如果我們信任每一次數(shù)字體驗(yàn)和交互，這個(gè)世界將會(huì)變成什么樣子？

這個(gè)問題激發(fā)了我們對(duì)身份驗(yàn)證和訪問權(quán)限的不同思考。今天，我們將進(jìn)一步拓展愿景，幫助人們安全地訪問互聯(lián)世界。

作為微軟新推出的產(chǎn)品系列，Microsoft Entra囊括了微軟所有的身份驗(yàn)證和訪問權(quán)限功能，包括Azure AD，以及兩個(gè)新產(chǎn)品類別：云架構(gòu)授權(quán)管理（CIEM）和去中心化身份。通過提供身份與訪問管理、云架構(gòu)授權(quán)管理以及身份驗(yàn)證，Entra系列產(chǎn)品確保讓每個(gè)人能夠安全地訪問一切。

超互聯(lián)世界需要信任

科技以驚人的方式改變了我們的生活。它重塑了與他人互動(dòng)、工作、掌握新技能、與品牌交互以及注重健康的模式。它也重新定義了我們的開展業(yè)務(wù)的方式，創(chuàng)造出了滿足現(xiàn)有需求的全新方式，同時(shí)改善了體驗(yàn)、質(zhì)量、速度和成本管理。

所有這些創(chuàng)新的背后，人、機(jī)器、應(yīng)用和設(shè)備之間每秒都會(huì)發(fā)起數(shù)以百萬計(jì)的連接，以共享和訪問數(shù)據(jù)。這些連接和交互為人與技術(shù)、人與人之間的互動(dòng)創(chuàng)造了絕佳機(jī)遇，但也造成了更多的漏洞逐漸暴露，從而使?jié)撛诘氖芄裘娌粩鄶U(kuò)大，這一點(diǎn)亟待解決。

對(duì)于組織來說，在推進(jìn)數(shù)字化進(jìn)程的同時(shí)應(yīng)對(duì)這些風(fēng)險(xiǎn)變得越來越重要，也越來越具挑戰(zhàn)性。他們需要消除創(chuàng)新障礙，且無須擔(dān)心遭受安全威脅的影響；他們需要確保信任，不僅在其數(shù)字體驗(yàn)和服務(wù)中，而且在推動(dòng)其業(yè)務(wù)的每一次數(shù)字交互中，即人、機(jī)器、微服務(wù)和事物之間的每一個(gè)訪問點(diǎn)。

身份驗(yàn)證和訪問管理的遠(yuǎn)大愿景

簡單的世界，控制數(shù)字訪問也相對(duì)直接：設(shè)置好警戒線、只讓對(duì)的人進(jìn)入。

但這種方法難以為繼。而隨著組織數(shù)字資產(chǎn)不斷增長、變化直至無邊界，“一刀切”式的門檻設(shè)置也不再現(xiàn)實(shí)。預(yù)測并解決整個(gè)組織及供應(yīng)鏈中可能發(fā)生的無限數(shù)量的訪問場景，這幾乎是不可能的，尤其是涉及組織無法控制的第三方系統(tǒng)、平臺(tái)、應(yīng)用和設(shè)備時(shí)。

身份不僅僅與目錄相關(guān)，訪問也不僅僅與網(wǎng)絡(luò)相關(guān)。安全挑戰(zhàn)變得更加寬泛，因此我們需要更廣泛的解決方案，以確保每個(gè)客戶、合作伙伴和員工，以及每個(gè)微服務(wù)、傳感器、網(wǎng)絡(luò)、設(shè)備和數(shù)據(jù)庫的訪問安全。

想要實(shí)現(xiàn)這些，方法要簡單。不完整、脫節(jié)的解決方案只能解決部分問題、只在部分環(huán)境中有效，并且需要彼此緊密集成，這也讓組織不愿為這類解決方案買單。無論是在本地、Azure AD、AWS、谷歌云平臺(tái)（GCP）、應(yīng)用、網(wǎng)站、設(shè)備，還是在任何可能會(huì)出現(xiàn)的新事物上，組織都需要盡可能精細(xì)且精準(zhǔn)的訪問決策，并根據(jù)風(fēng)險(xiǎn)實(shí)時(shí)評(píng)估自動(dòng)調(diào)整。

這就是我們針對(duì)身份驗(yàn)證和訪問管理的遠(yuǎn)大愿景，我們將通過新產(chǎn)品系列MicrosoftEntra來實(shí)現(xiàn)。

把愿景變?yōu)楝F(xiàn)實(shí)：身份即信任結(jié)構(gòu)

要想把這一愿景變?yōu)楝F(xiàn)實(shí)，必須推動(dòng)身份驗(yàn)證的革新。我們的互聯(lián)世界需要一個(gè)靈活敏捷的模型。在這個(gè)模型中，人、組織、應(yīng)用甚至智能設(shè)備都可以放心地制定實(shí)時(shí)訪問決策。我們需要構(gòu)建并提升能力，支持客戶會(huì)面對(duì)的所有場景。

展望未來，我們正在擴(kuò)展我們的身份和訪問管理解決方案，讓其在現(xiàn)在和未來很長一段時(shí)間內(nèi)，都可以作為整個(gè)數(shù)字生態(tài)系統(tǒng)的信任結(jié)構(gòu)。

Microsoft Entra將驗(yàn)證所有類型的身份，并保護(hù)、管理和治理他們對(duì)任何資源的訪問。新的Microsoft Entra產(chǎn)品系列將：

• 保護(hù)任何用戶對(duì)任何應(yīng)用或資源的訪問。

• 跨越混合和多云環(huán)境，保護(hù)和驗(yàn)證每個(gè)身份。

• 在多云環(huán)境中進(jìn)行權(quán)限發(fā)現(xiàn)和管理。

• 通過實(shí)時(shí)智能訪問決策，簡化用戶體驗(yàn)

以為身份和訪問需求提供全面產(chǎn)品為方向，我們邁出了重要一步，接下來也將繼續(xù)壯大Microsoft Entra產(chǎn)品系列。

“身份識(shí)別是我們未來網(wǎng)絡(luò)安全的基石之一?！?/p>

——Thomas Mueller-Lynch，西門子數(shù)字身份服務(wù)負(fù)責(zé)人

Microsoft Entra概覽

作為微軟在身份識(shí)別與訪問管理方面的“王牌”產(chǎn)品，Microsoft Azure Active Directory（AD）將成為Microsoft Entra系列的一員，客戶熟悉并喜愛的所有功能（如條件訪問（Conditional Access和無密碼認(rèn)證）將保持不變。Azure AD External Identities仍然是Microsoft Entra系列為客戶和合作伙伴提供的身份解決方案。

此外，我們帶來了一系列新的解決方案和產(chǎn)品創(chuàng)新，以不斷壯大Entra產(chǎn)品系列。

降低跨云訪問風(fēng)險(xiǎn)

多云的普及導(dǎo)致跨公有云平臺(tái)的身份、權(quán)限和資源大量增加。大多數(shù)身份被賦予了過度的權(quán)限，擴(kuò)大了企業(yè)機(jī)構(gòu)的受攻擊面，也增加了意外或惡意濫用權(quán)限的風(fēng)險(xiǎn)。如果沒有跨云服務(wù)的可見性，或提供一致體驗(yàn)的工具，身份和安全團(tuán)隊(duì)在其整個(gè)數(shù)字資產(chǎn)中管理權(quán)限、實(shí)施最小特權(quán)原則就會(huì)極具挑戰(zhàn)性。

隨著去年收購CloudKnox Security，微軟現(xiàn)已成為第一家提供CIEM解決方案——即Microsoft EntraPermissions Management——的主要云提供商。該解決方案提供了對(duì)跨多云基礎(chǔ)架構(gòu)的所有身份（用戶和負(fù)載）、操作和資源權(quán)限的全面可見性。Permissions Management有助于檢測、調(diào)整和監(jiān)控未使用和過度權(quán)限，并通過在Azure AD、AWS和谷歌云平臺(tái)中實(shí)施最小特權(quán)原則來降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。Microsoft Entra Permissions Management將作為一個(gè)獨(dú)立產(chǎn)品，于今年7月在全球范圍內(nèi)正式發(fā)售，并將集成在Defender for Cloud儀表板中，從而將Microsoft Defender for Cloud的保護(hù)擴(kuò)展到CIEM。

此外，借助Microsoft Entra中的負(fù)載身份管理（workload identity management）預(yù)覽版，客戶可通過擴(kuò)展訪問控制和風(fēng)險(xiǎn)檢測功能的范圍，為Azure AD中托管的任何應(yīng)用或服務(wù)分配身份并保障其安全。

實(shí)現(xiàn)尊重隱私、安全的數(shù)字交互

在微軟，我們非常重視，也積極保護(hù)和捍衛(wèi)隱私，而沒有什么隱私是比用戶的憑據(jù)更重要的。與去中心化身份社區(qū)合作多年后，我們自豪地宣布將推出一款基于去中心化身份標(biāo)準(zhǔn)的新產(chǎn)品：Microsoft Entra Verified ID。Verified ID采用讓便攜式、自有身份成為可能的行業(yè)標(biāo)準(zhǔn)。它代表了我們的承諾——一個(gè)面向個(gè)人和組織的、開放、可信賴、可互操作、且基于標(biāo)準(zhǔn)的去中心化身份未來。Verified ID允許個(gè)人和組織決定分享什么信息、何時(shí)分享、與誰分享，以及在必要時(shí)收回分享，而不是向無數(shù)應(yīng)用和服務(wù)授予廣泛許可，并在眾多供應(yīng)商之間傳播身份數(shù)據(jù)。

去中心化身份的潛在場景是無窮無盡的。如果能在不到一秒的時(shí)間內(nèi)驗(yàn)證組織憑證，那么我們就可以更高效、更自信地進(jìn)行B2B和B2C交易。如果個(gè)人能夠以數(shù)字方式存儲(chǔ)并共享他們的教育和認(rèn)證證書，那么背景調(diào)查就會(huì)更有效率，信息也更可靠。如果醫(yī)生和患者能夠雙向驗(yàn)證身份、并相信他們之間的互動(dòng)是私密、安全的，健康管理的壓力就會(huì)減小。Microsoft Entra Verified ID將于今年8月初正式上市。

Condatis首席執(zhí)行官Chris Tate表示：“能夠借助Microsoft Entra這樣的全球領(lǐng)先技術(shù)，并在我們的辦公環(huán)境中為員工部署Verified ID，簡直是太棒了。這讓我們輕松發(fā)現(xiàn)了高效工作的商機(jī)。”

自動(dòng)化關(guān)鍵身份治理場景

接下來，我們把目光轉(zhuǎn)向員工和合作伙伴的身份治理（Identity Governance）。對(duì)于 IT 部門和安全團(tuán)隊(duì)來說，手動(dòng)配置新用戶和訪客賬戶并管理他們的訪問是一項(xiàng)巨大的挑戰(zhàn)。這會(huì)對(duì) IT部門和個(gè)人生產(chǎn)力帶來負(fù)面影響。新員工在等待工作所需的訪問權(quán)限時(shí)，獲得完整效率也需要經(jīng)歷一個(gè)緩慢的過程。在向訪客用戶授予必要訪問權(quán)限時(shí)，類似的延遲也會(huì)破壞供應(yīng)鏈的平穩(wěn)運(yùn)行。如果沒有正式或自動(dòng)的流程來重新配置或停用人員賬戶，那么當(dāng)他們角色發(fā)生變化或退出組織時(shí)，他們的訪問權(quán)限可能仍然存在。

身份治理（Identity Governance）通過身份生命周期管理解決了這個(gè)問題，它簡化了入職和離職用戶的流程。當(dāng)用戶屬性發(fā)生變化時(shí)，生命周期工作流（Lifecycle workflows）自動(dòng)分配并管理訪問權(quán)限，同時(shí)監(jiān)控并跟蹤訪問。身份治理中的生命周期工作流將于今年7月公開預(yù)覽。

密西西比醫(yī)療補(bǔ)助系統(tǒng)分部（Mississippi Division of Medicaid）工作場所現(xiàn)代化顧問Sally Harrison表示： “老舊技術(shù)讓我們始終處于被動(dòng)和困境之中。通過Azure AD身份治理，我們最終能夠變被動(dòng)為主動(dòng)，處理來自業(yè)務(wù)方面的一些復(fù)雜請(qǐng)求。”

創(chuàng)造可能性，而不是障礙

Microsoft Entra體現(xiàn)了我們對(duì)現(xiàn)代安全訪問應(yīng)有的愿景。身份應(yīng)該是進(jìn)入充滿新可能性的新世界的入口，而不應(yīng)簡單粗暴地限制訪問，形成制造摩擦和阻礙創(chuàng)新的障礙。我們希望人們?nèi)ヌ剿?、去合作、去試?yàn)，而無需對(duì)安全性有任何擔(dān)憂。

訪問Microsoft Entra網(wǎng)站，詳細(xì)了解Azure AD、Microsoft Entra Permissions Management和Microsoft Entra Verified ID如何為我們的互聯(lián)世界提供安全訪問保障。欲了解關(guān)于微軟安全的更多信息，請(qǐng)?jiān)L問我們的網(wǎng)站和安全博客，隨時(shí)了解我們的最新消息和動(dòng)向。