У нас гарні новини! Завдяки нашому комплексному підходу й активній діяльності у сфері керування доступом компанія Gartner уже другий рік поспіль вносить корпорацію Майкрософт у квадрант світових лідерів галузі. Перегляньте повний звіт, щоб дізнатися про висновки компанії Gartner.

На думку спеціалістів Gartner, лідери займаються активною діяльністю в галузі та готуються до очікуваних вимог стосовно технологій, методології й способів реалізації. Лідери також показують, наскільки керування доступом важливе в порівнянні з пов’язаними або спорідненими пропозиціями.

Найкраща позиція у квадранті лідерів у категорії комплексного підходу

Уже другий рік поспількорпорація Майкрософт займає найкращу позицію у квадранті лідерів у категорії комплексного підходу. Ми вважаємо, що покращення показників у категорії діяльності також ілюструє, наскільки важливо розробити стратегію, яка допоможе організаціям на поточному етапі розвитку та підготує їх до потреб захисту ідентичностей у майбутньому.

Корпорація Майкрософт вважає, що політики умовного доступу та захист ідентичностей від загроз – критично важливі компоненти рішення для керування ідентичностями й доступом світового рівня. Створюючи багату екосистему з Windows 10, Office 365 та EMS, ми докладали багато зусиль, щоб інтегрувати політики безпеки в продукти й надати вам інструменти для повного контролю над взаємодією з користувачем. Цього року ми також узяли до уваги аналітичні дані та відгуки клієнтів, щоб удосконалити інтерфейс і спростити керування всіма ідентичностями з єдиного розташування. Ми прагнемо надавати інноваційні та комплексні рішення для керування ідентичностями й доступом працівників, партнерів і клієнтів.

Ми б не змогли залишатися на такому високому рівні без внеску та підтримки наших клієнтів і партнерів. Щиро дякуємо вам!

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons)

Начальник відділу керування програмами

Відділ технологій ідентифікації, корпорація Майкрософт

Важлива інформація

Цю схему опублікувала компанія Gartner, Inc. у звіті дослідження. Її потрібно розглядати в контексті всього документа. Звіт компанії Gartner можна отримати на запит у корпорації Майкрософт.

У своїх матеріалах досліджень компанія Gartner не рекламує жодних постачальників, продукти чи служби, а також не рекомендує надавати перевагу технологіям постачальників із найвищими оцінками чи за іншими показниками. У матеріалах досліджень відображені думки спеціалістів аналітичної компанії Gartner, що не повинні розцінюватися як констатація факту. Gartner відмовляється від будь-яких гарантій, виражених або неявних, щодо цього дослідження, включно з гарантіями комерційної придатності або придатності для певної мети.

The post Підхід і діяльність: компанія Gartner знову оголошує корпорацію Майкрософт лідером у галузі технологій керування доступом appeared first on Microsoft 365 Blog.

Від самого початку захисту паролями існували й зловмисники, які намагалися їх розкрити. У цьому дописі ми поговоримо про один дуже поширений метод зламу паролів, який останнім часом набув іще більшої популярності, і про те, як від нього захиститися. Цей метод називається розпорошувальною атакою через типові паролі.

Він полягає в тому, що зловмисники намагаються ввійти за допомогою найпоширеніших паролів у багато різних облікових записів і служб, щоб отримати доступ до ресурсів у них. Зазвичай під одну атаку потрапляє відразу кілька організацій і постачальників ідентифікаційних даних. Наприклад, деякі зловмисники використовують Mailsniper або інший загальнодоступний набір інструментів, щоб згенерувати список усіх користувачів у кількох організаціях, а потім пробують увійти в облікові записи всіх цих користувачів за допомогою паролів “P@$$w0rd” і “Password1”. Ось приблизна схема такої атаки:

Подібні атаки дуже важко виявити, тому що вони виглядають просто як невдала спроба входу.

Для зловмисників це своєрідна лотерея. За статистикою, деякі паролі дуже поширені. Хоча вони стоять лише в 0,5–1,0% користувачів, для зловмисника це означає, що на кожну тисячу-дві атакованих облікових записів припадатиме кілька зламаних, тобто він досягне своєї мети.

Навіть із цих кількох облікових записів можна отримати дуже багато інформації (електронні листи, контактні дані тощо), яку зловмисник використає, щоб розширити цільову групу атаки або розіслати фішингові посилання. І байдуже, хто стане жертвою: його хвилює лише результат.

На щастя, у службах Майкрософт уже використовується багато інструментів, здатних протидіяти подібним атакам, а наші спеціалісти активно працюють над новими технологіями боротьби з ними. Далі я розкажу, як вам захиститися від розпорошувальних атак і які додаткові можливості ми запропонуємо вже найближчими місяцями.

Проста методика захисту від розпорошувальних атак

1. Автентифікація через хмарні служби

Щодня наші хмарні служби реєструють мільярди входів у системи Майкрософт. Ми використовуємо спеціальні алгоритми безпеки, які виявляють і зупиняють атаки в реальному часі. Ці алгоритми активуються лише під час автентифікації через хмарні служби за допомогою Azure Active Directory (наприклад, наскрізної автентифікації).

Смарт-блокування

Технологія смарт-блокування аналізує кожну спробу входу через хмарні служби та визначає, чи не підозріла вона. Якщо так, ми її блокуємо. А якщо це звичайний користувач, він без проблем потрапить у свій обліковий запис. Така технологія запобігає відмовам в обслуговуванні користувачів і водночас зупиняє нав’язливі розпорошувальні атаки. Вона захищає всі входи через Azure Active Directory (незалежно від рівня ліцензії), а також в облікові записи Microsoft.

Клієнти, що використовують служби об’єднання Active Directory (AD FS), отримають доступ до технології смарт-блокування в AD FS у Windows Server 2016 із березня 2018 року. Стежте за виходом оновлень на Windows Update.

Блокування IP-адрес

Ця технологія щодня аналізує мільярди спроб входу в системи Майкрософт і оцінює якість трафіку з кожної IP-адреси. Якщо цей трафік виглядає підозріло, спроби входу з такої адреси блокуються в реальному часі.

Симулятор атак

Нещодавно вийшла підготовча загальнодоступна версія Симулятора атак – функції в рамках набору інструментів “Аналіз загроз Office 365”. Використовуючи її, клієнти мають змогу симулювати атаки для власних користувачів, щоб побачити, як ті діятимуть у разі нападу справжніх хакерів. Орієнтуючись на результати таких перевірок, можна вносити поправки в політики безпеки й визначати, які інструменти слід запровадити в організації, щоб захистити її від розпорошувальних та інших атак.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Якщо ви користуєтесь автентифікацією через хмарні служби, то можете спати спокійно.
2. Якщо ви користуєтеся службами об’єднання Active Directory (AD FS) або іншим гібридним рішенням, інсталюйте оновлення AD FS із функцією смарт-блокування (дата виходу: березень 2018 року).
3. Використовуйте Симулятор атак, щоб оцінити, наскільки надійно захищено вашу організацію, і вжити належних заходів.

2. Багатофакторна автентифікація

Пароль – це наче ключ до облікового запису. Якщо вашу компанію спіткає розпорошувальна атака, то деякі “ключі” можуть опинитися в руках зловмисника. Тому простого захисту за допомогою пароля недостатньо: потрібен якийсь спосіб, що допоможе відрізнити звичайних користувачів від хакерів. Пропонуємо вашій увазі три таких способи.

Багатофакторна автентифікація на основі оцінювання ризиків

Служба “Захист ідентичностей в Azure Active Directory” аналізує кожну спробу входу й оцінює пов’язані з нею ризики. Для цього використовуються всі ті дані, про які ми вже говорили, а також передові засоби машинного навчання й алгоритми виявлення аномалій. У цій службі можна створювати корпоративні політики, які вимагають додатково підтвердити ідентичність другим фактором автентифікації, тільки якщо рівень ризику для користувача або сеансу достатньо високий. Так співробітникам не доведеться витрачати на вхід зайвий час, а ваші системи все одно будуть надійно захищені від зловмисників. Дізнайтеся більше про Захист ідентичностей в Azure Active Directory.

Обов’язкова багатофакторна автентифікація

Щоб іще краще вбезпечити свої системи, за допомогою Azure Multi-Factor Authentication можна зробити багатофакторну автентифікацію обов’язковою для всіх користувачів, які входять в облікові записи через хмарні служби й AD FS. Для цього користувачам доведеться витрачати зайвий час на підтвердження входу й завжди носити із собою телефони або планшети, але так вашу компанію буде захищено якнайнадійніше. А для адміністраторів такий спосіб автентифікації має бути обов’язковий. Дізнайтеся більше про службу Azure Multi-Factor Authentication і її налаштування для AD FS.

Azure Multi-Factor Authentication як основний засіб автентифікації

В AD FS 2016 можна зробити Azure Multi-Factor Authentication основним засобом безпарольної автентифікації. Це дуже надійний спосіб захисту – адже якщо в користувачів немає паролів, зловмисник не зможе скористатися ними проти вас. Azure Multi-Factor Authentication працює на будь-яких пристроях, а за бажанням пароль можна використовувати як другий фактор автентифікації (тільки після того, як Azure Multi-Factor Authentication перевірить одноразовий пароль). Дізнайтеся більше про пароль як другий фактор автентифікації.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Настійно рекомендуємо ввімкнути обов’язкову багатофакторну автентифікацію для всіх адміністраторів в організації, особливо для власників передплати та адміністраторів-власників. Зробіть це просто зараз – цей крок і справді дуже важливий.
2. Для решти користувачів краще ввімкнути зручніший спосіб – багатофакторну автентифікацію на основі оцінювання ризиків. Ця функція доступна компаніям із ліцензіями Azure Active Directory Premium P2.
3. Ви також можете використовувати Azure Multi-Factor Authentication для автентифікації через хмарні служби та AD FS.
4. Якщо ви користуєтесь AD FS, перейдіть до нової версії на платформі Windows Server 2016 і зробіть Azure Multi-Factor Authentication основним засобом автентифікації, особливо для зовнішніх користувачів із мережі екстранет.

3. Надійні паролі у всіх користувачів

Навіть якщо ви запровадите всі рекомендовані вище засоби безпеки, для надійного захисту від розпорошувальних атак кожен користувач повинен мати надійний пароль. Але багато людей не знають, як створювати такі паролі. Саме тому корпорація Майкрософт розробила спеціальні інструменти.

Заборонені паролі

В Azure Active Directory кожен новий пароль проходить перевірку. Якщо він хоча б частково збігається з будь-яким пунктом із списку заборонених паролів, користувач повинен вибрати надійніший пароль. Цей список регулярно оновлюється та включає найпоширеніші паролі, які в першу чергу атакує зловмисник. Інструмент перевірки розпізнає збіг, навіть якщо користувач замінить певні букви цифрами чи спеціальними символами (наприклад, він не дасть використати ні “password”, ні “p@ssw0rd”).

Спеціальні заборонені паролі

Щоб зробити функцію заборони паролів ефективнішою, ми дозволили клієнтам налаштовувати власні чорні списки слів, на основі яких співробітники їхніх компаній часто створюють паролі. Це можуть бути імена відомих колег, засновників, локальних знаменитостей, назви продуктів і місць тощо. Усі нові паролі користувачів перевірятимуться на відповідність і спеціальному списку, і глобальному, тобто вам не доведеться між ними вибирати. Поки що ми пропонуємо тільки підготовчу версію цієї функції з обмеженим доступом. Офіційний випуск заплановано вже на цей рік.

Локальна заборона паролів

Цієї весни ми випустимо інструмент, за допомогою якого корпоративні адміністратори зможуть забороняти паролі в гібридних середовищах Azure Active Directory. Списки таких паролів зберігатимуться в хмарі, синхронізуватимуться з локальними серверами та застосовуватимуться на кожному контролері домену з агентом Azure Active Directory. Так усі нові паролі будуть надійними, навіть якщо користувачі змінюватимуть їх не в хмарі, а в локальному середовищі. У лютому 2018 року функція почала діяти в режимі приватної підготовчої версії з обмеженим доступом. Її офіційний випуск відбудеться вже до кінця цього року.

Новий погляд на безпеку паролів

Що робить пароль надійним? На цю тему існує багато міфів, які насправді лише шкодять вашій безпеці. Часто речі, які в теорії мали б підвищувати надійність паролів, на практиці роблять їх передбачуваними. Наприклад, якщо корпоративна політика вимагає використовувати певні типи символів і регулярно змінювати паролі на нові, то в результаті в багатьох співробітників вони будуть дуже схожі на старі. Дізнайтеся більше про те, як правильно керувати паролями. Якщо ви застосовуєте Active Directory з PTA або AD FS, відредагуйте свої політики паролів. А якщо в компанії використовуються хмарні керовані облікові записи, рекомендуємо встановити для паролів необмежений термін дії.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Коли інструмент заборони паролів від корпорації Майкрософт стане загальнодоступним, інсталюйте його у своєму локальному середовищі, щоб надалі ваші користувачі створювали надійні паролі.
2. Перегляньте свої політики паролів і подумайте, чи не варто встановити для них необмежений термін дії, щоб ваші користувачі не вибирали нові паролі, які відрізняються від старих одним-двома символами.

4. Інші корисні можливості AD FS і Active Directory

Якщо у вашій компанії використовується гібридна автентифікація засобами AD FS і Active Directory, можна вжити додаткових заходів, щоб захистити паролі.

Найперше, що повинні зробити організації, які використовують AD FS 2.0 або Windows Server 2012, – це якомога швидше перейти до AD FS на платформі Windows Server 2016. Остання версія цих служб оновлюється швидше та має більше можливостей (наприклад, блокування мережі екстранет). Нагадую, що перейти з Windows Server 2012 R2 до Windows Server 2016 дуже легко.

Блокування застарілих протоколів автентифікації з мережі екстранет

Щоб застосовувати обов’язкову багатофакторну автентифікацію, найкраще заблокувати застарілі протоколи для мережі екстранет, оскільки вони не підтримують таку можливість. Так зловмисники не скористаються цією вразливістю під час розпорошувальної атаки.

Блокування входу через мережу екстранет для проксі веб-програм в AD FS

Якщо ви ще не заблокували для проксі веб-програм в AD FS вхід через мережу екстранет, зробіть це якомога швидше, щоб захистити своїх користувачів від атак прямим добором паролів.

Azure Active Directory Connect Health для AD FS

Azure Active Directory Connect Health повідомляє, якщо хтось намагається отримати доступ із ризикованої IP-адреси, багато спроб увійти з якої, за даними журналів AD FS, виявилися невдалими через неправильний пароль або ім’я користувача. Крім того, це розширення збирає додаткові звітні дані про різні типи сценаріїв і надає аналітичні висновки, які допомагають інженерам розглядати заявки на підтримку.

Інсталюйте останню версію агента Azure Active Directory Connect Health для AD FS (2.6.491.0) на всі сервери AD FS. Сервери мають працювати на платформі Windows Server 2016 або Windows Server 2012 R2 з оновленням KB 3134222.

Методи безпарольного доступу

Якщо у вашій компанії не застосовуватимуться паролі, зловмисники не зможуть використати їх проти вас. Для AD FS і проксі веб-програм доступні такі методи безпарольної автентифікації:

1. Автентифікація на основі сертифікатів дає змогу повністю блокувати кінцеві точки імен користувачів і паролів у брандмауері. Дізнайтеся більше про автентифікацію на основі сертифікатів в AD FS.
2. Як уже говорилося, Azure Multi-Factor Authentication можна використовувати як другий фактор автентифікації через хмарні служби та AD FS на платформі Windows Server 2016 або Windows Server 2012 R2. Але в AD FS 2016 цю функцію також можна застосовувати як перший фактор, тоді розпорошувальні атаки просто не діятимуть. Дізнайтеся більше про те, як налаштувати Azure Multi-Factor Authentication в AD FS.
3. “Windows Hello для бізнесу” дає змогу повністю відмовитися від паролів завдяки надійним криптографічним ключам, прив’язаним і до користувача, і до пристрою. Ця функція доступна у Windows 10, і її підтримує AD FS на платформі Windows Server 2016. Крім того, “Windows Hello для бізнесу” можуть застосовувати навіть користувачі з мережі екстранет. Функція доступна для пристроїв під керуванням компанії, приєднаних до служби Azure Active Directory або її гібридного розгортання. Вона також підтримується для особистих пристроїв, приєднаних через програму “Настройки” (параметр “Додати обліковий запис компанії або навчального закладу”). Дізнайтеся більше про “Windows Hello для бізнесу”.

Заходи, яких ми рекомендуємо вжити якнайшвидше

1. Перейдіть до AD FS 2016, щоб швидше отримувати оновлення.
2. Заблокуйте застарілі протоколи автентифікації з мережі екстранет.
3. Розгорніть агенти Azure Active Directory Connect Health для AD FS на всіх серверах AD FS.
4. Подумайте, чи не варто зробити основним способом автентифікації безпарольний метод (Azure Multi-Factor Authentication, автентифікацію на основі сертифікатів, Windows Hello для бізнесу).

Бонус: як захистити облікові записи Microsoft

Якщо ви користуєтесь обліковим записом Microsoft, у мене для вас чудові новини!

• Ви вже під надійним захистом. В облікових записах Microsoft наявні такі функції, як смарт-блокування, блокування IP-адрес, двоетапна перевірка на основі оцінювання ризиків, заборона паролів тощо.
• Але вам усе ж варто приділити кілька хвилин тому, щоб перевірити захисну інформацію, яка використовується для двоетапної перевірки на основі оцінювання ризиків. Для цього відкрийте параметри безпеки свого облікового запису Microsoft і виберіть “Оновити відомості про безпеку”.
• Для максимального захисту можна ввімкнути обов’язкову двоетапну перевірку.

Найнадійніший захист від зламу – просто дослухатися до наших порад

Розпорошувальні атаки через типові паролі несуть у собі серйозну загрозу для всіх веб-служб, для входу в які потрібен пароль. Але якщо ви скористаєтеся рекомендаціями з цього допису, то надійно захистите себе від таких атак – та й від багатьох подібних методів зламу. Ваша безпека для нас дуже важлива, і ми постійно працюємо над новими, ще надійнішими засобами захисту від розпорошувальних та інших атак. Тож ми будемо раді, якщо ви скористаєтеся переліченими вище інструментами та стежитимете за анонсами про вихід новинок, які ми створюємо для захисту від хакерів.

Сподіваюся, цей допис стане вам у пригоді. Будемо раді вашим відгукам і пропозиціям!

З повагою,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

The post Практичні поради з використання Azure Active Directory та служб об’єднання Active Directory: захист від розпорошувальних атак через типові паролі appeared first on Microsoft 365 Blog.

Сподіваюся, цей допис буде таким само цікавим для вас, як і для мене, адже сьогодні ми поговоримо про майбутнє цифрових ідентичностей.

Протягом останнього року ми активно працювали над розробкою нових ідей із використання ланцюжків блоків транзакцій та інших технологій, у яких застосовуються розподілені реєстри. Ми сподівалися створити цілковито нові, безпечніші типи цифрових ідентичностей, які б гарантували легке керування та конфіденційність персональних даних. Під час роботи ми зробили багато цікавих відкриттів і налагодили співробітництво з новими партнерами. Тому сьогодні ми радо ділимося з вами нашими ідеями та планами. Допис входить до серії публікацій, це логічне продовження матеріалу Пеггі Джонсон про те, що корпорація Майкрософт приєдналася до ініціативи ID2020. Якщо ви його ще не читали, рекомендую спершу з ним ознайомитися.

Автор цього допису – Анкур Патель, спеціаліст із мого відділу та менеджер проектів, присвячених нашим новим розробкам. Він люб’язно погодився розповісти читачам цього блоґу про децентралізовані цифрові ідентичності, зокрема про наші ключові висновки та принципи, згідно з якими ми плануємо інвестувати в подальші розробки.

Як завжди, ми будемо дуже раді вашим відгукам і пропозиціям.

З найщирішими побажаннями,

Алекс Сімонс (Twitter: @Alex_A_Simons),

начальник відділу керування програмами,

відділення технологій ідентифікації, корпорація Майкрософт

————

Вітаю! Я Анкур Патель із відділення технологій ідентифікації в корпорації Майкрософт. Для мене велика честь поділитися з вами деякими з наших знахідок і планів щодо нових розробок, присвячених створенню децентралізованих ідентичностей на основі ланцюжків блоків транзакцій (розподілених реєстрів).

Навіщо ми над цим працюємо

Для всіх нас очевидно, що у світі відбувається глобальна цифрова трансформація. Віртуальна та фізична реальності навколо нас дедалі більше зливаються в одне ціле. І цей новий світ вимагає нової, безпечнішої та приватнішої моделі цифрових ідентичностей.

Системи хмарної ідентифікації від корпорації Майкрософт уже дають тисячам організацій і розробників та мільярдам звичайних людей можливість працювати ефективніше, відпочивати краще й досягати нових висот. Але ми можемо запропонувати людям набагато більше. Ми прагнемо створити світ, у якому мільярди всіх тих, які нині живуть без надійних документів, зможуть нарешті здійснити свої прості людські мрії: жити краще, вивчити дітей, започаткувати свою справу.

Ми переконані: для цього кожна людина має сама повністю розпоряджатися своєю цифровою ідентичністю. Зараз дані наших ідентичностей розкидано по численним стороннім програмам і службам, яким ми дозволяємо збирати інформацію про себе. Так не має бути. Потрібно створити безпечний електронний центр, де в зашифрованому вигляді зберігатимуться всі компоненти цифрових ідентичностей, щоб власники легко могли контролювати доступ до них.

Кожному з нас потрібна власна цифрова ідентичність, де безпечно й конфіденційно зберігатимуться відомості про нас.  Вона повинна давати нам повний контроль над доступом до неї й використанням її даних, а також бути зручною.

Ми знаємо, що дати людям у руки таку владу над даними про себе – це щось більше, ніж прерогатива однієї компанії або організації. Тож ми плануємо тісно співпрацювати з нашими клієнтами, партнерами та членами спільноти розробників. Ми дуже раді, що разом із нами над новим поколінням цифрових ідентичностей працює стільки талановитих людей із нашої галузі.

Які висновки ми зробили

Зараз я хочу розповісти вам, яких висновків ми дійшли під час роботи над створенням децентралізованих цифрових ідентичностей – проектом, покликаним розширити можливості людства, створити в суспільстві культуру довіри, запобігти зловживанням персональною інформацією, подарувати кожній людині повний контроль над нею та зробити ідентифікацію зручнішою.

1. Кожна людина повинна мати контроль над своєю цифровою ідентичністю. Зараз у світі існують мільйони служб і програм, які збирають, зберігають і використовують наші дані. І ми ніяк не можемо на це вплинути, крім того першого моменту, коли ми надаємо програмі дозвіл обробляти наші дані. У світі, де порушення інформаційної безпеки та викрадення ідентифікаційних даних стають дедалі частішими та підступнішими, така ситуація неприйнятна. Потрібно, щоб користувачі могли самі керувати своїми ідентичностями. Тож ми розглянули різні нові стандарти, децентралізовані системи зберігання даних, протоколи консенсусу й ланцюжки блоків транзакцій і дійшли висновку, що остання технологія та її протоколи стануть найкращою базою для децентралізованих ідентичностей.
2. Ідентичності мають насамперед бути конфіденційними.
   Зараз багатьом програмам, службам і організаціям потрібно контролювати дані наших ідентичностей, щоб надавати нам зручні, прогнозовані та персоналізовані послуги. Необхідна альтернатива – безпечні цифрові центри, де в зашифрованому вигляді зберігатимуться дані користувачів (центри ідентичностей). Така альтернатива забезпечить службам і програмам взаємодію з цими даними й водночас запропонує користувачам контроль над персональними даними та їх конфіденційність.
3. Довіра – це особистий здобуток кожної людини та культура, що плекається в суспільстві.
   Традиційні системи ідентифікації спрямовано переважно на автентифікацію та керування доступом. Але система самостійного керування ідентичностями вимагатиме й орієнтації на інші пріоритети – щирість і довіру. У децентралізованих системах довіра базується на засвідченнях, тобто заявах про ідентичність користувача, які підтверджують інші сутності.
4. Найголовнішим пріоритетом під час створення програм і служб має бути зручність і безпека користувача.
   Багато найпопулярніших сучасних програм і служб досягли успіху завдяки високому рівню персоналізації, для якої вони використовують особисті дані користувачів. Але децентралізовані ідентичності та центри керування ними можуть забезпечити розробникам доступ до точніших засвідчень і водночас знизити ризики порушення законів або нормативних вимог – адже служби й програми лише оброблятимуть особисті дані, а не контролюватимуть їх замість користувача.
5. Для керування ідентичностями потрібно використовувати відкриту платформу, сумісну з усіма популярними технологіями.
   Щоб нова екосистема децентралізованих ідентичностей була стабільною, надійною та доступною для всіх людей світу, вона має працювати на базі відкритих стандартних технологій, протоколів і еталонних реалізацій. Минулого року ми разом з іншими учасниками Фонду децентралізованих ідентичностей (Decentralized Identity Foundation, DIF) провели велику роботу зі створення наступних ключових компонентів.
   

• Decentralized Identifiers (DIDs) – специфікація консорціуму W3C, яка визначає стандартний формат документів з описом стану децентралізованих ідентифікаторів.
  
• Identity Hubs – сховище зашифрованих даних ідентичностей, яке включає функції ретрансляції повідомлень і намірів, обробки засвідчень, а також кінцеві точки обчислень (свої для кожної ідентичності).
  
• Universal Resolver – сервер, який зіставляє децентралізовані ідентичності в ланцюжках блоків транзакцій.
  
• Verifiable Credentials Data Model – специфікація консорціуму W3C, яка визначає стандартний формат кодування засвідчень на основі децентралізованих ідентичностей.
  

6. Нова технологія має бути придатною для роботи у світовому масштабі.
   Базова технологія, на основі якої працюватимуть децентралізовані ідентичності, має забезпечувати масштабування й ефективність на рівні звичних нам систем, оскільки з нею матимуть справу безліч користувачів, організацій і пристроїв. Деякі загальнодоступні ланцюжки блоків транзакцій: Bitcoin (BTC), Ethereum, Litecoin тощо – можуть стати надійною платформою для зберігання децентралізованих ідентичностей, записування операцій в інфраструктурі розподілених відкритих ключів і прив’язки засвідчень. Деякі спільноти, зосереджені навколо використання ланцюжків блоків транзакцій, підвищують виробничу спроможність ланцюжків з обробки транзакцій (наприклад, збільшують розмір блоків), однак загалом цей підхід знижує децентралізацію мережі та не дає досягти потенційної швидкості в мільйони транзакцій на секунду у світовому масштабі. Щоб подолати цей технічний бар’єр, ми разом із нашими партнерами працюємо над децентралізованими протоколами другого рівня, які виконуватимуться над цими загальнодоступними ланцюжками блоків транзакцій. Так ми плануємо забезпечити можливість використання нового типу ідентичностей у всьому світі й водночас зберегти їх ефективність і децентралізованість.
   
7. Децентралізовані ідентичності мають бути доступні для всіх.
   Зараз ланцюжками блоків транзакцій користуються переважно спеціалісти-ентузіасти, які готові витрачати зайвий час і сили на керування ключами та захист пристроїв. Звичайні люди на таке не погодяться, тому ми маємо зробити основні завдання з керування ідентичностями (відновлення, ротацію, захищений доступ тощо) простими, зрозумілими та безпечними.
   

Чого чекати в майбутньому

У теорії нові системи й масштабні ідеї часто виглядають дуже струнко, переконливо та заманливо. Але коли розробники й інженери беруться до реалізації проекту, на них завжди чекає багато відкриттів і несподіваних поворотів.

Зараз нашою програмою для ідентифікації Microsoft Authenticator щодня користуються мільйони людей. Надалі ми плануємо запровадити в ній підтримку децентралізованих ідентичностей і протестувати роботу нової функції. Зі згоди користувача Microsoft Authenticator зможе виступати його агентом із керування даними ідентичності та криптографічними ключами. Водночас в ланцюжку міститиметься тільки ідентифікатор: дані ідентичності, зашифровані за допомогою цих ключів, зберігатимуться в окремому центрі, недоступному для корпорації Майкрософт.

Коли ми додамо цю можливість, програми та служби зможуть взаємодіяти з даними користувачів за допомогою спільного каналу обміну повідомленнями, попередньо запитуючи дозвіл на конкретні дії з інформацією. Спочатку ми підтримуватимемо тільки невелику групу вибраних реалізацій децентралізованих ідентичностей у ланцюжках блоків транзакцій. Найімовірніше, надалі їх кількість зростатиме.

Що далі

Ми усвідомлюємо, що взялися за дуже велику й важливу справу. І хоча кожен із нас палає ентузіазмом, самі ми з нею не впораємося. Тож ми покладаємося на підтримку та внески наших партнерів за альянсом, учасників Фонду децентралізованих ідентичностей, а також усіх причетних до роботи корпорації Майкрософт: проектувальників, укладальників політик, бізнес-партнерів, розробників апаратного та програмного забезпечення. А найголовніше – ми покладаємося на вас, наших клієнтів, і ваші відгуки та пропозиції щодо перших версій наших розробок.

Це був перший допис про роботу над децентралізованими ідентичностями. У подальших матеріалах читайте про обґрунтування наших концепцій і технічні відомості про перелічені вище ключові моменти.

Сподіваємося, що ви приєднаєтеся до нас у цьому починанні!

Ключові ресурси:

• @AzureAD – профіль із нашими новинами у Twitter
  
• Сайт Фонду децентралізованих ідентичностей (DIF)
  
• Група на сайті консорціуму W3C, присвячена обліковим даним
  

З повагою,

Анкур Патель (@_AnkurPatel),

головний адміністратор проекту,

відділення технологій ідентифікації, корпорація Майкрософт

The post Децентралізовані цифрові ідентичності та ланцюжки блоків транзакцій: майбутнє, яким ми його бачимо appeared first on Microsoft 365 Blog.

На сьогоднішньому заході Microsoft Ignite ми представили нову концепцію цифрових засобів для працівників Firstline Worker, а також показали Microsoft 365 F1 – нове комплексне інтелектуальне рішення, яке об’єднує Office 365, Windows 10 і Enterprise Mobility + Security та надає всім працівникам широкі можливості.

Для компаній сучасне робоче місце – це вищі очікування з боку працівників, більш роззосереджена робоча сила та необхідність забезпечити всіх співробітників засобами для вирішення проблем клієнтів і організації, а також креативнішого й інноваційнішого робочого процесу. Дійсно сучасне робоче місце стимулює культуру винахідливості й ініціативності, а також надає все необхідне співробітникам будь-якої ланки: від керівників до працівників Firstline Workforce.

Працівники Firstline Worker – це більша частина робочої сили в усьому світі. Ця група налічує два мільярди людей. Це ті, хто працюють за касою, відповідають на телефонні дзвінки, спілкуються з відвідувачами в клініках і лікарнях, працюють у торгових залах і на виїзді. Саме вони першими контактують із клієнтами, першими бачать продукти й служби у використанні. До того ж саме вони представляють бренд компанії. Це основа найбільших галузей на земній кулі, і без них амбіції багатьох організацій ніколи б не реалізувалися.

Ми бачимо, як саме сучасні технології можуть спростити роботу працівників Firstline Worker та надати їм більше можливостей. Унікальні можливості корпорації Майкрософт допомагають організаціям розкрити потенціал працівників Firstline Workforce. Для цього ми пропонуємо широку лінійку продуктів: Microsoft 365, Dynamics 365, Інтернет речей Microsoft, штучний інтелект Microsoft, Microsoft HoloLens, а також екосистему Windows Mixed Reality.

Поява Microsoft 365 F1 – це значний крок у реалізації нашого уявлення про роль працівників Firstline Workforce у переході на цифрові технології.

Новий підхід до роботи працівників Firstline Worker

Microsoft 365 F1 наділяє кожного засобами та можливостями для реалізації своїх ідей. Це рішення сприяє розвитку спільноти та культури праці. Наприклад, за допомогою “Трансляції наради Skype”, можна провести колективну нараду, а Yammer допоможе кожному отримати поради від колег і поділитися своїми знаннями з усією організацією.

Завдяки Microsoft 365 F1 вам буде простіше навчати співробітників і підвищувати їхню кваліфікацію. Діліться динамічними навчальними матеріалами та відео залежно від ролі працівника в Microsoft Stream і SharePoint. Ваша корпоративна база знань буде централізована та надійно захищена.

Наше рішення підвищує продуктивність і переводить бізнес-процеси в цифрову площину. У спеціальній програмі Microsoft StaffHub працівники Firstline Worker зможуть керувати своїм робочим днем, а Microsoft PowerApps і Flow автоматизують рутинні операції. Сьогодні ми представляємо нові можливості StaffHub, зокрема реєстрацію початку й завершення зміни та відстеження завдань. Також працівникам буде простіше залишатися на зв’язку завдяки інтеграції StaffHub, повідомлень із центру для командної роботи Microsoft Teams і загальноорганізаційних оголошень із Yammer. Ми також випустили інтерфейси API, завдяки яким можна підключати StaffHub до систем керування працівниками й інших інструментів.

Microsoft 365 F1 спрощує керування ІТ-інфраструктурою, мінімізує витрати та значно розширює захист організації та співробітників. Azure Active Directory дає змогу керувати ідентичностями й доступом працівників, Microsoft Intune допомагає захистити пристрої, а нові функції у Windows 10 спрощують керування інтерфейсами для працівників Firstline Workers. Зокрема, підтримуються обмежені за допомогою Windows Assigned Access вузькоспеціалізовані пристрої та автоматичне розгортання з Windows AutoPilot.

Нарешті, ми чудово розуміємо, як важливо забезпечити працівників Firstline Worker спрощеними та захищеними пристроями з мінімальними поточними витратами. Сьогодні ми раді анонсувати нові комерційні пристрої з Windows 10 S від наших партнерів OEM: HP, Lenovo та Acer. Вартість таких пристроїв починається лише від 275 дол. США, а хмарна інфраструктура для ідентичностей і керування ідеально підходить для працівників Firstline Worker.

Важко передати, як ми раді представити всі ці нові можливості. І це тільки початок!

Дізнайтеся більше про наше бачення на новій сторінці Firstline Worker. У таблиці нижче наведено всі складові Microsoft 365 F1.

– Брайн Гуд

The post Microsoft 365 для працівників будь-якого рівня appeared first on Microsoft 365 Blog.