新しい現実に突入してから 1 年が経ち、2 つの傾向が際立っています。まず、境界のない世界で働き、学び、共同作業を行うため、人々はより多くの柔軟性を必要としています。 2 つ目は、悪意のある人物がさらに巧妙になっていることです。 ソロリゲートで見たように、彼らは新しい攻撃ベクトルを追加し、それらを新しい創造的な方法で組み合わせています。
1 月に、セキュリティを強化し、新しいハイブリッド ワーク時代への移行を加速するのに役立つ、2021 年の ID の優先事項トップ 5を共有しました。組織はこれまで以上に防御を強化して、従来の企業ネットワーク境界の内外に存在するアプリを使用して、従業員、パートナー、および顧客がどこからでも柔軟に作業できるようにする必要があります。そのため、最大の柔軟性と最大のセキュリティを組み合わせたセキュリティ戦略であるゼロ トラストが非常に重要です。
IT の専門家やセキュリティの専門家にとって、ゼロ トラストの実装は単純明快である必要があります。ユーザーにとっては、邪魔になることはなく、慣れ親しんだワークフローや習慣に適合する必要があります。今週、仮想の Microsoft Ignite ステージで、Azure Active Directory (Azure AD) のいくつかのイノベーションを発表します。これらは、あなたとその従業員の生活を今より楽にし、次に来るものに備えておくのに役立ちます。
従業員に安全でシームレスなユーザー エクスペリエンスを提供する
セキュリティを可能な限りシームレスにする取り組みの一環として、組織が大規模に展開できるように、パスワードレス認証が一般提供されるようになりました。 IT 管理者、従業員、およびパートナーは、強化されたセキュリティとシンプルさから恩恵を受けることができます。特定のユーザーまたはグループが使用できる認証方法を定義する拡張ポリシーを使用して、パスワードレスを大規模に簡単に展開できるようにしました。新しいレポート機能により、組織全体でのパスワードレス認証方法の使用と採用を確認できます。リモート アクセスを簡素化して保護するために、一時アクセス パスのプレビューもリリースしました。これは、パスワードなしの資格情報のセットアップと回復に使用される時間制限付きのコードです。
Microsoft には、コンシューマー サービスとエンタープライズ サービス全体で、既に 2 億人を超えるパスワードレス ユーザーがいます。毎日、さらに多くのお客様がパスワードレスを採用されていることを嬉しく思います。 Axiata Group は、東南アジアで従業員のパスワードを廃止した最初の企業です。彼らは、Windows Hello for Business と Microsoft Authenticator アプリを使用してパスワードレス化を実現しました。 Axiata Group のグループ チーフ リスクおよびコンプライアンス オフィサーである Abid Adam 氏は次のように述べています。 Windows Hello により、セキュリティがエコシステムに組み込まれ、情報へのアクセスが改善され、悪意のある人物に対する障壁が強化されました。これは、セキュリティ チーム、従業員、そして会社にとってウィンウィンです。」同様に、ヨーロッパでは、ウメオ市がセキュリティを強化し、パスワードの使用をなくしたいと考えていました。 Onevinn と Yubico のパートナーの助けを借りて、最初のパスワードレス展開を 10 日以内に展開することができました。 Microsoft Mechanics に関する私のインタビューを見て、パスワードレスの動作を確認してください。
パスワードレスに移行すると、ユーザー エクスペリエンスが簡素化されるだけでなく、セキュリティ体制も強化されます。また、 Azure AD 条件付きアクセスのおかげで、機密データに触れるアプリに誰かがアクセスするたびに多要素認証を要求する必要がなくなりました。代わりに、ユーザーがアプリ内で何をしようとしているかに基づいて認証を強化できます (機密性の高いドキュメントのダウンロードなど)。 Azure AD 条件付きアクセス認証コンテキスト(近日中にプレビュー予定) を使用すると、画一的なセキュリティから離れて、ユーザー アクションまたはユーザーが試行しているデータに基づいた適切なレベルの制御でリソースを保護する、より詳細なポリシーを採用できます。アクセスするために。
お知らせ:
- パスワードレス認証の一般提供。
- 一時アクセスパスのプレビュー。
- Azure AD 条件付きアクセス認証コンテキストは、まもなくプレビューされます。
すべてのアプリへの安全なアクセス
多くの場合、マルチクラウド環境を管理しています。開発者は、Microsoft Azure、Amazon Web Services (AWS)、および Google Cloud Platform に分散されるアプリを構築しています。資格情報を 1 セットだけ使用して、各クラウドにサインインする必要があります。シングル サインオン (SSO) とユーザー プロビジョニングをすばやく構成できるように、競合他社との統合も含め、できるだけ多くの事前統合を行って Azure AD アプリ ギャラリーを常に拡張しています。
AWS Single Sign-Onアプリが Azure AD と事前に統合され、アプリ ギャラリーで利用できるようになりました。この統合により、Azure AD を AWS SSO に接続できます。AWS SSO は、複数の AWS アカウントとリソース間での SSO アクセスを簡素化するクラウドベースのサービスです。 AWS へのユーザー アクセスの管理を一元化でき、従業員は Azure AD 資格情報を使用してアクセスできます。
この 1 年間、多くの組織が Microsoft のAzure AD アプリ プロキシサービスを利用して、従業員がオンプレミス アプリへのリモート アクセスをセキュリティで保護できるようにしました。昨年の使用率は 100% 以上増加し、組織が VPN ソリューションから離れることを支援しています。本日、App Proxy を最大限に活用するための 2 つの新機能を追加します。まず、 App Proxy を使用したヘッダー ベースの認証のネイティブ サポートが一般提供されました。次に、 App Proxy のリージョンごとのトラフィック最適化がプレビュー段階になりました。この新機能により、アプリ プロキシ サービス コネクタ グループが使用するリージョンを指定し、アプリと同じリージョンを選択できます。この新機能は、待ち時間を短縮し、パフォーマンスを向上させるのに役立ちます。
従来のオンプレミス アプリケーションを保護するために、Datawiza、Perimeter 81、Silverfort、および Strata を含むように、安全なハイブリッド アクセス パートナーシップのリストを拡大しています。オンプレミス アプリを接続するだけでなく、Datawiza、Strata、Silverfort などのパートナーは、Azure AD に移行するアプリとリソースを見つけて優先順位を付けるのに役立ちます。 Silverfort の製品および戦略的アライアンス担当バイス プレジデントである Ron Rasin は、次のように述べています。 「ID は主要なセキュリティ コントロール プレーンになり、組織がアプリとリソースを検出し、優先順位を付けて、Azure AD のような中央の ID ソリューションに移行できることが重要になっています。」
Solorigate は、多くの場合、クラウド環境はオンプレミスよりも安全であることを教えてくれました。防御を強化するには、オンプレミスのフットプリントを最小限に抑え、すべてのアプリをクラウドから管理することが重要です。ただし、さまざまな環境でアプリケーションを発見し、クラウドのモダナイゼーションのために優先順位を付けるプロセスは、困難な場合があります。これを簡単にするために、 Active Directory フェデレーション サービス (AD FS) のアクティビティと分析情報レポートの一般提供を発表しました。このレポートは、Azure AD との互換性についてすべての AD FS アプリケーションを評価し、問題をチェックして、Azure AD への移行のために個々のアプリケーションを準備するためのガイダンスを提供します。
お知らせ:
- AWS Single Sign-On が Azure AD アプリ ギャラリーで利用できるようになりました。
- AD FS アクティビティと分析情報レポートの一般提供。
- Datawiza、Perimeter 81、Silverfort、Strata との新しいセキュア ハイブリッド アクセス パートナーシップ。
- ヘッダー ベースの認証アプリに対する Azure AD アプリ プロキシ サポートの一般提供。
- リージョンごとのトラフィック最適化のための Azure AD アプリ プロキシ サポートのプレビュー。
顧客とパートナーを保護する
強力なゼロ トラスト アプローチでは、顧客、パートナー、ベンダーからのアクセス要求を、従業員からの要求と同様に処理する必要があります。すべての要求を確認し、ユーザーが必要なときにのみ必要なデータにアクセスできるようにし、ゲストが長時間滞在しないようにする必要があります。ようこそ。 Azure AD を使用すると、すべての種類の外部ユーザーに一貫したアクセス ポリシーを適用できます。
今月から一般提供される Azure AD External Identitiesは、顧客とパートナーの ID とアクセスを保護および管理するための一連の機能です。 Azure AD アプリのセルフサービス サインアップ ユーザー フローにより、アプリケーション コードをほとんどまたはまったく使用せずに、外部ユーザーのオンボーディング エクスペリエンスを簡単に作成、管理、およびカスタマイズできます。 Google ID と Facebook ID を使用したサインインのサポートを統合し、強力な API コネクタでフローを拡張できます。 Azure AD Identity Protection を使用すると、企業間 (B2B) および企業対消費者 (B2C) のアプリとユーザーを、適応型の機械学習主導のセキュリティで保護できます。
Microsoft Teams および Microsoft 365 グループの自動化されたゲスト アクセス レビューが一般提供されるようになり、Azure AD は、新規または既存のチームまたはグループに追加されたすべてのゲストのアクセス許可を定期的に確認および更新するように求めます。ゲスト ユーザーが必要としなくなった機密リソースへのアクセスをクリーンアップするプロセスは、手作業が少なくなり、無視されることも少なくなります。
お知らせ:
- Azure AD 外部 ID の一般提供。
- Teams および Microsoft 365 グループのすべてのゲストに対する Azure AD アクセス レビューの一般提供。
アイデンティティの未来は明るい
2020 年は困難な年でしたが、2021 年には、より多くのセキュリティ、透明性、プライバシーをユーザーに提供するイノベーションを期待できます。前回の Microsoft Ignite では、検証可能な資格情報と、分散型識別子のおかげですべての人が自分の ID を所有できるようにするという Microsoft の取り組みについて話しました。 Azure AD の検証可能な資格情報が、わずか数週間でプレビューに入るということをお知らせできてうれしく思います。開発者は、ユーザー名とパスワードの場合と同様に、資格情報を要求して検証するアプリを構築するためのクイック スタート ガイド付きの SDK を入手できます。また、主要な ID 検証パートナー (Acuant、Au10tix、Idemia、Jumio、Socure、Onfido、Vu Security) と提携して、検証可能性を向上させ、情報交換を保護していることも発表できることを嬉しく思います。
検証可能な資格情報を使用すると、組織は、個人データを収集して保存することなく、教育や専門資格など、誰かに関する情報を確認できます。これは、情報へのアクセス許可を与える方法に革命をもたらします。組織は、オープン スタンダードに基づいて、物理的なバッジ、ポイント カード、政府発行の紙の文書など、さまざまな資格情報のデジタル バージョンを発行できるようになります。デジタル情報は既知の当事者によって検証されるため、より信頼性が高く、検証には数日または数週間ではなく数分しかかかりません.
個人は、どの情報を誰と共有するかをより詳細に制御でき、その共有情報へのアクセスをいつでも制限できます。クレデンシャルを 1 回検証するだけで、どこでも使用できます。資格情報を管理するために、慶應義塾大学が学生向けに構築したパイロット アプリケーションなど、オープン スタンダードをサポートする Microsoft Authenticator アプリやその他のウォレット アプリを使用できます。
お知らせ:
- Azure AD の検証可能な資格情報のプレビュー。
最後に、新しいMicrosoft Identity and Access Administrator Certification をリリースすることをお知らせします。これは、 Microsoft セキュリティ リソース ポータルで見つけることができます。このトレーニングは、管理者が Azure AD を組織のセキュリティ コントロール プレーンとして設計、実装、運用するのに役立ちます。
お知らせ:
- Microsoft Identity and Access 管理者認定のリリース。
Microsoft Ignite で発表された新機能により、ハイブリッド ワークプレースでのシームレスなユーザー エクスペリエンスの提供と、ますます巧妙化する攻撃に対する防御の強化が容易になります。これらの新しいツールをお試しになる際は、ぜひフィードバックをお寄せください。従業員の安全、つながり、生産性を維持するのに役立つ進歩を引き続き構築できるようにします。
2021 年をパスワードレスの年にしましょう。
明日の Microsoft Ignite ステージでこれらの機能の動作を確認するには、Microsoft Igniteに無料で登録して、太平洋標準時の午後 5 時から始まる私のセッションをご覧ください。 Twitter の@AzureADで Microsoft Identity をフォローして、その他のニュースやベスト プラクティスを確認してください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments