跳過主内容

2021 年的 5 大身分識別優先要務— 強化混合式工作世代的安全性

Microsoft 身分識別企業副總裁 Joy Chik 

在我著手列出 2020 年的 5 大身分識別優先要務 (英文當下,全球局勢已不同過往。自此之後,COVID-19 疫情不僅徹底改變了組織經營模式,也改變了我們的工作、學習和協同合作方式。不過,疫情並未改變身分識別在協助組織確保安全和生產力方面的重要性。 

昨天,我們分享了旗下的整合式安全性、法規遵循、身分識別和管理解決方案有哪些重大進展。光是身分識別領域,就可看出驚人的成長速度:每月的有效使用者人數從 2020  3 月的 3 億人攀升至現行的 4.25 億人。世界各地的組織,都已加速採用安全性和協同合作應用程式 (英文)。但在各項數據背後,仍有許多與各位相似的案例,為了協助組織保持領先優勢而疲於奔命。 

我正在進行傳統客戶共同創新週的相關準備,並回顧了旗下客戶的挑戰和業務目標,因此想要藉此機會,與各位分享本年度的 5 大身分識別優先要務。去年提到的幾項建議仍然適用。事實上,隨著組織逐漸接受彈性工作帶來的新常態,以及惡意人士持續發展縝密的網路攻擊技術,去年的建議也變得更加切身相關。而 2021 年的建議,將協助您強化自身的身分識別和安全性基礎,以因應後續發生的任何變化。 

1. 仰賴零信任技術 

今年,零信任又再度浮上檯面,而且一舉奪下最高順位。零信任採用的「假設漏洞」心態,已成為當今企業的必備技能。組織需要強化其防禦機制,以賦予員工更高的彈性,繼而讓他們能隨處工作,並使用不在傳統企業網路保護範圍中的應用程式。去年,當疫情爆發時,我們正與各位並肩合作。根據我們觀察,早已開展零信任歷程的組織,大多能更輕鬆地轉換為遠端工作模式,並強化抵禦縝密攻擊的能力。 

好消息是,月的問卷調查結果顯示:94% 的安全性部門領導人表明所屬組織已開展零信任歷程。無論身處歷程中的哪個階段,都應將身分識別做為零信任方法的基礎。您可以使用多重要素驗證 (MFA) 等必備工具防範認證遭到竄改,並盡享身分識別保護中的風險評估 (英文)、持續的存取權限評估 (英文)、Intune 應用程式保護原則,以及 Microsoft Azure Active Directory (Azure AD) 應用程式 Proxy (英文 Microsoft Tunnel (英文等創新技術所帶來的優勢。 

放眼未來,勢必會有更多服務透過執行應用程式 (藉由 API 呼叫或自動化作業以及存取和變更資料等方式來代替人員完成作業,因此,請務必使用相同原則來確保安全性,包括:確認只能在需要時存取所需的資料,並避免憑證遭到濫用。 

從何著手歡迎進行零信任評估 (英文),並造訪我們的部署中心 (英文),以取得部署 
方針。 

2. 保護所有應用程式的存取安全 

這是去年的頭號建議事項,但至今依舊無比重要。從搭配 Azure AD 的應用程式使用率 (英文成長,可看出許多組織正著手將更多應用程式連結至單一登入。此舉雖有助於順暢且安全地存取更多應用程式,卻無法實現最佳體驗,唯有將所有應用程式連接至 Azure AD,才能協助人員在家中完成所有與工作相關的作業,並於疫情期間保持安全。此外,將所有應用程式連接至 Azure AD,也可簡化身分識別生命週期、強化控制,並盡量避免使用弱式密碼。如此一來,就能以較低的成本實現更強大的安全性:根據 Forrester 估計 (英文),此舉平均可讓企業於三年內省下近 200 萬美元的成本。 

Azure AD 應用程式庫包含數千款預先整合的應用程式,可簡化單一登入部署和使用者佈建等作業。如果有意將多重要素驗證和條件式存取延伸至舊版的地端應用程式 (包括標頭形式的應用程式),請使用 Azure AD 應用程式 Proxy (英文),或我們安全混合式存取合作夥伴所提供的整合式解決方案。只要使用我們的移轉工具,即可將所有應用程式的認證作業現代化 (英文),並淘汰您的 ADFS 實作。如此一來,您就能防範地端身分識別系統 
(英文中特別難以偵測到的攻擊行為。 

另外,請務必限制有權管理組織應用程式的管理員人數、使用多重要素驗證和條件式存取保護特殊權限帳戶,並透過Privileged Identity Management (英文提出進行 Just-In-Time (JIT) 管理員角色升級的要求。 

從何著手:歡迎了解如何使用Azure AD 連接員工及其所需的所有應用程式

3. 向密碼說再見 

密碼不僅容易忘記,且駭客可以輕易猜中或竊取,因此,只要密碼存在的一天,我們就會不斷提倡向密碼說再見」。自去年開始,這方面已有重大進展:我們曾於去年 5 月提到,使用無密碼驗證機制的 Azure AD 使用者和 Microsoft 消費者帳戶數量,已突破 1.5 億大關。去年 11 月,Windows Hello 企業版、Microsoft Authenticator,以及 AuthenTrend、Feitian  Yubico  FIDO2 安全性金鑰的 Azure AD 無密碼使用量創下 50% 以上的逐年成長率 (英文)。 

無密碼驗證能盡量減少或消弭許多身分識別攻擊媒介,包括縝密網路攻擊中採用的攻擊媒介。您至少要在管理員層級的帳戶中採用無密碼模式。此外,請為員工提供快速且易於登入的體驗,以節省時間並避免對方受挫。根據 Forrester 估計 (英文),整合為單一身分識別解決方案並提供一組認證,每位員工每週平均可省下 10 分鐘,每年則可省下 40 小時以上的時間。另外,無需重設密碼或降低釣魚攻擊風險,也有助於省下額外的時間。 

從何著手歡迎閱讀 Forrester 報告:Microsoft Azure Active Directory 在保護應用程式安全方面的整體經濟影響 (Total Economic Impact™)(英文) 

4. 選用和建置採用安全設計的應用程式

由於應用程式遭受攻擊的頻率正不斷提高,因此,請務必進一步整合應用程式和 Azure AD,以部署採用安全設計的應用程式。當您自行撰寫應用程式時,請使用 Microsoft 驗證程式庫 (MSAL) (英文),在應用程式中內建安全的驗證機制。在最理想的情況下,應用程式也應採取無密碼模式,以確保當中會使用憑證等強式認證機制。如果您的應用程式會與其他 Microsoft 服務互動,不妨善加利用 Microsoft Graph (英文中的身分識別 API。請盡可能選用由已驗證發行者提供的協力廠商應用程式。由於發行者驗證 (英文徽章有助於輕鬆判斷應用程式是否來自正當來源,請鼓勵您的 ISV 合作夥伴取得已驗證發行者資格 (如果對方尚未取得)。 

由於多數應用程式都會要求存取公司資料,管理員可選擇在授予權限前,先行檢閱同意要求。疏於檢閱要求,即有可能導致安全性風險,但若逐一檢視每位員工所使用的每個應用程式,則需耗費可觀的時間和成本。所幸應用程式同意原則 (英文管理員同意工作流程 (英文等新功能,有助於在「檢閱所有要求」和「由員工全權負責」之間取得平衡。請定期檢閱您的應用程式產品組合,並針對權限過高、可疑或非作用中的應用程式
採取行動 (英文)。 

從何著手歡迎更新您的應用程式,以使用 Microsoft 驗證程式庫和 Microsoft Graph API (英文)、採用應用程式同意原則和發佈者驗證 (英文做法,並遵循身分識別平台最佳做法 (英文) 

5. 實現不受限的協同合作

我們深知:合作夥伴、客戶和前線工作者是您企業的根本。這些對象也需要透過簡單且安全的方式存取應用程式和資源,以進行協同合作並發揮生產力,而在此同時,管理員則需要具備監控能力和控制權,以保護敏感資料。 

使用直覺的自助服務登入流程 (英文),即可簡化外部使用者的協同合作,而運用對方的現有電子郵件或社群媒體帳戶,則有助於確保便利性。針對前線工作者,Azure AD 可提供簡單的存取權限,透過一次性的簡訊密碼進行登入,進而消弭記住新認證的必要性。針對前線經理,My Staff 入口網站 (英文可用來輕鬆設定簡訊登入、重設密碼,並授予資源和共用裝置的存取權限,且無需向服務台或 IT 求助。 

使用通用工具集管理所有身分識別,即可更輕鬆地獲得監控能力和控制權。您可以套用相同的條件式存取原則,再微調服務、資源和應用程式的存取權限控制。只要設定存取權限檢閱活動,或使用 Microsoft Teams  Microsoft 365 群組中適用於所有來賓使用者的自動化存取權限檢閱 (英文),就能確保外部來賓無法過度使用其禮遇權限,且只能存取所需的資源。

從何著手:歡迎深入了解 Azure AD 外部身分識別使用 Azure AD 化身前線工作者的強力後盾 (英文)。  

立即放眼未來:探索可驗證的認證 

在疫情期間,您不僅需要支援遠端工作,還得進行遠端招募。求職者往往會於面試中提出文件,以確認其身分和資格。然而,遠端驗證求職者身分則複雜許多,而在需要快速完成招募時,又顯得更加棘手 (例如招募重要員工時)。 

Microsoft 正與領先業界的 ID 驗證合作夥伴攜手合作,期望使用現行的可驗證的認證 (英文去中心化身分識別碼 (英文等開放式標準,大舉革新既有的 ID 驗證做法,進而帶領身分識別邁向嶄新境界。可驗證的認證為駕照、密碼和文憑等文件的數位化對等項目。在此一機制下,個人僅需向 ID 驗證合作夥伴進行一次認證驗證,就能將認證新增至 Microsoft Authenticator (或其他相容錢包中,並透過值得信賴的方式隨處使用。舉例來說,某位表演工作者可完成駕照和相片的數位驗證,然後將該資訊使用在求職活動、共乘服務和美食外送公司上。 

如此一來,即可改善驗證作業,同時保護身分識別生命週期中的隱私權:上線、啟用認證、保護應用程式和服務的存取權限,以及找回遺失或忘記的認證。我們正與英國國民健保署和美國國防部的 MilGears 計畫 (負責協助服務成員和退役軍人就讀高等教育,並於民間機構快速展開職涯之旅等客戶合作,以試行這項技術。 

從何著手歡迎觀看 Microsoft Ignite 上的去中心化身分識別研討會 (英文),並加入 
去中心化身分識別基金會 (英文)

無論您的優先要務為推動基礎架構和應用程式現代化,還是實作零信任策略,我們都樂於協助您逐步邁向成功。請將您的意見反應傳送給我們,以協助我們了解您需要透過哪些身分識別創新來大力推動數位轉型歷程。 

欲了解詳情,請至微軟官方部落格