在人工智能驱动头条新闻的喧嚣声中，存在一个基本需求：确保并监控用户及其访问内容。不幸的是，随着“用户”范围扩展到合作伙伴、代理商、供应商和承包商（他们各自拥有独立的身份、设备和权限），未经授权访问的风险只会增加。

挑战：保护外部身份 Verizon《2025年数据泄露调查报告》发现，30%的泄露事件涉及第三方，是前一年的两倍。微软最新的《数字防御报告》也呼应了这一点，报告称约三分之一的攻击者使用简单方法入侵，通常是通过供应链或在线服务中的受信任合作伙伴。无论这些攻击源自供应链何处，业务连续性和数据保护都至关重要。这使得身份和访问管理（IAM）负责人必须管理因授予供应商、承包商、顾问甚至客户访问公司系统和数据权限所带来的风险。为了主动降低外部身份带来的风险并防止未经授权的访问，Duo 帮助组织采用并将零信任身份安全策略扩展到外部用户。

解决方案：面向第三方身份的默认安全IAM Duo 灵活的用户目录功能和内置的钓鱼防护多因素认证（MFA），使得为内部和外部身份（单独或一起）简化身份和访问管理变得容易。凭借“安全优先”的IAM方法，Duo为企业提供了三种强大的方式来管理第三方风险：

1. 为外部身份构建并行目录 非员工身份存储在哪里？对于许多组织来说，将第三方身份添加到其本地主要身份提供商，然后用MFA“包裹”它们，正变得越来越麻烦。Duo Directory的加入使管理员能够设置备用目录，以便他们可以并行但独立于员工数据，对外部身份进行分段和安全管理。Duo可以通过新的易于配置的路由规则，在多个身份源之间代理身份验证。现在，适用于内部员工的同样强大的安全功能、策略和标准，可以应用于供应商、承包商和顾问。这为管理员提供了对其员工和外部身份同等重要的可见性和可追溯性。

“以前，我们没有一种干净的方法在不经过完整创建Active Directory账户周期的情况下添加承包商，因此我们通常不做太多承包商相关的工作。现在，当有承包商需要访问时，我们只需将其现有电子邮件地址邀请到Duo Directory中，而无需创建所有那些其他分散的身份。”

—— Jason Waits， Inductive Automation 首席信息安全官

2. 认证用户并阻止高风险的非托管设备 强大的身份安全不仅验证用户本身，也验证设备的可信度。这就是为什么受Duo Directory保护的每个身份都默认配备MFA、单点登录（SSO）和设备信任。Duo行业领先的MFA支持多种认证方法，包括防钓鱼的邻近验证、无密码认证、令牌、短信和回拨——以及设置更智能的基于风险的身份验证（RBA）的选项。Duo SSO通过数百个预构建的集成简化登录并控制访问。这种灵活性使得无论身份来源如何，都能轻松为每位员工和可信合作伙伴选择理想的认证方法和访问级别。

如何管理对高风险、非托管设备健康状况的可见性？自动管理设备信任使管理员能够为非托管设备设置安全策略，并阻止它们或确保它们保持最新状态和合规性。Duo Device Trust为第三方设备提供强大的安全性，无需额外的终端保护或移动设备管理（MDM）。在每次身份验证尝试时无缝执行设备健康检查，并在过时的操作系统版本或越狱/root设备等漏洞被利用之前发现它们。对于更严格的策略，可以区分托管和非托管设备之间的认证，并阻止所有未被指定为“受信任”的未知设备。

3. 简化身份管理并节省管理时间 管理更多身份并非易事。Duo的自动化供应和取消供应功能，使得在整个第三方身份生命周期中设置和管理目录变得比以往任何时候都更容易。IAM负责人可以使用为灵活性和管理员可用性而构建的单一解决方案快速设置精细的访问策略，包括内置的策略计算器和节省时间的AI助手查询。创建自定义用户属性有助于组织并确保权限的正确停用。

“使用Duo Directory，我们可以轻松地将‘公司’和用户在公司内所属组织等属性添加到他们的配置文件中。使用Duo可以轻松地将用户映射到组，然后将每个组映射到每个供应商产品的特定角色。”

—— Steve Fink， Black Hat安全运营中心首席架构师

Duo简化了云和本地应用的管理，统一了远程和现场工作的各种群体的身份管理和安全。保护第三方用户免受远程攻击，而无需分发和管理硬件令牌。

保护您扩展的身份生态系统 即使第三方供应商和承包商遭到黑客攻击，也要防止对公司数据的未经授权访问。Duo提供业界最完整的IAM解决方案，用于保护外部身份，其灵活的内置身份目录功能辅以业界领先的钓鱼防护MFA、SSO和设备信任。默认情况下为每个用户提供开箱即用的安全身份。