Dobrý deň, priatelia,

teším sa, že sa s vami môžem podeliť o dnešné novinky. Práve sme zapli možnosť bezpečného prihlasovania sa do konta Microsoft pomocou kompatibilného zariadenia podporujúceho štandard FIDO2. FIDO2 používateľom umožňuje využívať zariadenia podporujúce štandardy na jednoduché overovanie a získanie prístupu k online službám – v mobilnom aj počítačovom prostrední. Momentálne je táto možnosť k dispozícii v Spojených štátoch a celosvetovo sa začne zavádzať v priebehu nasledujúcich týždňov.

Táto kombinácia jednoduchého používania, zabezpečenia a rozsiahlej podpory v rámci odvetvia zmení domáce používanie aj moderné pracovisko. Každý mesiac viac než 800 miliónov ľudí využíva konto Microsoft na tvorbu, kontakt a zdieľanie – na prácu alebo hru využívajú Outlook, Office, OneDrive, Bing, Skype a Xbox Live. Teraz majú možnosť všetci využívať túto jednoduchú možnosť a výrazne zvýšiť zabezpečenie.

Oddnes môžete na prihlásenie sa do konta Microsoft pomocou prehliadača Microsoft Edge používať zariadenie s podporou štandardu FIDO2 alebo Windows Hello.

Pozrite si toto krátke video a zistite, ako to funguje:

Microsoft si dal za cieľ eliminovať heslá a pomôcť ľuďom chrániť svoje údaje a kontá pred hrozbami. Ako člen aliancie FIDO (Fast Identity Online) Alliance a konzorcia W3C (World Wide Web Consortium) spolupracujeme s ostatnými na vývoji otvorených štandardov pre budúcu generáciu overovania. Je mi potešením podeliť sa s vami o to, že Microsoft je prvou spoločnosťou skupiny Fortune 500, ktorá podporuje overovanie bez hesla pomocou špecifikácií WebAuthn a FIDO2, a že Microsoft Edge v porovnaní s ostatnými obľúbenými prehliadačmi podporuje najširšiu škálu overovaní.

Ak chcete získať viac informácií o tom, ako to funguje a ako začať s používaním tejto možnosti, čítajte ďalej.

Začíname

Prihlásenie sa do konta Microsoft pomocou kľúča zabezpečenia podporujúceho štandard FIDO2:

1. Ak ste tak ešte neurobili, vykonajte aktualizáciu na Windows 10 z októbra 2018.
2. V prehliadači Microsoft Edge prejdite na stránku konta Microsoft a bežným spôsobom sa prihláste.
3. Vyberte položky Zabezpečenie > Ďalšie možnosti zabezpečenia a v časti Windows Hello a kľúče zabezpečenia sa zobrazia inštrukcie na nastavenie kľúča zabezpečenia. (Kľúč zabezpečenia si môžete kúpiť od jedného z našich partnerov vrátane partnerov Yubico a Feitian Technologies, ktorí využívajú štandard FIDO2.*)
4. Pri ďalšom prihlásení môžete buď kliknúť na položky Ďalšie možnosti > Použiť kľúč zabezpečenia alebo zadať svoje meno používateľa. V tomto bode sa zobrazí výzva na prihlásenie sa pomocou kľúča zabezpečenia.

Na pripomenutie uvádzame spôsob prihlásenia sa do konta Microsoft pomocou funkcie Windows Hello:

1. Uistite sa, že ste k októbru 2018 vykonali aktualizáciu na Windows 10.
2. Ak ste tak neurobili, bude potrebné nastaviť Windows Hello. Ak máte funkciu Windows Hello nastavenú, môžete začať pracovať.
3. Keď sa nabudúce prihlásite pomocou prehliadača Microsoft Edge, môžete buď kliknúť na položky Ďalšie možnosti > Použiť Windows Hello alebo kľúč zabezpečenia alebo zadať svoje meno používateľa. V tomto momente sa zobrazí výzva na prihlásenie sa pomocou funkcie Windows Hello alebo zabezpečeného prístupu.

Ak potrebujete ďalšiu pomoc, pozrite si podrobný článok Pomocníka o tom, ako vykonať nastavenie.

*Špecifikácia FIDO2 zahŕňa niekoľko voliteľných funkcií, ktoré sú podľa nás pre zabezpečenie nevyhnutné, takže fungovať budú len kľúče, ktoré tieto funkcie implementovali. Prečítajte si článok Čo je kľúč zabezpečenia kompatibilný so spoločnosťou Microsoft? a zistite viac.

Ako to funguje?

Na to, aby toto všetko mohlo fungovať, sme do našich služieb implementovali špecifikácie WebAuthn a FIDO2 CTAP2.

Na rozdiel od hesiel FIDO2 chráni poverenia používateľov pomocou šifrovania verejným/súkromným kľúčom. Keď vytvoríte a zaregistrujete poverenia využívajúce štandard FIDO2, zariadenie (váš počítač alebo zariadenie podporujúce štandard FIDO2) vygeneruje súkromný a verejný kľúč. Súkromný kľúč je bezpečne uložený v zariadení a možno ho použiť len potom, čo bol odomknutý pomocou lokálneho gesta, akým je biometrický údaj alebo PIN. Biometrický údaj ani PIN nikdy neopustia zariadenie. V rovnakom čase, keď sa uloží súkromný kľúč, sa verejný kľúč odošle do systému konta Microsoft v cloude a zaregistruje sa v rámci vášho používateľského konta.

Keď sa neskôr prihlásite, systém konta Microsoft poskytne vášmu počítaču alebo zariadeniu podporujúcemu štandard FIDO2 hodnotu Nonce. Váš počítač alebo zariadenie potom použije súkromný kľúč na podpísanie hodnoty Nonce. Podpísaná hodnota Nonce a podpísané metaúdaje sa odošlú späť do systému konta Microsoft, kde sa overia pomocou verejného kľúča. Podpísané metaúdaje špecifikované prostredníctvom špecifikácií WebAuthn a FIDO2 poskytujú informácie, akými sú prítomnosť používateľa a potvrdenie overenia prostredníctvom lokálneho gesta. Vďaka týmto vlastnostiam je overovanie s funkciou Windows Hello a zariadeniami podporujúcimi štandard FIDO2 odolné voči neoprávnenému získavaniu údajov alebo odcudzeniu malvérom.

Ako to Windows Hello a zariadenia podporujúce štandard FIDO2 implementujú? Na základe možností zariadení využívajúcich Windows 10 máte buď vstavanú zabezpečenú enklávu známu ako hardvér modulu TPM (Trusted Platform Module) alebo softvér modulu TPM. Modul TPM uloží súkromný kľúč, na odomknutie ktorého sa vyžaduje vaša tvár, odtlačok prsta alebo PIN. Zariadenie podporujúce štandard FIDO2 je ako kľúč zabezpečenia malým externým zariadením s vlastnou vstavanou zabezpečenou enklávou, ktorá uloží súkromný kľúč, na odomknutie ktorého sa vyžaduje biometrický údaj alebo PIN. Obe možnosti predstavujú dvojfaktorové overenie v jednom kroku, ktoré na úspešné prihlásenie vyžaduje registrované zariadenie a biometrický údaj alebo PIN.

Pozrite si tento článok na našom blogu venovanom štandardom identít, ktorý poskytuje technické podrobnosti o implementácii.

Čo bude nasledovať

Súčasťou našej snahy o zníženie či dokonca eliminovanie používania hesiel je množstvo ďalších nadchádzajúcich vecí. Momentálne vytvárame rovnakú možnosť prihlásenia z prehliadača pomocou kľúčov zabezpečenia pre pracovné a školské kontá v službe Azure Active Directory. Podnikoví zákazníci budú mať začiatkom budúceho roka k dispozícii ukážku, ktorá im umožní povoliť zamestnancom nastaviť si kľúče zabezpečenia pre ich kontá používané na prihlasovanie do Windowsu 10 a cloudu.

Okrem toho, keďže stále viac prehliadačov a platforiem začína podporovať štandardy WebAuthn a FIDO2, dúfame, že prihlasovanie bez hesla, ktoré je dnes dostupné v prehliadači Microsoft Edge a Windowse, bude dostupné všade.

Sledujte nás, začiatkom budúceho roka pre vás budeme mať ďalšie informácie.

S pozdravom
Alex Simons (@Twitter: @Alex_A_Simons)
CVP pre riadenie programov
Divízia identity spoločnosti Microsoft

The post Bezpečné prihlásenie do konta Microsoft bez hesla pomocou kľúča zabezpečenia a funkcie Windows Hello appeared first on Microsoft 365 Blog.

všetci z Divízie identity spoločnosti Microsoft denne prichádzajú do práce odhodlaní pomáhať vám, našim zákazníkom, zvyšovať produktivitu vašich zamestnancov, partnerov a zákazníkov a uľahčovať vám bezpečné spravovanie prístupu k vašim podnikovým zdrojom.

Preto ma veľmi potešilo, keď som sa dozvedel, že spoločnosť Microsoft nedávno získala ocenenie Gartner Peer Insights – Výber zákazníkov v oblasti správy prístupu vo svete za rok 2018.

Spoločnosť Gartner vo svojom oznámení vysvetľuje, že „Gartner Peer Insights – Výber zákazníkov je ocenenie dodávateľov na tomto trhu od overených profesionálnych koncových používateľov, v ktorom sa zohľadňuje počet recenzií, ako aj celkové hodnotenia od používateľov.“ V záujme zaistenia férového hodnotenia uplatňuje spoločnosť Gartner pri udeľovaní ocenenia dodávateľom s vysokou mierou spokojnosti zákazníkov prísne kritériá.

Získanie tohto ocenenia nás veľmi povzbudilo. Potvrdilo sa ním, že na svojich zákazníkov máme pozitívny dosah a že si vážia inovácie, ktoré sme tento rok pridali k službe Azure Active Directory (Azure AD).

Toto ocenenie môže získať len dodávateľ, ktorý má publikovaných minimálne 50 recenzií s priemerným celkovým hodnotením 4,2 alebo viac hviezdičiek.

Tu je niekoľko citácií z recenzií, ktoré nám poslali naši zákazníci:

„Služba Azure AD sa rýchlo stáva jediným riešením väčšiny našich problémov súvisiacich s identitou a prístupom.“
– Architekt podnikovej bezpečnosti v odvetví dopravy. Prečítajte si celú recenziu.

„Služba Azure Active Directory výrazne napreduje v záujme stať sa veľmi dostupnou a všadeprítomnou adresárovou službou.“
– Riaditeľ technického rozvoja v odvetví služieb. Prečítajte si celú recenziu.

„[Spoločnosť Microsoft] bola a je naším skvelým partnerom pri implementácii riešenia identity, ktoré spĺňalo požiadavky našich početných agentúr, a poskytla nám plán, aby sme naďalej napredovali s jediným prihlásením (SSO) a integráciou našej staršej a novovyvinutej aplikácie. Takisto sme dokázali stanoviť štandard pre overovanie a prístup v rámci našej aplikácie SaaS.“
– Riaditeľ technológií v štátnej správe. Prečítajte si celú recenziu.

Prečítajte si ďalšie recenzie produktov spoločnosti Microsoft.

V súčasnosti využíva službu Azure AD Premium viac než 90 000 organizácií v 89 krajinách a denne spravujeme vyše osem miliárd overení. Náš tím technikov neustále pracuje na tom, aby bola naša služba spoľahlivá, škálovateľná a uspokojivá, ocenenie Výber zákazníkov nás preto veľmi motivuje. Je zaujímavé vidieť, čo všetko dokážu s našimi službami identít robiť mnohí zákazníci.

V mene všetkých, ktorí pracujú na službe Azure AD, sa chcem za toto ocenenie poďakovať. Tešíme sa na ďalšie získavanie skúseností a dôvery, vďaka ktorým sme získali ocenenie Výber zákazníkov.

Logo Gartner Peer Insights – Výber zákazníkov je ochrannou a servisnou známkou spoločnosti Gartner, Inc. a/alebo jej partnerských spoločností a jeho používanie je tu povolené. Všetky práva vyhradené. O oceneniach Gartner Peer Insights – Výber zákazníkov rozhodujú subjektívne názory individuálnych koncových používateľov na základe ich vlastných skúseností, počet publikovaných recenzií v službe Gartner Peer Insights a celkové hodnotenia príslušného dodávateľa na trhu tak, ako je podrobnejšie popísané tu, a žiadnym spôsobom nepredstavujú názory spoločnosti Gartner ani jej partnerských spoločností.

S pozdravom

Alex Simons (@Twitter: @Alex_A_Simons)
Viceprezident spoločnosti pre riadenie programov
Divízia identity spoločnosti Microsoft

The post Microsoft získava ocenenie Gartner Peer Insights – Výber zákazníkov v oblasti správy prístupu za rok 2018 appeared first on Microsoft 365 Blog.

dnes pre vás máme skvelé správy. Spoločnosť Gartner už druhý rok po sebe zaradila spoločnosť Microsoft do kvadrantu lídrov v Magickom kvadrante pre správu prístupu vo svete za rok 2018 na základe prepracovanosti našej vízie a schopnosti dodávať riešenia na trhu správy prístupu. Zistite dôvody v bezplatnej kópii správy tu.

Lídri sú podľa spoločnosti Gartner dôkazom dobrej realizácie očakávaných požiadaviek súvisiacich s technológiami, metodikou či spôsobmi doručovania. Lídri sú zároveň dôkazom toho, akú úlohu zohráva správa prístupu pri zhromažďovaní súvisiacich alebo nadväzujúcich ponúk produktov.

Najvyššie umiestnenie v kvadrante lídrov v oblasti vízie

Spoločnosť Microsoft sa umiestnila na najvyššom mieste v kvadrante lídrov v oblasti prepracovanosti vízie druhý rok za sebou. Veríme, že aj naše lepšie umiestnenie v oblasti realizácie svedčí o tom, aký význam prikladáme realizácii na základe stratégie, ktorá v súčasnosti organizáciám pomáha a pripravuje ich na budúce potreby identity.

V spoločnosti Microsoft presadzujeme politiky podmieneného prístupu a ochranu identít pred bezpečnostnými hrozbami ako zásadné funkcie pre špičkové riešenie správy identít a prístupu. Ako súčasť bohatého ekosystému s Windowsom 10, so službami Office 365 a EMS sme tvrdo pracovali na integrácii politík zabezpečovania v rámci produktov s cieľom poskytnúť vám viditeľnosť a kontrolu nad úplnou používateľskou skúsenosťou. Aby sme túto skúsenosť zlepšili a ešte väčšmi vám uľahčili zhromažďovanie všetkých identít na jednom mieste, zohľadnili sme tento rok aj názory a pripomienky našich zákazníkov. Sme odhodlaní poskytovať vašim zamestnancom, partnerom a zákazníkom inovatívne a komplexné riešenia správy identít a prístupu.

Bez vstupu a podpory od našich zákazníkov a partnerov by sme si pozíciu lídra v tejto oblasti neudržali – ďakujeme vám!

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ riadenia programov

Divízia identity spoločnosti Microsoft

Dôležitá poznámka:

Uvedený graf publikovala spoločnosť Gartner, Inc. v rámci rozsiahlejšieho výskumného dokumentu a mal by sa hodnotiť v kontexte celého dokumentu. Dokument spoločnosti Gartner je k dispozícii na základe žiadosti od spoločnosti Microsoft.

Spoločnosť Gartner nepodporuje žiadneho dodávateľa, produkt ani službu uvedenú vo svojich výskumných publikáciách, ani používateľom neodporúča vyberať si len dodávateľov s najvyšším hodnotením alebo iným označením. Výskumné publikácie spoločnosti Gartner pozostávajú z názorov výskumnej organizácie spoločnosti Gartner a nemali by sa považovať za konštatovanie faktov. Spoločnosť Gartner odmieta akékoľvek záruky, výslovné alebo implikované, pokiaľ ide o jej výskum, vrátane akýchkoľvek záruk obchodovateľnosti alebo vhodnosti na konkrétny účel.

The post Vízia + realizácia: Microsoft bol opäť označený za lídra v Magickom kvadrante spoločnosti Gartner v oblasti správy prístupu appeared first on Microsoft 365 Blog.

Odkedy existujú heslá, ľudia sa ich snažia uhádnuť. V tomto článku budeme hovoriť o bežnom útoku, ktorý je v poslednej dobe OVEĽA častejší a niekoľkých najvhodnejších postupoch, ako sa proti nemu brániť. Útok sa bežne nazýva sprejovanie hesla.

Pri útoku sprejovaním hesla narušitelia skúšajú najbežnejšie používané heslá na mnohých rôznych kontách a službách, aby získali prístup k akýmkoľvek položkám, ktoré sú chránené heslom. Zvyčajne sa zameriavajú na množstvo rôznorodých organizácií a poskytovateľov identity. Útočník napríklad použije bežne dostupný nástroj, ako Mailsniper, na vyšpecifikovanie všetkých používateľov v niekoľkých organizáciách, a potom skúsia heslo „P@$$w0rd“ a „Password1“ vo všetkých týchto kontách. Skúste si útok predstaviť asi takto:

Tento vzorec útokov si väčšina detekčných technológií nevšimne, pretože z hľadiska jednotlivého používateľa alebo spoločnosti vyzerá útok ako izolované neúspešné prihlásenie.

Pre útočníkov je to hra s číslami. Vedia, že existujú heslá, ktoré sú veľmi bežné. Hoci tieto najbežnejšie heslá sa nájdu len v 0,5 – 1,0 % kont, útočníci budú niekoľkokrát úspešní pri každej tisícke kont, na ktoré zaútočia. A to im stačí na to, aby boli efektívny.

Kontá používajú na to, aby získali údaje z e-mailov, zozbierali kontaktné informácie a odoslali prepojenia na neoprávnené získavanie údajov, alebo jednoducho na rozšírenie cieľovej skupiny na sprejovania hesla. Útočníkov nezaujíma, kto sú tieto úvodné cieľové obete. Ide im len o to, aby mali nejakú úspešnosť, ktorú môžu ďalej využiť.

Dobrou správou je, že spoločnosť Microsoft má už implementovaných a dostupných mnoho nástrojov na otupenie týchto útokov a ďalšie budú uvedené čoskoro. Čítajte ďalej a zistite, čo môžete urobiť teraz a v nasledujúcich mesiacoch, aby ste zastavili útoky so sprejovaním hesla.

Štyri jednoduché kroky ako prekaziť útoky so sprejovaním hesla

Krok 1: Používanie overenie pomocou cloudu

V cloude vidíme každý deň miliardy prihlásení do systémov spoločnosti Microsoft. Náš algoritmus detekcie zabezpečenia nám umožňuje zistiť a zablokovať útoky v čase, keď k nim dochádza. Keďže ide o zisťovanie v reálnom čase a ochranné systémy sú riadené z cloudu, sú k dispozícii, iba keď sa vykonáva overovanie služby Azure AD v cloud (vrátane prechodného overenie).

Inteligentné uzamknutie (Smart Lockout)

V cloude používame inteligentné uzamknutie na rozlišovanie medzi pokusmi o prihlásenie, ktoré vyzerajú, ako keby ich vykonával platný používateľ a prihláseniami od potenciálneho útočníka. Dokážeme vymknúť útočníka a súčasne povoliť platnému používateľovi pokračovať v používaní konta. Tým sa zamedzí odmietnutiu služby používateľovi a zastavia sa prehnané útoky sprejovania hesiel. Toto sa vzťahuje na všetky prihlásenia do služby Azure AD bez ohľadu na úroveň licencie a na všetky prihlásenia do konta Microsoft.

Nájomníci, ktorí používajú službu Active Directory Federation Services (ADFS), budú môcť používať funkciu Inteligentné uzamknutie (Smart Lockout) natívne v službe ADFS vo Windowse Server 2016 počnúc od marca 2018 – sledujte túto možnosť prostredníctvom Windows Update.

Uzamknutie IP adresy (IP Lockout)

Uzamknutie IP adresy funguje tak, že analyzuje tieto miliardy prihlásení a vyhodnocuje kvalitu návštevnosti z každej IP adresy, ktorá sa dostane do systémov spoločnosti Microsoft. Pomocou tejto analýzy zistí funkcia uzamknutia IP adresy také adresy, ktoré sa správajú škodlivo a zablokuje tieto prihlásenia v reálnom čase.

Simulácie útoku

Simulátor útoku, ktorý je teraz k dispozícii vo verzii verejnej ukážky, je ako súčasť balíka Office 365 Threat Intelligence a umožňuje zákazníkom spustiť simulované útoky na svojich vlastných koncových používateľov, určiť, ako sa používatelia správajú v prípade útoku a aktualizovať politiky a zabezpečiť, že sú do praxe uvedené vhodné bezpečnostné nástroje, ktoré budú chrániť organizáciu pred hrozbami, ako sú napríklad útoky sprejovaním hesiel.

Toto odporúčame vykonať bezodkladne:

1. Ak používate cloudové overovania, ste krytý
2. Ak používate ADFS alebo iný hybridný scenár, vyhľadajte inováciu ADFS z marca 2018, kde nájdete Smart Lockout
3. Použite Simulátor útoku a proaktívne vyhodnoťte svoj stav zabezpečenia a urobte úpravy

Krok 2: Používanie viacfaktorového overovania

Heslo je kľúčom na prístup ku kontu, ale v prípade úspešného útoku sprejovaním hesla sa útočníkovi podarilo uhádnuť správne heslo. Aby sme ich zastavili, musíme použiť niečo viac, než len heslo na rozlíšenie medzi vlastníkom konta a útočníkom. Tri spôsoby ako to urobiť, sú uvedené nižšie.

Viacfaktorové overovanie na základe rizika

Azure AD Identity Protection používa prihlasovacie údaje uvedené vyššie a pridáva pokročilú detekciu na báze strojového učenia a algoritmov a vyhodnotí riziko každého prihlásenia, ktoré príde do systému. To umožňuje podnikovým zákazníkom vytvárať politiky v službe Identity Protection, ktorá vyzve používateľa, aby sa overil aj pomocou druhého faktora iba vtedy, ak sa zistí riziko pre daného používateľa alebo reláciu. Tým sa znižuje zaťaženie vašich používateľov a vkladá sa bariéra do cesty ľuďom so zlými úmyslami. Ďalšie informácie o službe Azure AD Identity Protection nájdete tu.

Viacfaktorové overovanie, ktoré je nepretržite zapnuté

Na zaručenie ešte vyššej úrovne zabezpečenia môžete použiť Azure MFA a vyžadovať viacfaktorové overovanie pre vašich používateľov vždy, a to aj pri overovaní v cloude aj v ADFS. Hoci tento spôsob vyžaduje, aby koncoví používatelia mali vždy pri sebe svoje zariadenia a častejšie vykonávali viacfaktorové overovanie, poskytuje tento spôsob najvyššiu úroveň zabezpečenia pre váš podnik. Toto by malo byť povolené pre každého správcu v organizácii. Zistite viac o viacfaktorovom overovaní v službe Azure tu a o tom ako konfigurovať Azure MFA pre ADFS.

Azure MFA ako primárne overovanie

In ADFS 2016 máte možnosť používať Azure MFA ako primárne overovanie pre overovania bez hesla. Je to skvelý nástroj, ktorý chráni pres útokmi sprejovaním hesla a krádežou hesla: ak neexistuje heslo, nie je možné ho uhádnuť. Funguje to skvele pre všetky typy zariadení s rôznymi faktormi formulára. Okrem toho môžete teraz použiť heslo ako druhý faktor až potom, ako bolo overené vaše OTP pomocou Azure MFA. Ďalšie informácie o používaní hesla ako druhého faktora nájdete tu.

Toto odporúčame vykonať bezodkladne:

1. Dôrazne odporúčame povoliť nepretržité viacfaktorové overovanie pre všetkých správcov vo vašej organizácii, najmä vlastníkov predplatného a správcov nájomníkov. Ale vážne, urobte to hneď teraz.
2. Na dosiahnutie najlepších výsledkov pre ostatných používateľov odporúčame viacfaktorové overovanie na základe vyhodnotenia rizika, ktoré je k dispozícii s licenciami služby Azure AD Premium P2.
3. V opačnom prípade použite Azure MFA pre cloudové overovanie a ADFS.
4. V ADFS vykonajte inováciu na ADFS na Windows Server 2016 a používajte Azure MFA ako primárne overovanie, hlavne pre všetky extranetové prístupy.

Krok 3: Lepšie heslá pre všetkých používateľov

Aj keď sa použijú všetky vyššie uvedené kroky, kľúčovým prvkom ochrany pred útokmi so sprejovaním hesla je, aby všetci používatelia mali heslá, ktoré sa ťažko uhádnu. Pre používateľov je často náročné zistiť, ako si vytvoriť heslá, ktoré sa ťažko uhádnu. Microsoft vám v tom pomôže pomocou týchto nástrojov.

Zakázané heslá

V službe Azure AD prejde každá zmena a obnovenie hesla cez kontrolu zakázaných hesiel. Po odoslaní nového hesla sa vykoná jeho približné porovnanie so zoznamom slov, ktoré by nikto nikdy nemal mať vo svojom hesle (a nepomôže ani zápis ako l33t-sp3@k). Keď sa nájde zhoda, heslo sa zamietne a zobrazí sa výzva, aby používateľ vybral heslo, ktoré je ťažšie uhádnuť. Budujeme zoznam najčastejšie napadnutých hesiel a často ho aktualizujeme.

Vlastné zakázané heslá

Aby sme zakázané heslá ešte vylepšili, povolíme nájomníkom prispôsobiť si svoje zoznamy zakázaných hesiel. Správcovia môžu vybrať slová, ktoré sú bežné v ich organizácii, ako napríklad známi zamestnanci a zakladatelia, produkty, lokality, regionálne ikony atď, a zabrániť, aby ich používatelia používali vo svojich heslách. Tento zoznam sa bude vynucovať spolu s globálnym zoznamom, takže nebude potrebné vybrať jeden alebo druhý. Zatiaľ je to len v režime obmedzenej ukážky a bude sa nasadzovať tento rok.

Zakázané heslá pre lokálne zmeny

Túto jar spúšťame nástroj, ktorý umožní podnikovým správcom zakázať heslá v hybridných prostrediach služby Azure AD – Active Directory. Zoznamy zakázaných hesiel sa budú synchronizovať z cloudu do vášho lokálneho prostredia a budú sa vynucovať v každom radiči domény s agentom. To pomôže správcom zabezpečiť, že heslá používateľov bude ťažšie uhádnuť bez ohľadu na to, kde si používateľ zmení svoje heslo, či v cloude alebo lokálne. Toto bolo spustené v režime obmedzenej súkromnej ukážky vo februári 2018 do praxe to pôjde tento rok.

Zmena myslenia vo vzťahu k heslám

Mnoho bežných predstáv o tom, čo je dobré heslo, je nesprávnych. Zvyčajne niečo, čo by vám malo pomôcť matematicky, má v skutočnosti za následok predvídateľné správanie používateľa: napríklad, ak sa vyžadujú určité typy znakov a pravidelné zmeny hesla, výsledkom sú špecifické vzorce hesiel. Prečítajte si našu dokumentáciu o heslách, kde nájdete podstatne viac podrobností. Ak používate služby Active Directory s PTA alebo ADFS, aktualizujte svoje politiky týkajúce sa hesiel. Ak používate kontá spravované v cloude, zvážte nastavenie neobmedzenej platnosti hesla.

Toto odporúčame vykonať bezodkladne:

1. Po vydaní si nainštalujte lokálne nástroj na zakázané heslá spoločnosti Microsoft, ktorý pomôže vašim používateľom vytvárať lepšie heslá.
2. Skontrolujte svoje politiky vytvárania hesiel a zvážte nastavenie ich neobmedzenej platnosti, aby vaši používatelia nepoužívali sezónne vzory na vytváranie svojich hesiel.

Krok 4: Ďalšie skvelé funkcie v službe ADFS a Active Directory

Ak používate hybridné overovania s ADFS a Active Directory, existujú ďalšie kroky, ktoré môžete vykonať na zabezpečenie vášho prostredia pred útokmi sprejovania hesla.

Prvý krok: pre organizácie používajúce ADFS 2.0 alebo Windows Server 2012 naplánujte čo najskôr presun na službu ADFS v systéme Windows Server 2016. Najnovšia verzia sa bude rýchlejšie aktualizovať so širšou škálou možností, ako je napríklad extranetové uzamknutie. A nezabudnite: výrazne sme uľahčili inováciu z Windows Servera 2012R2 na 2016.

Blokovanie staršieho overovania z Extranetu

Staršie overovacie protokoly nemajú schopnosť vynucovať MFA (viacfaktorové overovanie), takže najlepším spôsobom je zablokovať ich z extranetu. Toto zabráni útočníkom, ktorí sa snažia vykonať útok sprejovaním hesla zneužiť neprítomnosť viacfaktorového overenia v týchto protokoloch.

Povolenie uzamknutia extranetu proxy webovej aplikácie ADFS

Ak nemáte zavedené uzamknutie extranetu na proxy serveri webovej aplikácie ADFS, mali by ste to čo najskôr povoliť, aby ste ochránili používateľov pred potenciálnym narušením hesla hrubou silou.

Nasadenie služby Azure AD Connect Health pre ADFS

Azure AD Connect Health zaznamenáva IP adresy, ktoré sú zaznamenané v denníkoch ADFS pre požiadavky nesprávneho mena používateľa a hesla, poskytuje ďalšie správy o širokej škále scenárov a poskytuje ďalšie podrobné prehľady na podporu inžinierov pri otváraní prípadov technickej podpory s asistenciou.

Ak chcete túto službu nasadiť, stiahnite si najnovšiu verziu služby Azure AD Connect Health Agent pre ADFS na všetkých serveroch ADFS (2.6.491.0). Na serveroch ADFS musí byť spustený Windows Server 2012 R2 s nainštalovanou bázou znalostí KB 3134222 alebo Windows Server 2016.

Používanie metód prístupu, ktoré nie sú založené na heslách

Ak heslo neexistuje, nie je možné ho uhádnuť. Tieto metódy overovania, ktoré nie sú založené na heslách, sú k dispozícii pre ADFS a Proxy webovej aplikácie:

1. Overenie na základe certifikátu umožňuje, aby sa koncové body používateľského mena a hesla úplne zablokovali na úrovni brány firewall. Ďalšie informácie o overovaní na základe certifikátu v ADFS
2. Službu Azure MFA, ako bolo uvedené vyššie, je možné použiť ako druhý faktor v overovaní v cloude a v ADFS 2012 R2 a 2016. Môže sa tiež použiť ako primárny faktor v ADFS 2016 na úplné zastavenie možnosti sprejovania hesiel. Ďalšie informácie ako nakonfigurovať A MFA s ADFS nájdete tu
3. Funkcia Windows Hello for Business, ktorá je k dispozícii vo Windowse 10 a podporovaná v ADFS vo Windows Server 2016, umožňuje prístup úplne bez hesla, vrátane extranetového prístupu, na základe silných kryptografických kľúčov, ktoré sú viazané na používateľa aj na zariadenie. Je k dispozícii pre zariadenia spravované korporáciou, ktoré sú pripojené k Azure AD alebo k Hybrid Azure AD, ako aj pre osobné zariadenia cez funkciu „Pridať pracovné alebo školské konto“ z aplikácie Nastavenia. Získajte ďalšie informácie o funkcii Hello for Business.

Toto odporúčame vykonať bezodkladne:

1. Inovácia na ADFS 2016 pre rýchlejšie aktualizácie
2. Blokovanie staršieho overovania z extranetu.
3. Nasaďte agentov služby Azure AD Connect Health pre ADFS na všetkých serveroch ADFS.
4. Zvážte použitie primárny spôsob overovania, ktorý nevyžaduje heslo, ako sú napríklad certifikáty Azure MFA alebo Windows Hello for Business.

Bonus: Ochrana kont Microsoft

Ak ste používateľ konta Microsoft:

• Skvelá správa. Už ste chránení! Kontá Microsoft majú tiež funkciu Smart Lockout (inteligentné uzamknutie), uzamknutie IP, dvojstupňové overenie na základe rizika, zakázané heslá a iné funkcie.
• Vyhraďte si však dve minúty a prejdite na stránku Zabezpečenie konta Microsoft a vyberte položku „Aktualizovať bezpečnostné informácie“, kde si môžete skontrolovať informácie o zabezpečení použité pre dvojstupňové overenie na základe rizika
• Zvážte zapnutie nepretržitého dvojstupňového overenia tu, čo zaručí vášmu kontu najvyššie možné zabezpečenie.

Najlepšou ochranu je… dodržiavať odporúčania na tomto blogu

Sprejovanie hesla je veľká hrozba pre každú službu na internete, ktorá používa heslá, ale pomocou krokov v tomto blogu získate maximálnu ochranu pred týmto spôsobom útoku. A keďže mnohé typy útokov majú podobné znaky, toto sú jednoducho dobré ochranné opatrenia. Bodka. Vaša bezpečnosť je vždy našou najvyššou prioritou a neustále usilovne pracujeme na vytvorení novej a pokročilej ochrany proti sprejovaniu hesiel a proti akýmkoľvek iným typom útokov, ktoré sa môžu vyskytnúť. Odporúčania uvedené vyššie použite ešte dnes a často sa sem vracajte, pretože tu nájdete nové nástroje na ochranu pred narušiteľmi, ktorí číhajú na internete.

Dúfam, že tieto informácie budú pre vás užitočné. Ako vždy platí, že sa budeme tešiť na všetky vaše pripomienky alebo návrhy.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

The post Najvhodnejšie postupy pre Azure AD a ADFS: Ochrana pred útokmi sprejovania hesla appeared first on Microsoft 365 Blog.

Dúfam, že tento článok bude pre vás rovnako zaujímavý, ako ho vnímam ja. Je to tak trochu „pastva pre mozgové závity“ a popisuje úžasnú víziu budúcnosti digitálnych identít.

Počas posledných 12 mesiacov sme investovali do rozvoja niekoľkých myšlienok ohľadne používania technológie Blockchain (a iných technológií distribuovaných registrov) na vytvorenie nových typov digitálnych identít, identít navrhnutých zdola nahor s cieľom rozšíriť osobné súkromie, bezpečnosť a ovládanie. Sme nadšení z toho, čo sme sa naučili a z nových partnerstiev, ktoré sme v tomto procese vytvorili. Dnes využívame túto príležitosť, aby sme sa s vami podelili o naše úvahy a smerovanie. Tento blog je súčasťou série a nadväzuje na článok Peggy Johnson na blogu, ktorý oznamuje, že spoločnosti Microsoft sa pridala k iniciatíve ID2020. Ak ste ešte nečítali článok od Peggy, odporúčam, aby ste si ho najskôr prečítali.

Požiadal som Ankura Patela, projektového manažéra v mojom tíme, ktorý viedol tieto aktivity, aby pre nás otvoril diskusiu o decentralizovaných digitálnych identitách. Jeho príspevok sa zameriava na niektoré základné veci, ktoré sme sa dozvedeli, a niektoré výsledné princípy, ktoré používame na smerovanie našich investícií do tejto oblasti v budúcnosti.

A ako vždy, radi by sme počuli vaše myšlienky a pripomienky.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

———-

Pozdravujem všetkých používateľov, som Ankur Patel z oddelenia Identity spoločnosti Microsoft. Je pre mňa úžasnou cťou, že mám túto možnosť zdieľať niektoré naše poznatky a budúce smerovanie na základe nášho úsilia pri vývoji decentralizovaných identít na báze technológie Blockchain a distribuovaných registrov.

Čo vidíme

Mnohí z vás si každý deň uvedomujú, že svet prechádza globálnou digitálnou transformáciou, kde sa strácajú rozdiely medzi digitálnou a fyzickou skutočnosťou a spájajú sa do jedného integrovaného a moderného spôsobu života. Tento nový svet potrebuje nový model pre digitálne identity, ktorý bude rozširovať ochranu súkromia jednotlivcov a ich bezpečnosť vo fyzickom aj digitálnom svete.

Systémy cloudovej identity spoločnosti Microsoft už v súčastnosti pomáhajú tisícom vývojárov, organizáciám a miliardám ľudí pri práci, hrách a zvyšovaní efektivity. A je toho ešte oveľa viac, ako môžeme všetkým pomáhať. Našou predstavou je dosiahnuť svet, kde miliardy ľudí, ktorí dnes žijú bez akéhokoľvek spoľahlivého preukazu totožnosti, budú môcť realizovať svoje sny, ktoré všetci zdieľame, ako napríklad umožniť vzdelanie svojim deťom, zlepšiť kvalitu života alebo začať podnikať.

Aby sme túto víziu dosiahli, sme presvedčení o tom, že je nevyhnutné, aby jednotlivci vlastnili a riadili všetky elementy svojej digitálnej identity. Namiesto udeľovania súhlasu nekonečnému počtu aplikácií a služieb, pričom príslušné údaje o identitách sú roztrúsené u mnohých poskytovateľov, jednotlivci potrebujú bezpečné šifrované digitálne centrum, kde môžu uchovávať svoje údaje o identite a jednoducho ovládať prístup k týmto údajom.

Každý z nás potrebuje digitálnu identitu, ktorej sme vlastníkom. Identitu, ktorá bezpečne a s ohľadom na súkromie uchováva všetky prvky našej digitálnej identity.  Táto identita, ktorú sami vlastníme, sa musí jednoducho používať a poskytovať nám úplnú kontrolu nad tým, ako sa k údajom o našej identite pristupuje a ako sa tieto údaje používajú.

Vieme, že nasadenie takéhoto typu digitálnej identity spravovanej samotnými používateľmi, je nad rámec akejkoľvek samostatnej spoločnosti alebo organizácie. Sme odhodlaní úzko spolupracovať s našimi zákazníkmi, partnermi a komunitami, aby sme uviedli do života nasledujúcu generáciu prostredia na báze digitálnej identity a sme nesmierne radi, že sme sa spojili s mnohými ľuďmi v tomto odvetví, ktorí v obrovskej miere prispievajú k tejto problematike.

Čo sme sa naučili

K dnešnému dňu zdieľame naše najlepšie myšlienky založené na tom, čo sme sa naučili z nášho vývoja decentralizovanej identity. Je to úsilie, ktoré je zamerané na umožnenie bohatšej používateľskej skúsenosti, zvýšenie dôveryhodnosti a redukciu problémov, pri súčasnej podpore každého používateľa, aby vlastnil a ovládal svoju digitálnu identitu.

1. Vlastnite a ovládajte svoju identitu. V súčasnosti používatelia udeľujú široký súhlas nespočetnému množstvu aplikácií a služieb, ktoré tieto údaje zhromažďujú, používajú a ponechávajú bez toho, aby nad tým mali kontrolu. Keďže narušenie bezpečnosti údajov a krádeže identity sa stávajú čoraz sofistikovanejšie a častejšie, používatelia potrebujú spôsob, ako by mohli vlastniť svoju vlastnú identitu. Po preskúmaní decentralizovaných úložných systémov, protokolov konsenzu, technológie blockchains a množstva nových nastupujúcich štandardov veríme, že technológia blockchain a príslušné protokoly sú vhodné na nasadenie decentralizovaných ID (DID).
2. Ochrana osobných údajov vybudovaná od samotných základov.
   V súčasnosti aplikácie, služby a organizácie poskytujú praktické, predvídateľné a prispôsobené prostredia, ktoré závisia od ovládania údajov priradených k identite. Potrebujeme zabezpečené šifrované digitálne centrum (ID centrá), ktoré dokážu pracovať s údajmi používateľov a súčasne ctiť ich súkromie a možnosť tieto údaje ovládať.
3. Dôvera sa získava u jednotlivcov a vytvára komunitou.
   Tradičné systémy spravovania identít sú väčšinou zamerané na overovanie a spravovanie prístupu. Systém spravovania identity vlastnený samotným používateľom pridáva zameranie na autenticitu a na to, ako komunita môže vytvárať dôveryhodnosť. V decentralizovanom systéme je dôveryhodnosť založená na atestáciách: prehlásenia, ktoré iné entity potvrdia. Toto pomáha dokázať stránky identity daného jednotlivca.
4. Aplikácie a služby vytvorené so zameraním na používateľa.
   Niektoré z najpútavejších aplikácií a služieb v súčasnosti sú tie, ktoré ponúkajú prostredie prispôsobené pre svojich používateľov tým, že získali prístup k ich osobným údajom (PII). Systémy DID a ID centrá umožnia vývojárom získať prístup k presnejšej množine atestácií a súčasne obmedziť právne riziká a riziká dodržiavania súladu pri spracovaní týchto informácií, namiesto toho, aby ich ovládali v mene používateľa.
5. Otvorená nadácia založená na spolupráci.
   Ak chceme vytvoriť robustný ekosystém na decentralizované identity, ktorý je prístupný pre všetkých, musí byť postavený na štandardných technológiách, protokoloch a implementáciách referencií s otvoreným zdrojovým kódom. Za posledný rok sme sa zúčastňovali na projekte Nadácia decentralizovaných identít (DIF) s jednotlivcami a organizáciami, ktoré sú rovnako motivované popasovať sa s touto výzvou. Spoločne vytvárame nasledujúce kľúčové komponenty:
   

• Decentralizované identifikátory (DIDs) – špecifikácia W3C, ktorá definuje spoločný formát dokumentu na popis stavu decentralizovaného identifikátora
  
• ID centrá – dátový sklad šifrovaných identít, ktorý obsahuje relé správa/úmysel, spracovanie atestácií a výpočtové koncové body špecifické pre identitu. 
  
• Univerzálny DID prekladača – server, ktorý prekladá DID v rámci blockchainov 
  
• Overiteľné poverenia – W3C špecifikácia, ktorá definuje formát dokumentu na kódovanie atestácií založených na DID.   
  

6. Pripravený na celosvetové použitie:
   Aby bolo možné podporovať používateľov, organizácie a zariadenia na celom svete, základná technológia musí byť schopná takého škálovania a výkonu aký poskytujú tradičné systémy. Niektoré verejné blockchainy (Bitcoin [BTC] Ethereum, Litecoin, ak spomenieme len zopár), poskytujú solídne základy na zakorenenie DID, zaznamenávanie operácií DPKI a ukotvenie atestácií. Hoci niektoré blockchainové komunity zvýšili transakčnú kapacitu on-chain (napr. zväčšenie veľkosti bloku), tento postup vo všeobecnosti degraduje decentralizovaný stav siete a nedokáže dosiahnuť milióny transakcií za sekundu, ktoré by systém vygeneroval na celosvetovej úrovni. Aby sme prekonali tieto technické obmedzenia, spolupracujeme na decentralizovaných protokoloch Layer 2, ktoré bežia nad týmto verejnými blockchainami. Cieľom je dosiahnuť globálnu šírku a súčasne zachovať atribúty špičkového systému DID.
   
7. Dostupné pre každého:
   Dnešný ekosystém blockchainu je stále poväčšine pre ľudí, ktorí si rýchlo osvojujú novinky a sú ochotní vynaložiť čas, námahu a energiu na spravovanie kľúčov a zabezpečenie zariadení. To nie je niečo, čo možno očakávať od bežných ľudí. Musíme dosiahnuť, aby výzvy súvisiace so spravovaním kľúčov, ako je napríklad obnova, rotácia a zabezpečený prístup, boli intuitívne a bezchybné.
   

Naše nasledujúce kroky

Nové systémy a veľké myšlienky dávajú často zmysel na tabuli. Všetky body sa spoja a predpoklady sa zdajú byť pevné. Avšak produktové a inžinierske tímy sa najviac naučia až po uvedení na trh.

V súčasnosti už aplikáciu Microsoft Authenticator každý deň používajú milióny ľudí na preukázanie svojej identity. V ďalšom kroku budeme experimentovať s decentralizovanými identitami tak, že pridáme pre ne podporu v aplikácii Microsoft Authenticator. So súhlasom bude môcť Microsoft Authenticator vystupovať ako váš agent používateľa na správu údajov identity a kryptografických kľúčov. V tomto dizajne je v reťazi zakorenené iba ID. Údaje o identite sú uchované ID centre, ktoré je mimo reťaze (Microsoft ho nevie zobrazovať), a ktoré sú zašifrované pomocou týchto kryptografických kľúčov.

Po pridaní tejto možnosti, budú môcť aplikácie a služby pracovať s údajmi používateľa pomocou bežné kanálu správ požadovaním podrobného súhlasu. V úvodnej fáze budeme podporovať vybranú skupinu implementácií DID v blockchainoch a s vysokou pravdepodobnosťou budeme v budúcnosti pridávať ďalšie.

Pohľad dopredu

Cítime veľkú pokoru a nadšenie, že sme sa pustili do takejto obrovskej výzvy, ale taktiež sme si vedomí, že to nie je možné zvládnuť samostatne. Spoliehame sa na podporu a príspevky našich partnerov z aliancie, členov nadácie decentralizovanej identity a rôznorodého ekosystému dizajnérov zo spoločnosti Microsoft, politikov, obchodných partnerov a tvorcov hardvéru a softvéru. No najdôležitejšia bude pomoc od vás, našich zákazníkov, aby ste nám poskytovali spätnú väzbu, keď začneme testovanie tejto prvej množiny scenárov.

Toto je prvý príspevku o našej práci na decentralizovaných identitách. V nasledujúcich článkoch budeme zdieľať informácie o našich dôkazoch funkčnosti konceptu, ako aj technické detaily pre kľúčové oblasti uvedené vyššie.

Tešíme sa, že sa k nám pridáte v tomto úsilí!

Kľúčové zdroje:

• Sledujte nás na @AzureAD na Twitteri
  
• Zapojte sa do Nadácie decentralizovanej identity (DIF)
  
• Zúčastnite sa aktivít v skupine W3C Credentials Community
  

S pozdravom,

Ankur Patel (@_AnkurPatel)

Hlavný programový manažér

Divízia identity spoločnosti Microsoft

The post Decentralizované digitálne identity a blockchain: Budúcnosť ako ju vidíme appeared first on Microsoft 365 Blog.

Používanie funkcie podmieneného prístupu služby Azure AD sa naozaj rýchlo rozširuje. Organizácie po celom svete ju používajú na to, aby zaistili prístup k aplikáciám dodržiavajúci súlad. Každý mesiac teraz podmienený prístup chráni viac ako 10 000 organizácií a viac ako 10 miliónov aktívnych používateľov. Je skvelé, ako rýchlo ho zákazníci prijali a začali používať.

Dostali sme veľa pripomienok týkajúcich sa dopadu podmieneného prístupu na používateľov. Konkrétne ide o to, že keď máte k dispozícii takúto výkonnosť, potrebujete mať možnosť zistiť, ako politiky podmieneného prístupu ovplyvnia používateľa pri rôznych spôsoboch prihlasovania.

Vypočuli sme si vás a dnes vám s radosťou oznamujeme uvedenie verzie Public Preview nástroja What If pre podmienený prístup. Nástroj What If vám pomáha porozumieť dopadu politík na prihlasovanie používateľov za vami stanovených podmienok. Namiesto čakania na to, až sa používatelia ozvú a povedia vám, čo sa stalo, môžete jednoducho použiť nástroj What If.

Začíname

Ste pripravený začať pracovať s týmto nástrojom? Môžete jednoducho nasledovať tieto kroky:

• Prejdite na podmienený prístup služby Azure AD.
• Kliknite na položku What If.

• Vyberte používateľa, ktorého chcete otestovať.

• [Voliteľné] Podľa potreby vyberte aplikáciu, adresu IP, platformu zariadenia, klientsku aplikáciu a riziko prihlasovania.
• Kliknite na položku What If a zobrazte politiky, ktoré ovplyvnia prihlasovanie používateľa.

Niekedy nehľadáte odpoveď na otázku, aké politiky sa použijú ale skôr na otázku, prečo sa určitá politika nepoužíva. S tým vám tento nástroj takisto pomôže. Prejdite na kartu Politiky, ktoré sa nepoužijú, kde sa zobrazí názov politiky a tiež, čo je ešte dôležitejšie, dôvod, prečo sa tieto politiky nepoužili. Nie je to skvelé?

Chcete sa o nástroji What If dozvedieť viac?

Povedzte nám, čo si myslíte

Toto je len začiatok. Už pracujeme na tom, aby sme v tejto oblasti preniesli ďalšie inovácie. Ako vždy budeme radi, keď nám pošlete svoje pripomienky alebo návrhy týkajúce sa ukážky alebo čohokoľvek, čo súvisí s podmieneným prístupom služby Azure AD. Dokonca sme vytvorili krátky prieskum týkajúci sa nástroja Analýza hypotéz, do ktorého sa môžete zapojiť.

Tešíme sa na vaše správy.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

The post Public Preview: Nástroj What If pre politiky podmieneného prístupu služby Azure AD appeared first on Microsoft 365 Blog.

Ak sledujete blog, viete, že podporujeme širokú škálu možností pripojenia lokálneho adresára alebo riešenia IAM k služby Azure AD. V skutočnosti nikto v tomto odvetví nedáva zákazníkom toľko možností, ako my.

Takže niet divu, že jedna z otázok, ktorú mi zákazníci kladú najčastejšie je, ktorú by som odporúčal. Vždy trochu váham, ako odpoviem. Počas posledných viac ako 6 rokov, čo pracujem v odvetví spravovania identít, som sa naučil, že každá organizácia je iná a má odlišné ciele a požiadavky vo vzťahu k rýchlosti nasadenia, zabezpečenia, možnosti investovania, sieťovej architektúre, podnikovej kultúre, požiadavkám na dodržiavanie súladu a pracovnému prostrediu. Toto je jedným z dôvodov, prečo sme investovali do toho, aby sme vám poskytli viac možností. Takto si budete môcť vybrať tú, ktorá najlepšie vyhovuje vašim potrebám. (To samozrejme neznamená, že nemám svoj názor. Ak by išlo o moju organizáciu, určite by som chcel používať naše funkcie prechodného overovania a Azure AD Connect Sync.  Obidve sa rýchlo nasadzujú a sú finančne nenáročné na údržbu. Toto je však len názor jednej osoby!)

Namiesto vynakladania času na ťažké úvahy o tom, čo by som ja alebo niekto iný odporúčal, pozrime sa radšej na to, čo v skutočnosti zákazníci využívajú? To bude asi najlepší štart.

Azure AD Momentum

Chcem začať tak, že sa podelím o niekoľko čísel o celkovom využívaní služby Azure AD, aby ste mali kontext pre podrobnejšie čísla uvedené nižšie. Pre Azure AD ako celok naďalej registrujeme silný rast v organizáciách, ktoré používajú naše základné služby identity založené na cloude a zrýchľujúci rast v službe Azure AD Premium.

Trend, z ktorého sa teším najviac, je neuveriteľný rast používania služby Azure AD s aplikáciami tretích strán. Viac ako 300 tisíc aplikácií tretích strán sa používa každý mesiac a my sledujeme, že veľké množstvo organizácií sa obracia na Azure AD ako svoju preferovanú platformu cloudovej identity.

Synchronizácia používateľov do služby Azure AD

Väčšina nájomníkov Azure AD sú malé organizácie, ktoré nevykonávajú synchronizáciu lokálneho AD do služby Azure AD. Väčšie organizácie takmer vždy synchronizujú a tie, ktoré synchronizáciu vykonávajú, predstavujú viac ako 50 % z 950 miliónov používateľských kont v službe Azure AD.

Tu sú najnovšie údaje o tom, ako organizácie synchronizujú používateľov so službou Azure AD:

• viac ako 180 tisíc nájomníkov synchronizuje svoj lokálny adresár Windows Server Active Directory so službou Azure AD.
• viac ako 170 tisíc nájomníkov na to používa službu Azure AD Connect.
• Malý počet zákazníkov používa iné riešenia:
  • 7 % používa naše staršie nástroje DirSync alebo Azure AD Sync.
  • 1,9 % používa Microsoft Identity Manager alebo Forefront Identity Manager.
  • menej ako 1 % používa vlastné riešenie tretej strany.

Overovanie so službou Azure AD

Keď som naposledy blogoval o overovaniach, zdieľané údaje boli založené na objemoch overovania. Vaše pripomienky naznačovali, že týmto spôsobom sa čísla dávali ťažko do kontextu, a že by vás viac zaujímali čísla o aktívnych používateľoch. Takže v tejto aktualizácii sa s vami podelím o čísla, ktoré sú založené na aktívnych používateľoch za mesiac (MAU).

K 31. októbru bolo za mesiac aktívnych o niečo viac ako 152 miliónov používateľov služby Azure AD. Z týchto aktívnych používateľov:

• 55 % vykonalo overenia pomocou produktu alebo služby federovania.
• 24 % vykonalo overenie pomocou Password Hash Sync.
• 21 % sú výhradný používatelia cloudu.
• Prechodné overenie Azure AD, ktoré bolo spustené iba pred mesiacom, už má viac ako pol milióna aktívnych používateľov za mesiac a toto číslo rastie o 50 % za mesiac!

Keď sa na to pozrieme podrobnejšie, tu je niekoľko zaujímavých údajov:

• 46 % všetkých aktívnych používateľov vykonáva overovanie pomocou služby AD Federation Services.
• O niečo viac ako 2 % všetkých aktívnych používateľov vykonáva overovanie pomocou Ping Federate. Ping je najrýchlejšie rastúca a najpopulárnejšia možnosť tretej strany.
• 2 % všetkých aktívnych používateľov vykonáva overovanie pomocou IDaaS služieb tretích strán, ako je Centrify, Okta alebo OneAuth.
• 1 % všetkých aktívnych používateľov vykonáva overovanie pomocou federačného servera tretej strany, ktorý je iný ako Ping Federate.

Hlavné závery

Toto sú celkom zaujímavé údaje a zvýrazňujú niekoľko trendov:

1. Azure AD Connect sa stal štandardným prostriedkom na synchronizáciu medzi službami Windows Server AD a Azure AD. V súčasnosti ho využíva viac než 90 percent nájomníkov, ktorí vykonávajú synchronizáciu.
2. Azure AD Password Hash Sync sa stal veľmi obľúbenou možnosťou pre našich zákazníkov s desiatkami miliónov aktívnych používateľov za mesiac.
3. Spolu s tým, ako čoraz väčšie podniky začali používať služby Azure AD, Ping Federate sa stala čoraz obľúbenejšou možnosťou. Naša spolupráca so spoločnosťou Ping sa pre týchto veľkých zákazníkov naozaj vyplatila.
4. Napriek všetkým novinovým článkom a nadšeniu na trhu zostávajú ostatní dodávatelia služieb IDaaS veľmi malou časťou podnikania v oblasti Azure AD a služieb Office 365.
5. Naša nová možnosť prechodného overovania, ktorá bola spustená len pred mesiacom, sa dobre rozbieha. Už teraz má viac ako 500 000 aktívnych používateľov za mesiac! Ak sa aktuálny trend udrží, niekedy v horizonte šiestich mesiacov až jedného roka ju bude používať viac jedinečných používateľov, ako všetkých ostatných dodávateľov služieb IDaaS dohromady.

Súhrn

Rovnako ako v predošlom článku, tieto čísla hovoria jasnou rečou. Služby Azure AD sme navrhli tak, aby boli otvorené a založené na štandardoch, takže naši zákazníci môžu využívať širokú škálu možností tretích strán. No väčšina zákazníkov zisťuje, že naše „štandardné“ riešenie na spravovanie identít napĺňa ich potreby. A toto číslo neustále rastie.

Navyše údaje tiež ukazujú, že úroveň jednoduchosti, ktorú sme priniesli v službe Azure AD Connect, má veľký dopad. Riešenie je osvojené širokým spektrom používateľov a s veľkým odstupom je najrýchlejšie rastúcou možnosťou pre spojenie služieb Windows Server AD a Azure AD/Office 365.

Dúfam, že bol pre vás tento článok zaujímavý a užitočný! Ako vždy platí, že sa budeme tešiť na všetky vaše pripomienky alebo návrhy.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

The post Ako organizácie pripájajú svoje lokálne identity k službe Azure AD appeared first on Microsoft 365 Blog.

Je mi potešením, že vám dnes môžem oznámiť, že sme práve umožnili hosťovský prístup v aplikácii Microsoft Teams, ktorý využíva funkcie spolupráce B2B v službe Azure AD.

Odteraz môžete v aplikácii Teams spolupracovať s partnermi s možnosťou interakcie prostredníctvom chatu, aplikácií a zdieľania súborov. Samozrejmosťou je jednoduché používanie a ochrana na podnikovej úrovni, ktoré Azure Active Directory prináša vašim zamestnancom už dlho.

Kohokoľvek s kontom služby Azure Active Directory v ľubovoľnej organizácii môžete odteraz pozvať ako hosťovského používateľa v aplikácii Microsoft Teams.

Zákazníci už vytvorili viac ako 8 miliónov hosťovských používateľov, ktorí využívajú funkcie B2B v službe Azure AD, a to sme len na začiatku. Pridanie podpory aplikácie Microsoft Teams bolo hlavnou požiadavkou zákazníkov. Preto sme nadšení, že sme túto novú funkciu sprístupnili a pokračujeme v zlepšovaní služby. Verím, že si funkciu vyskúšate ešte dnes.

Preto neváhajte, prihláste sa do aplikácie Teams a pozvite svojich partnerov na spoluprácu.

Ako vždy platí, že ak máte pripomienky, návrhy alebo sa chcete porozprávať, neváhajte sa s nami spojiť. Viete, že váš názor nás zaujíma.

S pozdravom

Alex Simons (@Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

P. S.: Už teraz pracujeme na pridaní ďalších funkcií služby Azure AD v aplikácii Teams vrátane podpory externých používateľov s ľubovoľným podnikovým alebo spotrebiteľským e-mailovým kontom. Podrobnosti prinesiem už čoskoro.

The post Spolupráca B2B v službe Azure AD cez Microsoft Teams appeared first on Microsoft 365 Blog.

Dnes mám pre vás skvelé správy. Spoločnosť Gartner zverejnila svoju správu Magic Quadrant for Access Management (MQ AM) 2017, v ktorej umiestnila spoločnosť Microsoft do kvadrantu lídrov za našu celistvú víziu a schopnosť napĺňať ciele.

Kategória MQ AM je novou kategóriou MQ. Ide o správu, ktorá sa líši od zrušenej správy MQ IDaaS a teraz bola zverejnená prvýkrát. Azure Active Directory je produktom hodnoteným v tejto správe.

Magic Quadrant for Access Management 2017 spoločnosti Gartner

V spolupráci so spoločnosťou Gartner sme sprístupnili bezplatné kópie správy, ktoré nájdete tu.

Domnievame sa, že skvelé umiestnenie spoločnosti Microsoft potvrdzuje našu víziu poskytovania komplexného riešenia správy identít a prístupu pre zamestnancov, partnerov a zákazníkov, ktoré sa opiera o špičkovú ochranu identity založenú na systéme Microsoft Intelligent Security Graph.

Veríme, že analýza spoločnosti Gartner vo veľkej miere svedčí o našom záväzku v oblasti správy identít a prístupu. Dôležitejšie však je, že spoločnosť Microsoft sa domnieva, že analýza hovorí veľa o našich zákazníkoch, implementačných partneroch a partnerských nezávislých dodávateľoch softvéru, ktorí s nami pracujú. Každý deň nám venujú svoj čas a energiu, aby produkty a služby, ktoré tvoríme, spĺňali ich požiadavky a aby vďaka nim mohli dosiahnuť úspech vo svete, v ktorom je čoraz dôležitejšia cloudová technológia.

Sľubujeme, že budeme naďalej prinášať inovatívne funkcie v oblasti správy identít a prístupu podľa vašich potrieb a budeme ďalej zveľaďovať svoju pozíciu v kvadrante lídrov správy MQ AM spoločnosti Gartner.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

The post Služba Azure AD sa dostala do kvadrantu lídrov v správe Magic Quadrant for Access Management 2017 spoločnosti Gartner appeared first on Microsoft 365 Blog.