即將推出使用 FIDO2 以無密碼方式登入 Windows 10 和 Azure AD (還有其他酷炫消息)!
大家好, 今天,我想向大家介紹一些令人驚豔的新功能,這些都是我們一直開發的功能,相信大家都會感到非常振奮。具體而言,我們今天要宣布下列項目: 我們將在下一個 Windows 10 更新中,提供使用 FIDO2 安全性金鑰以無密碼方式登入的有限預覽版 (即將在今年春天推出)。 Azure AD 條件式存取原則現在可以檢查 Windows Defender 進階威脅防護回報的裝置健康情況。 Azure AD 存取權檢閱、Privileged Identity Management 和使用條款功能現在皆已公開推出。 使用新增的網域允許和拒絕清單,Azure AD B2B 共同作業現在讓您能夠控制與您共同合作的合作夥伴組織。 如需更多詳細資料,請繼續捲動! 我們將在下一個 Windows 10 更新中,提供使用 FIDO2 安全性金鑰以無密碼方式登入的有限預覽版 (即將在今年春天推出)。 如果您希望大幅改善您的安全性狀態、降低網路釣魚攻擊風險,以及減少密碼管理成本,那麼您就會喜歡我們對 Windows 10 新增的 FIDO2 支援所做的努力。 我們將在下一個 Windows 10 更新中,新增 FIDO2 安全性金鑰支援的有限預覽版。這項新功能可讓您的員工能夠登入已加入 Azure Active Directory 的 Windows 10 電腦,無需透過使用者名稱或密碼。他們只需要將符合 FIDO2 規範的安全性金鑰插入其 USB關於我們致力於消除密碼的重大消息:FIDO2 / WebAuthn 達到候選建議狀態!
大家好, 在 Microsoft,我們從 Windows 10 的最初階段,就一直致力於消除密碼。我們在 Windows Hello 和可在 iOS 與 Android 上使用的行動裝置驗證器 App 方面有很大的進展。但到目前為止,我們尚未有適用於所有產業平台和瀏覽器的互通性解決方案。 這就是為什麼我很高興與大家分享本週來自 FIDO 聯盟和全球資訊網協會 (W3C) 的消息。 W3C 於週二將 Web 驗證規格 (WebAuthn) 提升為候選建議狀態。 WebAuthn 定義了 Web API,讓瀏覽器和網站能夠根據 FIDO 標準使用外部驗證器金鑰。這表示我們現在有了一個跨平台的選項,可提供無需密碼的增強式驗證! 在 Google、Microsoft 和 Mozilla 瀏覽器的支援下,我們樂觀認為,WebAuthn 可望迅速獲得廣泛採用。 WebAuthn 搭配使用用戶端驗證通訊協定 (CTAP),即另一個 FIDO 標準。 CTAP 定義了外部安全性金鑰的通訊協定,並與用戶端裝置通話。 透過實行 CTAP,我們期待看到 Yubico、HID、Infineon 和 Feitan 等創新公司正在開發的各種符合成本效益的安全性金鑰選項和板型規格。 FIDO2 架構元件概觀 Microsoft 已經與 FIDOIntune Managed Browser 現已支援 Azure AD SSO 和條件式存取!
大家好, 關注本部落格的您會知道,Azure AD 條件式存取 (CA) 能夠輕鬆保護 Office 365 存取以及您搭配 Azure AD 使用的所有其他 App。這是我們有史以來成長最快的功能,目前已有超過 2300 萬名使用者受到條件式存取原則保護!隨著功能越來越熱門,我們也仔細聆聽了您對於條件式存取能夠如何改進的建議,並了解您未來還想看到哪些功能。 像您一樣,最多客戶要求的其中一項功能是與 Intune Managed Browser 進行整合。因此,今天我很高興宣布兩項增強功能已開始公開預覽: Intune Managed Browser SSO: 您的員工能夠跨原生用戶端 (像是 Microsoft Outlook) 和 Intune Managed Browser,享受所有連接到 Azure AD 之 App 的單一登入功能。 Intune Managed Browser 條件式存取支援:您現在可以要求員工以應用程式型條件式存取原則來使用 Intune Managed Browser。 請繼續閱讀本文以取得更多詳細資料。 在 Intune Managed Browser 中單一登入至連接到 Azure AD 的 App iOSAzure AD 與 ADFS 最佳做法:防禦密碼噴濺攻擊
大家好, 只要您有過密碼,就一定會有人去猜它是什麼。這篇部落格文章中,我們要討論的是一種最近變得極其頻繁的常見攻擊,並告訴您幾種防禦的最佳做法。這種攻擊一般稱為「密碼噴濺」。 在密碼噴濺攻擊中,攻擊者會使用許多不同帳戶與服務中最常見的密碼,去嘗試存取任何他們能找到的密碼保護資產。這些攻擊通常可能橫跨許多不同組織和識別提供者。舉例來說,攻擊者會使用 Mailsniper 這類容易取得的工具組去羅列出數個組織中的所有使用者,然後嘗試用「P@$$w0rd」和「Password1」去登入這些帳戶。為了讓您清楚了解,這種攻擊行為可能像這樣: 目標使用者 目標密碼 User1@org1.com 密碼1 User2@org1.com 密碼1 User1@org2.com 密碼1 User2@org2.com 密碼1 … … User1@org1.com P@$$w0rd User2@org1.com P@$$w0rd User1@org2.com P@$$w0rd User2@org2.com P@$$w0rd 這種攻擊模式避開了大多數偵測技術,因為以個別使用者或公司的角度來說,這類攻擊看起來就只像是獨立的登入失敗行為。 但對攻擊者來說,這是一場以量取勝的遊戲:他們知道有某些密碼確實極為常見。即便使用這些最常用密碼的帳戶只佔了總帳戶量的 0.5 到 1.分散式數位身分識別與區塊鏈:我們看到的未來
大家好, 我希望您和我一樣也對今天的文章內容感興趣。這有點是讓大腦放鬆,並概述數位身分識別未來令人興奮的願景。 過去 12 個月,我們投資了一系列使用區塊鏈 (與其他分散式總帳技術) 的創意培育計劃,來建立新型數位身分識別,從頭開始設計身分識別,以強化個人隱私權、安全性和控制度。我們對於所學到的經驗以及在過程中形成的新合作夥伴關係感到非常興奮。今天我們要藉此機會與您分享我們的想法和未來走向。這篇部落格文章是系列文章的其中一篇,是接續 Peggy Johnson 的宣布 Microsoft 加入 ID2020 計劃部落格一文。如果您尚未讀過 Peggy 的文章,我建議您先行閱讀。 我邀請了小組中負責領導這些培育計劃的計劃經理 Ankur Patel,開始與我們討論關於分散式數位身分識別。他的文章著重於分享我們學到的一些核心內容,以及我們用來向前推動這類領域投資的一些結果準則。 如同以往,我們非常歡迎您提供想法和意見反應。 謝謝您, Alex Simons (Twitter:@Alex_A_Simons) 計劃管理總監 Microsoft 身分識別部門 ———- 大家好,我是 Microsoft 身分識別部門的 Ankur Patel。很榮幸有這個機會能和您分享所學的一些經驗和未來走向,這些都是我們在培育以區塊鏈/分散式總帳為基礎之分散式身分識別的過程所做的努力。 我們的發現 正如您每天感受的許多體驗,這個世界正在經歷一場全球性數位轉型,數位與實際現實的界線正逐漸模糊成單一整合式的現代生活方式。新的世界需要新的數位身分識別模型,而這個新模型要能同時在實際與數位世界中強化個人的隱私權和安全性。 Microsoft 的雲端身分識別系統已讓數千個開發人員、組織與數十億人能夠工作、玩樂,並達成更多目標。然而,我們還可以做更多努力來賦予每個人能力。我們渴望建立一個世界,讓今日生活在沒有可靠身分識別的數十億個人,最終能夠實現我們大家分享的夢想,例如教育孩子、改善生活品質或創業。 為了達成這項願景,我們相信個人擁有並控制其數位身分識別的所有元素是至關重要的。個人需要的是一個能讓他們能儲存身分識別資料並輕鬆掌控存取權的安全加密數位中心,而不是授與無數 App 和服務各種權限,讓自己的身分識別資料散佈給無數的提供者。 我們每個人都需要專屬的數位身分識別,要能安全且私密地儲存數位身分識別的所有元素。 這個自我專屬的身分識別必須簡單好用,並能讓我們完整掌控自己身分識別資料的存取和使用方式。 我們知道,實現這種自我主權的數位身分識別遠大於任何單一公司或組織。我們致力於與客戶、合作夥伴和社群緊密合作,以充分發揮新一代數位身分識別型的體驗,而且我們很高興能與產業內在此領域有卓越貢獻的許多人士一起合作開發。 我們所學的經驗 為達此目的,我們今天要以我們在分散式身分識別培育計劃所學的經驗為基礎,與您分享我們的寶貴想法,以實現豐富的體驗為目標所做的努力、提升信任度並減少摩擦,同時讓每個人都能擁有並掌控他們的數位身分識別。 擁有並掌控您的身分識別。 現今的使用者授與無數 App 和服務各種權限來收集、使用並保留資料,卻超越能掌控的範圍。隨著資料外洩與身分識別盜用事件越來越複雜且頻繁,使用者需要一種能夠掌握其身分識別的方式。在測試過分散式儲存系統、共識通訊協定、區塊鏈和各種新興標準之後,我們相信區塊鏈技術與通訊協定都適合用來實現分散式身分識別 (DID)。 從頭開始打造著重隱私權的設計。 現今的 App、服務和組織能提供方便、可預測、量身打造的體驗,全都仰賴控制與身分識別繫結的資料。我們需要一個能與使用者資料互動的安全加密數位中心 (ID Hub),同時尊重使用者隱私權與控制權。公開預覽:Azure AD 條件式存取原則的「What If」工具
大家好, Azure AD 條件式存取 (CA) 相當受歡迎。世界各地的組織都用它來確保安全且符合法規地存取應用程式。條件式存取現在每個月用於保護超過 10000 個組織和超過 1000 萬名作用中使用者!我們的客戶這麼快就讓它發揮作用,真是令人驚訝! 我們收到了很多意見反應,是關於條件式存取對使用者的影響。具體而言,您掌握了這麼大的權力,必須了解 CA 原則將如何在各種登入條件下影響使用者。 我們聽到您的心聲,因此今天我很高興宣布條件式存取的「What If」工具已開始公開預覽。在您指定的條件下,「What If」工具可協助您了解原則對使用者登入的影響。您可以直接使用「What If」工具來了解情況,而無需等使用者告知。 開始使用 準備好使用這項工具了嗎?您只要遵循下列步驟即可: 移至 Azure AD 條件式存取 按一下 [What If] 選取要測試的使用者 選則性:視需求選取 App、IP 位址、裝置平台、用戶端 App、登入風險 按一下 [What If],並查看將影響使用者登入的原則 有時候,您遇到的問題不是「哪些原則適用」,而是「為什麼某項原則不適用」? 這項工具也能協助您釐清!切換到 [不會套用的原則] 索引標籤,您可以查看原則名稱,更重要的是,了解原則不適用的原因。很棒吧? 想要深入了解「What If」工具? 請告訴我們您的想法 這僅僅只是個開始。我們正努力在這個領域提供更多創新。如同以往,我們非常歡迎您對此預覽或 Azure AD 條件式存取相關內容提供任何意見反應或建議。我們也建立了簡短的「What If」工具問卷供您參與。 期待收到您的意見! 謝謝您, Alex Simons (Twitter:@Alex_A_Simons) 計劃管理總監 Microsoft 身分識別部門![Five people participate in a meeting.](https://www.microsoft.com/zh-hk/microsoft-365/blog/wp-content/uploads/sites/64/2017/11/M365-Compliance-Manager-card-2-300x183.jpg)
Microsoft 365 借助合规性管理器预览版,通过合规性帮助企业提高信誉和创新能力
本文的作者是 Ron Markezich,他是 Microsoft 的副总裁。 技术发展和云创新正在使数据利用普及化,进而推动数字化转型。通过充分利用这次数字化转型,组织可抓住机遇,更好地吸引客户、提升员工能力,并优化产品和服务的创建和交付。但是,随着越来越多地使用个人数据来自定义用户体验,新的合规性法律(如一般数据保护条例)成为我们技术的逻辑策略组成部分。Microsoft 365 提供完整的云解决方案,帮助你实现 GDPR 合规性,合规性管理器可帮助你评估和管理合规性风险。 合规性通过建立客户对技术的信任,推动创新 GDPR 从核心上增强欧盟内个人的个人隐私权,并要求组织为个人提供针对其个人数据的控制权。若要通过技术建立和维护管理客户关系所需的信任,组织需要更严格控制其所拥有的个人数据,以及管理和保护此类数据的方式。系统和流程需要实现现代化,以防止数据非法使用、满足个人的个人数据请求,以及及时提供违规通知。 企业希望通过云实现价值增值 我们的研究表明公司不仅能通过保护客户数据获得建立信任的长期价值,而且他们认为自己在合规性方面的投资会对企业的其他方面产生积极影响—就像生产力和协作一样。*当询问欧洲和美国的 IT 决策制定者,在实现 GDPR 合规性过程中遇到的最大难题是什么时,“保护客户数据”排名第一,而避免罚款排名第八。超过半数的被调查者表示,GDPR 带来了附加好处,例如改善协作、生产力和安全性。企业通过 Microsoft 365 等云解决方案挖掘合规性方面的机遇。41% 的被调查者表示,他们很可能会将公司更多的基础结构迁移到云端,以提高合规性。28% 的被调查者将 Microsoft 视为最受信赖的主要云提供商,而 IBM、Google 和 Amazon 的这一比例分别为 16%、11% 和 10%。在将数据主要存储在云端的公司中,共有 92% 的 IT 决策制定者表示对 GDPR 就绪性充满信心,相比之下,仅有 65% 的 IT 决策制定者表示更希望将数据保存在本地。 Microsoft 365 是可实现 GDPR 合规性的完整云解决方案 Microsoft 云具有大量经过认证的合规性产品组合、经过精心设计可确保安全性的服务,以及业内极高的全球数据中心覆盖率,可帮助用户履行 GDPR 合规性职责。 我们的云解决方案专为提高能力、扩展性和灵活性而打造。Microsoft 365組織如何將其內部部署身分識別連結到 Azure AD
大家好, 如果您關注部落格,就會知道我們支援將內部部署目錄或 IAM 解決方案連結到 Azure AD 的各種選項。事實上,產業中只有我們為客戶提供如此多種的選項。 因此,客戶最常問我的問題之一就是我建議使用哪種選項,這並不足為奇。我總是有點猶豫該怎麼回答。過去 6 年多來在身分識別產業工作的經驗,我了解到每個組織都不盡相同,對部署速度、安全性狀態、投資能力、網路架構、企業文化、合規性要求和工作環境方面,都有不同的目標和要求。這就是為什麼我們致力於為您提供多種選項的原因之一,您可以選擇最符合您需求的選項。(當然,那不表示我沒有個人意見,如果是我的組織,我絕對會想使用全新的傳遞驗證和 Azure AD Connect 同步。 他們可以快速部署,維護成本低。不過,這只是我的個人看法!) 與其花許多時間擔心我或其他人建議了什麼,我們何不直接看看客戶實際使用的是什麼?我覺得這是最棒的開始。 Azure AD 動力 我想先分享一些關於 Azure AD 的整體使用數字,讓您可以了解下方數字更深層的含意。對於 Azure AD 整體而言,我們繼續看到使用我們基本雲端式身分識別服務的組織大幅增加,以及 Azure AD Premium 的加速成長。 我最感到振奮的趨勢是,透過第三方應用程式使用 Azure AD 的數據有驚人的成長。每月有超過 30 萬個第三方應用程式使用 Azure AD,我們看到有許多組織將 Azure AD 視為他們偏好的雲端身分識別平台。 將使用者同步到 Azure AD 大部分的 Azure AD 租用戶都是小型組織,不會將內部部署 AD 同步到 Azure AD。較大型的組織幾乎隨時會同步,而這些組織佔 Azure AD 中![](https://www.microsoft.com/zh-hk/microsoft-365/blog/wp-content/uploads/sites/64/2017/09/configmgr-25-2-300x169.jpg)
ConfigMgr 25 週年
上週末,我寫了一篇非凡的 25 年里程碑,這是有關 ConfigMgr 達成的成果,今天我想更深入探討這項卓越產品的背景故事、分享數則公告,以及首次公開一部精彩的全新紀實 (lookout Sundance!),帶大家深入了解建立電腦管理產業的產品起源與發展。 接下來,ConfigMgr 公告: 此外,考慮到這個當前的里程碑,以下是您可能從未聽說過的故事: 追溯這一切的起源 上週末,我趁機重新閱讀 Hermes 專案的原始願景文件或「規格」。我已經好幾年沒有看這份文件了,看到 ConfigMgr 如此懇切地堅持該原始願景,真是令人讚嘆。該文件中概述的基礎建構元素一直沿用至今,而且仍是其基礎的一部分。 在 1992 年,Microsoft 最初的使命 (亦即,家家戶戶的桌上都有一部電腦) 正好達到了臨界量。組織紛紛積極地從終端機模擬移轉到 x86 分散式運算模型,而且沒有能夠大規模管理電腦的解決方案。此小組知道 Hermes 專案必須發揮影響力。 原本的 SMS 小組包含兩名全職開發人員,以及一名實習人員 Ken Pan。 我在 2003 年加入該小組時,「實習人員 Ken」帶領整個由大約 150 名工程師組成的開發小組。從此之後,Ken 就為我率領小組致力於 SCCM 和 Intune 工程! 有趣資訊: Systems Management Server (SMS) 的第一個組建為 245。為什麼不是 1 呢?其實,Windows 當時為組建 300,而此小組不想讓它看起來與 Windows 相差太遠,但又覺得挑選太接近![A woman sits in an airport working on her laptop.](https://www.microsoft.com/zh-hk/microsoft-365/blog/wp-content/uploads/sites/64/2017/09/New-Office-365-app-launcher-FI-300x183.png)