大家好，

我很高兴分享今日新闻！我们刚刚启用了使用基于标准的 FIDO2 兼容设备安全登录 Microsoft 帐户的功能——无需用户名或密码！借助 FIDO2，用户能够利用基于标准的设备在移动和桌面环境中轻松对在线服务进行身份验证。该项服务现已在美国面世，并将在未来几周内推向全球。

它结合了易用性、安全性和广泛的行业支持，将在家庭和现代工作场所实现转型。每个月都有超过 8 亿人在使用 Microsoft 帐户随处创建、连接和共享 Outlook、Office、OneDrive、必应、Skype 和 Xbox Live 进行工作和娱乐。现在，他们都能从这项简单的用户体验中受益，同时获得大幅增强的安全保障。

从今天开始，你可使用 FIDO2 设备或 Windows Hello 在 Microsoft Edge 浏览器中登录 Microsoft 帐户。

请观看此简短视频，了解其工作原理：

Microsoft 一直致力于消除密码并帮助人们保护其数据和帐户免受威胁。作为线上快速身份验证 (FIDO) 联盟和万维网联盟 (W3C) 的成员，我们始终在与他人合作，为下一代身份验证制定开放标准。我很高兴地告诉大家，Microsoft 是第一家使用 WebAuthn 和 FIDO2 规范支持无密码身份验证的财富 500 强公司，与其他主要浏览器相比，Microsoft Edge 支持超广泛的验证器。

如果你想更详细地了解其工作原理和入门方式，请继续阅读。

入门

使用 FIDO2 安全密钥登录 Microsoft 帐户：

1. 如果你尚无此密钥，请确保更新到 Windows 10 的 2018 年 10 月版本。
2. 转到 Microsoft Edge 上的 Microsoft 帐户页，然后像往常一样登录。
3. 选择“安全性”>“更多安全选项”，在“Windows Hello 和安全密钥”下，你将看到有关设置安全密钥的说明。（你可从我们的合作伙伴处购买安全密钥，例如从支持 FIDO2 标准的 Yubico 和 Feitian Technologies 处。*）
4. 下次登录时，可单击“更多选项”>“使用安全密钥”，也可键入用户名。此时，系统会要求你使用安全密钥登录。

请注意，下面是使用 Windows Hello 登录 Microsoft 帐户的方法：

1. 确保你已更新到 Windows 10 的 2018 年 10 月版本。
2. 如果尚未更新，则需要设置 Windows Hello。如果已设置好 Windows Hello，就可开始了！
3. 下次登录 Microsoft Edge 时，可单击“更多选项”>“使用 Windows Hello 或安全密钥”，也可键入用户名。此时，系统会要求你使用 Windows Hello 或安全密钥进行登录。

如果需要更多帮助，请查看我们的详细帮助文章来了解设置方式。

*FIDO2 规范中有一些我们认为对安全性至关重要的可选功能，因此只有实现了这些功能的密钥才有效。要了解详细信息，请参阅什么是 Microsoft 兼容的安全密钥？。

工作原理

实际上，我们在自己的服务中实现了 WebAuthn 和 FIDO2 CTAP2 规范，使它得到了落实。

与密码不同，FIDO2 使用公钥/私钥加密来保护用户凭据。在你创建并注册 FIDO2 凭据时，设备（电脑或 FIDO2 设备）会在设备上生成一对公钥私钥。私钥安全地存储在设备上，只有在通过生物识别或 PIN 等本地手势解锁后才能使用。请注意，你的生物识别或 PIN 永远保留在设备上。在存储私钥的同时，公钥被发送到云端的 Microsoft 帐户系统并在你的用户帐户中注册。

在你以后登录时，Microsoft 帐户系统会向你的电脑或 FIDO2 设备提供一个 nonce。然后，你的电脑或设备使用私钥对 nonce 进行签名。已签名的 nonce 和元数据将发送回 Microsoft 帐户系统，并在此处通过公钥进行验证。按照 WebAuth 和 FIDO2 规范指定进行签名的元数据将提供诸如用户是否在线等信息，并通过本地手势验证身份。正是因为这些属性，使用 Windows Hello 和 FIDO2 设备进行的身份验证才不“易受攻击”或被恶意软件轻易窃取。

Windows Hello 和 FIDO2 设备如何实现这一点？根据 Windows 10 设备的功能，你将拥有内置的安全区域（称为硬件可信平台模块 (TPM)）或软件 TPM。TPM 存储私钥，需要你的面部、指纹或 PIN 才能解锁。同样地，FIDO2 设备（例如安全密钥）是一个小型外部设备，它自带内置安全区域，可存储私钥且需要生物识别或 PIN 进行解锁。这两个选项一步到位地提供了双因素身份验证，要求同时注册设备和提供生物识别/PIN 才能成功登录。

请查看“识别标准”博客上的文章，了解有关实现的所有技术细节。

下一步计划

我们努力在减少，甚至是消除对密码的使用，在这个过程中开发出了无数卓越的产品。我们目前正努力让使用 Azure Active Directory 中的工作和学校帐户的用户在浏览器中通过安全密钥登录时获得一致的体验。企业客户将能够在明年年初预览这一功能，届时他们将能够让员工为其帐户自行设置用于登录到 Windows 10 和云端的安全密钥。

此外，随着越来越多的浏览器和平台开始支持 WebAuthn 和 FIDO2 标准，如今在 Microsoft Edge 和 Windows 上提供的无密码体验将有望随处可用！

请继续关注，了解明年年初的更多详细信息！

此致，
Alex Simons
Microsoft 身份识别部门
计划管理 CVP

The post 使用安全密钥或 Windows Hello 无密码安全登录 Microsoft 帐户 appeared first on Microsoft 365 Blog.

每一天，Microsoft 身份识别部门的每个人都专注于为你（我们的客户）提供帮助，让你的员工、合作伙伴和客户更加高效，并使你能够更轻松安全地管理对企业资源的访问。

因此，得知 Microsoft 最近被评为 2018 Gartner Peer Insights 访问管理客户之选，我感到非常激动。

Gartner 在公告中解释道，“Gartner Peer Insights 客户之选是对本市场内经最终用户专业人士验证的供应商的认可，同时考虑了评论数量和总体用户评分。” 为确保评价公平，Gartner 坚持严格标准，以便识别客户满意度高的供应商。

获得这一认可非常令人激励。这不仅强有力地证明了我们正在积极影响客户，而且还证明了客户非常重视我们今年为 Azure Active Directory (Azure AD) 添加的创新。

要获得这一认可，供应商必须至少获得 50 个已发表的评论，且整体评分平均为 4.2 星或更高。

以下是几条客户给我们写的评论：

“Azure AD 正迅速成为我司大多数身份识别和访问问题的唯一解决方案。”
— 交通运输行业企业安全架构师。阅读完整评论。

“Azure Active Directory 在成为高可用性且普适目录服务方面取得了很大进步。”
— 服务行业首席技术官。阅读完整评论。

“[Microsoft] 一直是我们实现身份识别解决方案的优秀合作伙伴，这种解决方案满足了我们多个机构的需求，为我们提供了继续推进 SSO 以及集成旧版和新开发的应用程序的路线图。我们还能够为 SaaS 应用程序的身份验证和访问设置标准。”
— 政府行业技术总监。阅读完整评论。

阅读更多关于 Microsoft 的评论。

目前，在 89 个国家/地区，使用 Azure AD Premium 的组织已超过 9 万个，此外我们每天将管理超过 80 亿次的身份验证。我们的工程团队为了实现高可靠性、可扩展性和服务满意度夜以继日工作，因此对我们来说获得“最佳客户之选”认可相当令人激励。得知许多客户使用我们的身份识别服务所实现的惊人成果，我们感到非常兴奋。

我谨代表每一位致力于 Azure AD 的工作人员，对客户给予的认可表示感谢！我们期待基于促使我们获得“最佳客户之选”提名的经验和信任，追求进一步发展！

“Gartner Peer Insights 最佳客户之选”徽标是 Gartner, Inc.和/或其附属公司的商标和服务标志，在本文中已获得使用许可。保留所有权利。“Gartner Peer Insights 最佳客户之选”荣誉由每个最终客户基于自己的体验给出的主观意见确定，即此处详细描述的关于 Gartner Peer Insights 的已发表评论数量和市场内对某特定供应商的整体评级，且荣誉并非意欲以任何方式代表 Gartner 或其附属公司的意见。

此致，

Alex Simons (@Twitter: @Alex_A_Simons)
Microsoft 身份识别部门
项目管理总监

The post Microsoft 被评为“2018 Gartner Peer Insights 访问管理客户之选” appeared first on Microsoft 365 Blog.

今天跟大家分享一些好消息！基于我们在访问管理市场的完备愿景和执行能力，Gartner 在 Leaders Quadrant 中连续第二年将 Microsoft 定位为 2018 年魔力象限全球访问管理方面的领导者。相关原因，请参见此处的免费报告副本。

据 Gartner，就与技术、方法论或交付方法相关的预期需求而言，领导者表现出了强大的执行力。领导者还展示了访问管理在一系列相关或相邻产品/服务中发挥作用的方式。

领导者象限中愿景最完备

Microsoft 连续第二年被定位为领导者象限中愿景的完整性最完备。我们认为，执行力的飞跃也说明了战略执行对我们的重要性，战略能够帮助组织实现目前的成就，也能为未来的身份需求做好准备。

在 Microsoft，我们支持将条件访问策略和身份威胁防护作为世界级身份管理和访问权限管理解决方案的关键功能。作为 Windows 10、Office 365 和 EMS 复杂生态系统的一部分，我们一直在努力集成跨产品的安全策略，以便你能够了解并控制完整的用户体验。今年，我们还采纳了客户意见和反馈，以便改善用户体验，让用户能够更轻松地在一个位置获取其所有身份。我们致力于为员工、合作伙伴和客户提供创新且全面的身份管理和访问权限管理解决方案。

如果没有客户和合作伙伴的努力与支持，我们不可能连续成为此领域的领导者，谢谢！

此致，

Alex Simons (Twitter: @Alex_A_Simons)

Microsoft 身份识别部门

项目管理总监

重要提示：

这张图表由 Gartner Inc. 发布，是更全面研究文档的一部分，应基于整个文档的上下文进行评估。Gartner 文档可根据 Microsoft 的请求提供。

Gartner 不为其研究出版物中所述的任何供应商、产品或服务背书，也不建议技术用户仅选择其中评分最高或带有其他指标的供应商。Gartner 研究出版物包含 Gartner 研究组织的观点，不应被解释为陈述事实。Gartner 不对此研究作出任何明示或暗示保证，包括有关适销性或适合特定用途的任何保证。

The post 愿景 + 执行：Microsoft 在 Gartner MQ 中被再次提名为访问管理方面的领导者 appeared first on Microsoft 365 Blog.

只要我们拥有密码，总会有人试图猜出它们。在本博客中，我们将讨论一种近期出现频率相当高的常见攻击，以及用于防御这种攻击的一些最佳做法。这种攻击通常被称为密码喷洒。

在密码喷洒攻击中，攻击者在许多不同的帐户和服务之间尝试最常见的密码，借此访问他们可以找到的任何受密码保护的资产。通常情况下，许多不同的组织和标识提供者都会遭受这种攻击。例如，攻击者将使用常见的可用工具包（比如 Mailsniper）来枚举几个组织中的所有用户，燃烧室内后对他们的帐户尝试“P@$$w0rd”和“Password1”。为使你明白，攻击模式可能与以下类似：

这种攻击模式可以躲避大部分检测技术，因为从个人或公司的角度来看，这种攻击看起来只是一次登录失败。

对于攻击者来说，这是一个数字游戏：他们知道有些密码相当常见。即使只有 0.5-1.0% 的帐户使用极为常见的密码，攻击者仍可在每一千个受攻击的帐户中得手几个，这样已经足够有效了。

他们使用帐户从电子邮件中获取数据、收集联系信息，然后发送仿冒链接或仅扩展密码喷洒目标组。攻击者并不在乎这些初始目标都是谁 – 只是他们有些利用价值罢了。

好消息是 Microsoft 有许多已实现的工具可用于拦截这些攻击，并且很快将推出更多的工具。请继续阅读，了解在接下来的几个月中可以采取哪些措施来阻止密码喷洒攻击。

阻止密码喷洒攻击的四个简单步骤

步骤 1：使用云身份验证

在云中，我们每天可以看见数十亿的用户登录到 Microsoft。利用我们的安全检测算法，可在攻击发生时对其进行检测和阻止。因为这些都是云驱动的实时检测和保护系统，仅在云中进行身份验证时可用（包括直通身份验证）。

智能锁定

在云中，我们使用智能锁定来区分那些看似来自有效用户实则可能来自攻击者的登录尝试。我们可以在阻止攻击者的同时让有效用户继续使用帐户。这样可以防止对用户进行拒绝服务攻击，而且还能阻止疯狂的密码喷洒攻击。此做法适用于所有 Azure AD 登录（不论许可证级别如何）和所有 Microsoft 帐户登录。

自 2018 年 3 月起，使用 Active Directory 联合身份验证 (ADFS) 的租户在 Windows Server 2016 的 ADFS 中，将可以本机使用智能锁定（通过 Windows Upadate 可找到此功能）。

IP 锁定

IP 锁定的工作原理是分析数十亿次登录，针对每个登录 Microsoft 系统的 IP 地址，评估其流量特性。通过这种分析，IP 锁定能找到行迹可疑的 IP 地址并实时阻止这些登录。

攻击模拟

现提供公共预览版，利用 Office 365 威胁智能中的攻击模拟器，客户可以对他们的最终用户启动模拟攻击，确定用户在攻击事件中会作何反应，然后更新策略，确保相应的安全工具均已就位，保护组织免受密码喷喷洒攻击等威胁。

我们建议你尽快完成以下各项：

1. 如果你正在使用云身份验证，那么对你也适用
2. 如果你正在使用 ADFS 或其他混合方案，请查找 2018 年 3 月针对智能锁定的 ADFS 升级
3. 使用攻击模拟器主动提升安全状况并作出调整

步骤 2：使用多重身份验证

密码是访问帐户的钥匙，但在一次成功的密码喷洒攻击中，攻击者已经猜出了正确的密码。为了阻止他们，仅仅使用一个密码来区分帐户所有者和攻击者是不够的，我们还需要采取其他措施。为此，可以使用以下三种措施。

基于风险的多重身份验证

Azure AD Identity Protection 使用上述的登录数据并添加了高级计算机学习和算法检测，对每一个接入系统的登录进行风险评分。这样使得企业客户可以在 Identity Protection 中创建策略，当且仅当检测到用户或会话存在风险时，提示用户使用第二因素进行身份验证。这样既可以减轻用户的负担又能有效阻止攻击者。详细了解 Azure AD Identity Protection。

始终启用多重身份验证

为使安全性得到更进一步的提升，可以使用 Azure MFA 始终要求用户在云身份验证和 ADFS 中进行多重身份验证。此功能要求最终用户始终并更加频繁地对其设备执行多重身份验证，为所在企业提供超强的安全性。组织中的每个管理员都应启用此功能。详细了解 Azure 多重身份验证和如何配置 ADFS 的 Azure MFA。

使用 Azure MFA 作为主要身份验证方式

在 ADFS 2016 中，你可以使用 Azure MFA 作为无密码身份验证的主要身份验证方式。它是防御密码喷洒和密码盗窃攻击的有效工具：没有密码，就无法猜测密码。这对具有多种因素验证的所有设备类型都有效。此外，只有在使用 Azure MFA 验证 OTP 后，才能使用密码作为第二个因素。详细了解如何使用密码作为第二因素。

我们建议你尽快完成以下各项：

1. 我们强烈建议组织中的所有管理员启用“始终启用多重身份验证”，尤其是订阅所有者和租户管理员。说真的，即刻行动吧。
2. 为使其余用户获得最佳体验，我们建议使用 Azure AD Premium P2 许可证提供的“基于风险的多重身份验证”功能。
3. 否则，请使用 Azure MFA 进行云身份验证和 ADFS。
4. 对于 ADFS，在 Windows Server 2016 上升级到 ADFS 才能使用 Azure MFA 作为主要身份验证方式，对所有 Extranet 访问来说尤其如此。

步骤 3：让所有用户使用安全性更强的密码

即使有了所有上述措施，对所有用户而言，防御密码喷洒最关键的一点还是使用难以猜测的密码。对于用户而言，创建难以猜测的密码并不容易。Microsoft 的这些工具可助你一臂之力。

禁止密码

在 Azure AD 中，所有的密码更改和重置操作都要经过禁止密码检查程序。提交新密码时，系统会将其与一个单词列表进行模糊匹配，任何人都不应使用此列表中的单词创建密码（l33t-sp3@k 拼写没用）。如果匹配，系统将拒绝该密码，并要求用户选择更难猜测的密码。我们创建了最常被攻击的密码的列表，并且会时常更新。

自定义禁止密码

为使禁止密码更加有效，我们将允许租户自定义禁止密码列表。管理员可以选择组织中常见的单词（著名员工和创始人、产品、地点、区域图标等等），并禁止在用户密码中使用这些单词。除了全局列表之外，还将强制执行此列表，因此不必在两者之间进行选择。该功能现提供有限预览版，将在今年正式发布。

本地更改的禁止密码

今年春季，我们将推出一个工具，让企业管理员在混合 Azure AD-Active Directory 环境中禁止密码。禁止密码列表将从云同步到本地环境中，并在代理的每个域控制器上强制执行。这样可以帮助管理员确保无论用户在何处（云或者本地）更改密码，密码将难以猜测。这项功能将于 2018 年 2 月推出有限个人预览版并在今年正式发布。

改变你对于密码的观念

关于什么才是安全性高的密码，许多相关概念都是错误的。通常，数学上应该有用的东西实际上会产生可预测的用户行为。例如，要求某些字符类型和定期更改密码都会形成特定的密码模式。阅读密码指南白皮书了解详细信息。如果你正在使用带有 PTA 或 ADFS 的 Active Directory，请更新密码策略。如果你正在使用云托管帐户，请考虑将密码设置为永不过期。

我们建议你尽快完成以下各项：

1. 当 Microsoft 禁止密码工具发布时，请将其安装到本地，以帮助用户创建安全性更高的密码。
2. 检查密码策略并考虑将其设置为永不过期，使用户不使用季节性模式创建密码。

步骤 4：ADFS 和 Active Directory 中的更多出色功能

如果你正在使用 ADFS 和 Active Directory 的混合身份验证，可以采取更多步骤来保护环境免受密码喷洒攻击。

第一步：对于运行 ADFS 2.0 或 Windows Server 2012 的组织，请计划尽快移至 Windows Server 2016 中的 ADFS。最新版本即将更新并附带一系列丰富的功能，例如，Extranet 锁定。另请注意：我们已简化从 Windows Server 2012R2 升级到 Windows Server 2016R2 的过程。

阻止来自 Extranet 的旧式身份验证

旧式身份验证协议无法强制执行 MFA，因此最好的方式是阻止来自 Extranet 的身份验证。这将防止密码喷洒攻击者利用这些协议上缺少 MFA 的漏洞。

启用 ADFS Web 应用程序代理 Extranet 锁定

如果在 ADFS Web 应用程序代理中没有启用 Extranet 锁定，应尽快启用该功能，以保护用户免受潜在的密码暴力危害。

部署用于 ADFS 的 Azure AD Connect Health

Azure AD Connect Health 捕获 ADFS 日志中记录的 IP 地址，以获取错误的用户名/密码请求，提供有关一系列方案的其他报告，并在打开辅助支持案例时为支持工程师提供更多信息。

若要部署，请在所有 ADFS 服务器上下载用于 ADFS 的 Azure AD Connect Health 代理的最新版本 (2.6.491.0)。ADFS 服务器必须运行 Windows Server 2016 或安装了 KB 3134222 的 Windows Server 2012 R2。

使用无密码访问方式

没有密码，就无法猜测密码。这些无密码身份验证方式可用于 ADFS 和 Web 应用程序代理：

1. 基于证书的身份验证允许在防火墙彻底阻止用户名/密码终结点。详细了解 ADFS 中基于证书的身份验证
2. 如上所述，Azure MFA 可用作云身份验证和 ADFS 2012 R2 和 2016 的第二因素。但是，它也可用作 ADFS 2016 中的主要因素，以彻底阻止密码喷洒的可能性。了解如何使用 ADFS 配置 Azure MFA
3. Windows Hello 企业版在 Windows 10 中可用，并且受 Windows Server 2016 中的 ADFS 支持，它基于与用户和设备相关联的强加密密钥，能够实现完全无需密码（包括来自 Extranet）的访问。此功能适用于已加入 Azure AD 或混合 Azure AD 的企业托管设备，以及通过设置应用中的“添加工作或学校帐户”加入的个人设备。获取 Hello 企业版的详细信息。

我们建议你尽快完成以下各项：

1. 升级到 ADFS 2016 以更快获取更新
2. 阻止来自 Extranet 的旧式身份验证。
3. 在所有 ADFS 服务器上部署用于 ADFS 的 Azure AD Connect Health 代理。
4. 考虑使用无密码主要身份验证，例如 Azure MFA、证书或 Windows Hello 企业版。

附加优势：保护 Microsoft 帐户

如果你是 Microsoft 帐户用户：

• 好消息，你已受到保护！Microsoft 帐户还拥有智能锁定、IP 锁定、基于风险的双重验证以及禁止密码等功能。
• 但是，请花费两分钟时间转到 Microsoft 帐户的安全页，然后选择“更新安全信息”，检查基于风险的双重验证所用的安全信息
• 考虑从此处启用“始终打开双重验证”，最大限度提高帐户安全性。

最好的防御方式是…按照此博客中的推荐执行

密码喷洒会对 Internet 上使用密码的所有服务形成严重威胁，但是执行本博客中的步骤将在很大程度上帮助你防御这些攻击。并且，由于大多数的攻击特征相似，这些都是很好的保护建议，仅此而已。我们一直将安全性置于首位，不断努力开发新的、高级的保护方式，用于防御密码喷洒和所有其他类型的攻击。立即使用上述方法，时常检查新工具，防御 Internet 上的攻击者们。

希望这些信息能为你提供帮助。和往常一样，非常欢迎你提供任何反馈或建议。

此致，

Alex Simons (Twitter: @Alex_A_Simons)

项目管理总监

Microsoft 身份部门

The post Azure AD 和 ADFS 的最佳做法：防御密码喷洒攻击 appeared first on Microsoft 365 Blog.

希望你们和我一样，觉得今天的博文很有趣。本文简单易懂、轻松有趣，概述了对数字身份模式的未来的美好愿景。

在过去的一年中，我们致力于开发一系列使用区块链创建新型数字身份模式的创意，这种身份模式各方面的设计均旨在增强隐私性、安全性和控制。我们对学到的知识和在此过程中新形成的合作关系感到非常满意。借今天这个机会与大家分享我们的想法和未来的发展方向。本博客属于系列博文之一，前一篇为 Peggy Johnson 宣布 Microsoft 加入 ID2020 计划的博客文章。如果还没有看过 Peggy 的文章，建议先看一看。

我已邀请引领上述创意开发的团队的项目经理 Ankur Patel 带领我们讨论去中心化数字身份。他的文章主要分享了我们学到的一些核心知识以及我们在推动对这一领域的投资时使用的一些原则。

和往常一样，非常欢迎你告诉我们你的想法或提出建议。

此致，

Alex Simons (Twitter: @Alex_A_Simons)

项目管理总监

Microsoft 身份部门

———-

大家好，我是 Microsoft 身份部门的 Ankur Patel。非常荣幸能获得这次机会，向大家分享我们在开发基于区块链/分布式账本的去中心化身份的过程中学到的知识和对未来发展方向的看法。

现实情况

正如大家每天经历的那样，世界正在朝全球数字化转型，数字现实和物理现实正融合为一种现代生活方式。这个新世界需要一种新的数字身份模型，它能增强在物理世界和数字世界中个人的隐私和安全。

Microsoft 的云身份系统已为数千个开发者、组织和数十亿人的工作、娱乐等提供支持。而我们还可以为大家提供更多支持。我们渴望的世界是：如今数十亿没有可靠 ID 的人最终能实现我们共同的梦想 – 教育孩子、提高生活质量或创业。

为了实现这一愿景，我们认为个人拥有和控制其数字身份的所有元素至关重要。个人需要一个安全的加密数字中心，用于存储自己的身份数据并轻松控制对它的访问；而不是广泛地向无数应用和服务授权，使身份数据在众多提供商之间传播。

我们每个人都需要一个由自己拥有的数字身份，它能安全地存储数字身份的所有元素并确保隐私性。  这个自有身份必须易于使用，并使我们能够完全控制访问和使用身份数据的方式。

我们知道，没有任何一家公司或组织能独立实现这种自主的数字身份。我们致力于与客户、合作伙伴和社区紧密合作，共同开发基于数字身份的下一代体验。能与业内为这个领域做出了不可思议的贡献的许多人合作，我们深感荣幸。

我们学到的经验

今天，我们将分享在开发去中心化身份模型的过程中学到的知识，这一模型旨在提供更丰富的体验、增强信任、减少摩擦以及使每个人都能拥有和控制自己的数字身份。

1. 拥有并控制你的身份。 今天，用户广泛地向无数应用和服务授权，使其能在他们的控制之外收集、使用和保留数据。随着数据泄露和身份盗用变得越来越复杂和频繁，用户需要一种方法来获得对自己的身份的所有权。在研究了去中心化存储系统、一致性协议、区块链和各种新兴标准之后，我们认为区块链技术和协议非常适合用于去中心化 ID (DID)。
2. 全面的固有隐私设计。
   如今的应用、服务和组织提供方便、可预测的定制体验，这些体验依赖对身份相关数据的控制。我们需要一个安全加密的数字中心（ID 中心），它可以与用户的数据交互，同时尊重用户的隐私和控制权。
3. 赢得个人的信任，通过社区建立信任。
   传统的身份系统主要面向身份验证和访问管理。而自有身份系统还关注真实性以及社区建立信任的方式。在分散的系统中，信任基于认证：其他实体认可的声明，这有助于证明一个人身份的各个方面。
4. 应用和服务均以用户为中心。
   如今，最吸引人的一些应用和服务通过获得对用户个人身份信息 (PII) 的访问权限，为用户提供个性化的体验。DID 和 ID 中心可以使开发人员能够访问更精确的证明集，并通过处理此类信息来降低法律和合规风险，而不是代表用户控制这些信息。
5. 开放的、可互操作的基础。
   所有成员均可访问的可靠的去中心化身份生态系统必须以标准的开源技术、协议和参考实现为基础。去年，我们加入了去中心化身份联盟 (DIF)，和有着相似目标的个人和组织一起解决去中心化身份这一难题。我们正在合作开发以下关键组件：
   

• 去中心化标识符（简称 DID）- 这是一种 W3C 规范，定义用于描述去中心化标识符的状态的通用文档格式
  
• 身份中心 – 加密的身份数据存储，具有消息/意图中继、证明处理和特定于身份的计算终结点。
  
• 通用 DID 解析器 – 解析区块链中的 DID 的服务器
  
• 可验证的凭据 – 这是一种 W3C 规范，定义用于对基于 DID 的证明进行编码的文档格式。   
  

6. 为实现全球规模化做好了准备：
   为了支持广大的用户、组织和设备，底层技术必须具有与传统系统相同的规模和性能。一些公共区块链（比特币 [BTC]、Ethereum、Litecoin 等）为获取 DID 的 root 权限、记录 DPKI 操作和定位证明奠定了坚实的基础。虽然一些区块链社区增加了链上交易容量（例如增加块大小），但这种方法通常会使网络的去中心化状态降级，无法达到系统在世界范围内应达到的每秒数百万的事物处理量。为了克服这些技术障碍，我们正协作开发去中心化第 2 层协议，这些协议在公共区块链上运行，以实现全球规模，同时保留世界级 DID 系统的属性。
   
7. 所有用户均可访问：
   现在，区块链生态系统的用户仍然以早期采用者为主，他们愿意花时间和精力来管理密钥和保护设备。主流人群往往不愿意这样做。我们需要确保恢复、轮换和安全访问等管理难题直观且万无一失。
   

我们的后续步骤

我们往往在白板上构思出新的系统和重要创意。线条相互连接，设想看似稳固。然而，产品和工程团队从交付中学到的最多。

如今，数百万人已经使用 Microsoft Authenticator 应用来证明他们的身份。下一步，我们将向 Microsoft Authenticator 中添加对去中心化身份的支持，尝试使用去中心化身份。取得同意后，Microsoft Authenticator 将能够充当管理身份数据和加密密钥的用户代理。在此设计中，只有 ID 将链作为根。身份数据存储在使用这些加密密钥加密的链外 ID 中心（Microsoft 看不到）中。

一旦我们添加了此功能，应用和服务就能通过请求具体同意，使用通用消息传递渠道与用户数据交互。最初，我们将支持跨区块链的一组精选 DID 实现，将来可能会支持增多。

展望未来

面临如此巨大的挑战，我们又担心又激动，也知道我们无法独立战胜它。我们需要联盟伙伴、去中心化身份联盟的成员，以及由设计师、政策制定者、商业伙伴、硬件和软件开发商组成的多元化 Microsoft 生态系统的支持和投入。最重要的是，我们将需要你（我们的客户）在我们开始测试最初的一些方案时提供反馈。

本文是我们关于去中心化身份方面的工作的第一篇帖子。在即将发布的帖子中，我们将分享有关概念证明的信息以及上述关键领域的技术细节。

期待你和我们一起探索这个领域！

主要资源：

• 在 Twitter 上关注我们 @AzureAD
  
• 加入去中心化身份联盟 (DIF)
  
• 加入 W3C 凭证社区组
  

此致，

Ankur Patel (@_AnkurPatel)

首席项目经理

Microsoft 身份部门

The post 去中心化数字身份和区块链：我们眼中的未来 appeared first on Microsoft 365 Blog.

Azure AD 条件访问 (CA) 现已推出。世界各地的组织正在使用它来确保对应用程序的访问安全、合规。现在每个月都有超过 10,000 个组织和 1000 万名活跃用户在通过条件访问实施保护！我们的客户将其投入使用的速度之快令我们惊讶！

我们收到了很多关于条件访问对用户的影响的反馈。具体来说，如此强大的功能触手可及，你就需要一种方式来了解 CA 策略在各种登录条件下是如何影响用户的。

我们听取了反馈，而今天我很高兴宣布针对条件访问推出“What If”工具的公共预览版。What If 工具在你指定的条件下可帮助你了解策略对用户登录的影响。与其等待用户告诉你发生了什么，不如简单地使用 What If 工具。

入门

准备好开始使用这款工具了吗？只需按照以下步骤操作：

• 转到 Azure AD 条件访问
• 单击“What If”

• 选择要测试的用户

• [可选] 根据需要选择应用、IP 地址、设备平台、客户端应用和登录风险
• 单击“What If”，并查看将影响用户登录的策略

有时，你要试图回答的问题不是“将应用哪些策略”，而是“某项策略为何不适用？” 此工具也能帮你解答这一问题！切换到“不适用的策略”选项卡可查看策略名称；更重要的是，可查看未应用某项策略的原因。这不是很棒吗？

想要了解有关 What If 工具的详细信息？

欢迎提出意见和建议

这只是一个开始。我们已在致力于在该领域提供更多创新。我们一如既往地希望你就该预览版或与 Azure AD 条件访问相关的任何事项提供任何反馈或建议。我们甚至针对 What If 工具创建了一份简短调查，希望你勇于参与。

我们期待收到你的反馈！

此致，

Alex Simons (Twitter: @Alex_A_Simons)

项目管理总监

Microsoft 身份部门

The post 公共预览版：针对 Azure AD 条件访问策略的“What If”工具 appeared first on Microsoft 365 Blog.

如果你关注博客，就会知道我们支持许多将本地目录或 IAM 解决方案连接到 Azure AD 的选项。事实上，业内没有哪一家公司能提供和我们一样多的选项。

于是，客户常常会我推荐哪一个选项。我对于推荐哪一个总是有些犹豫。通过过去 6 年多在身份行业的工作中，我了解到每个组织都不相同，在部署速度、安全态势、投资能力、网络体系结构、企业文化、合规性要求和工作环境方面有不同的目标和要求。我们为你提供不同选择就是为了让你能选择最符合你的需求的选项。（当然，这并不表示我没有任何想法。如果是我自己的公司，我肯定会使用新的直通身份验证功能和 Azure AD Connect 同步。  它们部署速度快、维护成本低。但是，这只是我个人的意见！）

与其花大量时间考虑我或他人会推荐什么，不如看看客户实际使用的是什么？我觉得这是最好的开始。

Azure AD Momentum

首先，我想分享一些有关 Azure AD 整体使用情况的数字，以便了解下文中的更多数字。就 Azure AD 整体而言，使用基于云的基本身份服务的组织继续呈现强劲的增长势头，而 Azure AD Premium 增长速度加快。

最令我激动的趋势是将 Azure AD 与第三方应用程序配合使用呈现令人难以置信的大幅增长。每月有超过 30 万个第三方应用程序使用 Azure AD，许多组织将 Azure AD 作为首选的云身份平台。

将用户同步到 Azure AD

大多数 Azure AD 租户都是小型组织，不会将本地 AD 与 Azure AD 同步。较大的组织几乎都会同步，那些同步的组织代表了 Azure AD 中 9.5 亿用户帐户的 50% 以上。

以下是关于组织将用户同步到 Azure AD 的最新数据：

• 超过 18 万个租户将其本地 Windows Server Active Directory 同步到 Azure AD。
• 超过 17 万个租户使用 Azure AD Connect 进行同步。
• 少数客户使用其他解决方案：
  • 7% 使用旧版 DirSync 或 Azure AD Sync 工具。
  • 1.9% 使用 Microsoft Identity Manager 或 Forefront Identity Manager。
  • 1% 以下使用自定义或第三方解决方案。

使用 Azure AD 进行身份验证

我上次发布有关身份验证的帖子时，分享的数据基于身份验证量。你的反馈是，这样做很难在上下文中理解这些数字，你对活跃用户数更感兴趣。因此，本次更新中，我分享的数字基于月活跃用户数 (MAU)。

截至 10 月 31 日，Azure AD 的月活跃用户数已超过 1.52 亿。在这些活跃用户中：

• 55% 使用联合产品或服务进行身份验证。
• 24% 使用密码哈希同步进行身份验证。
• 21% 的用户仅使用云。
• 一个月前刚正式发布的 Azure AD 直通身份验证，其月活跃用户数已超过 50 万，而这个数字还在以每月 50% 的速度增长！

进一步深入研究，还能发现一些更有趣的数据：

• 46% 的活跃用户使用 AD 联合身份验证服务进行身份验证。
• 只有超过 2% 的活跃用户使用 Ping Federate 进行身份验证。Ping 是增长最快、最受欢迎的第三方选择。
• 2% 的活跃用户使用 Centrify、Okta 或 OneAuth 等第三方 IDaaS 服务进行身份验证。
• 1% 的活跃用户使用 Ping Federate 以外的第三方联合服务器进行身份验证。

主要结论

这些数据非常有趣，强调了以下几个趋势：

1. Azure AD Connect 已成为在 Windows Server AD 和 Azure AD 之间同步的标准方法。现有超过 90% 的同步租户在使用它。
2. Azure AD 密码哈希同步已经成为拥有数千万月活跃用户的客户的一个非常受欢迎的选择。
3. 随着越来越大的企业开始使用 Azure AD，Ping Federate 越来越受欢迎。我们与 Ping 的合作确实为这些大客户带来了回报。
4. 无论新闻报道和市场宣传如何，其他 IDaaS 供应商仍然只占 Azure AD/Office365 业务的一小部分。
5. 我们一个月前才正式发布的新直通身份验证选项，月活跃用户数已超过 50 万，迎来开门红！如果按当前的趋势发展下去，在未来半年到一年的时间内，它的独立用户数将超过所有其他 IDaaS 供应商独立用户数之和。

总结

就像上次一样，这些数字说明了一个非常清楚的事实。Azure AD 的设计开放且基于标准，使客户能够使用各种第三方选项。但是，大多数客户认为我们“现成的”身份解决方案满足他们的需求。数字还在继续增长。

此外，这些数据还表明 Azure AD Connect 的简洁性具有重大影响。该解决方案正在被广泛采用，而且显然是用于连接 Windows Server AD 和 Azure AD/Office 365 的选项中增长速度最快的选项。

希望你觉得此博客文章有趣且有用！和往常一样，非常欢迎你提供任何反馈或建议。

此致，

Alex Simons (Twitter: @Alex_A_Simons)

项目管理总监

Microsoft 身份部门

The post 组织如何将本地标识连接到 Azure AD appeared first on Microsoft 365 Blog.

今天，我很高兴地通知大家，我们刚刚启用了 Microsoft Teams 中的来宾访问，来宾访问功能基于 Azure AD B2B 协作功能构建！

现在，你可以在 Teams 中实现合作伙伴协作，以进行跨聊天、应用和文件共享的交互，所有这些功能都易于使用，而且 Azure Active Directory 长期以来一直为你的员工提供企业级保护。

现在，任何组织中拥有 Azure Active Directory 帐户的人都可以作为 Microsoft Teams 中的来宾用户受到邀请！

客户已使用 Azure AD B2B 功能创建了超过 800 万来宾用户，而这只是个开始。添加对 Microsoft Teams 的支持一直是客户的首要要求，因此我们很高兴能够顺势而为，启用这项新功能。我希望你会立即试用！

请立即登录 Teams，邀请合作伙伴与你合作。

和以前一样，如果你有任何反馈、意见和建议，请联系我们。你知道我们一直乐意倾听你的反馈！

此致，

Alex Simons (@Twitter: @Alex_A_Simons)

项目管理总监

Microsoft 身份部门

另外：我们已经开始在 Teams 中添加其他 Azure AD 功能，包括对使用公司或使用者电子邮件帐户的外部用户的支持。很快就会有更多消息！

The post Microsoft Teams 中的 Azure AD B2B 协作 appeared first on Microsoft 365 Blog.

今天跟大家分享一些好消息！Gartner 发布了 2017 年访问管理魔力象限 (AM MQ)，这表明 Microsoft 在愿景完成度和执行力方面处于领先者象限。

AM MQ 是一个新的 MQ。它是已中断的 IDaaS MQ 中的单独实体，这是它第一次发布。Azure Active Directory 是报告中评估的产品。

Gartner 2017 访问管理魔力象限

我们与 Gartner 合作，提供免费的报告副本，你可以访问此处获取

我们认为，Microsoft 的让人赞叹的成果验证了我们的愿景（即为员工、合作伙伴和客户提供完整的身份和访问管理解决方案），所有这些都由基于 Microsoft Intelligent Security Graph 的世界级身份保护支持。

我们相信 Gartner 的分析充分说明了我们在身份和访问管理方面的承诺。但是更重要的是，Microsoft 认为这是对我们的客户、实施合作伙伴以及与我们合作的 ISV 合作伙伴的肯定，他们每天都花费时间和精力确保我们构建的产品和服务满足他们的需要，并使他们能够在由云技术不断推动的世界中蓬勃发展。

我们承诺继续提供创新能力，以满足你在身份和访问管理方面的需求，并进一步提高我们在 Gartner AM MQ 领导者象限中的地位。

此致，

Alex Simons (Twitter: @Alex_A_Simons)

项目管理总监

Microsoft 身份部门

The post Azure AD 在 Gartner 的 2017 年访问管理魔力象限中成为领导者象限！ appeared first on Microsoft 365 Blog.