bedreigingen als essentiële mogelijkheden voor een identiteits- en toegangsbeheeroplossing van wereldklasse. Als onderdeel van een rijk ecosysteem met Windows 10, Office 365 en EMS, hebben we er hard aan gewerkt om het beveiligingsbeleid voor alle producten te integreren om je inzicht in en controle over de volledige gebruikerservaring te bieden. We hebben dit jaar ook gebruikgemaakt van de inzichten en feedback van onze klanten om de ervaring te verbeteren en het nog eenvoudiger te maken om al je identiteiten op één plaats te krijgen. We doen er alles aan om innovatieve en uitgebreide oplossingen voor identiteits- en toegangsbeheer te bieden voor je werknemers, partners en klanten.

Zonder de inbreng en de steun van onze klanten en partners hadden we geen leider in deze ruimte kunnen blijven zijn. Bedankt!

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

Belangrijk:

Deze afbeelding is door Gartner, Inc. gepubliceerd als onderdeel van een groter onderzoeksdocument en moet worden geëvalueerd in de context van het hele document. Het document van Gartner is op verzoek verkrijgbaar bij Microsoft.

Gartner doet geen aanbevelingen voor een specifieke leverancier, specifiek product of specifieke service vermeld in zijn onderzoekspublicaties, en adviseert technologiegebruikers niet om alleen die leveranciers te kiezen met de hoogste score of een andere aanduiding. De onderzoekspublicaties van Gartner bestaan uit de meningen van de Gartner- onderzoeksorganisatie en mogen niet als een verklaring van feiten worden beschouwd. Gartner geeft ook geen garanties, expliciet of impliciet, met betrekking tot dit onderzoek, inclusief enige garantie van verkoopbaarheid of geschiktheid voor een bepaald doel.

The post Visie en uitvoering: Microsoft weer genoemd als leider in Gartner magisch kwadrant voor toegangsbeheer appeared first on Microsoft 365 Blog.

Zo lang er wachtwoorden bestaan, hebben mensen geprobeerd ze te raden. In deze blogpost gaan we het hebben over een veelvoorkomende aanval die de laatste tijd VEEL vaker voorkomt, en een aantal best practices om je ertegen te verdedigen. Deze aanval wordt wachtwoordspray genoemd.

Bij een wachtwoordsprayaanval proberen de slechteriken de meestvoorkomende wachtwoorden uit op veel verschillende accounts en services om toegang te krijgen tot alle met een wachtwoord beveiligde items die ze kunnen vinden. Deze aanvallen betreffen gewoonlijk veel verschillende organisaties en identiteitsproviders. Een aanvaller kan bijvoorbeeld een algemeen beschikbare toolkit zoals Mailsniper gebruiken om alle gebruikers in een aantal organisaties op te sommen en vervolgens “W@chtw00rd” en “Wachtwoord1” uit te proberen op al die accounts. Om je een idee te geven: een aanval zou er zo uit kunnen zien:

Dit aanvalspatroon ontsnapt aan de meeste detectietechnieken, omdat vanuit het gezichtspunt van een individuele gebruiker of bedrijf de aanval er net uitziet als een eenmalige mislukte aanmelding.

Voor aanvallers is het kwestie van aantallen: ze weten dat er wachtwoorden zijn die erg vaak voorkomen. Hoewel deze meest voorkomende wachtwoorden slechts 0,5–1,0% van de accounts uitmaken, krijgt de aanvaller een paar successen voor elke duizend aangevallen accounts, en dat is genoeg om effectief te zijn.

Ze gebruiken de accounts om gegevens uit e-mails te halen, contactgegevens te verzamelen en phishing-links te verzenden of om de doelgroep voor de wachtwoordspray uit te breiden. De aanvallers geven er niet om wie de eerste doelen zijn – alleen dat ze een beetje succes hebben waarop ze kunnen voortbouwen.

Het goede nieuws is dat Microsoft veel tools heeft die al geïmplementeerd en beschikbaar zijn om deze aanvallen te ontkrachten, en er komen er binnenkort nog meer. Lees verder om te zien wat je nu en in de komende maanden kunt doen om aanvallen met wachtwoordsprays te stoppen.

Vier gemakkelijke stappen om wachtwoordsprayaanvallen te verstoren

Stap 1: Cloudverificatie gebruiken

In de cloud zien we elke dag miljarden aanmeldingen bij Microsoft-systemen. Met onze beveiligingsdetectiealgoritmen kunnen we aanvallen detecteren en blokkeren terwijl ze plaatsvinden. Omdat dit realtime detectie- en beveiligingssystemen zijn die vanuit de cloud worden aangestuurd, zijn ze alleen beschikbaar wanneer Azure AD-verificatie in de cloud wordt uitgevoerd (inclusief Pass Through-verificatie).

Smart Lockout

In de cloud gebruiken we Smart Lockout (slimmer vergrendeling) om onderscheid te maken tussen inlogpogingen die eruitzien alsof ze afkomstig zijn van de geldige gebruiker en aanmeldingen van mogelijke aanvallers. We kunnen de aanvaller buitensluiten terwijl de geldige gebruiker het account blijft gebruiken. Dit voorkomt denial-of-service voor de gebruiker en stopt overijverige wachtwoordsprayaanvallen. Dit is van toepassing op alle Azure AD-aanmeldingen, ongeacht het licentieniveau, en op alle aanmeldingen bij Microsoft-accounts.

Tenants die Active Directory Federation Services (ADFS) kunnen Smart Lockout vanaf maart 2018 standaard in ADFS in Windows Server 2016 gebruiken. Kijk uit naar de introductie van deze mogelijkheid via Windows Update.

IP-blokkering

IP-blokkering werkt door het analyseren van die miljarden aanmeldingen om de kwaliteit van het verkeer van elk IP-adres dat op Microsoft-systemen terechtkomt, te beoordelen. Door die analyse vindt IP-blokkering IP-adressen die kwaadaardig werken en blokkeert het deze aanmeldingen in realtime.

Aanvalssimulatie

Met Attack Simulator, dat nu beschikbaar is in openbare preview als onderdeel van Office 365 Threat Intelligence, kunnen klanten gesimuleerde aanvallen doen op hun eigen eindgebruikers, bepalen hoe hun gebruikers zich gedragen in geval van een aanval en hun beleid bijwerken om ervoor te zorgen dat er geschikte beveiligingstools aanwezig zijn om de organisatie te beschermen tegen bedreigingen zoals wachtwoordsprayaanvallen.

We raden je aan zo snel mogelijk het volgende te doen:

1. Als je cloudverificatie gebruikt, zit je goed
2. Als je ADFS of een andere hybride scenario gebruikt, kijk dan uit naar een ADFS-upgrade voor Smart Lockout in maart 2018
3. Gebruik Attack Simulator om je beveiliging procactief te evalueren en eventueel aan te passen

Stap 2: Meervoudige verificatie gebruiken

Een wachtwoord is de toegangssleutel tot een account, maar bij een geslaagde wachtwoordsprayaanval heeft de aanvaller het juiste wachtwoord geraden. Om ze te stoppen, moeten we iets anders dan alleen een wachtwoord gebruiken om onderscheid te maken tussen de accounteigenaar en de aanvaller. Hieronder staan de drie manieren om dit te doen.

Meervoudige verificatie op basis van risico

Azure AD Identity Protection maakt gebruik van de hierboven genoemde aanmeldingsgegevens en voegt geavanceerde machine learning en algoritmische detectie toe waarmee een risicoscore wordt toegewezen aan elke aanmelding die binnenkomt bij het systeem. Hierdoor kunnen zakelijke klanten in Identity Protection beleidsregels maken waardoor een gebruiker alleen wordt gevraagd zich met een tweede factor te legitimeren als er risico’s zijn gedetecteerd voor de gebruiker of voor de sessie, en anders niet. Dit vermindert de belasting voor je gebruikers en legt de slechteriken blokkades in de weg. Meer informatie over Azure AD Identity Protection hier.

Altijd meervoudige verificatie gebruiken

Voor nog meer beveiliging kun je Azure MFA gebruiken om altijd meervoudige verificatie voor je gebruikers te vragen, zowel bij cloudverificatie als in ADFS. Hoewel dit vereist dat eindgebruikers altijd hun apparaten bij de hand moeten hebben en vaker meervoudige verificatie moeten uitvoeren, biedt dit de meeste beveiliging voor je onderneming. Dit moet worden ingeschakeld voor elke beheerder in een organisatie. Meer informatie over Azure Multi-Factor Authentication hier en Azure MFA configureren voor ADFS.

Azure MFA als primaire verificatie

In ADFS 2016 kun je Azure MFA gebruiken als primaire verificatie voor verificatie zonder wachtwoord. Dit is een geweldig hulpmiddel om te waken tegen wachtwoordspray- en wachtwoorddiefstalaanvallen: als er geen wachtwoord is, kan het ook niet worden geraden. Dit werkt uitstekend voor alle apparaten van alle soorten en maten. Bovendien kun je nu wachtwoorden gebruiken als de tweede factor, nadat de OTP is gevalideerd met Azure MFA. Meer informatie over het gebruiken van wachtwoorden als de tweede factor hier.

We raden je aan zo snel mogelijk het volgende te doen:

1. We raden sterk aan om altijd meervoudige verificatie te vereisen voor alle beheerders in je organisatie, speciaal voor abonnementeigenaars en tenantbeheerders. Maar serieus, schakel dit nu meteen in.
2. Voor de beste ervaring voor de rest van je gebruikers, raden we meervoudige verificatie op basis van risico aan, wat beschikbaar is met Azure AD Premium P2-licenties.
3. Gebruik anders Azure MFA voor cloudverificatie en ADFS.
4. Upgrade in ADFS naar ADFS op Windows Server 2016 om Azure MFA te gebruiken als primaire verificatie, met name voor al je extranettoegang.

Stap 3: Betere wachtwoorden voor iedereen

Zelfs met al het bovenstaande is een belangrijk onderdeel van de verdediging tegen wachtwoordsprays dat alle gebruikers een wachtwoord hebben dat moeilijk te raden is. Het is vaak moeilijk voor gebruikers om te weten hoe ze moeilijk te raden wachtwoorden kunnen maken. Microsoft helpt je hierbij met deze tools.

Verboden wachtwoorden

In Azure AD wordt elk gewijzigd of opnieuw ingesteld wachtwoord door een controle op verboden wachtwoorden gehaald. Wanneer een nieuw wachtwoord wordt ingediend, wordt het bij benadering vergeleken met een lijst met woorden die niemand ooit in zijn wachtwoord zou moeten hebben (en l33t-sp3@k-spelling helpt niet). Als er een overeenkomst wordt gevonden, wordt het wachtwoord geweigerd en wordt de gebruiker gevraagd een wachtwoord te kiezen dat moeilijker te raden is. We hebben een lijst opgebouwd met de meest aangevallen wachtwoorden en werken deze vaak bij.

Aangepaste verboden wachtwoorden

Om verbannen wachtwoorden nog beter te maken, gaan we tenants de mogelijkheid geven hun lijst met verboden wachtwoorden aan te passen. Beheerders kunnen woorden kiezen die veel voorkomen in hun organisatie – beroemde werknemers en oprichters, producten, locaties, regionale iconen, enzovoort – en voorkomen dat die worden gebruikt in de wachtwoorden van hun gebruikers. Deze lijst wordt afgedwongen in aanvulling op de algemene lijst, zodat je niet de ene of de andere hoeft te kiezen. Dit is nu in beperkte preview en zal dit jaar worden uitgerold.

Verboden wachtwoorden voor on-premises wijzigingen

Dit voorjaar lanceren we een tool waarmee beheerders in een onderneming wachtwoorden kunnen verbieden in hybride Azure AD-Active Directory-omgevingen. De lijsten met geblokkeerde wachtwoorden worden vanuit de cloud naar je on-premises omgevingen gesynchroniseerd, en op elke domeincontroller met de agent afgedwongen. Dit helpt beheerders ervoor te zorgen dat wachtwoorden van gebruikers moeilijker te raden zijn, ongeacht waar – in de cloud of on-premises – de gebruiker een wachtwoord wijzigt. Dit is in februari 2018 gelanceerd naar beperkte privé-preview, en komt dit jaar algemeen beschikbaar.

Ga anders denken over wachtwoorden

Veel algemene opvattingen over wat een goed wachtwoord is, zijn verkeerd. Gewoonlijk zorgt iets dat wiskundig gezien zou moeten helpen, eigenlijk voor voorspelbaar gebruikersgedrag. Zo resulteren het vereisen van bepaalde tekensoorten en periodieke wachtwoordwijzigingen beide in specifieke wachtwoordpatronen. Lees ons technische document over wachtwoordrichtlijnen voor veel meer details. Als je Active Directory gebruikt met PTA of ADFS, werk je wachtwoordbeleid dan bij. Als je cloudbeheerde accounts gebruikt, overweeg dan om je wachtwoorden zo in te stellen dat ze nooit verlopen.

We raden je aan zo snel mogelijk het volgende te doen:

1. Installeer het Microsoft-hulpprogramma voor verboden wachtwoorden zodra het uitkomt on-premises, om je gebruikers te helpen betere wachtwoorden te maken.
2. Bekijk je wachtwoordbeleid en denk erover om ze zo in te stellen dat ze nooit verlopen, zodat je gebruikers geen seizoenspatronen gebruiken om hun wachtwoorden te maken.

Stap 4: Meer fantastische functies in ADFS en Active Directory

Als je hybride verificatie gebruikt met ADFS en Active Directory, zijn er meer stappen die je kunt zetten om je omgeving te beveiligen tegen wachtwoordsprayaanvallen.

De eerste stap voor organisaties met ADFS 2.0 of Windows Server 2012: maak plannen om zo snel mogelijk over te stappen op ADFS in Windows Server 2016. De nieuwste versie wordt sneller bijgewerkt, met een uitgebreidere set mogelijkheden, zoals extranetblokkering. En vergeet niet: we hebben het heel eenvoudig gemaakt om een upgrade uit te voeren van Windows Server 2012R2 naar 2016.

Verouderde verificatie van het extranet weren

Verouderde-verificatieprotocollen kunnen MFA niet afdwingen, dus het is het beste deze te weren van het extranet. Hierdoor kunnen wachtwoordsprayaanvallers niet profiteren van het gebrek aan MFA van die protocollen.

ADFS Web Application Proxy-extranetvergrendeling activeren

Als je geen extranetvergrendeling hebt geïnstalleerd op de ADFS-web toepassingsproxy, moet je deze zo snel mogelijk inschakelen om je gebruikers te beschermen tegen wachtwoordaanvallen.

Azure AD Connect Health voor ADFS implementeren

Azure AD Connect Health legt IP-adressen vast die in de ADFS-logboeken voor onjuiste gebruikersnaam/wachtwoordaanvragen worden geregistreerd, geeft je aanvullende rapportage over een reeks scenario’s en biedt extra inzicht om engineers te ondersteunen bij het openen van ondersteuningsaanvragen.

Download de nieuwste versie van Azure AD Connect Health Agent voor ADFS op alle ADFS-servers (2.6.491.0). ADFS-servers moeten gebruikmaken van Windows Server 2012 R2 met KB 3134222 geïnstalleerd of Windows Server 2016.

Toegangsmethoden zonder wachtwoord gebruiken

Zonder een wachtwoord kan een wachtwoord niet worden geraden. Deze verificatiemethoden zonder wachtwoord zijn beschikbaar voor ADFS en de Web Application Proxy:

1. Met verificatie op basis van certificaten kunnen gebruikersnaam/wachtwoord-eindpunten volledig worden geblokkeerd bij de firewall. Meer informatie over verificatie op basis van certificaten in ADFS
2. Zoals hierboven gezegd, kan Azure MFA worden gebruikt als tweede factor bij cloudverificatie en ADFS 2012 R2 en 2016. Maar in ADFS 2016 kan het ook worden gebruikt als primaire factor om de mogelijkheid van wachtwoordsprays volledig te stoppen. Leer hier Azure MFA configureren met ADFS
3. Windows Hello voor Bedrijven, beschikbaar in Windows 10 en ondersteund door ADFS in Windows Server 2016, maakt volledig wachtwoordvrije toegang mogelijk, ook vanaf het extranet, op basis van sterke cryptografiesleutels die zijn gekoppeld aan zowel de gebruiker als het apparaat. Dit is beschikbaar voor door bedrijven beheerde apparaten die zijn gekoppeld via Azure AD of Hybride Azure AD, en voor persoonlijke apparaten via ‘Werk- of schoolaccount toevoegen’ met de app Instellingen. Meer informatie over Hello voor Bedrijven.

We raden je aan zo snel mogelijk het volgende te doen:

1. Upgraden naar ADFS 2016 voor snellere updates
2. Verouderde verificatie van het extranet weren.
3. Deploy Azure AD Connect Health-agents voor ADFS implementeren op al je ADFS-servers.
4. Overwegen een wachtwoordloze primaire verificatiemethode te gebruiken, zoals Azure MFA, certificaten of Windows Hello voor Bedrijven.

Bonus: je Microsoft-accounts beschermen

Als je een gebruiker met een Microsoft-account bent:

• Goed nieuws: je bent al beschermd! Microsoft-accounts maken ook gebruik van Smart Lockout, IP-blokkering, verificatie in twee stappen op basis van risico, verboden wachtwoorden, en meer.
• Maar neem toch even twee minuten de tijd om naar de Beveiligingspagina van je Microsoft-account te gaan en de optie te kiezen om je beveiligingsgegevens bij te werken, die worden gebruikt voor verificatie in twee stappen op basis van risico
• Je kunt ook hier inschakelen dat je altijd verificatie in twee stappen wilt gebruiken, om je account te voorzien van de best mogelijke beveiliging.

De beste verdediging is… het volgen van de aanbevelingen in deze blogpost

Wachtwoordspray is een serieuze bedreiging voor elke service op het internet die gebruikmaakt van wachtwoorden, maar het nemen van de stappen in deze blogpost geeft je maximale bescherming tegen deze aanvalsvector. En omdat veel soorten aanvallen vergelijkbare kenmerken hebben, zijn dit sowieso goede suggesties om je te beschermen. Jouw veiligheid is altijd onze hoogste prioriteit, en we werken er voortdurend aan nieuwe, geavanceerde beveiligingen tegen wachtwoordspray en alle andere soorten aanvallen te ontwikkelen. Gebruik de hierboven genoemde aanbevelingen vandaag nog, en kom regelmatig terug voor nieuwe tools om je te verdedigen tegen de slechteriken op internet.

Hopelijk heb je wat aan deze informatie. Zoals altijd willen we graag feedback of suggesties ontvangen.

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

The post Best practices voor Azure AD en ADFS: Verdediging tegen wachtwoordsprayaanvallen appeared first on Microsoft 365 Blog.

Ik hoop dat jullie het bericht van vandaag net zo interessant zullen vinden als ik. Het leuk om over na te denken, en schetst een spannende visie voor de toekomst van digitale identiteiten.

In de afgelopen 12 maanden hebben we geïnvesteerd in het uitbroeden van een reeks ideeën voor het gebruik van blockchain (en andere gedistribueerde grootboektechnologieën) om nieuwe typen digitale identiteiten te creëren, identiteiten die vanaf de basis zijn ontworpen om persoonlijke privacy, beveiliging en controle te verbeteren. We zijn heel enthousiast over wat we hebben geleerd, en over de nieuwe partnerverbanden die we tijdens dit proces zijn aangegaan. Vandaag nemen we de gelegenheid te baat om onze gedachten en de kant die we op willen, met jullie te delen. Deze blogpost maakt deel uit van een serie en volgt op de blogpost van Peggy Johnson waarin wordt aangekondigd dat Microsoft is toegetreden tot het ID2020-initiatief. Als je Peggy’s bericht nog niet hebt gelezen, raad ik aan dat eerst te doen.

Ik heb Ankur Patel, de projectmanager in mijn team die deze incubaties leidt, gevraagd de startschop te geven van onze discussie over gedecentraliseerde digitale identiteiten. Zijn post richt zich op het delen van enkele van de belangrijkste dingen die we hebben geleerd, en enkele van de resulterende principes die we gebruiken als leidraad bij onze toekomstige investeringen op dit gebied.

En zoals altijd horen we graag jullie mening en feedback.

Met vriendelijke groet,

Alex Simons (Twitter: @Alex_A_Simons)

Directeur Programmabeheer

Microsoft Identity Division

———-

Hallo allemaal! Ik ben Ankur Patel van de Identity Division van Microsoft. Het is een groot voorrecht deze kans te krijgen om een paar van de lessen te delen die we hebben geleerd bij onze inspanningen om op blockchain/gedistribueerde grootboeken gebaseerde gedecentraliseerde identiteiten te verwerkelijken, en welke kant we in de toekomst op willen.

Wat we zien

Zoals velen van jullie elke dag ervaren, ondergaat de wereld een wereldwijde digitale transformatie waarbij digitale en fysieke realiteit samenvloeien tot één geïntegreerde moderne manier van leven. Deze nieuwe wereld heeft behoefte aan een nieuw model voor digitale identiteit, een model dat de privacy en veiligheid van personen in de fysieke en digitale wereld verbetert.

De cloudidentiteitssystemen van Microsoft stellen al duizenden ontwikkelaars, organisaties en miljarden mensen in staat om te werken, te spelen en meer te bereiken. Maar toch is er nog veel meer dat we kunnen doen om iedereen te meer mogelijkheden te bieden. We streven naar een wereld waarin de miljarden mensen die vandaag de dag leven zonder betrouwbare ID eindelijk de dromen kunnen realiseren die we allemaal delen, zoals het opleiden van onze kinderen, het verbeteren van onze levenskwaliteit of het starten van een onderneming.

Om deze visie te bereiken, geloven we dat het essentieel is voor individuen om alle elementen van hun digitale identiteit te bezitten en te beheren. In plaats van brede toestemming te verlenen aan talloze apps en services, en hun identiteitsgegevens over meerdere providers te verspreiden, hebben mensen een veilige, versleutelde digitale hub nodig waar ze hun identiteitsgegevens kunnen opslaan en waartoe ze gemakkelijk de toegang kunnen beheren.

Elk van ons heeft een digitale identiteit nodig die van ons is, een die alle elementen van onze digitale identiteit veilig en privé opslaat.  Deze eigen identiteit moet gemakkelijk te gebruiken zijn, en ons volledige controle geven over de toegang tot en het gebruik van onze identiteitsgegevens.

We weten dat het mogelijk maken van dit soort soevereine digitale identiteit te groot is voor één bedrijf of organisatie. We streven ernaar nauw samen te werken met onze klanten, partners en de gemeenschap om de volgende generatie op digitale identiteit gebaseerde ervaringen te ontgrendelen, en we zijn blij samen te kunnen werken met zoveel mensen in de branche die fantastische bijdragen aan deze ruimte leveren.

Wat we hebben geleerd

Daarom delen we vandaag onze beste ideeën op basis van wat we hebben geleerd van onze gedecentraliseerde identiteitsincubatie, een inspanning die is gericht op het mogelijk maken van rijkere ervaringen, het vergroten van vertrouwen en het verminderen van wrijving, en het iedereen mogelijk te maken zijn of haar eigen digitale identiteit te bezitten en te beheren.

1. Bezit en beheer je identiteit. Tegenwoordig verlenen gebruikers brede toestemming aan talloze apps en services voor verzameling, gebruik en bewaring waarover zij geen controle hebben. Nu datalekken en identiteitsdiefstal steeds geavanceerder en frequenter worden, hebben gebruikers een manier nodig om hun identiteit in eigen hand te nemen. Na onderzoek van gedecentraliseerde opslagsystemen, consensusprotocollen, blockchains en een verscheidenheid aan opkomende standaarden, geloven we dat blockchain-technologie en -protocollen geschikt zijn voor het mogelijk maken van DID’s (Decentralized IDs, gedecentraliseerde ID’s).
2. Privacy volgens plan, ingebouwd vanaf het begin.
   Tegenwoordig leveren apps, services en organisaties handige, voorspelbare, op maat gemaakte ervaringen die afhankelijk zijn van controle over identiteitsgebonden gegevens. We hebben een veilige gecodeerde digitale hub (ID-hubs) nodig die kan communiceren met gebruikersgegevens, terwijl de privacy en controle van de gebruiker worden gerespecteerd.
3. Vertrouwen wordt verdiend door individuen, opgebouwd door de gemeenschap.
   Traditionele identiteitssystemen zijn meestal gericht op authenticatie en toegangsbeheer. Een eigen identiteitssysteem voegt een focus toe op authenticiteit en hoe een gemeenschap vertrouwen kan ontwikkelen. In een gedecentraliseerd systeem is vertrouwen gebaseerd op attesten: beweringen die worden onderschreven door andere entiteiten, wat helpt om facetten van iemands identiteit te bewijzen.
4. Apps en services met de gebruiker als middelpunt.
   Enkele van de meest aantrekkelijke apps en services van vandaag bieden ervaringen die zijn aangepast aan hun gebruikers door toegang te krijgen tot de persoonlijk identificeerbare informatie (PII) van de gebruiker. DID’s en ID Hubs kunnen het ontwikkelaars mogelijk maken toegang te krijgen tot meer nauwkeurige attesten, terwijl de juridische en nalevingsrisico’s verminderen door dergelijke informatie te verwerken, in plaats van deze namens de gebruiker te beheren.
5. Open, interoperabele basis.
   Om een robuust gedecentraliseerd identiteitsecosysteem te creëren dat voor iedereen toegankelijk is, moet het worden gebouwd op basis van standaard open source-technologieën, protocollen en referentie-implementaties. Het afgelopen jaar hebben we deelgenomen aan de DIF (Decentralized Identity Foundation: stichting voor gedecentraliseerde identiteit) met personen en organisaties die even gemotiveerd zijn als wij om deze uitdaging aan te gaan. We werken samen aan het ontwikkelen van de volgende belangrijke componenten:
   

• Gedecentraliseerde ID’s (DID’s) – a W3C-specificatie die een gemeenschappelijke documentindeling definieert voor het beschrijven van de status van een gedecentraliseerde ID
  
• Identiteithubs – een versleutelde identiteitsgegevensopslag met bericht/intentierelay, verwerking van attesten en identiteitspecifieke rekeneindpunten. 
  
• Universele DID-resolver – een server die DID’s omzet tussen blockchains 
  
• Verifiable Credentials – verifieerbare referenties, een W3C-specificatie die een documentindeling definieert voor het coderen van DID-attesten. 
  

6. Klaar voor gebruik op wereldschaal:
   Om een enorme wereld aan gebruikers, organisaties en apparaten te ondersteunen, moet de onderliggende technologie een schaal en prestaties kunnen leveren die vergelijkbaar zijn met traditionele systemen. Sommige openbare blockchains (Bitcoin [BTC], Ethereum, Litecoin om een select aantal te noemen) bieden een solide basis voor het grondvesten van DID’s, het opnemen van DPKI-bewerkingen en het verankeren van attesten. Hoewel sommige blockchain-gemeenschappen de transactiekracht van hun on-chain-transacties hebben verhoogd (bijvoorbeeld door de blokgrootte te verhogen), verslechtert deze aanpak over het algemeen de gedecentraliseerde status van het netwerk en kan niet de miljoenen transacties per seconde bereiken die het systeem op wereldschaal zou genereren. Om deze technische barrières te overwinnen, werken we samen aan gedecentraliseerde Laag 2-protocollen die bovenop deze openbare blockchains lopen om een wereldwijde schaal te bereiken, terwijl de kenmerken van een DID-systeem van wereldklasse behouden blijven.
   
7. Toegankelijk voor iedereen:
   Het blockchain-ecosysteem van vandaag bestaat nog steeds vooral uit koplopers die bereid zijn om tijd, moeite en energie te besteden aan het beheren van sleutels en het beveiligen van apparaten. We kunnen niet verwachten dat gewone mensen zich daarmee bezighouden. We moeten belangrijke beheeruitdagingen, zoals herstel, rotatie en veilige toegang, intuïtief en foolproof maken.
   

Volgende stappen

Nieuwe systemen en grote ideeën zien er vaak logisch uit op een whiteboard. Alle lijnen sluiten aan, en aannames lijken solide. Product- en engineeringteams leren echter het meest door een echt product te leveren.

Tegenwoordig wordt de Microsoft Authenticator-app al elke dag door miljoenen mensen gebruikt om hun identiteit te bewijzen. Als een volgende stap zullen we experimenteren met gedecentraliseerde identiteiten door ondersteuning daarvoor toe te voegen aan Microsoft Authenticator. Met jouw toestemming kan Microsoft Authenticator optreden als je gebruikersagent voor het beheren van identiteitsgegevens en cryptografische sleutels. In dit ontwerp is alleen de ID gebaseerd op de keten. Identiteitsgegevens worden opgeslagen in een ID-hub (die Microsoft niet kan zien) buiten de keten, versleuteld met behulp van deze cryptografische sleutels.

Zodra we deze mogelijkheid hebben toegevoegd, kunnen apps en services communiceren met gebruikersgegevens via een gemeenschappelijk berichtenkanaal door gedetailleerde toestemming te vragen. In eerste instantie zullen we een selecte groep DID-implementaties over blockchains ondersteunen, en waarschijnlijk zullen we er in de toekomst meer aan toevoegen.

Vooruitblik

Het aangaan van zo’n enorme uitdaging vervult ons van enthousiasme maar ook van bescheidenheid, want we weten dat we dit niet alleen kunnen bereiken. We rekenen op de steun en inbreng van onze alliantiepartners, leden van de Decentralized Identity Foundation en het diverse Microsoft-ecosysteem van ontwerpers, beleidsmakers, zakenpartners, hardware- en software-ontwikkelaars. Maar vooral hebben we jullie, onze klanten, nodig om feedback te geven terwijl we beginnen met het testen van deze eerste reeks scenario’s.

Dit is onze eerste post over ons werk aan gedecentraliseerde identiteit. In aankomende posts zullen we informatie delen over onze proofs of concept, alsmede technische details voor de belangrijkste gebieden die hierboven zijn beschreven.

We kijken uit naar jouw deelname aan deze onderneming!

Belangrijke resources:

• Volg ons @AzureAD op Twitter
  
• Betrokken raken bij Decentralized Identity Foundation (DIF)
  
• Deelnemen aan de W3C Credentials Community Group
  

Vriendelijke groet,

Ankur Patel (@_AnkurPatel)

Principal Program Manager

Microsoft Identity Division

The post Gedecentraliseerde digitale identiteiten en blockchain: de toekomst zoals wij die zien appeared first on Microsoft 365 Blog.

Vandaag hebben we bij Microsoft Ignite een nieuwe visie onthuld voor het empoweren van Firstline Workers in het digitale tijdperk en hebben we Microsoft 365 F1 geïntroduceerd – een nieuw aanbod dat Office 365, Windows 10 en Enterprise Mobility + Security samenbrengt in een volledige, intelligente oplossing die alle medewerkers empowert.

De moderne werkplek vereist dat bedrijven aan nieuwe verwachtingen van medewerkers voldoen, meer verspreide teams verbinden en de hulpmiddelen bieden waarmee alle medewerkers kunnen creëren, innoveren en samenwerken om klant- en bedrijfsproblemen op te lossen. Een echt moderne werkplek laat medewerkers zo vindingrijk mogelijk zijn, creëert een cultuur van innovatie en actie, en verwelkomt en empowert alle medewerkers, van het executive team tot de Firstline Workers.

Firstline Workers vormen de meerderheid van onze wereldwijde beroepsbevolking. Zij zijn de twee miljard mensen over de hele wereld die achter de toonbank staan, de telefoon beantwoorden, in de klinieken werken, op de winkelvloer staan en in het veld werken. Ze zijn vaak de eersten die met klanten communiceren, het merk van een bedrijf vertegenwoordigen en producten en services in actie zien. Ze vormen de ruggengraat van vele van ’s werelds grootste industrieën, en zonder hen zouden de ambities van vele organisatie niet kunnen worden gerealiseerd.

We zien een mogelijkheid voor technologie om Firstline Workers een meer intuïtieve, absorberende en empowerende ervaring te geven. Microsoft staat in een unieke positie om bedrijven te helpen het potentieel van hun Firstline Workers te benutten met onze commerciële producten, waaronder Microsoft 365, Dynamics 365, Microsoft IoT, Microsoft AI, Microsoft HoloLens en het Windows Mixed Reality-ecosysteem.

De introductie van Microsoft 365 F1 is een belangrijke volgende stap in de richting van onze visie om Firstline Workers te betrekken bij digitale transformatie door elke medewerker te empoweren met technologie.

De Firstline Worker-ervaring transformeren

Microsoft 365 F1 bevat de mogelijkheden en hulpmiddelen waarmee alle medewerkers hun ideeën kunnen omzetten in actie. Het stimuleert de cultuur en community, met Skype Meeting Broadcast voor interactieve plenaire vergaderingen en Yammer om medewerkers te helpen aanbevolen procedures in het hele bedrijf te vinden en delen.

Microsoft 365 F1 maakt het eenvoudig om medewerkers te trainen en nieuwe vaardigheden aan te leren, met Microsoft Stream om dynamische, rolgebaseerde inhoud en video te delen en SharePoint om gemakkelijk onboarding- en trainingsmateriaal te distribueren en bedrijfskennis op één veilige plek te beheren.

Het ondersteunt de productiviteit van Firstline Workers en digitaliseert bedrijfsprocessen, met Microsoft StaffHub, een app die speciaal is bedoeld om Firstline Workers te helpen bij het indelen van hun werkdag, en Microsoft PowerApps en Flow om dagelijkse activiteiten te automatiseren. Vandaag kondigen we nieuwe functies van StaffHub aan, waaronder de mogelijkheid voor medewerkers om in/uit te klokken en taken bij te houden. We maken het ook gemakkelijker voor medewerkers om verbonden te blijven in StaffHub, door de chatfunctie te integreren met Microsoft Teams, de hub voor teamwork, en bedrijfsaankondigingen die in Yammer plaatsvinden te markeren. Tot slot stellen we algemene API’s beschikbaar, waarmee klanten StaffHub kunnen verbinden met systemen voor personeelsbeheer en andere hulpmiddelen.

Microsoft 365 F1 stroomlijnt IT-beheer, minimaliseert kosten en breidt beveiliging uit naar alle medewerkers en eindpunten. Azure Active Directory beheert de identiteit en toegang van medewerkers, Microsoft Intune helpt apparaten te beveiligen, en nieuwe functies in Windows 10 vereenvoudigen het beheer van de ervaringen van Firstline Workers door ondersteuning van vergrendelde apparaten voor één doel met Windows Assigned Access en geautomatiseerde implementatie met Windows AutoPilot.

Tot slot erkennen we hoe belangrijk het is om Firstline Workers gestroomlijnde en veilige apparaten te geven die de totale eigendomskosten minimaliseren. Vandaag kondigen we nieuwe commerciële apparaten met Windows 10 S aan van onze OEM-partners HP, Lenovo en Acer. Deze apparaten, die al te koop zijn vanaf slechts $ 275, bieden identiteit en beheer in de cloud en zijn ideaal voor Firstline-omgevingen.

We verheugen ons enorm op onze mogelijkheid om Firstline Workers te empoweren, en dit is nog maar het begin.

Bezoek onze nieuwe Firstline Worker-pagina voor meer informatie over onze visie en bekijk de onderstaande tabel om te zien wat is inbegrepen in Microsoft 365 F1.

—Bryan Goode

The post Alle medewerkers welkom met Microsoft 365 appeared first on Microsoft 365 Blog.