微軟重新打造身分與存取管理產品與服務系列，涵蓋跨雲與非集中化應用

多年以來，微軟的身分與存取管理解決方案，雖然是該公司落實資安防護與集中控管的重要基礎，但就產品線的經營，一直處於軟體與服務各自發展的狀態，如Windows Active Directory隸屬於Windows Server的範疇；2007年推出Identity Lifecycle Manager、2010年推出Forefront Identity Manager 2010、2015年推出Identity Manager 2016；微軟積極投入雲端服務發展之後，他們發展的Azure Active Directory於2013年正式上陣，到了2014、2016年，陸續推出Azure Active Directory Premium P1與P2，提供兩組進階服務。

Microsoft Identity Manager雖然能延伸Azure Active Directory涵蓋範圍，但2019年11月推出Service Pack 2之後，預計將於2026年終止延伸支援，後繼的產品與解決方案今年可能會有答案，那就是微軟針對身分與存取防護需求推出新的產品家族Entra，當中將包含Azure Active Directory，以及兩個新的產品類型：雲端基礎架構權限管理（CIEM），以及非集中的身分管理（DID），這些解決方案保護對象將涵蓋每個人與每件物品，為其提供身分與存取管理、雲端基礎架構註冊管理，以及身分驗證等功能。

打造能夠涵蓋整個數位世界應用的信任交織網路

隨著數位資產的不斷增長、變化，而且處於無邊界的存在狀態，已無法預期與滿足無止盡的身分與存取使用場景，對此，他們正在持續擴展身分與存取解決方案，為整個數位生態系統提供新型態的信任交織網路（trust fabric），涵蓋現在與長遠未來的需求。微軟也決定重新為這類解決方案的應用範疇，重新定調。

他們說，身分不只是目錄服務，存取也不僅止於網路，由於資安範圍日益擴張，需要更寬廣的解決方案，保護每個客戶、合作夥伴、員工，以及每個微服務、感測器、設備、資料庫，舉凡企業內部、多家公有雲業者的環境，以及各種應用系統、網站、裝置，包含現有與未來可能出現的IT應用。

涵蓋三大產品與服務

Microsoft Entra的問世，對於微軟而言，最大的意義在於，囊括他們提供的所有身分與存取功能，重新包裝長期發展的產品與近期新加入的生力軍，企圖體現出當代安全存取願景的應有面貌。

微軟期盼所有人重新認識這類應用，將身分視為邁向具有各種可能性的新世界入口，而非限制存取、增加摩擦、耽擱創新的障礙物，並且能更基於無所畏懼的安全環境，勇敢地進行探索、協作、試驗，而非貿然、不顧後果地行動。

想要一窺Microsoft Entra的廬山真面目嗎？微軟在Microsoft Security的YouTube頻道公布一支示範影片，若是微軟Azure用戶，可連到https://entra.microsoft.com這個網站，親自體驗實際的操作介面。

Azure Active Directory

目前列入Microsoft Entra的身分與存取管理產品中，最大賣點就是Azure Active Directory，這系列服務無疑是用戶相對較熟悉的解決方案，對於混合雲與多雲環境，可提供身分與存取防護，以及整合的安全性功能，而原本這裡包含的條件式存取（Conditional Access）、無密碼身分驗證（Passwordless Authentication），仍然會繼續在Microsoft Entra提供。

另一目前在這類應用挑大樑的Azure AD External Identities，負責在雲端服務中管理消費者身分識別及存取功能，微軟表示，它會繼續在Microsoft Entra提供「外部身分識別」。

Entra Permissions Management

Microsoft Entra系列的此項產品，源於微軟去年7月併購的新創公司CloudKnox──這家成立於2016年的資安廠商，以雲端基礎架構權限管理闖出名號，而取得該公司產品CloudKnox Permissions Management後，今年2月微軟仍沿用產品原名、釋出公開預覽版，

但隨著5月底微軟新的身分安全招牌亮相，此產品也改名為Microsoft Entra Permissions Management，已於7月宣告全面上線，微軟表示，未來，它將整合在Microsoft Defender for Cloud的儀表板，憑藉特有的雲端基礎架構權限管理的技術，來擴展微軟整體的雲端服務安全防護能力。

這套權限管理服務，能讓用戶以統一的模式，管理任何雲端服務的任何身分存取許可，可涵蓋多雲基礎架構的使用者、工作負載，透視所有存取許可的相關配置、動作、資源，找出各種沒用到或是過度授與的存取許可，進行監督與正確的組態配置，橫跨Azure、AWS、GCP等多種公有雲，強制實施最小權限（least privilege）的原則，幫用戶緩解資料外洩風險。

Entra Verified ID

關於非集中的身分管理應用技術，微軟早在2017年就開始與Accenture推動相關的發展，當時是為了建構區塊鏈解決方案，支援ID2020全球公私領域的策略合作計畫。

在2019年，微軟開始將這方面技術的開發，擴及數位隱私領域；2020年9月，他們與美國國防部試行數位資訊驗證，名為「可驗證型身分（verifiable credentials），縮減教育計畫參與者確認技能與學歷的時間。

基於多年來投入非集中身分技術的發展經驗，到了2021年4月，微軟宣布推出新的身分服務，稱為Azure AD Verifiable Credentials，當時發表了公開預覽版，展現長期累積的成果。

今年5月初，微軟公布Azure AD Verifiable Credentials後續擴充的功能，像是隱私尊重狀態檢查的框架，能在無需冒險揭露身分發行者的狀況下，去驗證任何人的身分使用狀態。

然而，隨著5月底微軟突然宣布主推Microsoft Entra，以此重新打造身分與存取管理產品線的品牌，他們也順勢將日趨成熟的Azure AD Verifiable Credentials納入，改名為Microsoft Entra Verified ID，預計於8月初全面上線。

對比其他身分與存取解決方案，Entra Verified ID的主要特色在於，能讓個人與組織決定身分資訊的共享方式，如資訊內容、持續期間、對象，而且隨時可收回這些授權。

同時，這套解決方案也基於開放的產業標準進行實作，盡可能提供具有可移植性，以及使用者本身能夠擁有的身分。微軟希望能以此實現滿足個人與組織的非集中身分需求，兼具開放性、可信度、互通性、標準化等特性。

而這裡所採用的開放標準，也是其來有自。因為微軟已與多個組織、社群展開合作，像是：非集中身分基金會（DIF）、全球資訊網協會憑證社群分組（W3C CCG），投入關鍵標準識別與開發。

目前微軟也列出在自身服務實作的多種身分標準。以W3C為例，目前他們導入了Decentralized Identifiers、Verifiable Credentials等兩種；若是DIF，微軟在雲端服務採行的多種非集中化身分標準，包含Sidetree、Well Known DID Configuration、DID-SIOP、Presentation Exchange。

後續將推出更多產品與服務

Microsoft Entra今年5月底上場之際，除了上述三款產品與服務，微軟也預告此系列後續將加入更多解決方案。

首先是工作負載的身分管理Workload Identities，採用此服務的組織，可針對Azure AD代管的應用程式或服務，進行身分指派與防護，延伸存取控制範圍與風險偵測。值得注意的是，微軟發展Workload Identities的過程中，又衍生出其他服務，像是Azure AD Identity Protection for workload identities，今年2月發表公開預覽版，或許未來將納入Entra。