今天有一些好消息要與您們分享！Gartner 連續第二年根據我們在存取權管理市場的願景完整性與執行能力，將 Microsoft 定位在全球「2018 年存取權管理魔力象限」中的領導者象限。在這裡取得免費的報告複本以了解原因。

根據 Gartner 的報告，領導者展現出具有強大執行力的證據，可滿足技術、方法或交付方式相關的預期需求。領導者也展現出存取權管理如何在相關或相鄰的產品方案組合中發揮作用的證據。

在領導者象限的願景方面領先群雄

Microsoft 連續第二年在領導者象限的願景完整性方面，位居領先地位。我們相信，在執行力方面的躍進也說明了執行策略的重要性，該策略可協助現在所處的組織，並為未來的身分識別需求做好準備。

Microsoft 提倡條件式存取原則和身分識別威脅防護，做為世界級身分識別與存取權管理解決方案的重要功能。做為具有 Windows 10、Office 365 和 EMS 之豐富生態系統的一部分，我們努力整合產品的安全性原則，讓您能夠了解並控制完整的使用者體驗。我們今年也採用客戶的深入解析和意見反應來改善體驗，讓您更輕鬆地集中取得所有身分識別。我們致力於為您的員工、合作夥伴和客戶提供創新且全面的身分識別與存取權管理解決方案。

如果沒有客戶和合作夥伴的意見和支持，我們就無法繼續成為這個領域的領導者，感謝您！

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

重要注意事項：

此圖由 Gartner, Inc. 發表，僅為大型研究文件的一部分，應以整個文件的內容進行評估。Gartner 文件可根據 Microsoft 的要求提供。

Gartner 不對其研究出版物中所述的任何廠商、產品或服務做背書，也不建議技術使用者只選擇那些評價最高或其他指定的廠商。Gartner 研究出版物包含 Gartner 研究組織的觀點，不應被解釋為事實陳述。Gartner 對這項研究不提供明示或默示的所有擔保，包括適售性之任何擔保或符合特定目的之任何擔保。

The post 願景與執行：Microsoft 再度位居 Gartner 存取權管理魔力象限的領導者 appeared first on Microsoft 365 Blog.

只要您有過密碼，就一定會有人去猜它是什麼。這篇部落格文章中，我們要討論的是一種最近變得極其頻繁的常見攻擊，並告訴您幾種防禦的最佳做法。這種攻擊一般稱為「密碼噴濺」。

在密碼噴濺攻擊中，攻擊者會使用許多不同帳戶與服務中最常見的密碼，去嘗試存取任何他們能找到的密碼保護資產。這些攻擊通常可能橫跨許多不同組織和識別提供者。舉例來說，攻擊者會使用 Mailsniper 這類容易取得的工具組去羅列出數個組織中的所有使用者，然後嘗試用「P@$$w0rd」和「Password1」去登入這些帳戶。為了讓您清楚了解，這種攻擊行為可能像這樣：

這種攻擊模式避開了大多數偵測技術，因為以個別使用者或公司的角度來說，這類攻擊看起來就只像是獨立的登入失敗行為。

但對攻擊者來說，這是一場以量取勝的遊戲：他們知道有某些密碼確實極為常見。即便使用這些最常用密碼的帳戶只佔了總帳戶量的 0.5 到 1.0%，但只要每千個帳戶中能讓攻擊者取得幾次成功，攻擊就已經算是有效了。

他們會使用這些帳戶去取得電子郵件中的資料、搜集連絡人資訊並傳送網路釣魚連結，或是單純拓展密碼噴濺的目標群。攻擊者不在乎自己攻擊的目標到底是誰，只要能獲得可以利用的成功結果就好。

好消息是，Microsoft 已經實作了許多能夠干擾這些攻擊效能的工具，並會推出更多工具。請閱讀下文來了解您可以在現在與未來幾個月中採取哪些動作，以阻止密碼噴濺攻擊。

4 個能輕鬆干擾密碼噴濺攻擊的步驟

步驟 1：使用雲端驗證

在雲端，我們每天會看到數十億次登入 Microsoft 各項系統的活動。我們的安全性偵測演算法能讓我們偵測攻擊，並在攻擊發生的當下便加以阻擋。因為這些即時偵測與防護系統是從雲端驅動，所有只有在您從雲端進行 Azure AD 驗證時能夠使用 (包括 傳遞驗證)。

智慧鎖定

我們會在雲端使用智慧鎖定來區別哪些登入看起來是來自有效使用者，哪些登入則可能是攻擊者。我們能封鎖攻擊者，並讓有效使用者繼續使用帳戶。這能防範使用者受到服務拒絕，並且阻止過於急切的密碼噴濺攻擊。我們已將這項功能應用到任何授權等級的 Azure AD 登入，以及所有的 Microsoft 帳戶登入。

2018 年 3 月起，使用 Active Directory 同盟服務 (ADFS) 的租用戶將能在 Windows Server 2016 的 ADFS 中使用智慧鎖定功能，請留意 Windows Update 以獲得這項功能。

IP 鎖定

IP 鎖定的運作方法是透過分析數十億次登入活動，來評定每組 IP 位址對 Microsoft 各系統存取活動的品質。IP 鎖定能以這項分析找出行為可疑的 IP 位址，並即時封鎖登入。

攻擊模擬

攻擊模擬器現在已提供公開預覽，身為 Office 365 威脅情報一員的它，能讓客戶對其使用者展開模擬攻擊，判斷使用者在攻擊事件中會如何反應，並更新原則以確保已使用適當的安全性工具，保護貴組織不受密碼噴濺攻擊等威脅。

我們建議您盡速執行下列事項：

1. 如果您正在使用雲端驗證，您便已受到保護
2. 如果您使用 ADFS 或其他混合式案例，請參閱 2018 年 3 月的 ADFS 升級來獲得智慧鎖定功能
3. 請使用攻擊模擬器來主動評估您的安全性狀態，並進行調整

步驟 2：使用多重要素驗證

密碼是存取帳戶的鑰匙，但攻擊者就是猜對了密碼，才會讓密碼噴濺攻擊成功。為了阻止這些攻擊者，我們需要使用密碼以外的東西來分辨帳戶擁有者與攻擊者。以下是三種能夠達成此目標的做法。

風險型多重要素驗證

Azure AD Identity Protection 會使用前述登入資料加上進階機器學習與演算法偵測，為進入系統的每一次登入評定風險分數。這能讓企業客戶在 Identity Protection 中建立原則，如果偵測到使用者或該次工作階段有風險，系統就會提示使用者使用第二重要素進行驗證。這能減少使用者的負擔，並阻礙惡意人士。請在此深入了解 Azure Active Directory Identity Protection。

常駐型多重要素驗證

如果需要更高的安全性，您可以使用 Azure MFA 來要求使用者無論是在雲端驗證或 ADFS 中，「每次」都需要進行多重要素驗證。這會需要使用者在每一次登入時都持有他們的裝置，並且更頻繁地進行多重要素驗證，以提供貴企業最高的安全性。您應該對組織中的每位系統管理員啟用此功能。請在此深入了解 Azure Multi-Factor Authentication，以及如何設定 ADFS 的 Azure MFA。

以 Azure MFA 做為主要驗證

在 ADFS 2016 中，您能夠使用 Azure MFA 做為無密碼驗證的主要驗證方式。這項極佳工具能防範密碼噴濺和密碼竊取攻擊：畢竟，如果沒有密碼，也就沒有目標可以猜測了。這適用於擁有不同要素形式的所有類型裝置。此外，您現在只能在使用 Azure MFA 驗證了 OTP 後，才能將密碼當成第二要素。請在此深入了解如何使用密碼做為第二要素。

我們建議您盡速執行下列事項：

1. 我們強烈建議您針對組織中的「所有系統管理員」啟用常駐型多重要素驗證，特別是訂閱擁有者和租用戶系統管理員。真的，請立即執行此動作。
2. 為了讓其餘使用者獲得最佳體驗，我們建議您為他們啟用風險型多重要素驗證，Azure AD Premium P2 授權能夠提供這項功能。
3. 否則，請針對雲端驗證與 ADFS 使用 Azure MFA。
4. 在 ADFS 中，請在 Windows Server 2016 上升級至 ADFS，以便使用 Azure MFA 做為主要驗證方式，特別是針對您所有的外部網路存取。

步驟 3：讓每個人使用更適當的密碼

即使您採取了上述所有動作，密碼噴濺防禦關鍵元素還是讓「所有」使用者擁有難以猜測的密碼。讓使用者了解如何建立難以猜測的密碼常常是件難事。Microsoft 能使用下列工具協助您實現這一目標。

禁用密碼

在 Azure AD 中，每次密碼變更和重設都要受到禁用密碼檢查器檢驗。有人提交新密碼時，系統會將該密碼與一系列字詞清單進行模糊比對，這些字詞是任何人都不應該使用在密碼中的詞彙 (就算以 l33t-sp3@k 等 Leet 拼寫也無法逃避比對)。如果有符合項目，那麼系統會拒絕該組新密碼，並要求使用者選擇更難猜測的密碼。我們打造了這份最常受到攻擊的密碼清單，並時常更新。

自訂禁用密碼

為了讓禁用密碼功能更完善，我們將會允許租用戶自訂禁用密碼清單。系統管理員能選擇其組織常見的字詞，例如有名的員工或創辦人、產品、地點、地區特點等等，以防止使用者在密碼中使用這些詞彙。我們會將這份清單強制新增到全球適用的清單中，讓您不需要在清單之間抉擇。這項功能目前處於有限預覽版狀態，並將在今年推出。

針對內部部署變更的禁用密碼

今年春天，我們推出了能讓企業系統管理員在混合式 Azure AD-Active Directory 環境中禁用密碼的工具。禁用密碼清單會從雲端同步至您的內部部署環境中，並在擁有該代理程式的每個網域控制站上強制執行。無論使用者在雲端或內部部署中變更密碼，這項功能都可以協助系統管理員確保其他人更難猜對其密碼。我們已於 2018 年 2 月推出此功能的有限私人預覽版，並將於今年推行至全球。

改變您對密碼的認知

很多關於良好密碼的常見觀念都是錯誤的。通常，越符合數學邏輯的觀念越容易造成可預測的使用者行為：例如，要求使用特定字符類型和要求週期性變更密碼，都會造成特定的密碼模式。請參閱我們的密碼指導方針白皮書來了解更多詳細資料。如果您搭配 PTA 或 ADFS 使用 Active Directory，請更新您的密碼原則。如果您使用雲端管理帳戶，請考慮將密碼設定為永不到期。

我們建議您盡速執行下列事項：

1. 請在 Microsoft 禁用密碼工具內部部署發行後立即安裝，這能協助您的使用者建立更適當的密碼。
2. 請檢閱您的密碼原則，並考慮將密碼設定為永不到期，這樣您的使用者就不會使用季節性模式來建立密碼。

步驟 4：使用 ADFS 與 Active Directory 中其他強大功能

如果您搭配 ADFS 與 Active Directory 使用混合式驗證，可以採取更多步驟來保護您的環境不受密碼噴濺攻擊。

第一個步驟：如果是運行 ADFS 2.0 或 Windows Server 2012 的組織，請您盡速規劃移轉至 Windows Server 2016 中的 ADFS。這份最新版本能夠更快更新，讓您擁有外部網路鎖定等更豐富的功能。同時也請您記得：從 Windows Server 2012R2 升級到 2016 其實非常簡單。

封鎖來自外部網路的舊版驗證

舊版證通訊協定無法強制執行 MFA，因此最好的方法是封鎖來自外部網路的舊版驗證。此步驟會防止發起密碼噴濺攻擊的人利用這些缺乏 MFA 的通訊協定。

啟用 ADFS Web 應用程式 Proxy 外部網路封鎖功能

如果您尚未啟用 ADFS Web 應用程式 Proxy 的外部網路封鎖功能，您應該盡速啟用此功能，以保護您的使用者免受潛在暴力破解密碼攻擊侵犯。

部署適用於 ADFS 的 Azure AD Connect Health

Azure AD Connect Health 能擷取 ADFS 記錄中使用者名稱/密碼不良要求的 IP 位址，這能讓您獲得一系列案例的額外報告，並在開啟輔助支援案例時，提供更多深入解析來支援工程師。

若要進行部署，請在所有 ADFS 伺服器 (2.6.491.0) 上下載適用於 ADFS 的 Azure AD Connect Health 代理程式。ADFS 伺服器必須執行安裝了 KB 3134222 的Windows Server 2012 R2，或是 Windows Server 2016。

使用非密碼式存取方法

不用密碼，就沒有密碼會受到猜測。下列非密碼式驗證方法可供 ADFS 和 Web 應用程式 Proxy 使用：

1. 憑證式驗證能讓防火牆完全封鎖使用者名稱/密碼端點。深入了解 ADFS 中的憑證式驗證
2. 如前文所述，您可以在雲端驗證、ADFS 2012 R2 與 ADFS 2016 中，把 Azure MFA 當成第二要素使用。但您也可以將它當成 ADFS 2016 中的主要要素，完全阻止任何密碼噴濺的可能性。請在此了解如何設定 Azure MFA 搭配 ADFS
3. Windows 10 提供的 Windows Hello 企業版 (於 Windows Server 2016 內受 ADFS 支援) 能夠依據使用者與裝置使用的強式密碼編譯金鑰，提供包括外部網路在內的完全無密碼存取。已加入 Azure AD 或已加入混合式 Azure AD 的公司管理裝置可以使用此功能，同時，個人裝置也可透過設定 App 的 [新增公司或學校帳戶] 選項來使用此功能。獲得更多關於 Hello 企業版的詳細資訊。

我們建議您盡速執行下列事項：

1. 升級至 ADFS 2016 以更快獲得更新
2. 封鎖來自外部網路的舊版驗證。
3. 在所有 ADFS 伺服器上部署適用於 ADFS 的 Azure AD Connect Health 代理程式。
4. 考慮使用無密碼主要驗證方法，例如 Azure MFA、認證或 Windows Hello 企業版。

額外動作：保護您的 Microsoft 帳戶

如果您是 Microsoft 帳戶使用者：

• 好消息，您已經受到保護了！Microsoft 帳戶也擁有智慧鎖定、IP 鎖定、風險型雙步驟驗證、禁用密碼等多種功能。
• 不過，請您還是花兩分鐘前往 Microsoft 帳戶的安全性頁面並選擇 [更新您的安全性資訊]，以檢閱風險型雙步驟驗證所使用的安全性資訊。
• 請考慮在這裡開啟常駐型雙步驟驗證，讓您的帳戶獲得最高的安全性。

最好的防禦是…遵循本部落格中的建議

對於網際網路上使用密碼的任何服務而言，密碼噴濺都是非常嚴重的威脅，不過，採取本部落格中的步驟能夠提供您最大保護，防禦這類攻擊媒介。同時，因為有多種攻擊都擁有類似的特徵，這些步驟就成了您最好的防禦建議。您的安全永遠都是我們最先考量的首要任務，我們也會持續致力於開發新的進階防護措施，以防範密碼噴濺和其他任何一種攻擊。只要您立即採用上述步驟並時常回頭檢查是否有新工具，就能防禦網際網路上的惡意人士。

我希望您覺得這些資訊對您有所幫助。如同以往，我們非常歡迎您提供任何意見反應或建議。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

The post Azure AD 與 ADFS 最佳做法：防禦密碼噴濺攻擊 appeared first on Microsoft 365 Blog.

我希望您和我一樣也對今天的文章內容感興趣。這有點是讓大腦放鬆，並概述數位身分識別未來令人興奮的願景。

過去 12 個月，我們投資了一系列使用區塊鏈 (與其他分散式總帳技術) 的創意培育計劃，來建立新型數位身分識別，從頭開始設計身分識別，以強化個人隱私權、安全性和控制度。我們對於所學到的經驗以及在過程中形成的新合作夥伴關係感到非常興奮。今天我們要藉此機會與您分享我們的想法和未來走向。這篇部落格文章是系列文章的其中一篇，是接續 Peggy Johnson 的宣布 Microsoft 加入 ID2020 計劃部落格一文。如果您尚未讀過 Peggy 的文章，我建議您先行閱讀。

我邀請了小組中負責領導這些培育計劃的計劃經理 Ankur Patel，開始與我們討論關於分散式數位身分識別。他的文章著重於分享我們學到的一些核心內容，以及我們用來向前推動這類領域投資的一些結果準則。

如同以往，我們非常歡迎您提供想法和意見反應。

謝謝您，

Alex Simons (Twitter：@Alex_A_Simons)

計劃管理總監

Microsoft 身分識別部門

———-

大家好，我是 Microsoft 身分識別部門的 Ankur Patel。很榮幸有這個機會能和您分享所學的一些經驗和未來走向，這些都是我們在培育以區塊鏈/分散式總帳為基礎之分散式身分識別的過程所做的努力。

我們的發現

正如您每天感受的許多體驗，這個世界正在經歷一場全球性數位轉型，數位與實際現實的界線正逐漸模糊成單一整合式的現代生活方式。新的世界需要新的數位身分識別模型，而這個新模型要能同時在實際與數位世界中強化個人的隱私權和安全性。

Microsoft 的雲端身分識別系統已讓數千個開發人員、組織與數十億人能夠工作、玩樂，並達成更多目標。然而，我們還可以做更多努力來賦予每個人能力。我們渴望建立一個世界，讓今日生活在沒有可靠身分識別的數十億個人，最終能夠實現我們大家分享的夢想，例如教育孩子、改善生活品質或創業。

為了達成這項願景，我們相信個人擁有並控制其數位身分識別的所有元素是至關重要的。個人需要的是一個能讓他們能儲存身分識別資料並輕鬆掌控存取權的安全加密數位中心，而不是授與無數 App 和服務各種權限，讓自己的身分識別資料散佈給無數的提供者。

我們每個人都需要專屬的數位身分識別，要能安全且私密地儲存數位身分識別的所有元素。  這個自我專屬的身分識別必須簡單好用，並能讓我們完整掌控自己身分識別資料的存取和使用方式。

我們知道，實現這種自我主權的數位身分識別遠大於任何單一公司或組織。我們致力於與客戶、合作夥伴和社群緊密合作，以充分發揮新一代數位身分識別型的體驗，而且我們很高興能與產業內在此領域有卓越貢獻的許多人士一起合作開發。

我們所學的經驗

為達此目的，我們今天要以我們在分散式身分識別培育計劃所學的經驗為基礎，與您分享我們的寶貴想法，以實現豐富的體驗為目標所做的努力、提升信任度並減少摩擦，同時讓每個人都能擁有並掌控他們的數位身分識別。

1. 擁有並掌控您的身分識別。 現今的使用者授與無數 App 和服務各種權限來收集、使用並保留資料，卻超越能掌控的範圍。隨著資料外洩與身分識別盜用事件越來越複雜且頻繁，使用者需要一種能夠掌握其身分識別的方式。在測試過分散式儲存系統、共識通訊協定、區塊鏈和各種新興標準之後，我們相信區塊鏈技術與通訊協定都適合用來實現分散式身分識別 (DID)。
2. 從頭開始打造著重隱私權的設計。
   現今的 App、服務和組織能提供方便、可預測、量身打造的體驗，全都仰賴控制與身分識別繫結的資料。我們需要一個能與使用者資料互動的安全加密數位中心 (ID Hub)，同時尊重使用者隱私權與控制權。
3. 由個人獲得、由社群建立的信任。
   傳統身分識別系統主要針對驗證與存取管理而開發。自我專屬的身分識別系統加入了對真確性的關注，以及社群建立信任的方式。分散式系統中的信任是以證明為基礎：也就是來自其他實體認可的宣告，這能協助從多方面來證明某人的身分識別。
4. 以使用者為中心建置的 App 與服務。
   現今某些最吸引人的 App 與服務都是藉由獲取使用者的個人識別資訊 (PII)，來提供使用者個人化體驗。DID 和 ID Hub 能讓開發人員獲得更精確的證明集存取權，同時透過處理而非代表使用者進行控制這類資訊的方式，來降低法律與合規性風險。
5. 開放式、互通的基礎。
   為了建立能存取所有資訊的強大分散式身分識別生態系統，它必須以標準且開放原始碼的技術、通訊協定和參考實做為基礎。過去幾年，我們參加了分散式身分識別基金會 (DIF)，該基金會是由擁有同樣的動機而想接受這項挑戰的個人和組織所組成。我們合作開發下列重要元件：
   

• 分散式識別碼 (DID)：這是一種定義常見檔案格式的 W3C 規格，可用來描述分散式識別碼的狀態
  
• 身分識別中心：這是一種提供訊息/意圖轉送、證明處理和特定身分識別計算端點的加密身分識別資料存放區。
  
• 通用 DID 解析程式：跨區塊鏈解析 DID 的伺服器
  
• 可驗證的認證：這是一種定義文件格式的 W3C 規格，可用來編碼 DID 型證明。
  

6. 為全球規模做好準備：
   為了支援眾多的全球使用者、組織和裝置，基礎技術必須具有與傳統系統相當的規模與效能。部分公開區塊鏈 (舉例而言，比特幣 [BTC]、Ethereum、萊特幣等) 為根 DID (Rooting DID)、記錄 DPKI 作業和錨定證明提供了扎實的基礎。雖然部分區塊鏈社群提升了鏈上交易功能 (例如增加區塊大小)，但這種方法通常會降低網路的分散式狀態，且無法達到系統在全球規模範圍內會產生的每秒數百萬次交易量。為了克服這些技術障礙，我們正針對在這些公開區塊鏈上執行的分散式第 2 層通訊協定進行共同作業，以達成全球規模，同時保留世界級 DID 系統的屬性。
   
7. 所有人都能存取：
   現今的區塊鏈生態系統大多仍是願意花時間、心力並有熱忱來管理金鑰並保護裝置的早期採用者。這並不是我們期待主流人員去處理的工作。我們需要以直覺且萬無一失的方式克服關鍵的管理挑戰，例如復原、變換和安全存取。
   

我們的後續步驟

新的系統和大膽的創意在白板上通常都很合理。所有線索都能夠彼此連結，而且假設似乎也很實在。不過，產品和工程小組在推出的過程中學到的最多。

現在，每天都有數百萬人使用 Microsoft Authenticator App 來證明其身分識別。我們的下一步將是透過在 Microsoft Authenticator 上加入支援分散式身分識別來進行試驗。經過您的同意，Microsoft Authenticator 能夠做為您的使用者代理程式，來管理身分識別資料與密碼編譯金鑰。在這個設計中，只有身分識別會在鏈上進行根處理。系統會使用這些密碼編譯金鑰將身分識別資料儲存在經過加密的鏈外 ID Hub (Microsoft 看不到) 中。

在我們新增這項功能後，App 與服務將能藉由要求精確同意來使用常見的傳訊管道，進而與使用者資料互動。我們在初期將支援一組所選的跨區塊鏈的 DID 實作，我們在未來可能會加入更多支援。

未來展望

我們對於能接受如此巨大的挑戰感到謙虛和興奮，同時也了解這並不是能單獨達成的目標。我們持續倚賴聯盟合作夥伴和分散式身分識別基金會的成員，以及 Microsoft 生態系統中各種設計師、原則制定者、商務合作夥伴、軟硬體製造商的支援和投入的心力。最重要的是我們需要您，需要我們的客戶在我們開始測試第一組案例時提供意見反應。

這是關於我們對分散式身分識別投注心力的第一篇文章。在後續文章中，我們將分享相關的概念證明資訊，以及上述關鍵領域的技術詳細資料。

我們期待您加入我們的冒險行列！

重要資源：

• 前往 Twitter 的 @AzureAD 關注我們
  
• 參與分散式身分識別基金會 (DIF)
  
• 加入 W3C Credentials Community Group
  

謝謝您，

Ankur Patel (@_AnkurPatel)

首席計劃經理

Microsoft 身分識別部門

The post 分散式數位身分識別與區塊鏈：我們看到的未來 appeared first on Microsoft 365 Blog.

我們今天在 Microsoft Ignite 宣布我們要在數位時代提升第一線員工工作效率的新願景，並向大家介紹 Microsoft 365 F1，它是整合了 Office 365、Windows 10 和 Enterprise Mobility + Security 的新產品，可為所有員工提供完整的智慧型解決方案來提升工作效率。

現代化工作場所要求公司必須滿足新員工的期望、讓分佈範圍更廣的員工能夠彼此聯繫，以及提供能讓所有員工建立、創新和共同作業的工具，以解決客戶和業務上的問題。真正現代化的工作場所能夠徹底發揮員工的潛力、建立創新且具行動力的文化，同時歡迎從執行小組到第一線員工的所有員工，並提升他們的工作效率。

第一線員工佔全球勞動力的絕大部分，這類員工包括櫃台服務人員、電話客服人員、診所助理、商店店員和現場服務人員，全球總人數約為 20 億人。他們是企業品牌的門面，通常會最先與客戶接觸，也是第一個親身體驗產品與服務的人員。這類員工支持著世界上多數大型產業，少了他們，許多企業就無法將目標付諸實行。

我們認為，科技可為第一線員工帶來更直覺化、更身歷其境，以及更有工作效率的體驗。Microsoft 具備獨特的優勢，我們的商業產品可協助公司發掘第一線員工的潛能；這些產品包括 Microsoft 365、Dynamics 365、Microsoft IoT、Microsoft AI，以及 Microsoft HoloLens 與 Windows Mixed Reality 生態系統。

推出 Microsoft 365 F1 代表我們跨出了重要的下一步，邁向我們利用科技來提升每位員工的工作效率，進而讓第一線員工能夠加入數位轉型的願景。

改變第一線員工的體驗

Microsoft 365 F1 內含可讓每位員工將構想化為行動所需的功能和工具。Skype 會議廣播可用於召開互動式的員工座談會，Yammer 則能協助員工在整個公司中尋找和分享最佳做法，藉此促進文化及社群的發展。

Microsoft 365 F1 能讓您輕鬆地訓練員工並提高他們的工作技能，您可以使用 Microsoft Stream 來分享動態的角色型內容和影片、利用 SharePoint 輕鬆發佈入職和訓練資料，並且安全地集中管理制度方面的知識。

Microsoft 365 F1 可支援第一線的生產力並將商務程序數位化，當中的 Microsoft StaffHub 是專為第一線員工建置的 App，可讓他們管理工作日並利用 Microsoft PowerApps 和 Microsoft Flow 將每日活動自動化。今天，我們宣布 StaffHub 將推出新功能，包括讓員工打卡簽到/簽退及追蹤工作等功能。此外，我們還將傳訊功能與 Microsoft Teams 這個團隊合作中心整合，並突顯 Yammer 中的企業公告，讓員工能更輕鬆地在 StaffHub 中隨時保持聯繫。最後，我們提供一般性 API，讓客戶能夠為 StaffHub 與員工管理系統和其他工具建立連結。

Microsoft 365 F1 能夠簡化 IT 管理程序、將成本降到最低，並為每個員工和端點提供安全防護。Azure Active Directory 提供員工身分識別和存取權限的管理功能，Microsoft Intune 則可協助您確保裝置安全性。此外，Windows 10 的新功能可簡化第一線員工體驗的管理作業，您可以使用 Windows 受指派的存取權鎖定單一用途裝置，也可以運用 Windows AutoPilot 將部署作業自動化。

我們深知企業必須為第一線員工提供簡單且安全的裝置，因為這麼做有助於大幅降低擁有權總成本。我們在此宣佈，我們的 OEM 合作夥伴 HP、Lenovo 和 Acer 將製造全新 Windows 10 S 商用裝置。這些裝置的最低價為 $275 美元，當中具有雲端式身分識別和管理功能，最適合在第一線的環境中使用。

很榮幸有這個機會協助提升第一線員工的工作效率，日後我們將陸續推出相關的新功能和服務！

若要深入了解我們的願景，請瀏覽我們全新的第一線員工網頁並參閱下表，了解 Microsoft 365 F1 所包含的內容。

– Bryan Goode

The post Microsoft 365：所有工作者的福音 appeared first on Microsoft 365 Blog.