Вітаю!

У мене сьогодні чудові новини. Ми щойно активували можливість безпечного входу в облікові записи Microsoft без використання імен користувачів і паролів, тільки за допомогою пристроїв із підтримкою стандарту FIDO2! Цей стандарт дає змогу застосовувати такі пристрої для входу в онлайн-служби на смартфонах, планшетах і ПК. Поки що функція доступна лише в США, але протягом наступних кількох тижнів нею зможуть користуватися клієнти в усьому світі.

Безпарольний вхід дуже простий, безпечний, і його підтримує більшість пристроїв. Ми впевнені, що цей спосіб автентифікації стане революційним у роботі з персональними та корпоративними пристроями. Щомісяця понад 800 мільйонів людей використовують свої облікові записи Microsoft, щоб працювати й розважатися за допомогою Outlook, Office, OneDrive, Bing, Skype та Xbox Live: створювати контент, віддалено ділитися ним, спілкуватися з колегами та друзями з усього світу. І тепер робити це стало простіше й набагато безпечніше.

Відсьогодні для входу в обліковий запис Microsoft можна використовувати браузер Microsoft Edge і пристрій FIDO2 або функцію Windows Hello.

Подивіться коротке відео, де показано, як це робити:

Певний час тому корпорація Майкрософт поставила за мету позбутися паролів для входу в облікові записи, щоб захистити дані наших користувачів від зловмисників. Як учасник організації Fast Identity Online (FIDO) Alliance і Консорціуму World Wide Web ми разом із нашими компаніями-колегами активно працювали над розробкою відкритих стандартів автентифікації нового покоління. І я дуже радий повідомити, що корпорація Майкрософт стала першою компанією з рейтингу Fortune 500, яка почала підтримувати безпарольну автентифікацію за допомогою специфікацій WebAuthn і FIDO2, а Microsoft Edge тепер підтримує найбільше автентифікаторів порівняно з усіма іншими популярними браузерами.

Якщо вам цікаво, як усе це працює та як почати використовувати безпарольний вхід, читайте далі.

Як почати роботу?

Ось як увійти в обліковий запис Microsoft за допомогою ключа безпеки FIDO2:

1. Інсталюйте оновлення Windows 10 за жовтень 2018 р. (якщо ви цього ще не зробили).
2. Запустіть браузер Microsoft Edge, відкрийте в ньому сторінку облікового запису Microsoft і ввійдіть за допомогою імені користувача та пароля.
3. Натисніть Безпека > Додаткові параметри безпеки. У розділі Windows Hello та ключі безпеки ви побачите інструкції з налаштування ключа безпеки (такий ключ із підтримкою стандарту FIDO2* можна придбати в одного з наших партнерів, наприклад Yubico або Feitian Technologies).
4. Під час наступного входу натисніть Додаткові параметри > Використати ключ безпеки або ж просто введіть своє ім’я користувача, і вам буде запропоновано ввійти за допомогою ключа безпеки.

Нагадую, ось як увійти в обліковий запис Microsoft за допомогою Windows Hello:

1. Інсталюйте оновлення Windows 10 за жовтень 2018 р.
2. Налаштуйте Windows Hello (якщо ви цього ще не зробили).
3. Коли ви наступний раз входитимете через Microsoft Edge, натисніть Додаткові параметри > Використати Windows Hello або ж просто введіть своє ім’я користувача, і вам буде запропоновано ввійти за допомогою Windows Hello або ключа безпеки.

Більше деталей про налаштування цих функцій наведено в нашій докладній довідковій статті.

* У специфікації FIDO2 є кілька додаткових функцій, які ми вважаємо вкрай важливими для захисту облікових записів. Тому для входу можна використовувати лише ключі, які підтримують ці функції. Щоб дізнатися більше, прочитайте статтю “Що таке ключ безпеки, сумісний із Microsoft?”.

Як це працює?

Щоб наші служби почали підтримувати безпарольний вхід, ми інтегрували в них специфікації WebAuthn і FIDO2 CTAP2.

На відміну від паролів, FIDO2 захищає облікові дані користувачів за допомогою шифрування з відкритим і закритим ключем. Коли ви реєструєте облікові дані FIDO2, пристрій (ваш ПК чи пристрій FIDO2) генерує відкритий і закритий ключі. Закритий ключ безпечно зберігається на пристрої. Щоб використати цей ключ, його потрібно спершу розблокувати на пристрої за допомогою біометричних даних або PIN-коду, які нікуди з цього пристрою не передаються. Тим часом відкритий ключ надсилається до хмарної системи облікових записів Microsoft і реєструється у вашому обліковому записі.

Таким чином, щоразу, коли ви входите в обліковий запис, система Microsoft надсилає на ваш ПК чи пристрій FIDO2 одноразовий ідентифікатор. За допомогою закритого ключа пристрій підписує цей ідентифікатор й надсилає його разом із метаданими назад до системи облікових записів Microsoft, яка перевіряє ідентифікатор, використовуючи відкритий ключ. Підписані метадані відповідно до специфікацій WebAuthn і FIDO2 надають інформацію про те, чи був присутній користувач тощо, і підтверджують автентифікацію за допомогою операції на пристрої. Завдяки цьому вхід із використанням Windows Hello та пристроїв FIDO2 повністю захищає від фішингу та зловмисних програм, які перехоплюють облікові дані.

Як працюють функція Windows Hello та пристрої FIDO2? Залежно від можливостей вашого пристрою Windows 10, на ньому може використовуватись або апаратний, або програмний довірений платформовий модуль (TPM), у якому зберігається закритий ключ. Цей ключ можна розблокувати тільки за допомогою вашого обличчя, відбитку пальця чи PIN-коду. Пристрій FIDO2 виконує ті самі функції, що й ключ безпеки. Це невеликий зовнішній пристрій із власним безпечним модулем для зберігання закритого ключа. Для розблокування останнього так само потрібні біометричні дані чи PIN-код. Обидва варіанти забезпечують двофакторну автентифікацію в один крок, оскільки для входу необхідний як зареєстрований пристрій, так і введення біометричних даних або PIN-коду.

Усі технічні деталі читайте в цій статті з нашого блоґу “Стандарти ідентичності”.

Що далі?

Ми прагнемо зменшити використання паролів, а в перспективі й узагалі їх позбутися. Тож у нас заплановано багато покращень у цьому напрямку. Наразі ми працюємо над аналогічною функцією входу через браузер за допомогою ключів безпеки для робочих і навчальних облікових записів в Azure Active Directory. Корпоративні клієнти зможуть випробувати її підготовчу версію вже на початку наступного року (для цього їхні адміністратори повинні будуть дозволити співробітникам налаштовувати для своїх облікових записів власні ключі безпеки та використовувати їх для входу в хмару та Windows 10).

І це ще не все! Зараз дедалі більше браузерів і платформ починають підтримувати стандарти WebAuthn і FIDO2, тож ми сподіваємося, що незабаром безпарольний вхід, який зараз доступний лише для Microsoft Edge і Windows, можна буде використовувати в усіх програмах.

Залишайтеся з нами та чекайте на новини на початку наступного року!

З найщирішими побажаннями,
Алекс Сімонс (@Twitter: @Alex_A_Simons),
корпоративний віце-президент із питань керування програмами,
відділення технологій ідентифікації, корпорація Майкрософт

The post Безпечний безпарольний вхід в облікові записи Microsoft за допомогою ключів безпеки та Windows Hello appeared first on Microsoft 365 Blog.

Щодня всі співробітники відділу технологій ідентифікації в корпорації Майкрософт сумлінно працюють над тим, щоб допомогти вам забезпечити продуктивну роботу працівників, партнерів і клієнтів, а також спростити безпечне керування доступом до ресурсів компанії.

Мені було приємно дізнатися, що компанія Gartner нещодавно оголосила корпорацію Майкрософт світовим лідером у галузі технологій керування доступом на думку клієнтів у 2018 році.

“Оцінку постачальників послуг у галузі технологій керування доступом проводять перевірені користувачі-спеціалісти. Роблячи висновок, ми брали до уваги кількість відгуків і загальні рейтинги” – зазначила компанія Gartner. Щоб забезпечити справедливе оцінювання, Gartner визначає заслуги постачальників із високими показниками задоволеності клієнтів за чіткими критеріями.

Така схвальна оцінка надихає нас. Це доказ того, що ми робимо позитивний внесок для клієнтів і що вони гідно оцінили наші інновації в Azure Active Directory (Azure AD), які ми запровадили цього року.

Щоб отримати таку оцінку, постачальник повинен зібрати не менше 50 відгуків і мати загальний рейтинг принаймні 4,2 зірочки.

Нижче наведено кілька відгуків наших клієнтів.

“Azure AD швидко стає єдиним рішенням, яке дає змогу впоратися з більшістю проблем з ідентичностями та доступом”.
Розробник рішень корпоративного захисту в транспортній галузі. Прочитайте повний відгук.

“Azure Active Directory незабаром стане службою, доступною широкому загалу”.
Технічний директор у галузі надання служб. Прочитайте повний відгук.

“Корпорація Майкрософт – це чудовий партнер, який допоміг нам застосувати рішення для керування ідентичностями, що відповідає потребам усіх наших агентств, а також надав стратегію, яка дає змогу в подальшому успішно використовувати систему єдиного входу та інтегрувати нові й уже наявні програми. Крім того, ми змогли визначити стандарт для програми автентифікації та надання доступу SaaS”.
Директор технологій у галузі державних установ. Прочитайте повний відгук.

Перегляньте інші відгуки про корпорацію Майкрософт.

На сьогоднішній день понад 90 000 організацій у 89 країнах світу використовують Azure AD Premium і ми керуємо понад 8 мільярдами автентифікацій щодня. Наша команда інженерів невпинно працює над тим, щоб забезпечити високу надійність і масштабованість рішень, а також високий рівень задоволеності клієнтів нашими службами. Тому така гарна оцінка від користувачів дуже мотивує нас. Ми зраділи, коли дізналися про те, скільки всього роблять клієнти за допомогою рішень для керування ідентичностями.

Від імені всіх розробників Azure AD хочу подякувати нашим клієнтам за визнання! Ми вдосконалюватимемо рішення та послуги, завдяки яким отримали таку високу оцінку!

Логотип лідера галузі на думку клієнтів – це торговельна марка та знак обслуговування компанії Gartner, Inc. і (або) її дочірніх компаній, який використовується тут із дозволу. Усі права захищено. Звання лідера галузі на думку клієнтів надається на основі суб’єктивних вражень окремих користувачів, які ґрунтуються на їхньому власному досвіді, кількості опублікованих відгуків на сайті Gartner Peer Insights і загальному рейтингу постачальника на ринку. Така оцінка не відображає точку зору компанії Gartner і її дочірніх компаній.

З повагою,

Алекс Сімонс (@Twitter: @Alex_A_Simons)
Корпоративний віце-президент із питань керування програмами
Відділ технологій ідентифікації, корпорація Майкрософт

The post Компанія Gartner оголосила корпорацію Майкрософт світовим лідером у галузі технологій керування доступом на думку клієнтів у 2018 році appeared first on Microsoft 365 Blog.

У нас гарні новини! Завдяки нашому комплексному підходу й активній діяльності у сфері керування доступом компанія Gartner уже другий рік поспіль вносить корпорацію Майкрософт у квадрант світових лідерів галузі. Перегляньте повний звіт, щоб дізнатися про висновки компанії Gartner.

На думку спеціалістів Gartner, лідери займаються активною діяльністю в галузі та готуються до очікуваних вимог стосовно технологій, методології й способів реалізації. Лідери також показують, наскільки керування доступом важливе в порівнянні з пов’язаними або спорідненими пропозиціями.

Найкраща позиція у квадранті лідерів у категорії комплексного підходу

Уже другий рік поспількорпорація Майкрософт займає найкращу позицію у квадранті лідерів у категорії комплексного підходу. Ми вважаємо, що покращення показників у категорії діяльності також ілюструє, наскільки важливо розробити стратегію, яка допоможе організаціям на поточному етапі розвитку та підготує їх до потреб захисту ідентичностей у майбутньому.

Корпорація Майкрософт вважає, що політики умовного доступу та захист ідентичностей від загроз – критично важливі компоненти рішення для керування ідентичностями й доступом світового рівня. Створюючи багату екосистему з Windows 10, Office 365 та EMS, ми докладали багато зусиль, щоб інтегрувати політики безпеки в продукти й надати вам інструменти для повного контролю над взаємодією з користувачем. Цього року ми також узяли до уваги аналітичні дані та відгуки клієнтів, щоб удосконалити інтерфейс і спростити керування всіма ідентичностями з єдиного розташування. Ми прагнемо надавати інноваційні та комплексні рішення для керування ідентичностями й доступом працівників, партнерів і клієнтів.

Ми б не змогли залишатися на такому високому рівні без внеску та підтримки наших клієнтів і партнерів. Щиро дякуємо вам!

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons)

Начальник відділу керування програмами

Відділ технологій ідентифікації, корпорація Майкрософт

Важлива інформація

Цю схему опублікувала компанія Gartner, Inc. у звіті дослідження. Її потрібно розглядати в контексті всього документа. Звіт компанії Gartner можна отримати на запит у корпорації Майкрософт.

У своїх матеріалах досліджень компанія Gartner не рекламує жодних постачальників, продукти чи служби, а також не рекомендує надавати перевагу технологіям постачальників із найвищими оцінками чи за іншими показниками. У матеріалах досліджень відображені думки спеціалістів аналітичної компанії Gartner, що не повинні розцінюватися як констатація факту. Gartner відмовляється від будь-яких гарантій, виражених або неявних, щодо цього дослідження, включно з гарантіями комерційної придатності або придатності для певної мети.

The post Підхід і діяльність: компанія Gartner знову оголошує корпорацію Майкрософт лідером у галузі технологій керування доступом appeared first on Microsoft 365 Blog.

Від самого початку захисту паролями існували й зловмисники, які намагалися їх розкрити. У цьому дописі ми поговоримо про один дуже поширений метод зламу паролів, який останнім часом набув іще більшої популярності, і про те, як від нього захиститися. Цей метод називається розпорошувальною атакою через типові паролі.

Він полягає в тому, що зловмисники намагаються ввійти за допомогою найпоширеніших паролів у багато різних облікових записів і служб, щоб отримати доступ до ресурсів у них. Зазвичай під одну атаку потрапляє відразу кілька організацій і постачальників ідентифікаційних даних. Наприклад, деякі зловмисники використовують Mailsniper або інший загальнодоступний набір інструментів, щоб згенерувати список усіх користувачів у кількох організаціях, а потім пробують увійти в облікові записи всіх цих користувачів за допомогою паролів “P@$$w0rd” і “Password1”. Ось приблизна схема такої атаки:

Подібні атаки дуже важко виявити, тому що вони виглядають просто як невдала спроба входу.

Для зловмисників це своєрідна лотерея. За статистикою, деякі паролі дуже поширені. Хоча вони стоять лише в 0,5–1,0% користувачів, для зловмисника це означає, що на кожну тисячу-дві атакованих облікових записів припадатиме кілька зламаних, тобто він досягне своєї мети.

Навіть із цих кількох облікових записів можна отримати дуже багато інформації (електронні листи, контактні дані тощо), яку зловмисник використає, щоб розширити цільову групу атаки або розіслати фішингові посилання. І байдуже, хто стане жертвою: його хвилює лише результат.

На щастя, у службах Майкрософт уже використовується багато інструментів, здатних протидіяти подібним атакам, а наші спеціалісти активно працюють над новими технологіями боротьби з ними. Далі я розкажу, як вам захиститися від розпорошувальних атак і які додаткові можливості ми запропонуємо вже найближчими місяцями.

Проста методика захисту від розпорошувальних атак

1. Автентифікація через хмарні служби

Щодня наші хмарні служби реєструють мільярди входів у системи Майкрософт. Ми використовуємо спеціальні алгоритми безпеки, які виявляють і зупиняють атаки в реальному часі. Ці алгоритми активуються лише під час автентифікації через хмарні служби за допомогою Azure Active Directory (наприклад, наскрізної автентифікації).

Смарт-блокування

Технологія смарт-блокування аналізує кожну спробу входу через хмарні служби та визначає, чи не підозріла вона. Якщо так, ми її блокуємо. А якщо це звичайний користувач, він без проблем потрапить у свій обліковий запис. Така технологія запобігає відмовам в обслуговуванні користувачів і водночас зупиняє нав’язливі розпорошувальні атаки. Вона захищає всі входи через Azure Active Directory (незалежно від рівня ліцензії), а також в облікові записи Microsoft.

Клієнти, що використовують служби об’єднання Active Directory (AD FS), отримають доступ до технології смарт-блокування в AD FS у Windows Server 2016 із березня 2018 року. Стежте за виходом оновлень на Windows Update.

Блокування IP-адрес

Ця технологія щодня аналізує мільярди спроб входу в системи Майкрософт і оцінює якість трафіку з кожної IP-адреси. Якщо цей трафік виглядає підозріло, спроби входу з такої адреси блокуються в реальному часі.

Симулятор атак

Нещодавно вийшла підготовча загальнодоступна версія Симулятора атак – функції в рамках набору інструментів “Аналіз загроз Office 365”. Використовуючи її, клієнти мають змогу симулювати атаки для власних користувачів, щоб побачити, як ті діятимуть у разі нападу справжніх хакерів. Орієнтуючись на результати таких перевірок, можна вносити поправки в політики безпеки й визначати, які інструменти слід запровадити в організації, щоб захистити її від розпорошувальних та інших атак.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Якщо ви користуєтесь автентифікацією через хмарні служби, то можете спати спокійно.
2. Якщо ви користуєтеся службами об’єднання Active Directory (AD FS) або іншим гібридним рішенням, інсталюйте оновлення AD FS із функцією смарт-блокування (дата виходу: березень 2018 року).
3. Використовуйте Симулятор атак, щоб оцінити, наскільки надійно захищено вашу організацію, і вжити належних заходів.

2. Багатофакторна автентифікація

Пароль – це наче ключ до облікового запису. Якщо вашу компанію спіткає розпорошувальна атака, то деякі “ключі” можуть опинитися в руках зловмисника. Тому простого захисту за допомогою пароля недостатньо: потрібен якийсь спосіб, що допоможе відрізнити звичайних користувачів від хакерів. Пропонуємо вашій увазі три таких способи.

Багатофакторна автентифікація на основі оцінювання ризиків

Служба “Захист ідентичностей в Azure Active Directory” аналізує кожну спробу входу й оцінює пов’язані з нею ризики. Для цього використовуються всі ті дані, про які ми вже говорили, а також передові засоби машинного навчання й алгоритми виявлення аномалій. У цій службі можна створювати корпоративні політики, які вимагають додатково підтвердити ідентичність другим фактором автентифікації, тільки якщо рівень ризику для користувача або сеансу достатньо високий. Так співробітникам не доведеться витрачати на вхід зайвий час, а ваші системи все одно будуть надійно захищені від зловмисників. Дізнайтеся більше про Захист ідентичностей в Azure Active Directory.

Обов’язкова багатофакторна автентифікація

Щоб іще краще вбезпечити свої системи, за допомогою Azure Multi-Factor Authentication можна зробити багатофакторну автентифікацію обов’язковою для всіх користувачів, які входять в облікові записи через хмарні служби й AD FS. Для цього користувачам доведеться витрачати зайвий час на підтвердження входу й завжди носити із собою телефони або планшети, але так вашу компанію буде захищено якнайнадійніше. А для адміністраторів такий спосіб автентифікації має бути обов’язковий. Дізнайтеся більше про службу Azure Multi-Factor Authentication і її налаштування для AD FS.

Azure Multi-Factor Authentication як основний засіб автентифікації

В AD FS 2016 можна зробити Azure Multi-Factor Authentication основним засобом безпарольної автентифікації. Це дуже надійний спосіб захисту – адже якщо в користувачів немає паролів, зловмисник не зможе скористатися ними проти вас. Azure Multi-Factor Authentication працює на будь-яких пристроях, а за бажанням пароль можна використовувати як другий фактор автентифікації (тільки після того, як Azure Multi-Factor Authentication перевірить одноразовий пароль). Дізнайтеся більше про пароль як другий фактор автентифікації.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Настійно рекомендуємо ввімкнути обов’язкову багатофакторну автентифікацію для всіх адміністраторів в організації, особливо для власників передплати та адміністраторів-власників. Зробіть це просто зараз – цей крок і справді дуже важливий.
2. Для решти користувачів краще ввімкнути зручніший спосіб – багатофакторну автентифікацію на основі оцінювання ризиків. Ця функція доступна компаніям із ліцензіями Azure Active Directory Premium P2.
3. Ви також можете використовувати Azure Multi-Factor Authentication для автентифікації через хмарні служби та AD FS.
4. Якщо ви користуєтесь AD FS, перейдіть до нової версії на платформі Windows Server 2016 і зробіть Azure Multi-Factor Authentication основним засобом автентифікації, особливо для зовнішніх користувачів із мережі екстранет.

3. Надійні паролі у всіх користувачів

Навіть якщо ви запровадите всі рекомендовані вище засоби безпеки, для надійного захисту від розпорошувальних атак кожен користувач повинен мати надійний пароль. Але багато людей не знають, як створювати такі паролі. Саме тому корпорація Майкрософт розробила спеціальні інструменти.

Заборонені паролі

В Azure Active Directory кожен новий пароль проходить перевірку. Якщо він хоча б частково збігається з будь-яким пунктом із списку заборонених паролів, користувач повинен вибрати надійніший пароль. Цей список регулярно оновлюється та включає найпоширеніші паролі, які в першу чергу атакує зловмисник. Інструмент перевірки розпізнає збіг, навіть якщо користувач замінить певні букви цифрами чи спеціальними символами (наприклад, він не дасть використати ні “password”, ні “p@ssw0rd”).

Спеціальні заборонені паролі

Щоб зробити функцію заборони паролів ефективнішою, ми дозволили клієнтам налаштовувати власні чорні списки слів, на основі яких співробітники їхніх компаній часто створюють паролі. Це можуть бути імена відомих колег, засновників, локальних знаменитостей, назви продуктів і місць тощо. Усі нові паролі користувачів перевірятимуться на відповідність і спеціальному списку, і глобальному, тобто вам не доведеться між ними вибирати. Поки що ми пропонуємо тільки підготовчу версію цієї функції з обмеженим доступом. Офіційний випуск заплановано вже на цей рік.

Локальна заборона паролів

Цієї весни ми випустимо інструмент, за допомогою якого корпоративні адміністратори зможуть забороняти паролі в гібридних середовищах Azure Active Directory. Списки таких паролів зберігатимуться в хмарі, синхронізуватимуться з локальними серверами та застосовуватимуться на кожному контролері домену з агентом Azure Active Directory. Так усі нові паролі будуть надійними, навіть якщо користувачі змінюватимуть їх не в хмарі, а в локальному середовищі. У лютому 2018 року функція почала діяти в режимі приватної підготовчої версії з обмеженим доступом. Її офіційний випуск відбудеться вже до кінця цього року.

Новий погляд на безпеку паролів

Що робить пароль надійним? На цю тему існує багато міфів, які насправді лише шкодять вашій безпеці. Часто речі, які в теорії мали б підвищувати надійність паролів, на практиці роблять їх передбачуваними. Наприклад, якщо корпоративна політика вимагає використовувати певні типи символів і регулярно змінювати паролі на нові, то в результаті в багатьох співробітників вони будуть дуже схожі на старі. Дізнайтеся більше про те, як правильно керувати паролями. Якщо ви застосовуєте Active Directory з PTA або AD FS, відредагуйте свої політики паролів. А якщо в компанії використовуються хмарні керовані облікові записи, рекомендуємо встановити для паролів необмежений термін дії.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Коли інструмент заборони паролів від корпорації Майкрософт стане загальнодоступним, інсталюйте його у своєму локальному середовищі, щоб надалі ваші користувачі створювали надійні паролі.
2. Перегляньте свої політики паролів і подумайте, чи не варто встановити для них необмежений термін дії, щоб ваші користувачі не вибирали нові паролі, які відрізняються від старих одним-двома символами.

4. Інші корисні можливості AD FS і Active Directory

Якщо у вашій компанії використовується гібридна автентифікація засобами AD FS і Active Directory, можна вжити додаткових заходів, щоб захистити паролі.

Найперше, що повинні зробити організації, які використовують AD FS 2.0 або Windows Server 2012, – це якомога швидше перейти до AD FS на платформі Windows Server 2016. Остання версія цих служб оновлюється швидше та має більше можливостей (наприклад, блокування мережі екстранет). Нагадую, що перейти з Windows Server 2012 R2 до Windows Server 2016 дуже легко.

Блокування застарілих протоколів автентифікації з мережі екстранет

Щоб застосовувати обов’язкову багатофакторну автентифікацію, найкраще заблокувати застарілі протоколи для мережі екстранет, оскільки вони не підтримують таку можливість. Так зловмисники не скористаються цією вразливістю під час розпорошувальної атаки.

Блокування входу через мережу екстранет для проксі веб-програм в AD FS

Якщо ви ще не заблокували для проксі веб-програм в AD FS вхід через мережу екстранет, зробіть це якомога швидше, щоб захистити своїх користувачів від атак прямим добором паролів.

Azure Active Directory Connect Health для AD FS

Azure Active Directory Connect Health повідомляє, якщо хтось намагається отримати доступ із ризикованої IP-адреси, багато спроб увійти з якої, за даними журналів AD FS, виявилися невдалими через неправильний пароль або ім’я користувача. Крім того, це розширення збирає додаткові звітні дані про різні типи сценаріїв і надає аналітичні висновки, які допомагають інженерам розглядати заявки на підтримку.

Інсталюйте останню версію агента Azure Active Directory Connect Health для AD FS (2.6.491.0) на всі сервери AD FS. Сервери мають працювати на платформі Windows Server 2016 або Windows Server 2012 R2 з оновленням KB 3134222.

Методи безпарольного доступу

Якщо у вашій компанії не застосовуватимуться паролі, зловмисники не зможуть використати їх проти вас. Для AD FS і проксі веб-програм доступні такі методи безпарольної автентифікації:

1. Автентифікація на основі сертифікатів дає змогу повністю блокувати кінцеві точки імен користувачів і паролів у брандмауері. Дізнайтеся більше про автентифікацію на основі сертифікатів в AD FS.
2. Як уже говорилося, Azure Multi-Factor Authentication можна використовувати як другий фактор автентифікації через хмарні служби та AD FS на платформі Windows Server 2016 або Windows Server 2012 R2. Але в AD FS 2016 цю функцію також можна застосовувати як перший фактор, тоді розпорошувальні атаки просто не діятимуть. Дізнайтеся більше про те, як налаштувати Azure Multi-Factor Authentication в AD FS.
3. “Windows Hello для бізнесу” дає змогу повністю відмовитися від паролів завдяки надійним криптографічним ключам, прив’язаним і до користувача, і до пристрою. Ця функція доступна у Windows 10, і її підтримує AD FS на платформі Windows Server 2016. Крім того, “Windows Hello для бізнесу” можуть застосовувати навіть користувачі з мережі екстранет. Функція доступна для пристроїв під керуванням компанії, приєднаних до служби Azure Active Directory або її гібридного розгортання. Вона також підтримується для особистих пристроїв, приєднаних через програму “Настройки” (параметр “Додати обліковий запис компанії або навчального закладу”). Дізнайтеся більше про “Windows Hello для бізнесу”.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Перейдіть до AD FS 2016, щоб швидше отримувати оновлення.
2. Заблокуйте застарілі протоколи автентифікації з мережі екстранет.
3. Розгорніть агенти Azure Active Directory Connect Health для AD FS на всіх серверах AD FS.
4. Подумайте, чи не варто зробити основним способом автентифікації безпарольний метод (Azure Multi-Factor Authentication, автентифікацію на основі сертифікатів, Windows Hello для бізнесу).

Бонус: як захистити облікові записи Microsoft

Якщо ви користуєтесь обліковим записом Microsoft, у мене для вас чудові новини!

• Ви вже під надійним захистом. В облікових записах Microsoft наявні такі функції, як смарт-блокування, блокування IP-адрес, двоетапна перевірка на основі оцінювання ризиків, заборона паролів тощо.
• Але вам усе ж варто приділити кілька хвилин тому, щоб перевірити захисну інформацію, яка використовується для двоетапної перевірки на основі оцінювання ризиків. Для цього відкрийте параметри безпеки свого облікового запису Microsoft і виберіть “Оновити відомості про безпеку”.
• Для максимального захисту можна ввімкнути обов’язкову двоетапну перевірку.

Найнадійніший захист від зламу – просто дослухатися до наших порад

Розпорошувальні атаки через типові паролі несуть у собі серйозну загрозу для всіх веб-служб, для входу в які потрібен пароль. Але якщо ви скористаєтеся рекомендаціями з цього допису, то надійно захистите себе від таких атак – та й від багатьох подібних методів зламу. Ваша безпека для нас дуже важлива, і ми постійно працюємо над новими, ще надійнішими засобами захисту від розпорошувальних та інших атак. Тож ми будемо раді, якщо ви скористаєтеся переліченими вище інструментами та стежитимете за анонсами про вихід новинок, які ми створюємо для захисту від хакерів.

Сподіваюся, цей допис стане вам у пригоді. Будемо раді вашим відгукам і пропозиціям!

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

The post Практичні поради з використання Azure Active Directory та служб об’єднання Active Directory: захист від розпорошувальних атак через типові паролі appeared first on Microsoft 365 Blog.

Сподіваюся, цей допис буде таким само цікавим для вас, як і для мене, адже сьогодні ми поговоримо про майбутнє цифрових ідентичностей.

Протягом останнього року ми активно працювали над розробкою нових ідей із використання ланцюжків блоків транзакцій та інших технологій, у яких застосовуються розподілені реєстри. Ми сподівалися створити цілковито нові, безпечніші типи цифрових ідентичностей, які б гарантували легке керування та конфіденційність персональних даних. Під час роботи ми зробили багато цікавих відкриттів і налагодили співробітництво з новими партнерами. Тому сьогодні ми радо ділимося з вами нашими ідеями та планами. Допис входить до серії публікацій, це логічне продовження матеріалу Пеггі Джонсон про те, що корпорація Майкрософт приєдналася до ініціативи ID2020. Якщо ви його ще не читали, рекомендую спершу з ним ознайомитися.

Автор цього допису – Анкур Патель, спеціаліст із мого відділу та менеджер проектів, присвячених нашим новим розробкам. Він люб’язно погодився розповісти читачам цього блоґу про децентралізовані цифрові ідентичності, зокрема про наші ключові висновки та принципи, згідно з якими ми плануємо інвестувати в подальші розробки.

Як завжди, ми будемо дуже раді вашим відгукам і пропозиціям.

З найщирішими побажаннями,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

————

Вітаю! Я Анкур Патель із відділення технологій ідентифікації в корпорації Майкрософт. Для мене велика честь поділитися з вами деякими з наших знахідок і планів щодо нових розробок, присвячених створенню децентралізованих ідентичностей на основі ланцюжків блоків транзакцій (розподілених реєстрів).

Навіщо ми над цим працюємо

Для всіх нас очевидно, що у світі відбувається глобальна цифрова трансформація. Віртуальна та фізична реальності навколо нас дедалі більше зливаються в одне ціле. І цей новий світ вимагає нової, безпечнішої та приватнішої моделі цифрових ідентичностей.

Системи хмарної ідентифікації від корпорації Майкрософт уже дають тисячам організацій і розробників та мільярдам звичайних людей можливість працювати ефективніше, відпочивати краще й досягати нових висот. Але ми можемо запропонувати людям набагато більше. Ми прагнемо створити світ, у якому мільярди всіх тих, які нині живуть без надійних документів, зможуть нарешті здійснити свої прості людські мрії: жити краще, вивчити дітей, започаткувати свою справу.

Ми переконані: для цього кожна людина має сама повністю розпоряджатися своєю цифровою ідентичністю. Зараз дані наших ідентичностей розкидано по численним стороннім програмам і службам, яким ми дозволяємо збирати інформацію про себе. Так не має бути. Потрібно створити безпечний електронний центр, де в зашифрованому вигляді зберігатимуться всі компоненти цифрових ідентичностей, щоб власники легко могли контролювати доступ до них.

Кожному з нас потрібна власна цифрова ідентичність, де безпечно й конфіденційно зберігатимуться відомості про нас.  Вона повинна давати нам повний контроль над доступом до неї й використанням її даних, а також бути зручною.

Ми знаємо, що дати людям у руки таку владу над даними про себе – це щось більше, ніж прерогатива однієї компанії або організації. Тож ми плануємо тісно співпрацювати з нашими клієнтами, партнерами та членами спільноти розробників. Ми дуже раді, що разом із нами над новим поколінням цифрових ідентичностей працює стільки талановитих людей із нашої галузі.

Які висновки ми зробили

Зараз я хочу розповісти вам, яких висновків ми дійшли під час роботи над створенням децентралізованих цифрових ідентичностей – проектом, покликаним розширити можливості людства, створити в суспільстві культуру довіри, запобігти зловживанням персональною інформацією, подарувати кожній людині повний контроль над нею та зробити ідентифікацію зручнішою.

1. Кожна людина повинна мати контроль над своєю цифровою ідентичністю. Зараз у світі існують мільйони служб і програм, які збирають, зберігають і використовують наші дані. І ми ніяк не можемо на це вплинути, крім того першого моменту, коли ми надаємо програмі дозвіл обробляти наші дані. У світі, де порушення інформаційної безпеки та викрадення ідентифікаційних даних стають дедалі частішими та підступнішими, така ситуація неприйнятна. Потрібно, щоб користувачі могли самі керувати своїми ідентичностями. Тож ми розглянули різні нові стандарти, децентралізовані системи зберігання даних, протоколи консенсусу й ланцюжки блоків транзакцій і дійшли висновку, що остання технологія та її протоколи стануть найкращою базою для децентралізованих ідентичностей.
2. Ідентичності мають насамперед бути конфіденційними.
   Зараз багатьом програмам, службам і організаціям потрібно контролювати дані наших ідентичностей, щоб надавати нам зручні, прогнозовані та персоналізовані послуги. Необхідна альтернатива – безпечні цифрові центри, де в зашифрованому вигляді зберігатимуться дані користувачів (центри ідентичностей). Така альтернатива забезпечить службам і програмам взаємодію з цими даними й водночас запропонує користувачам контроль над персональними даними та їх конфіденційність.
3. Довіра – це особистий здобуток кожної людини та культура, що плекається в суспільстві.
   Традиційні системи ідентифікації спрямовано переважно на автентифікацію та керування доступом. Але система самостійного керування ідентичностями вимагатиме й орієнтації на інші пріоритети – щирість і довіру. У децентралізованих системах довіра базується на засвідченнях, тобто заявах про ідентичність користувача, які підтверджують інші сутності.
4. Найголовнішим пріоритетом під час створення програм і служб має бути зручність і безпека користувача.
   Багато найпопулярніших сучасних програм і служб досягли успіху завдяки високому рівню персоналізації, для якої вони використовують особисті дані користувачів. Але децентралізовані ідентичності та центри керування ними можуть забезпечити розробникам доступ до точніших засвідчень і водночас знизити ризики порушення законів або нормативних вимог – адже служби й програми лише оброблятимуть особисті дані, а не контролюватимуть їх замість користувача.
5. Для керування ідентичностями потрібно використовувати відкриту платформу, сумісну з усіма популярними технологіями.
   Щоб нова екосистема децентралізованих ідентичностей була стабільною, надійною та доступною для всіх людей світу, вона має працювати на базі відкритих стандартних технологій, протоколів і еталонних реалізацій. Минулого року ми разом з іншими учасниками Фонду децентралізованих ідентичностей (Decentralized Identity Foundation, DIF) провели велику роботу зі створення наступних ключових компонентів.
   

• Decentralized Identifiers (DIDs) – специфікація консорціуму W3C, яка визначає стандартний формат документів з описом стану децентралізованих ідентифікаторів.
  
• Identity Hubs – сховище зашифрованих даних ідентичностей, яке включає функції ретрансляції повідомлень і намірів, обробки засвідчень, а також кінцеві точки обчислень (свої для кожної ідентичності).
  
• Universal Resolver – сервер, який зіставляє децентралізовані ідентичності в ланцюжках блоків транзакцій.
  
• Verifiable Credentials Data Model – специфікація консорціуму W3C, яка визначає стандартний формат кодування засвідчень на основі децентралізованих ідентичностей.
  

6. Нова технологія має бути придатною для роботи у світовому масштабі.
   Базова технологія, на основі якої працюватимуть децентралізовані ідентичності, має забезпечувати масштабування й ефективність на рівні звичних нам систем, оскільки з нею матимуть справу безліч користувачів, організацій і пристроїв. Деякі загальнодоступні ланцюжки блоків транзакцій: Bitcoin (BTC), Ethereum, Litecoin тощо – можуть стати надійною платформою для зберігання децентралізованих ідентичностей, записування операцій в інфраструктурі розподілених відкритих ключів і прив’язки засвідчень. Деякі спільноти, зосереджені навколо використання ланцюжків блоків транзакцій, підвищують виробничу спроможність ланцюжків з обробки транзакцій (наприклад, збільшують розмір блоків), однак загалом цей підхід знижує децентралізацію мережі та не дає досягти потенційної швидкості в мільйони транзакцій на секунду у світовому масштабі. Щоб подолати цей технічний бар’єр, ми разом із нашими партнерами працюємо над децентралізованими протоколами другого рівня, які виконуватимуться над цими загальнодоступними ланцюжками блоків транзакцій. Так ми плануємо забезпечити можливість використання нового типу ідентичностей у всьому світі й водночас зберегти їх ефективність і децентралізованість.
   
7. Децентралізовані ідентичності мають бути доступні для всіх.
   Зараз ланцюжками блоків транзакцій користуються переважно спеціалісти-ентузіасти, які готові витрачати зайвий час і сили на керування ключами та захист пристроїв. Звичайні люди на таке не погодяться, тому ми маємо зробити основні завдання з керування ідентичностями (відновлення, ротацію, захищений доступ тощо) простими, зрозумілими та безпечними.
   

Чого чекати в майбутньому

У теорії нові системи й масштабні ідеї часто виглядають дуже струнко, переконливо та заманливо. Але коли розробники й інженери беруться до реалізації проекту, на них завжди чекає багато відкриттів і несподіваних поворотів.

Зараз нашою програмою для ідентифікації Microsoft Authenticator щодня користуються мільйони людей. Надалі ми плануємо запровадити в ній підтримку децентралізованих ідентичностей і протестувати роботу нової функції. Зі згоди користувача Microsoft Authenticator зможе виступати його агентом із керування даними ідентичності та криптографічними ключами. Водночас в ланцюжку міститиметься тільки ідентифікатор: дані ідентичності, зашифровані за допомогою цих ключів, зберігатимуться в окремому центрі, недоступному для корпорації Майкрософт.

Коли ми додамо цю можливість, програми та служби зможуть взаємодіяти з даними користувачів за допомогою спільного каналу обміну повідомленнями, попередньо запитуючи дозвіл на конкретні дії з інформацією. Спочатку ми підтримуватимемо тільки невелику групу вибраних реалізацій децентралізованих ідентичностей у ланцюжках блоків транзакцій. Найімовірніше, надалі їх кількість зростатиме.

Що далі

Ми усвідомлюємо, що взялися за дуже велику й важливу справу. І хоча кожен із нас палає ентузіазмом, самі ми з нею не впораємося. Тож ми покладаємося на підтримку та внески наших партнерів за альянсом, учасників Фонду децентралізованих ідентичностей, а також усіх причетних до роботи корпорації Майкрософт: проектувальників, укладальників політик, бізнес-партнерів, розробників апаратного та програмного забезпечення. А найголовніше – ми покладаємося на вас, наших клієнтів, і ваші відгуки та пропозиції щодо перших версій наших розробок.

Це був перший допис про роботу над децентралізованими ідентичностями. У подальших матеріалах читайте про обґрунтування наших концепцій і технічні відомості про перелічені вище ключові моменти.

Сподіваємося, що ви приєднаєтеся до нас у цьому починанні!

Ключові ресурси:

• @AzureAD – профіль із нашими новинами у Twitter
  
• Сайт Фонду децентралізованих ідентичностей (DIF)
  
• Група на сайті консорціуму W3C, присвячена обліковим даним
  

З повагою,

Анкур Патель (@_AnkurPatel),

головний адміністратор проекту,

відділення технологій ідентифікації, корпорація Майкрософт

The post Децентралізовані цифрові ідентичності та ланцюжки блоків транзакцій: майбутнє, яким ми його бачимо appeared first on Microsoft 365 Blog.

Політики умовного доступу в Azure Active Directory відразу набули широкої популярності. Щомісяця їх уже використовують більше 10 тисяч організацій у всьому світі з понад 10 мільйонами активних користувачів, щоб забезпечувати захищений доступ до програм і запобігати порушенням. Ми дуже раді, що наші клієнти так швидко оцінили нову функцію!

Ми вже отримали численні відгуки про політики умовного доступу. Зокрема, багато клієнтів відзначають, що з таким рівнем контролю їм також потрібен спосіб перевірити, як ці політики впливають на дії користувачів за різних умов входу.

Ваше побажання – закон, і сьогодні я радо представляю вам загальнодоступну підготовчу версію інструмента “Якщо”. Він допомагає з’ясувати, як за заданих умов ваші політики впливатимуть на вхід користувачів, не чекаючи, поки вони самі спробують увійти та відзвітують вам про результати.

Початок роботи

Готові до експериментів? Ось що вам треба зробити.

• Відкрийте параметри умовного доступу в Azure Active Directory.
• Виберіть “Якщо”.

• Виберіть користувача, якого вирішили протестувати.

• Необов’язково: за потреби вкажіть програму, IP-адресу, апаратну платформу, клієнтську програму та ризики входу.
• Натисніть “Якщо” та подивіться, які політики впливатимуть на вхід користувача за вказаних умов.

Часом потрібно з’ясувати не те, які саме політики діятимуть у певному випадку, а причину, чому потрібна політика ніяк не спрацьовує. І в цьому вам теж допоможе наш інструмент. Просто відкрийте вкладку “Політики, які не застосовуватимуться”: на ній ви побачите назви всіх таких політик, а головне – причини, з яких вони не діють. Зручно, чи не так?

Дізнайтеся більше про інструмент “Якщо”.

Поділіться своєю думкою

Інструмент “Якщо” – це лише перша ластівка: ми вже працюємо над новими зручними функціями для керування умовним доступом. І, як завжди, ми будемо раді вашим відгукам щодо нового інструмента й умовного доступу загалом. Нам також буде приємно, якщо ви пройдете коротке опитування про цей інструмент.

Чекаємо на ваші пропозиції!

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

The post Загальнодоступна підготовча версія інструмента “Якщо” для політик умовного доступу в Azure Active Directory appeared first on Microsoft 365 Blog.

Якщо ви стежите за нашими дописами, то вже знаєте, що локальний каталог або IAM-рішення можна підключити до Azure Active Directory багатьма різними способами – жоден інший постачальник не пропонує таких широких можливостей, як ми.

Тож не дивно, що дуже часто клієнти питають мене, який варіант я б їм порекомендував. І я завжди трохи вагаюся, перш ніж відповісти. За понад шість років роботи в галузі ідентифікації я зрозумів, що кожна організація має свою специфіку – власні цілі та вимоги щодо швидкості розгортання, надійності захисту, обсягу інвестицій, мережевої архітектури, корпоративної культури, відповідності вимогам і робочого середовища. Це одна з причин, чому ми потурбувалися про різні варіанти підключення: щоб кожна компанія знайшла той, який їй підходить. Звісно, це не означає, що в мене немає особистої думки з цього приводу. Якби я вибирав для власної компанії, то неодмінно зупинився б на нових функціях наскрізної автентифікації та синхронізації Azure Active Directory Connect.  Їх обидві швидко розгортати й дешево підтримувати. Але це лише моя власна думка.

Тож нащо питати поради в мене й інших спеціалістів, якщо можна подивитися, що використовують наші клієнти? Отже, почнімо.

Популярність Azure Active Directory

Я наведу деякі статистичні дані, і, щоб зрозуміти їх, нам знадобиться контекст. Тому спершу погляньмо, скільки саме людей зараз користуються службою Azure Active Directory. Загалом ми бачимо, що популярність наших базових хмарних служб ідентифікації стрімко зростає вже деякий час. Також набирає темпи користувацька база Azure Active Directory Premium.

А найбільше мене радує, наскільки збільшилася кількість клієнтів, які використовують Azure Active Directory в сторонніх програмах. Щомісяця наші засоби ідентифікації застосовуються у понад 300 тисячах таких програм. Таким чином, величезна кількість організацій вибирають для хмарної ідентифікації саме Azure Active Directory.

Синхронізація користувачів з Azure Active Directory

Більшість наших клієнтів – це невеликі організації, що не синхронізують Azure Active Directory й локальну версію Active Directory. А от середні й великі підприємства майже завжди використовують синхронізацію. Загальна частка клієнтів, які її застосовують, становить понад половину від усіх облікових записів Azure Active Directory, а їх уже 950 мільйонів.

Пропонуємо до вашої уваги актуальну статистику синхронізації користувачів з Azure Active Directory.

• Понад 180 тисяч клієнтів синхронізують локальну службу Active Directory (у Windows Server) і хмарну Azure Active Directory.
• Понад 170 тисяч клієнтів використовують для цього Azure Active Directory Connect.
• Невелика кількість наших клієнтів застосовують інші рішення:
  • 7% – наші застарілі інструменти (DirSync або синхронізація Azure Active Directory);
  • 1,9% – Microsoft Identity Manager або Forefront Identity Manager;
  • менше 1% – власне або стороннє рішення.

Автентифікація за допомогою Azure Active Directory

Мій останній допис на тему автентифікації включав статистику на основі кількості операцій. Однак деякі читачі вказали, що з таких даних важко зробити значущі висновки без належного контексту та що показники кількості активних користувачів для них набагато цінніші. Тож у цій статті пропоную до вашої уваги статистику на основі кількості активних користувачів за місяць.

Станом на 31 жовтня 2017 року службу Azure Active Directory щомісяця застосовувало трохи більше ніж 152 мільйонів активних користувачів. З них:

• 55% проходили автентифікацію за допомогою продуктів або служб об’єднання;
• 24% проходили автентифікацію за допомогою синхронізації гешування паролів;
• 21% користувалися лише хмарними функціями;
• понад півмільйона перейшли на наскрізну автентифікацію Azure Active Directory, яка стала загальнодоступною лише місяць тому, і щомісяця цей показник зростає на 50%!

А якщо копнути глибше, то побачимо ще цікавішу статистику:

• 46% усіх активних користувачів проходили автентифікацію за допомогою служб об’єднання Active Directory (AD FS);
• трохи більше ніж 2% усіх активних користувачів проходили автентифікацію за допомогою PingFederate – найпоширенішої сторонньої служби з найвищими темпами зростання популярності;
• 2% усіх активних користувачів проходили автентифікацію за допомогою сторонньої IDaaS-служби (Centrify, Okta, OneAuth тощо);
• 1% усіх активних користувачів проходили автентифікацію за допомогою стороннього сервера федерації (крім PingFederate).

Основні висновки

Отже, ми розглянули досить цікаві дані, що демонструють кілька тенденцій:

1. Інструмент Azure Active Directory Connect уже став стандартним способом синхронізації Active Directory у Windows Server й Azure Active Directory: його використовують більше ніж 90% клієнтів, які синхронізують свої дані.
2. Функція синхронізації гешування паролів Azure Active Directory набула в наших клієнтів значної популярності: щомісячно її використовують десятки мільйонів активних користувачів.
3. На Azure Active Directory переходить дедалі більше великих підприємств, і у зв’язку з цим зростає популярність служби PingFederate. Думаю, уже можна сказати, що ми та наші партнери з Ping попрацювали недарма.
4. Незважаючи на активну рекламу й обговорення в пресі, інші постачальники послуг IDaaS становлять дуже маленьку частку на ринку рішень для Azure Active Directory й Office 365.
5. Хоча наша нова функція наскрізної автентифікації стала загальнодоступною лише місяць тому, на неї вже перейшло понад півмільйона активних користувачів. Це дуже добрий початок – якщо вона й далі триматиме такі темпи, то за півроку-рік у цієї функції буде більше унікальних користувачів, ніж у всіх інших постачальників послуг IDaaS разом узятих.

Прикінцеве слово

Як і в моєму попередньому дописі на цю тему, цифри говорять самі за себе. Служба Azure Active Directory відкрита й працює на основі стандартів, щоб наші клієнти могли вибирати з безлічі сторонніх сервісів. Однак більшість клієнтів вважають, що наших готових рішень для ідентифікації цілком достатньо, щоб задовольнити їхні потреби. І кількість таких клієнтів продовжує зростати.

Крім того, розглянуті дані показують, що нам дійсно вдалося зробити інструмент Azure Active Directory Connect максимально простим. Наші клієнти вже активно його використовують, а за темпами зростання популярності Azure Active Directory Connect помітно випереджає інші рішення для підключення Active Directory у Windows Server до Azure Active Directory та Office 365.

Сподіваюся, цей допис був для вас цікавим і корисним! Як завжди, ми будемо дуже раді вашим відгукам і пропозиціям.

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

The post Як наші клієнти синхронізують свої локальні ідентифікаційні дані з Azure Active Directory appeared first on Microsoft 365 Blog.

Я радий повідомити, що ми запустили підтримку гостьового доступу в Microsoft Teams на базі функцій для співпраці B2B в Azure AD.

Тепер ви можете разом із партнерами спілкуватися в чатах, працювати з програмами та спільними файлами в Teams. Користуватися цими функціями просто, і вони гарантують захист корпоративного рівня, як і раніше, коли в Azure Active Directory працювали лише ваші співробітники.

Тепер до Microsoft Teams можна запросити в ролі гостя користувача з будь-якої організації, якщо в нього є обліковий запис Azure Active Directory.

Ми зовсім нещодавно додали цю можливість, а клієнти вже запросили як гостя понад 8 мільйонів користувачів за допомогою функцій B2B в Azure AD. Останнім часом клієнти нерідко просили нас про підтримку Microsoft Teams, і ми якнайшвидше додали цю можливість. Сподіваємося, ви випробуєте її вже сьогодні!

Тож, заходьте в Teams і запрошуйте партнерів працювати разом із вами.

І, як завжди, діліться з нами своїми відгуками, коментарями та пропозиціями. Ми цінуємо вашу думку!

З повагою,

Алекс Сімонс (@Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

P. S. Ми вже працюємо над розширенням можливостей Azure AD в Teams, зокрема плануємо додати підтримку зовнішніх користувачів із будь-якими корпоративними або особистими обліковими записами електронної пошти. Слідкуйте за новинами!

The post Співпраця B2B за допомогою Azure AD в Microsoft Teams appeared first on Microsoft 365 Blog.

У нас гарні новини! Компанія Gartner опублікувала результати свого дослідження, присвяченого засобам керування доступом. Відповідно до звіту, корпорація Майкрософт потрапила в магічний квадрант лідерів 2017 за свою повноту бачення та здатність упроваджувати потрібні рішення.

Магічний квадрант із керування доступом запроваджено нещодавно й публікується вперше. Його відокремлено від магічного квадранта з IDaaS, що припинив своє існування. У звіті оцінювалася служба Azure Active Directory.

Магічний квадрант Gartner 2017 із керування доступом

Разом із Gartner ми потурбувалися про безкоштовний доступ до звіту, який можна переглянути тут.

Ми переконані, дивовижний успіх корпорації Майкрософт доводить, що наше бачення орієнтованого на партнерів і клієнтів комплексного продукту для керування ідентичностями та доступом, який ми об’єднали з інструментом для захисту ідентичностей світового рівня на базі Microsoft Intelligent Security Graph, – раціональне рішення. 

На нашу думку, аналіз Gartner багато говорить про нашу увагу до сфери керування ідентичностями та доступом. Але, що найважливіше, така оцінка – це свідчення співпраці корпорації Майкрософт із клієнтами, партнерами з реалізації та незалежними постачальниками ПЗ. Адже вони щодня витрачають час і енергію, щоб переконатися, що продукти та послуги, які ми створюємо, відповідають їхнім вимогам і допомагають працювати ефективніше в умовах, коли хмарні технології набувають усе більшого значення.

Ми й продовжуватимемо надавати інноваційні рішення, щоб задовольняти ваші потреби у сфері керування ідентичностями та доступом, і щоб надалі зміцнювати наші позиції в квадранті лідерів Gartner із керування доступом.

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

The post Служба Azure Active Directory потрапила до квадранта лідерів Gartner 2017 у категорії керування доступом appeared first on Microsoft 365 Blog.