dnes pre vás máme skvelé správy. Spoločnosť Gartner už druhý rok po sebe zaradila spoločnosť Microsoft do kvadrantu lídrov v Magickom kvadrante pre správu prístupu vo svete za rok 2018 na základe prepracovanosti našej vízie a schopnosti dodávať riešenia na trhu správy prístupu. Zistite dôvody v bezplatnej kópii správy tu.

Lídri sú podľa spoločnosti Gartner dôkazom dobrej realizácie očakávaných požiadaviek súvisiacich s technológiami, metodikou či spôsobmi doručovania. Lídri sú zároveň dôkazom toho, akú úlohu zohráva správa prístupu pri zhromažďovaní súvisiacich alebo nadväzujúcich ponúk produktov.

Najvyššie umiestnenie v kvadrante lídrov v oblasti vízie

Spoločnosť Microsoft sa umiestnila na najvyššom mieste v kvadrante lídrov v oblasti prepracovanosti vízie druhý rok za sebou. Veríme, že aj naše lepšie umiestnenie v oblasti realizácie svedčí o tom, aký význam prikladáme realizácii na základe stratégie, ktorá v súčasnosti organizáciám pomáha a pripravuje ich na budúce potreby identity.

V spoločnosti Microsoft presadzujeme politiky podmieneného prístupu a ochranu identít pred bezpečnostnými hrozbami ako zásadné funkcie pre špičkové riešenie správy identít a prístupu. Ako súčasť bohatého ekosystému s Windowsom 10, so službami Office 365 a EMS sme tvrdo pracovali na integrácii politík zabezpečovania v rámci produktov s cieľom poskytnúť vám viditeľnosť a kontrolu nad úplnou používateľskou skúsenosťou. Aby sme túto skúsenosť zlepšili a ešte väčšmi vám uľahčili zhromažďovanie všetkých identít na jednom mieste, zohľadnili sme tento rok aj názory a pripomienky našich zákazníkov. Sme odhodlaní poskytovať vašim zamestnancom, partnerom a zákazníkom inovatívne a komplexné riešenia správy identít a prístupu.

Bez vstupu a podpory od našich zákazníkov a partnerov by sme si pozíciu lídra v tejto oblasti neudržali – ďakujeme vám!

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ riadenia programov

Divízia identity spoločnosti Microsoft

Dôležitá poznámka:

Uvedený graf publikovala spoločnosť Gartner, Inc. v rámci rozsiahlejšieho výskumného dokumentu a mal by sa hodnotiť v kontexte celého dokumentu. Dokument spoločnosti Gartner je k dispozícii na základe žiadosti od spoločnosti Microsoft.

Spoločnosť Gartner nepodporuje žiadneho dodávateľa, produkt ani službu uvedenú vo svojich výskumných publikáciách, ani používateľom neodporúča vyberať si len dodávateľov s najvyšším hodnotením alebo iným označením. Výskumné publikácie spoločnosti Gartner pozostávajú z názorov výskumnej organizácie spoločnosti Gartner a nemali by sa považovať za konštatovanie faktov. Spoločnosť Gartner odmieta akékoľvek záruky, výslovné alebo implikované, pokiaľ ide o jej výskum, vrátane akýchkoľvek záruk obchodovateľnosti alebo vhodnosti na konkrétny účel.

The post Vízia + realizácia: Microsoft bol opäť označený za lídra v Magickom kvadrante spoločnosti Gartner v oblasti správy prístupu appeared first on Microsoft 365 Blog.

Odkedy existujú heslá, ľudia sa ich snažia uhádnuť. V tomto článku budeme hovoriť o bežnom útoku, ktorý je v poslednej dobe OVEĽA častejší a niekoľkých najvhodnejších postupoch, ako sa proti nemu brániť. Útok sa bežne nazýva sprejovanie hesla.

Pri útoku sprejovaním hesla narušitelia skúšajú najbežnejšie používané heslá na mnohých rôznych kontách a službách, aby získali prístup k akýmkoľvek položkám, ktoré sú chránené heslom. Zvyčajne sa zameriavajú na množstvo rôznorodých organizácií a poskytovateľov identity. Útočník napríklad použije bežne dostupný nástroj, ako Mailsniper, na vyšpecifikovanie všetkých používateľov v niekoľkých organizáciách, a potom skúsia heslo „P@$$w0rd“ a „Password1“ vo všetkých týchto kontách. Skúste si útok predstaviť asi takto:

Tento vzorec útokov si väčšina detekčných technológií nevšimne, pretože z hľadiska jednotlivého používateľa alebo spoločnosti vyzerá útok ako izolované neúspešné prihlásenie.

Pre útočníkov je to hra s číslami. Vedia, že existujú heslá, ktoré sú veľmi bežné. Hoci tieto najbežnejšie heslá sa nájdu len v 0,5 – 1,0 % kont, útočníci budú niekoľkokrát úspešní pri každej tisícke kont, na ktoré zaútočia. A to im stačí na to, aby boli efektívny.

Kontá používajú na to, aby získali údaje z e-mailov, zozbierali kontaktné informácie a odoslali prepojenia na neoprávnené získavanie údajov, alebo jednoducho na rozšírenie cieľovej skupiny na sprejovania hesla. Útočníkov nezaujíma, kto sú tieto úvodné cieľové obete. Ide im len o to, aby mali nejakú úspešnosť, ktorú môžu ďalej využiť.

Dobrou správou je, že spoločnosť Microsoft má už implementovaných a dostupných mnoho nástrojov na otupenie týchto útokov a ďalšie budú uvedené čoskoro. Čítajte ďalej a zistite, čo môžete urobiť teraz a v nasledujúcich mesiacoch, aby ste zastavili útoky so sprejovaním hesla.

Štyri jednoduché kroky ako prekaziť útoky so sprejovaním hesla

Krok 1: Používanie overenie pomocou cloudu

V cloude vidíme každý deň miliardy prihlásení do systémov spoločnosti Microsoft. Náš algoritmus detekcie zabezpečenia nám umožňuje zistiť a zablokovať útoky v čase, keď k nim dochádza. Keďže ide o zisťovanie v reálnom čase a ochranné systémy sú riadené z cloudu, sú k dispozícii, iba keď sa vykonáva overovanie služby Azure AD v cloud (vrátane prechodného overenie).

Inteligentné uzamknutie (Smart Lockout)

V cloude používame inteligentné uzamknutie na rozlišovanie medzi pokusmi o prihlásenie, ktoré vyzerajú, ako keby ich vykonával platný používateľ a prihláseniami od potenciálneho útočníka. Dokážeme vymknúť útočníka a súčasne povoliť platnému používateľovi pokračovať v používaní konta. Tým sa zamedzí odmietnutiu služby používateľovi a zastavia sa prehnané útoky sprejovania hesiel. Toto sa vzťahuje na všetky prihlásenia do služby Azure AD bez ohľadu na úroveň licencie a na všetky prihlásenia do konta Microsoft.

Nájomníci, ktorí používajú službu Active Directory Federation Services (ADFS), budú môcť používať funkciu Inteligentné uzamknutie (Smart Lockout) natívne v službe ADFS vo Windowse Server 2016 počnúc od marca 2018 – sledujte túto možnosť prostredníctvom Windows Update.

Uzamknutie IP adresy (IP Lockout)

Uzamknutie IP adresy funguje tak, že analyzuje tieto miliardy prihlásení a vyhodnocuje kvalitu návštevnosti z každej IP adresy, ktorá sa dostane do systémov spoločnosti Microsoft. Pomocou tejto analýzy zistí funkcia uzamknutia IP adresy také adresy, ktoré sa správajú škodlivo a zablokuje tieto prihlásenia v reálnom čase.

Simulácie útoku

Simulátor útoku, ktorý je teraz k dispozícii vo verzii verejnej ukážky, je ako súčasť balíka Office 365 Threat Intelligence a umožňuje zákazníkom spustiť simulované útoky na svojich vlastných koncových používateľov, určiť, ako sa používatelia správajú v prípade útoku a aktualizovať politiky a zabezpečiť, že sú do praxe uvedené vhodné bezpečnostné nástroje, ktoré budú chrániť organizáciu pred hrozbami, ako sú napríklad útoky sprejovaním hesiel.

Toto odporúčame vykonať bezodkladne:

1. Ak používate cloudové overovania, ste krytý
2. Ak používate ADFS alebo iný hybridný scenár, vyhľadajte inováciu ADFS z marca 2018, kde nájdete Smart Lockout
3. Použite Simulátor útoku a proaktívne vyhodnoťte svoj stav zabezpečenia a urobte úpravy

Krok 2: Používanie viacfaktorového overovania

Heslo je kľúčom na prístup ku kontu, ale v prípade úspešného útoku sprejovaním hesla sa útočníkovi podarilo uhádnuť správne heslo. Aby sme ich zastavili, musíme použiť niečo viac, než len heslo na rozlíšenie medzi vlastníkom konta a útočníkom. Tri spôsoby ako to urobiť, sú uvedené nižšie.

Viacfaktorové overovanie na základe rizika

Azure AD Identity Protection používa prihlasovacie údaje uvedené vyššie a pridáva pokročilú detekciu na báze strojového učenia a algoritmov a vyhodnotí riziko každého prihlásenia, ktoré príde do systému. To umožňuje podnikovým zákazníkom vytvárať politiky v službe Identity Protection, ktorá vyzve používateľa, aby sa overil aj pomocou druhého faktora iba vtedy, ak sa zistí riziko pre daného používateľa alebo reláciu. Tým sa znižuje zaťaženie vašich používateľov a vkladá sa bariéra do cesty ľuďom so zlými úmyslami. Ďalšie informácie o službe Azure AD Identity Protection nájdete tu.

Viacfaktorové overovanie, ktoré je nepretržite zapnuté

Na zaručenie ešte vyššej úrovne zabezpečenia môžete použiť Azure MFA a vyžadovať viacfaktorové overovanie pre vašich používateľov vždy, a to aj pri overovaní v cloude aj v ADFS. Hoci tento spôsob vyžaduje, aby koncoví používatelia mali vždy pri sebe svoje zariadenia a častejšie vykonávali viacfaktorové overovanie, poskytuje tento spôsob najvyššiu úroveň zabezpečenia pre váš podnik. Toto by malo byť povolené pre každého správcu v organizácii. Zistite viac o viacfaktorovom overovaní v službe Azure tu a o tom ako konfigurovať Azure MFA pre ADFS.

Azure MFA ako primárne overovanie

In ADFS 2016 máte možnosť používať Azure MFA ako primárne overovanie pre overovania bez hesla. Je to skvelý nástroj, ktorý chráni pres útokmi sprejovaním hesla a krádežou hesla: ak neexistuje heslo, nie je možné ho uhádnuť. Funguje to skvele pre všetky typy zariadení s rôznymi faktormi formulára. Okrem toho môžete teraz použiť heslo ako druhý faktor až potom, ako bolo overené vaše OTP pomocou Azure MFA. Ďalšie informácie o používaní hesla ako druhého faktora nájdete tu.

Toto odporúčame vykonať bezodkladne:

1. Dôrazne odporúčame povoliť nepretržité viacfaktorové overovanie pre všetkých správcov vo vašej organizácii, najmä vlastníkov predplatného a správcov nájomníkov. Ale vážne, urobte to hneď teraz.
2. Na dosiahnutie najlepších výsledkov pre ostatných používateľov odporúčame viacfaktorové overovanie na základe vyhodnotenia rizika, ktoré je k dispozícii s licenciami služby Azure AD Premium P2.
3. V opačnom prípade použite Azure MFA pre cloudové overovanie a ADFS.
4. V ADFS vykonajte inováciu na ADFS na Windows Server 2016 a používajte Azure MFA ako primárne overovanie, hlavne pre všetky extranetové prístupy.

Krok 3: Lepšie heslá pre všetkých používateľov

Aj keď sa použijú všetky vyššie uvedené kroky, kľúčovým prvkom ochrany pred útokmi so sprejovaním hesla je, aby všetci používatelia mali heslá, ktoré sa ťažko uhádnu. Pre používateľov je často náročné zistiť, ako si vytvoriť heslá, ktoré sa ťažko uhádnu. Microsoft vám v tom pomôže pomocou týchto nástrojov.

Zakázané heslá

V službe Azure AD prejde každá zmena a obnovenie hesla cez kontrolu zakázaných hesiel. Po odoslaní nového hesla sa vykoná jeho približné porovnanie so zoznamom slov, ktoré by nikto nikdy nemal mať vo svojom hesle (a nepomôže ani zápis ako l33t-sp3@k). Keď sa nájde zhoda, heslo sa zamietne a zobrazí sa výzva, aby používateľ vybral heslo, ktoré je ťažšie uhádnuť. Budujeme zoznam najčastejšie napadnutých hesiel a často ho aktualizujeme.

Vlastné zakázané heslá

Aby sme zakázané heslá ešte vylepšili, povolíme nájomníkom prispôsobiť si svoje zoznamy zakázaných hesiel. Správcovia môžu vybrať slová, ktoré sú bežné v ich organizácii, ako napríklad známi zamestnanci a zakladatelia, produkty, lokality, regionálne ikony atď, a zabrániť, aby ich používatelia používali vo svojich heslách. Tento zoznam sa bude vynucovať spolu s globálnym zoznamom, takže nebude potrebné vybrať jeden alebo druhý. Zatiaľ je to len v režime obmedzenej ukážky a bude sa nasadzovať tento rok.

Zakázané heslá pre lokálne zmeny

Túto jar spúšťame nástroj, ktorý umožní podnikovým správcom zakázať heslá v hybridných prostrediach služby Azure AD – Active Directory. Zoznamy zakázaných hesiel sa budú synchronizovať z cloudu do vášho lokálneho prostredia a budú sa vynucovať v každom radiči domény s agentom. To pomôže správcom zabezpečiť, že heslá používateľov bude ťažšie uhádnuť bez ohľadu na to, kde si používateľ zmení svoje heslo, či v cloude alebo lokálne. Toto bolo spustené v režime obmedzenej súkromnej ukážky vo februári 2018 do praxe to pôjde tento rok.

Zmena myslenia vo vzťahu k heslám

Mnoho bežných predstáv o tom, čo je dobré heslo, je nesprávnych. Zvyčajne niečo, čo by vám malo pomôcť matematicky, má v skutočnosti za následok predvídateľné správanie používateľa: napríklad, ak sa vyžadujú určité typy znakov a pravidelné zmeny hesla, výsledkom sú špecifické vzorce hesiel. Prečítajte si našu dokumentáciu o heslách, kde nájdete podstatne viac podrobností. Ak používate služby Active Directory s PTA alebo ADFS, aktualizujte svoje politiky týkajúce sa hesiel. Ak používate kontá spravované v cloude, zvážte nastavenie neobmedzenej platnosti hesla.

Toto odporúčame vykonať bezodkladne:

1. Po vydaní si nainštalujte lokálne nástroj na zakázané heslá spoločnosti Microsoft, ktorý pomôže vašim používateľom vytvárať lepšie heslá.
2. Skontrolujte svoje politiky vytvárania hesiel a zvážte nastavenie ich neobmedzenej platnosti, aby vaši používatelia nepoužívali sezónne vzory na vytváranie svojich hesiel.

Krok 4: Ďalšie skvelé funkcie v službe ADFS a Active Directory

Ak používate hybridné overovania s ADFS a Active Directory, existujú ďalšie kroky, ktoré môžete vykonať na zabezpečenie vášho prostredia pred útokmi sprejovania hesla.

Prvý krok: pre organizácie používajúce ADFS 2.0 alebo Windows Server 2012 naplánujte čo najskôr presun na službu ADFS v systéme Windows Server 2016. Najnovšia verzia sa bude rýchlejšie aktualizovať so širšou škálou možností, ako je napríklad extranetové uzamknutie. A nezabudnite: výrazne sme uľahčili inováciu z Windows Servera 2012R2 na 2016.

Blokovanie staršieho overovania z Extranetu

Staršie overovacie protokoly nemajú schopnosť vynucovať MFA (viacfaktorové overovanie), takže najlepším spôsobom je zablokovať ich z extranetu. Toto zabráni útočníkom, ktorí sa snažia vykonať útok sprejovaním hesla zneužiť neprítomnosť viacfaktorového overenia v týchto protokoloch.

Povolenie uzamknutia extranetu proxy webovej aplikácie ADFS

Ak nemáte zavedené uzamknutie extranetu na proxy serveri webovej aplikácie ADFS, mali by ste to čo najskôr povoliť, aby ste ochránili používateľov pred potenciálnym narušením hesla hrubou silou.

Nasadenie služby Azure AD Connect Health pre ADFS

Azure AD Connect Health zaznamenáva IP adresy, ktoré sú zaznamenané v denníkoch ADFS pre požiadavky nesprávneho mena používateľa a hesla, poskytuje ďalšie správy o širokej škále scenárov a poskytuje ďalšie podrobné prehľady na podporu inžinierov pri otváraní prípadov technickej podpory s asistenciou.

Ak chcete túto službu nasadiť, stiahnite si najnovšiu verziu služby Azure AD Connect Health Agent pre ADFS na všetkých serveroch ADFS (2.6.491.0). Na serveroch ADFS musí byť spustený Windows Server 2012 R2 s nainštalovanou bázou znalostí KB 3134222 alebo Windows Server 2016.

Používanie metód prístupu, ktoré nie sú založené na heslách

Ak heslo neexistuje, nie je možné ho uhádnuť. Tieto metódy overovania, ktoré nie sú založené na heslách, sú k dispozícii pre ADFS a Proxy webovej aplikácie:

1. Overenie na základe certifikátu umožňuje, aby sa koncové body používateľského mena a hesla úplne zablokovali na úrovni brány firewall. Ďalšie informácie o overovaní na základe certifikátu v ADFS
2. Službu Azure MFA, ako bolo uvedené vyššie, je možné použiť ako druhý faktor v overovaní v cloude a v ADFS 2012 R2 a 2016. Môže sa tiež použiť ako primárny faktor v ADFS 2016 na úplné zastavenie možnosti sprejovania hesiel. Ďalšie informácie ako nakonfigurovať A MFA s ADFS nájdete tu
3. Funkcia Windows Hello for Business, ktorá je k dispozícii vo Windowse 10 a podporovaná v ADFS vo Windows Server 2016, umožňuje prístup úplne bez hesla, vrátane extranetového prístupu, na základe silných kryptografických kľúčov, ktoré sú viazané na používateľa aj na zariadenie. Je k dispozícii pre zariadenia spravované korporáciou, ktoré sú pripojené k Azure AD alebo k Hybrid Azure AD, ako aj pre osobné zariadenia cez funkciu „Pridať pracovné alebo školské konto“ z aplikácie Nastavenia. Získajte ďalšie informácie o funkcii Hello for Business.

Toto odporúčame vykonať bezodkladne:

1. Inovácia na ADFS 2016 pre rýchlejšie aktualizácie
2. Blokovanie staršieho overovania z extranetu.
3. Nasaďte agentov služby Azure AD Connect Health pre ADFS na všetkých serveroch ADFS.
4. Zvážte použitie primárny spôsob overovania, ktorý nevyžaduje heslo, ako sú napríklad certifikáty Azure MFA alebo Windows Hello for Business.

Bonus: Ochrana kont Microsoft

Ak ste používateľ konta Microsoft:

• Skvelá správa. Už ste chránení! Kontá Microsoft majú tiež funkciu Smart Lockout (inteligentné uzamknutie), uzamknutie IP, dvojstupňové overenie na základe rizika, zakázané heslá a iné funkcie.
• Vyhraďte si však dve minúty a prejdite na stránku Zabezpečenie konta Microsoft a vyberte položku „Aktualizovať bezpečnostné informácie“, kde si môžete skontrolovať informácie o zabezpečení použité pre dvojstupňové overenie na základe rizika
• Zvážte zapnutie nepretržitého dvojstupňového overenia tu, čo zaručí vášmu kontu najvyššie možné zabezpečenie.

Najlepšou ochranu je… dodržiavať odporúčania na tomto blogu

Sprejovanie hesla je veľká hrozba pre každú službu na internete, ktorá používa heslá, ale pomocou krokov v tomto blogu získate maximálnu ochranu pred týmto spôsobom útoku. A keďže mnohé typy útokov majú podobné znaky, toto sú jednoducho dobré ochranné opatrenia. Bodka. Vaša bezpečnosť je vždy našou najvyššou prioritou a neustále usilovne pracujeme na vytvorení novej a pokročilej ochrany proti sprejovaniu hesiel a proti akýmkoľvek iným typom útokov, ktoré sa môžu vyskytnúť. Odporúčania uvedené vyššie použite ešte dnes a často sa sem vracajte, pretože tu nájdete nové nástroje na ochranu pred narušiteľmi, ktorí číhajú na internete.

Dúfam, že tieto informácie budú pre vás užitočné. Ako vždy platí, že sa budeme tešiť na všetky vaše pripomienky alebo návrhy.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

The post Najvhodnejšie postupy pre Azure AD a ADFS: Ochrana pred útokmi sprejovania hesla appeared first on Microsoft 365 Blog.

Dúfam, že tento článok bude pre vás rovnako zaujímavý, ako ho vnímam ja. Je to tak trochu „pastva pre mozgové závity“ a popisuje úžasnú víziu budúcnosti digitálnych identít.

Počas posledných 12 mesiacov sme investovali do rozvoja niekoľkých myšlienok ohľadne používania technológie Blockchain (a iných technológií distribuovaných registrov) na vytvorenie nových typov digitálnych identít, identít navrhnutých zdola nahor s cieľom rozšíriť osobné súkromie, bezpečnosť a ovládanie. Sme nadšení z toho, čo sme sa naučili a z nových partnerstiev, ktoré sme v tomto procese vytvorili. Dnes využívame túto príležitosť, aby sme sa s vami podelili o naše úvahy a smerovanie. Tento blog je súčasťou série a nadväzuje na článok Peggy Johnson na blogu, ktorý oznamuje, že spoločnosti Microsoft sa pridala k iniciatíve ID2020. Ak ste ešte nečítali článok od Peggy, odporúčam, aby ste si ho najskôr prečítali.

Požiadal som Ankura Patela, projektového manažéra v mojom tíme, ktorý viedol tieto aktivity, aby pre nás otvoril diskusiu o decentralizovaných digitálnych identitách. Jeho príspevok sa zameriava na niektoré základné veci, ktoré sme sa dozvedeli, a niektoré výsledné princípy, ktoré používame na smerovanie našich investícií do tejto oblasti v budúcnosti.

A ako vždy, radi by sme počuli vaše myšlienky a pripomienky.

S pozdravom

Alex Simons (Twitter: @Alex_A_Simons)

Riaditeľ pre spravovanie programov

Divízia identity spoločnosti Microsoft

———-

Pozdravujem všetkých používateľov, som Ankur Patel z oddelenia Identity spoločnosti Microsoft. Je pre mňa úžasnou cťou, že mám túto možnosť zdieľať niektoré naše poznatky a budúce smerovanie na základe nášho úsilia pri vývoji decentralizovaných identít na báze technológie Blockchain a distribuovaných registrov.

Čo vidíme

Mnohí z vás si každý deň uvedomujú, že svet prechádza globálnou digitálnou transformáciou, kde sa strácajú rozdiely medzi digitálnou a fyzickou skutočnosťou a spájajú sa do jedného integrovaného a moderného spôsobu života. Tento nový svet potrebuje nový model pre digitálne identity, ktorý bude rozširovať ochranu súkromia jednotlivcov a ich bezpečnosť vo fyzickom aj digitálnom svete.

Systémy cloudovej identity spoločnosti Microsoft už v súčastnosti pomáhajú tisícom vývojárov, organizáciám a miliardám ľudí pri práci, hrách a zvyšovaní efektivity. A je toho ešte oveľa viac, ako môžeme všetkým pomáhať. Našou predstavou je dosiahnuť svet, kde miliardy ľudí, ktorí dnes žijú bez akéhokoľvek spoľahlivého preukazu totožnosti, budú môcť realizovať svoje sny, ktoré všetci zdieľame, ako napríklad umožniť vzdelanie svojim deťom, zlepšiť kvalitu života alebo začať podnikať.

Aby sme túto víziu dosiahli, sme presvedčení o tom, že je nevyhnutné, aby jednotlivci vlastnili a riadili všetky elementy svojej digitálnej identity. Namiesto udeľovania súhlasu nekonečnému počtu aplikácií a služieb, pričom príslušné údaje o identitách sú roztrúsené u mnohých poskytovateľov, jednotlivci potrebujú bezpečné šifrované digitálne centrum, kde môžu uchovávať svoje údaje o identite a jednoducho ovládať prístup k týmto údajom.

Každý z nás potrebuje digitálnu identitu, ktorej sme vlastníkom. Identitu, ktorá bezpečne a s ohľadom na súkromie uchováva všetky prvky našej digitálnej identity.  Táto identita, ktorú sami vlastníme, sa musí jednoducho používať a poskytovať nám úplnú kontrolu nad tým, ako sa k údajom o našej identite pristupuje a ako sa tieto údaje používajú.

Vieme, že nasadenie takéhoto typu digitálnej identity spravovanej samotnými používateľmi, je nad rámec akejkoľvek samostatnej spoločnosti alebo organizácie. Sme odhodlaní úzko spolupracovať s našimi zákazníkmi, partnermi a komunitami, aby sme uviedli do života nasledujúcu generáciu prostredia na báze digitálnej identity a sme nesmierne radi, že sme sa spojili s mnohými ľuďmi v tomto odvetví, ktorí v obrovskej miere prispievajú k tejto problematike.

Čo sme sa naučili

K dnešnému dňu zdieľame naše najlepšie myšlienky založené na tom, čo sme sa naučili z nášho vývoja decentralizovanej identity. Je to úsilie, ktoré je zamerané na umožnenie bohatšej používateľskej skúsenosti, zvýšenie dôveryhodnosti a redukciu problémov, pri súčasnej podpore každého používateľa, aby vlastnil a ovládal svoju digitálnu identitu.

1. Vlastnite a ovládajte svoju identitu. V súčasnosti používatelia udeľujú široký súhlas nespočetnému množstvu aplikácií a služieb, ktoré tieto údaje zhromažďujú, používajú a ponechávajú bez toho, aby nad tým mali kontrolu. Keďže narušenie bezpečnosti údajov a krádeže identity sa stávajú čoraz sofistikovanejšie a častejšie, používatelia potrebujú spôsob, ako by mohli vlastniť svoju vlastnú identitu. Po preskúmaní decentralizovaných úložných systémov, protokolov konsenzu, technológie blockchains a množstva nových nastupujúcich štandardov veríme, že technológia blockchain a príslušné protokoly sú vhodné na nasadenie decentralizovaných ID (DID).
2. Ochrana osobných údajov vybudovaná od samotných základov.
   V súčasnosti aplikácie, služby a organizácie poskytujú praktické, predvídateľné a prispôsobené prostredia, ktoré závisia od ovládania údajov priradených k identite. Potrebujeme zabezpečené šifrované digitálne centrum (ID centrá), ktoré dokážu pracovať s údajmi používateľov a súčasne ctiť ich súkromie a možnosť tieto údaje ovládať.
3. Dôvera sa získava u jednotlivcov a vytvára komunitou.
   Tradičné systémy spravovania identít sú väčšinou zamerané na overovanie a spravovanie prístupu. Systém spravovania identity vlastnený samotným používateľom pridáva zameranie na autenticitu a na to, ako komunita môže vytvárať dôveryhodnosť. V decentralizovanom systéme je dôveryhodnosť založená na atestáciách: prehlásenia, ktoré iné entity potvrdia. Toto pomáha dokázať stránky identity daného jednotlivca.
4. Aplikácie a služby vytvorené so zameraním na používateľa.
   Niektoré z najpútavejších aplikácií a služieb v súčasnosti sú tie, ktoré ponúkajú prostredie prispôsobené pre svojich používateľov tým, že získali prístup k ich osobným údajom (PII). Systémy DID a ID centrá umožnia vývojárom získať prístup k presnejšej množine atestácií a súčasne obmedziť právne riziká a riziká dodržiavania súladu pri spracovaní týchto informácií, namiesto toho, aby ich ovládali v mene používateľa.
5. Otvorená nadácia založená na spolupráci.
   Ak chceme vytvoriť robustný ekosystém na decentralizované identity, ktorý je prístupný pre všetkých, musí byť postavený na štandardných technológiách, protokoloch a implementáciách referencií s otvoreným zdrojovým kódom. Za posledný rok sme sa zúčastňovali na projekte Nadácia decentralizovaných identít (DIF) s jednotlivcami a organizáciami, ktoré sú rovnako motivované popasovať sa s touto výzvou. Spoločne vytvárame nasledujúce kľúčové komponenty:
   

• Decentralizované identifikátory (DIDs) – špecifikácia W3C, ktorá definuje spoločný formát dokumentu na popis stavu decentralizovaného identifikátora
  
• ID centrá – dátový sklad šifrovaných identít, ktorý obsahuje relé správa/úmysel, spracovanie atestácií a výpočtové koncové body špecifické pre identitu. 
  
• Univerzálny DID prekladača – server, ktorý prekladá DID v rámci blockchainov 
  
• Overiteľné poverenia – W3C špecifikácia, ktorá definuje formát dokumentu na kódovanie atestácií založených na DID.   
  

6. Pripravený na celosvetové použitie:
   Aby bolo možné podporovať používateľov, organizácie a zariadenia na celom svete, základná technológia musí byť schopná takého škálovania a výkonu aký poskytujú tradičné systémy. Niektoré verejné blockchainy (Bitcoin [BTC] Ethereum, Litecoin, ak spomenieme len zopár), poskytujú solídne základy na zakorenenie DID, zaznamenávanie operácií DPKI a ukotvenie atestácií. Hoci niektoré blockchainové komunity zvýšili transakčnú kapacitu on-chain (napr. zväčšenie veľkosti bloku), tento postup vo všeobecnosti degraduje decentralizovaný stav siete a nedokáže dosiahnuť milióny transakcií za sekundu, ktoré by systém vygeneroval na celosvetovej úrovni. Aby sme prekonali tieto technické obmedzenia, spolupracujeme na decentralizovaných protokoloch Layer 2, ktoré bežia nad týmto verejnými blockchainami. Cieľom je dosiahnuť globálnu šírku a súčasne zachovať atribúty špičkového systému DID.
   
7. Dostupné pre každého:
   Dnešný ekosystém blockchainu je stále poväčšine pre ľudí, ktorí si rýchlo osvojujú novinky a sú ochotní vynaložiť čas, námahu a energiu na spravovanie kľúčov a zabezpečenie zariadení. To nie je niečo, čo možno očakávať od bežných ľudí. Musíme dosiahnuť, aby výzvy súvisiace so spravovaním kľúčov, ako je napríklad obnova, rotácia a zabezpečený prístup, boli intuitívne a bezchybné.
   

Naše nasledujúce kroky

Nové systémy a veľké myšlienky dávajú často zmysel na tabuli. Všetky body sa spoja a predpoklady sa zdajú byť pevné. Avšak produktové a inžinierske tímy sa najviac naučia až po uvedení na trh.

V súčasnosti už aplikáciu Microsoft Authenticator každý deň používajú milióny ľudí na preukázanie svojej identity. V ďalšom kroku budeme experimentovať s decentralizovanými identitami tak, že pridáme pre ne podporu v aplikácii Microsoft Authenticator. So súhlasom bude môcť Microsoft Authenticator vystupovať ako váš agent používateľa na správu údajov identity a kryptografických kľúčov. V tomto dizajne je v reťazi zakorenené iba ID. Údaje o identite sú uchované ID centre, ktoré je mimo reťaze (Microsoft ho nevie zobrazovať), a ktoré sú zašifrované pomocou týchto kryptografických kľúčov.

Po pridaní tejto možnosti, budú môcť aplikácie a služby pracovať s údajmi používateľa pomocou bežné kanálu správ požadovaním podrobného súhlasu. V úvodnej fáze budeme podporovať vybranú skupinu implementácií DID v blockchainoch a s vysokou pravdepodobnosťou budeme v budúcnosti pridávať ďalšie.

Pohľad dopredu

Cítime veľkú pokoru a nadšenie, že sme sa pustili do takejto obrovskej výzvy, ale taktiež sme si vedomí, že to nie je možné zvládnuť samostatne. Spoliehame sa na podporu a príspevky našich partnerov z aliancie, členov nadácie decentralizovanej identity a rôznorodého ekosystému dizajnérov zo spoločnosti Microsoft, politikov, obchodných partnerov a tvorcov hardvéru a softvéru. No najdôležitejšia bude pomoc od vás, našich zákazníkov, aby ste nám poskytovali spätnú väzbu, keď začneme testovanie tejto prvej množiny scenárov.

Toto je prvý príspevku o našej práci na decentralizovaných identitách. V nasledujúcich článkoch budeme zdieľať informácie o našich dôkazoch funkčnosti konceptu, ako aj technické detaily pre kľúčové oblasti uvedené vyššie.

Tešíme sa, že sa k nám pridáte v tomto úsilí!

Kľúčové zdroje:

• Sledujte nás na @AzureAD na Twitteri
  
• Zapojte sa do Nadácie decentralizovanej identity (DIF)
  
• Zúčastnite sa aktivít v skupine W3C Credentials Community
  

S pozdravom,

Ankur Patel (@_AnkurPatel)

Hlavný programový manažér

Divízia identity spoločnosti Microsoft

The post Decentralizované digitálne identity a blockchain: Budúcnosť ako ju vidíme appeared first on Microsoft 365 Blog.

Dnes sme na konferencii Microsoft Ignite predstavili novú víziu na podporu pracovníkov prvého kontaktu (Firstline Workers) v digitálnej dobe a predstavili sme službu Microsoft 365 F1 – novú ponuku spájajúcu služby Office 365, systém Windows 10 a balík Enterprise Mobility + Security s cieľom poskytnúť kompletné inteligentné riešenie na podporu všetkých pracovníkov.

Moderné pracovisko vyžaduje od spoločností, aby naplnili nové očakávania zamestnancov, prepojili čoraz viac priestorovo distribuovanú pracovnú silu a poskytli nástroje umožňujúce všetkým zamestnancom vytvárať, inovovať a pracovať spolu na riešení zákazníckych a podnikových problémov. Skutočne moderné pracovisko podporuje to najlepšie, čo sa v zamestnancoch skrýva, vytvára kultúru inovácií, prijíma rozhodnutia a podporuje všetkých pracovníkov od vedenia až po pracovníkov prvého kontaktu (Firstline Workforce).

Pracovníci prvého kontaktu (Firstline Workers) tvoria väčšinu svetovej pracovnej sily. Ich celosvetový počet je dve miliardy a sú to ľudia za priehradkami, na telefóne, na klinikách, v predajniach a teréne. Často ako prví prichádzajú do kontaktu so zákazníkmi, ako prví reprezentujú značku spoločnosti a ako prví tiež vidia vaše produkty a služby priamo v akcii. Sú základnou oporou mnohých najväčších priemyselných odvetví sveta a bez nich by ambície množstva organizácií nebolo možné realizovať.

Vidíme príležitosť pre technológiu umožňujúcu pracovníkom prvého kontaktu (Firstline Workers) pracovať intuitívnejšie, angažovanejšie a s väčšou podporou. Spoločnosť Microsoft má jedinečnú pozíciu, z ktorej dokáže spoločnostiam pomôcť využiť potenciál pracovníkov prvého kontaktu (Firstline Workforce) prostredníctvom ponuky komerčných produktov zahŕňajúcej Microsoft 365, Dynamics 365, Microsoft IoT, Microsoft AI, Microsoft HoloLens a Windows Mixed Reality.

Prestavenie služby Microsoft 365 F1 je významným krokom smerom k našej vízii zahrnutia pracovníkov prvého kontaktu (Firstline Workforce) do digitálnej transformácie tým, že sa technologická podpora poskytne pre všetkých pracovníkov.

Transformácia práce pracovníkov prvého kontaktu (Firstline Worker)

Služba Microsoft 365 F1 zahŕňa možnosti a nástroje, ktoré všetkým pracovníkom umožnia premeniť nápady na skutočnosť. Pomocou vysielania schôdze cez Skype na realizáciu rozsiahlych schôdzí so zamestnancami a Yammera, ktorý pomáha zamestnancom nájsť a zdieľať najvhodnejšie postupy v rámci spoločnosti, podporuje pracovnú kultúru a komunitu.

Microsoft 365 F1 zjednodušuje školenie a zvyšovanie kvalifikácie zamestnancov tým, že prostredníctvom služby Microsoft Stream zdieľa dynamický obsah a videá vytvárané na základe rolí, a prostredníctvom SharePointu jednoducho distribuuje materiály pomáhajúce s adaptáciou alebo školeniami a spravuje odborné znalosti celej inštitúcie z jedného bezpečného miesta.

Podporuje produktivitu pracovníkov prvého kontaktu a digitalizáciu pracovných procesov – pomocou aplikácie Microsoft StaffHub účelovo vytvorenej pre pracovníkov prvého kontaktu (Firstline Workers) spravuje ich pracovný deň a pomocou služieb Microsoft PowerApps a Flow automatizuje každodenné aktivity. Dnes predstavujeme nové možnosti pre StaffHub vrátane možnosti zaznamenania príchodu a odchodu zamestnancov a sledovania úloh. Takisto zjednodušujeme spôsob, ktorým môžu byť zamestnanci v kontakte prostredníctvom aplikácie StaffHub, tým, že sme integrovali výmenu správ do centra pre tímovú prácu Microsoft Teams a zároveň sme zvýraznili podnikové oznámenia v Yammeri. A nakoniec – zákazníkom sme umožnili pripojiť aplikáciu StaffHub k obľúbeným systémom na správu pracovníkov a iným nástrojom vďaka dostupnosti všeobecných rozhraní API.

Microsoft 365 F1 zjednodušuje správu IT, minimalizuje náklady a rozširuje zabezpečenie na všetkých zamestnancov a všetky koncové body. Azure Active Directory umožňuje správu identity a prístupu zamestnancov, Microsoft Intune pomáha zabezpečiť zariadenia a nové funkcie vo Windowse 10 zjednodušujú správu možností pre pracovníkov prvého kontaktu (Firstline Workers) tak, že podporujú uzamknuté jednoúčelové zariadenia prostredníctvom priradeného prístupu Windowsu a automatického nasadenia prostredníctvom služby Windows AutoPilot.

Poznáme dôležitosť poskytovania jednoducho používateľných a zabezpečených zariadení pre pracovníkov prvého kontaktu (Firstline Workers), ktoré minimalizujú celkové náklady na vlastníctvo. Dnes sme predstavili nové komerčné zariadenia s Windowsom 10 S od našich OEM partnerov: HP, Lenovo a Acer. Tieto zariadenia, ktorých ceny začínajú na sume 275 EUR, využívajú cloudovú identitu a správu a sú ideálne pre pracovníkov prvého kontaktu.

Tešíme sa, že máme možnosť podporiť pracovníkov prvého kontaktu (Firstline Workers), a to ešte len začíname!

Navštívte našu novú stránku Firstline Worker, aby ste sa dozvedeli viac o našej vízii, a pozrite si tabuľku nižšie, pomocou ktorej zistíte, čo všetko je súčasťou služby Microsoft 365 F1.

– Bryan Goode

The post V službe Microsoft 365 sú všetci pracovníci vítaní appeared first on Microsoft 365 Blog.