介绍

安全是2019年Ignite大会的一大焦点,这是微软首次有专门的安全轨道。该公司将重点放在混合用例和跨平台功能上——而不仅仅是针对微软的生态系统。

在安全方面,微软有一个独特的机会:Windows在终端上无处不在,Office 365也是一个同样无处不在的生产力套件,从Exchange到Power portfolio的功能为其企业业务增加了影响力,而Azure已成为云提供商中的主要竞争者。这使得该公司不仅投资于利用这些优势的安全,而且还将分支到新的领域,如安全操作。在本报告的第二部分中,我们将深入了解这些功能以及围绕它们发布的公告。

在第1部分中,我们将重点讨论今年的一个重点领域:身份和与身份相关的主题,例如身份治理和无密码身份验证。为了说明微软在身份认同方面的影响力有多大,有一场详细介绍Azure Active Directory (Azure AD)新功能的会议吸引了数百名与会者,却让很多人望而却步。

总的来说,微软一直在忙于更新和投资与身份相关的技术,特别是Azure AD,此外,在一些明显的故障后,还在可靠性和正常运行时间方面进行了大量投资。微软也在OAuth2、OpenID Connect和FIDO2等认证和授权开放标准上下了很大的赌注;用于提供用户和应用程序的SCIM;api的JSON和REST。

451年花

在预测的世界中,微软是Iffero 800-Condeg Gorilla在身份(至少对于目录服务),有超过90%的Active Directory的市场份额。188bet金博宝是什么Azure AD现在不仅仅是一个目录,具有完整的身份和访问管理(IAM)堆栈,包括多因素身份验证(MFA),单点登录,治理和特权账户管理功能。由于微软继续使用更多功能来丰富Azure广告,我们预计独立的IAM供应商将越来越困难,特别是在级别的级别上竞争,特别是如果微软生活在其真正跨平台的承诺并利用它的许多钩子进入杂交世界,我们可能会在可预见的未来生活。竞争对手可能会面临烦恼的决定:尽量在创新和新功能方面仍然是微软的一步,或者“将微软不会”(即,进入市场上提供白色空间的邻近地区或利基)。也就是说,许多宣布的功能仍然是路线图项,而微软仍需要在点燃下方的愿景下执行。定价和许可也仍然是混乱的领域 - 竞争对手可以尝试利用的东西。


产品更新

从整体安全角度来看,微软的广泛安全工作现在以四个关键领域为中心:身份,威胁保护,信息保护(数据安全)和SIEM / Analytics。我们将在第2部分更紧密地查看后面的三个类别,但对于身份安全,新的身份相关的功能和功能在很大程度上宣布,以新的治理和供应能力和认证为中心 - 特别是基于的密码较少的身份验证计划新的FIDO2标准。

管理和配置

在管理和配置方面,微软以前提供了几种让新用户进入Azure AD的方法:通过Azure AD用户界面手动输入用户、使用PowerShell或使用Azure AD Connect从本地目录同步用户。微软增加了几个新选项,包括通过导入和导出。csv文件上传用户的功能;在接下来的几个月里,除了通过新的Azure AD云人力资源用户配置,管理员还可以从甲骨文HCM和SAP SuccessFactors的云人力资源系统中导入用户。

Microsoft还宣布了Azure AD Connect Cloud Provision的公共预览,这使得将多个脱节的广告林连接到Azure广告中,以便复杂的环境,这些环境可能有多个位置或森林,可能来自频繁的并购活动。企业可以通过在每个在预票林前面放置轻量级代理/连接器来将它们的身份与Azure AD同步,连接器将自动处理所有模式转换和重复复制,从而消除了在预售大量的同步服务器。

此外,还将推出一系列预构建的SCIM连接器,以便更容易地将Azure AD扩展到on-prem遗留应用程序,并将用户直接从云记录HR系统(如Workday)提供到遗留的on-prem应用程序。

弥合员工、合作伙伴和客户身份管理之间的鸿沟

微软还投资促进了员工和合作伙伴和客户的管理身份之间的差距,并且作为该努力的一部分,将在明年左右延伸到Azure AD B2C的条件访问和身份保护。因此,现在有几种选择通过使用支持SAML或WS-FED的任何IDP的直接联合将外部伙伴或客户提供给Azure AD B2B的若干选项。没有身份系统的用户还可以通过Google帐户或Gmail ID向Azure广告B2B提供用户,或者通过电子邮件消息,其中包含一个没有Google ID的六位数代码。

现在,基于云的身份治理现在通常可用。后者允许企业定义访问包,并使员工和合作伙伴能够请求并重新认证以访问他们所需的资源。在路上,微软将扩大支持对预级应用的治理,并将包括新的特权账户管理功能。

对On-prem应用程序的混合访问

大多数企业都是混合动力的,具有无法随时间迁移到云的应用程序,并且经常使用与Azure广告不兼容的遗留身份验证方法和协议。安全混合访问是一个允许在预级应用程序的合作伙伴程序 - 通过网关设备公开;被抬起并转移到Azure,AWS或Google云平台;这可能使用基于标头的身份验证或Kerberos - 通过Azure AD和条件访问和身份保护策略来管理,而无需在预览广告或ADFS服务器。

更新应用门户

微软的应用程序门户网站叫做My Apps,它将用户拥有权限的所有应用程序集中在一个位置,包括云应用和on-prem应用。工作区是一个新功能,它允许用户设置他们最重要的应用程序的视图,这样他们就可以轻松地在数百个应用程序中找到它们。用户很快就可以通过应用程序启动器启动Office和非Office应用程序。

密码验证

也许最高调的公告专注于微软周围的MFA和密码验证的努力。Microsoft现在提供了几种强大的身份验证,包括Windows Hello!面部识别,Microsoft身份验证者移动应用程序以及yubiCo等合作伙伴的Fido2的安全密钥。尽管近年来密码结束的呼叫一致,但企业MFA采用率为53%,根据451研究的企业(投票)调查的最新声音。188宝金博网址是多少


为此,微软做出了相当大的努力来推动MFA的广泛采用,但从11月1日起,任何Azure广告计划的客户都可以免费使用MFA或无密码认证。此外,MFA很快将在Microsoft 365、Office 365、Dynamics和Azure的所有新的Azure Active Directory租户中默认开启。

加勒特Bekker
主要安全分析师

加勒特·贝克(Garrett Bekker)是451 Research公司信息安全领域的首席分析师。188宝金博网址是多少他带来了一个独特而多样的背景,在过去的16年里,他从不同的角度看待企业安全。

斯科特·克劳福德
研究副总裁,安全

斯科特·克劳福德(Scott Crawford)是451 Research公司负责信息安全通道的研究副总裁,他在那里领导信息安全市场的新兴趋势、创新和破坏的报道。188宝金博网址是多少斯科特也是451研究量子技术卓越中心的成员。188宝金博网址是多少

亚伦谢里尔
高级分析师

亚伦·谢里尔是451研究公司的高级分析师,主要研究新兴趋势和创新188宝金博网址是多少托管服务和托管安全服务领域的中断。188bet金博宝是什么Aaron在多个行业拥有20多年的经验,包括在联邦调查局(Federal Bureau of Investigation)从事IT管理工作。

想读更多的书吗?现在就申请审判。