Backup-Authentifizierungssystem von Microsoft Entra ID
Organisationen auf der ganzen Welt verlassen sich 24 Stunden am Tag und sieben Tage die Woche auf die Hochverfügbarkeit der Microsoft Entra-Authentifizierung für Benutzer*innen und Dienste. Wir versprechen eine Verfügbarkeit mit einem Servicelevel von 99,99 % für die Authentifizierung und streben eine ständige Verbesserung an, indem wir die Resilienz unseres Authentifizierungsdiensts verbessern. Um die Ausfallsicherheit weiter zu erhöhen, haben wir 2021 ein Sicherungssystem implementiert.
Das Microsoft Entra-Sicherungsauthentifizierungssystem besteht aus mehreren Sicherungsdiensten, die zusammenarbeiten, um die Authentifizierungsresilienz bei einem Ausfall zu erhöhen. Dieses System verarbeitet die Authentifizierungen für unterstützte Anwendungen und Dienste transparent und automatisch, wenn der primäre Microsoft Entra-Dienst nicht verfügbar oder heruntergestuft ist. Zusätzlich zu den vorhandenen Redundanzebenen wird eine zusätzliche Resilienzebene hinzugefügt. Diese Resilienz wird im Blogbeitrag Verbesserte Dienstresilienz in Microsoft Entra ID durch den Sicherungsauthentifizierungsdienst beschrieben. Dieses System synchronisiert Authentifizierungsmetadaten, wenn das System fehlerfrei ist, und verwendet diese, um Benutzer*innen bei Ausfällen des primären Dienstes weiterhin den Zugriff auf Anwendungen zu ermöglichen und gleichzeitig Richtlinienkontrollen zu erzwingen.
Während eines Ausfalls des primären Diensts können Benutzer*innen weiterhin mit ihren Anwendungen arbeiten, sofern sie in den letzten drei Tagen von demselben Gerät aus darauf zugegriffen haben und keine Sperrrichtlinien bestehen, die ihren Zugriff einschränken würden:
Zusätzlich zu Microsoft-Anwendungen wird Folgendes unterstützt:
- Native E-Mail-Clients unter iOS und Android.
- Im App-Katalog verfügbare SaaS-Anwendungen (Software-as-a-Service) wie ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday und mehr.
- Ausgewählte Branchenanwendungen, basierend auf ihren Authentifizierungsmustern.
Die Dienst-zu-Dienst-Authentifizierung, die sich auf verwaltete Identitäten für Azure-Ressourcen stützt oder auf Azure-Diensten wie VM, Cloudspeicher, Azure KI Services und App Service aufbaut, erhält durch das Sicherungsauthentifizierungssystem eine höhere Resilienz.
Microsoft erweitert kontinuierlich die Anzahl unterstützter Szenarien.
Welche Nicht-Microsoft-Workloads werden unterstützt?
Das Sicherungsauthentifizierungssystem bietet automatisch inkrementelle Resilienz für Zehntausende von unterstützten Nicht-Microsoft-Anwendungen auf der Grundlage ihrer Authentifizierungsmuster. Eine Liste der gängigsten Nicht-Microsoft-Anwendungen und deren Abdeckungsstatus finden Sie im Anhang. Eine ausführliche Erklärung, welche Authentifizierungsmuster unterstützt werden, finden Sie im Artikel Grundlegendes zur Anwendungsunterstützung für das Sicherungsauthentifizierungssystem.
- Native Anwendungen, die das Protokoll Open Authorization (OAuth) 2.0 verwenden, um auf Ressourcenanwendungen zuzugreifen, z. B. beliebte Nicht-Microsoft-E-Mail- und Chat-Clients wie Apple Mail, Aqua Mail, Gmail, Samsung Email und Spark.
- Branchenspezifische Webanwendungen, die für die Authentifizierung mit OpenID Connect konfiguriert sind und nur ID-Token verwenden.
- Webanwendungen, die sich mit dem SAML-Protokoll (Security Assertion Markup Language) authentifizieren, wenn sie für vom Identitätsanbieter initiiertes einmaliges Anmelden (SSO) konfiguriert sind, wie ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Trello, Workday und Zscaler.
Nicht von Microsoft stammende Anwendungstypen, die nicht geschützt sind
Folgende Authentifizierungsmuster werden derzeit nicht unterstützt:
- Webanwendungen, die sich mit OpenID Connect authentifizieren und Zugriffstoken anfordern
- Webanwendungen, die das SAML-Protokoll für die Authentifizierung verwenden, wenn sie als vom Dienstanbieter initiiertes SSO konfiguriert sind
Was macht einen Benutzer durch das Backup-Authentifizierungssystem unterstützbar?
Während eines Ausfalls können sich Benutzer*innen über das Sicherungsauthentifizierungssystem authentifizieren, wenn die folgenden Bedingungen erfüllt sind:
- Der Benutzer/die Benutzerin hat sich in den letzten drei Tagen erfolgreich unter Verwendung derselben App und desselben Geräts authentifiziert.
- Es ist keine interaktive Authentifizierung erforderlich.
- Der Benutzer greift als Mitglied seines eigenen Mandanten und nicht in einem B2B- oder B2C-Szenario auf eine Ressource zu.
- Der Benutzer/die Benutzerin unterliegt keinen Richtlinien für den bedingten Zugriff, die das Sicherungsauthentifizierungssystem einschränken, z. B. das Deaktivieren von Resilienzstandardeinstellungen.
- Der Benutzer/die Benutzerin war seit der letzten erfolgreichen Authentifizierung nicht Gegenstand eines Sperrungsereignisses, z. B. einer Änderung der Anmeldedaten.
Wie wirken sich die interaktive Authentifizierung und Benutzeraktivitäten auf die Resilienz aus?
Das Sicherungsauthentifizierungssystem stützt sich auf die Metadaten einer früheren Authentifizierung, um Benutzer*innen während eines Ausfalls erneut zu authentifizieren. Aus diesem Grund ist der Sicherungsdienst nur dann wirksam, wenn sich der Benutzer/die Benutzerin in den letzten drei Tagen mit derselben App auf demselben Gerät authentifiziert hat. Benutzer*innen, die inaktiv sind oder sich noch nicht bei einer bestimmten App authentifiziert haben, können das Sicherungsauthentifizierungssystem für die betreffende Anwendung nicht verwenden.
Wie wirken sich Richtlinien für den bedingten Zugriff auf die Resilienz aus?
Bestimmte Richtlinien können vom Sicherungsauthentifizierungssystem nicht in Echtzeit ausgewertet werden. Das System muss sich daher auf vorherige Auswertungen dieser Richtlinien stützen. Bei Ausfällen verwendet der Dienst standardmäßig eine vorherige Auswertung, um die Resilienz zu maximieren. Beispielsweise wird der Zugriff, der auf einen Benutzer mit einer bestimmten Rolle (z. B. Anwendungsadministrator) beschränkt ist, während eines Ausfalls auf der Grundlage der Rolle fortgesetzt, die der Benutzer bei der letzten Authentifizierung hatte. Wenn die Verwendung einer vorherigen Auswertung bei Ausfällen eingeschränkt werden muss, können Mandantenadmins eine strikte Auswertung aller Richtlinien für bedingten Zugriff auch unter Ausfallbedingungen auswählen, indem sie Standardeinstellungen für die Resilienz deaktivieren. Diese Entscheidung sollte mit Bedacht getroffen werden, da durch die Deaktivierung der Resilienzstandardeinstellungen für eine bestimmte Richtlinie die betreffenden Benutzer*innen von der Verwendung der Sicherungsauthentifizierung ausgeschlossen werden. Die Standardwerte für Resilienz müssen vor einem Ausfall erneut aktiviert werden, damit das Sicherungssystem Resilienz bietet.
Bestimmte andere Richtlinientypen unterstützen die Verwendung des Sicherungsauthentifizierungssystems nicht. Die Verwendung der folgenden Richtlinien verringert die Resilienz:
- Verwendung der Anmeldefrequenzsteuerung als Teil einer Richtlinie für bedingten Zugriff.
- Verwendung der Authentifizierungsmethodenrichtlinie.
- Verwendung klassischer Richtlinien für bedingten Zugriff.
Resilienz der Workloadidentität im Sicherungsauthentifizierungssystem
Zusätzlich zur Benutzerauthentifizierung bietet das Sicherungsauthentifizierungssystem Resilienz für verwaltete Identitäten und andere wichtige Azure-Infrastrukturelemente, indem es einen regional isolierten Authentifizierungsdienst bietet, der redundant mit dem primären Authentifizierungsdienst geschichtet ist. Dank dieses Systems kann die Infrastrukturauthentifizierung innerhalb einer Azure-Region resilient gegenüber Problemen gemacht werden, die in einer anderen Region oder innerhalb des umfassenderen Microsoft Entra-Diensts auftreten können. Dieses System ergänzt die regionenübergreifende Architektur von Azure. Wenn Sie Ihre eigenen Anwendungen mithilfe von MI erstellen und die bewährten Methoden von Azure für Resilienz und Verfügbarkeit befolgen, sind Ihre Anwendungen äußerst resilient. Zusätzlich zu MI schützt dieses regional resiliente Sicherungssystem wichtige Azure-Infrastrukturelemente und -Dienste, die die Funktionstüchtigkeit der Cloud gewährleisten.
Zusammenfassung der Unterstützung der Infrastrukturauthentifizierung
- Ihre auf der Azure-Infrastruktur aufgebauten Dienste, die verwaltete Identitäten verwenden, werden durch das Sicherungsauthentifizierungssystem geschützt.
- Azure-Dienste, die sich gegenseitig authentifizieren, werden durch das Sicherungsauthentifizierungssystem geschützt.
- Ihre auf oder außerhalb von Azure erstellten Dienste, bei denen die Identitäten als Dienstprinzipale und nicht als „verwaltete Identitäten“ registriert sind, werden nicht durch das Sicherungsauthentifizierungssystem geschützt.
Cloudumgebungen, die das Sicherungsauthentifizierungssystem unterstützen
Das Sicherungsauthentifizierungssystem wird in allen Cloudumgebungen unterstützt, ausgenommen Microsoft Azure, betrieben von 21Vianet. Die unterstützten Identitätstypen variieren je nach Cloud und weisen separate Authentifizierungsendpunkte auf, wie in der folgenden Tabelle beschrieben.
| Azure-Umgebung | Microsoft 365-Umgebungen | Geschützte Identitäten | Microsoft Entra-Authentifizierungsendpunkt |
|---|---|---|---|
| Azure Commercial | Kommerziell und M365 für Behörden + Politik | Benutzer und verwaltete Identitäten | https://login.microsoftonline.com |
| Azure Government | M365 GCC High und DoD | Benutzer und verwaltete Identitäten | https://login.microsoftonline.us |
| Azure Government Secret | M365 Regierungsgeheimnis | Benutzer und verwaltete Identitäten | Nicht verfügbar |
| Azure Government Top Secret | M365 Regierungsstufe Geheim | Benutzer und verwaltete Identitäten | Nicht verfügbar |
| Azure betrieben von 21Vianet | Nicht verfügbar | Verwaltete Identitäten | https://login.partner.microsoftonline.cn |
Anhang
Beliebte nicht von Microsoft stammende native Client-Apps und App-Kataloganwendungen
| App-Name | Geschützt | Warum nicht geschützt? |
|---|---|---|
| ABBYY FlexiCapture 12 | Nein | Vom Dienstanbieter initiiertes SAML |
| Adobe Experience Manager | Nein | Vom Dienstanbieter initiiertes SAML |
| Adobe Identity Management (OIDC) | Nein | OIDC mit Zugriffstoken |
| ADP | Ja | Geschützt |
| Apple Business Manager | Nein | Vom Dienstanbieter initiiertes SAML |
| Apple Internet-Konten | Ja | Geschützt |
| Apple School Manager | Nein | OIDC mit Zugriffstoken |
| Aqua Mail | Ja | Geschützt |
| Atlassian Cloud | Ja * | Geschützt |
| Blackboard Learn | Nein | Vom Dienstanbieter initiiertes SAML |
| Kiste | Nein | Vom Dienstanbieter initiiertes SAML |
| Brightspace von Desire2Learn | Nein | Vom Dienstanbieter initiiertes SAML |
| Canvas | Nein | Vom Dienstanbieter initiiertes SAML |
| Ceridian Dayforce HCM | Nein | Vom Dienstanbieter initiiertes SAML |
| Cisco AnyConnect | Nein | Vom Dienstanbieter initiiertes SAML |
| Cisco Webex | Nein | Vom Dienstanbieter initiiertes SAML |
| Citrix ADC SAML Connector for Azure AD | Nein | Vom Dienstanbieter initiiertes SAML |
| Clever | Nein | Vom Dienstanbieter initiiertes SAML |
| Cloud Drive Mapper | Ja | Geschützt |
| Cornerstone Single Sign-On | Nein | Vom Dienstanbieter initiiertes SAML |
| Docusign | Nein | Vom Dienstanbieter initiiertes SAML |
| Druva | Nein | Vom Dienstanbieter initiiertes SAML |
| F5 BIG-IP APM Azure AD-Integration | Nein | Vom Dienstanbieter initiiertes SAML |
| FortiGate SSL VPN | Nein | Vom Dienstanbieter initiiertes SAML |
| Freshworks | Nein | Vom Dienstanbieter initiiertes SAML |
| Gmail | Ja | Geschützt |
| Google Cloud/G Suite Connector von Microsoft | Nein | Vom Dienstanbieter initiiertes SAML |
| HubSpot Sales | Nein | Vom Dienstanbieter initiiertes SAML |
| Kronos | Ja * | Geschützt |
| Madrasati App | Nein | Vom Dienstanbieter initiiertes SAML |
| OpenAthens | Nein | Vom Dienstanbieter initiiertes SAML |
| Oracle Fusion ERP | Nein | Vom Dienstanbieter initiiertes SAML |
| Palo Alto Networks - GlobalProtect | Nein | Vom Dienstanbieter initiiertes SAML |
| Polycom – Skype for Business zertifiziertes Telefon | Ja | Geschützt |
| Salesforce | Nein | Vom Dienstanbieter initiiertes SAML |
| Samsung E-Mail | Ja | Geschützt |
| SAP Cloud Platform Identity Authentication | Nein | Vom Dienstanbieter initiiertes SAML |
| SAP Concur | Ja * | Vom Dienstanbieter initiiertes SAML |
| SAP Concur Reise- und Kostenmanagement | Ja * | Geschützt |
| SAP Fiori | Nein | Vom Dienstanbieter initiiertes SAML |
| SAP NetWeaver | Nein | Vom Dienstanbieter initiiertes SAML |
| SAP SuccessFactors | Nein | Vom Dienstanbieter initiiertes SAML |
| Service Now | Nein | Vom Dienstanbieter initiiertes SAML |
| Slack | Nein | Vom Dienstanbieter initiiertes SAML |
| Smartsheet | Nein | Vom Dienstanbieter initiiertes SAML |
| Spark | Ja | Geschützt |
| UKG Pro | Ja * | Geschützt |
| VMware Boxer | Ja | Geschützt |
| walkMe | Nein | Vom Dienstanbieter initiiertes SAML |
| Arbeitstag | Nein | Vom Dienstanbieter initiiertes SAML |
| Workplace from Facebook | Nein | Vom Dienstanbieter initiiertes SAML |
| Zoom | Nein | Vom Dienstanbieter initiiertes SAML |
| Zscaler | Ja * | Geschützt |
| Zscaler Private Access (ZPA) | Nein | Vom Dienstanbieter initiiertes SAML |
| Zscaler ZSCloud | Nein | Vom Dienstanbieter initiiertes SAML |
Hinweis
* Apps, die für die Authentifizierung mit dem SAML-Protokoll konfiguriert sind, sind geschützt, wenn sie die IDP-initiierte Authentifizierung verwenden. Konfigurationen mit vom Dienstanbieter initiiertem SAML werden nicht unterstützt.
Azure-Ressourcen und deren Status
| Ressource | Name der Azure-Ressource | Status |
|---|---|---|
| Microsoft.ApiManagement | API Management-Dienst in den Regionen Azure Government und China | Geschützt |
| microsoft.app | App-Dienst | Geschützt |
| Microsoft.AppConfiguration | Azure App-Konfiguration | Geschützt |
| Microsoft.AppPlatform | Azure App Service | Geschützt |
| Microsoft.Authorization | Microsoft Entra ID | Geschützt |
| Microsoft.Automation | Automation-Dienst | Geschützt |
| Microsoft.AVX | Azure VMware Solution | Geschützt |
| Microsoft.Batch | Azure Batch | Geschützt |
| Microsoft.Cache | Azure Cache für Redis | Geschützt |
| Microsoft.Cdn | Übersicht über das Azure Content Delivery Network (CDN) | Nicht geschützt |
| Microsoft.Chaos | Azure Chaos Engineering | Geschützt |
| Microsoft.CognitiveServices | APIs und Container für Azure KI Services | Geschützt |
| Microsoft.Communication | Azure Communication Services | Nicht geschützt |
| Microsoft.Compute | Azure Virtual Machines | Geschützt |
| Microsoft.ContainerInstance | Azure Container Instances | Geschützt |
| Microsoft.ContainerRegistry | Azure Container Registry (Registrierungsdienst für Container von Azure) | Geschützt |
| Microsoft.ContainerService | Azure Kubernetes Service (veraltet) | Geschützt |
| Microsoft.Dashboard | Azure-Dashboards | Geschützt |
| Microsoft.DatabaseWatcher | Automatische Optimierung der Azure SQL-Datenbank | Geschützt |
| Microsoft.DataBox | Azure Data Box | Geschützt |
| Microsoft.Databricks | Azure Databricks | Nicht geschützt |
| Microsoft.DataCollaboration | Azure Data Share | Geschützt |
| Microsoft.Datadog | Datadog | Geschützt |
| Microsoft.DataFactory | Azure Data Factory | Geschützt |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 und Gen2 | Nicht geschützt |
| Microsoft.DataProtection | Microsoft Defender for Cloud Apps-Datenschutz-API | Geschützt |
| Microsoft.DBforMySQL | Azure Database for MySQL | Geschützt |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Geschützt |
| Microsoft.DelegatedNetwork | Delegierter Netzwerkverwaltungsdienst | Geschützt |
| Microsoft.DevCenter | Microsoft Store für Unternehmen und Bildungseinrichtungen | Geschützt |
| Microsoft.Devices | Azure IoT Hub und IoT Central | Nicht geschützt |
| Microsoft.DeviceUpdate | Windows 10 IoT Core Services Device Update | Geschützt |
| Microsoft.DevTestLab | Azure DevTest Labs | Geschützt |
| Microsoft.DigitalTwins | Azure Digital Twins | Geschützt |
| Microsoft.DocumentDB | Azure Cosmos DB | Geschützt |
| Microsoft.EventGrid | Azure Event Grid | Geschützt |
| Microsoft.EventHub | Azure Event Hubs | Geschützt |
| Microsoft.HealthBot | Gesundheits-Bot-Dienst | Geschützt |
| Microsoft.HealthcareApis | FHIR-API für Azure-API für FHIR- und Microsoft Cloud for Healthcare-Lösungen | Geschützt |
| Microsoft.HybridContainerService | Kubernetes mit Azure Arc-Unterstützung | Geschützt |
| Microsoft.HybridNetwork | Azure Virtual WAN | Geschützt |
| Microsoft.Insights | Application Insights und Log Analytics | Nicht geschützt |
| Microsoft.IoTCentral | IoT Central | Geschützt |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Geschützt |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Geschützt |
| Microsoft.LoadTestService | Visual Studio-Auslastungstestdienst | Geschützt |
| Microsoft.Logic | Azure Logic Apps | Geschützt |
| Microsoft.MachineLearningServices | Machine Learning Services in Azure | Geschützt |
| Microsoft.managed identity | Verwaltete Identitäten für Microsoft-Ressourcen | Geschützt |
| Microsoft.Maps | Azure Maps | Geschützt |
| Microsoft.Media | Azure Media Services | Geschützt |
| Microsoft.Migrate | Azure Migrate | Geschützt |
| Microsoft.MixedReality | Mixed Reality-Dienste, einschließlich Remote Rendering, Spatial Anchors und Object Anchors | Nicht geschützt |
| Microsoft.NetApp | Azure NetApp Files | Geschützt |
| Microsoft.Network | Azure Virtual Network | Geschützt |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) in Azure | Geschützt |
| Microsoft.OperationalInsights | Azure Monitor-Protokolle | Geschützt |
| Microsoft.PowerPlatform | Microsoft Power Platform | Geschützt |
| Microsoft.Purview | Microsoft Purview (ehemals Azure Data Catalog) | Geschützt |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Geschützt |
| Microsoft.RecommendationsService | Empfehlungs-API für Azure KI Services | Geschützt |
| Microsoft.RecoveryServices | Azure Site Recovery (Wiederherstellungsdienst für Websites) | Geschützt |
| Microsoft.ResourceConnector | Azure Resource Connector | Geschützt |
| Microsoft.Scom | System Center Operations Manager | Geschützt |
| Microsoft.Search | Azure Cognitive Search | Nicht geschützt |
| Microsoft.Security | Microsoft Defender für Cloud | Nicht geschützt |
| Microsoft.SecurityDetonation | Microsoft Defender for Endpoint Detonation Service | Geschützt |
| Microsoft.ServiceBus | Service Bus-Messagingdienst und Event Grid-Domänenthemen | Geschützt |
| Microsoft.ServiceFabric | Azure Service Fabric | Geschützt |
| Microsoft.SignalRService | Azure SignalR Service | Geschützt |
| Microsoft.Solutions | Azure-Lösungen | Geschützt |
| Microsoft.Sql | SQL Server auf virtuellen Computern und SQL Managed Instance in Azure | Geschützt |
| Microsoft.Storage | Azure Storage | Geschützt |
| Microsoft.StorageCache | Azure Storage Cache | Geschützt |
| Microsoft.StorageSync | Azure-Dateisynchronisierung | Geschützt |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Nicht geschützt |
| Microsoft.Synapse | Synapse Analytics (vormals SQL DW) und Synapse Studio (vormals SQL DW Studio) | Geschützt |
| Microsoft.Nutzungsabrechnung | Azure-Nutzungs- und Abrechnungsportal | Nicht geschützt |
| Microsoft.VideoIndexer | Video-Indizierer | Geschützt |
| Microsoft.VoiceServices | Azure Communication Services – Voice-APIs | Nicht geschützt |
| microsoft.web | Webanwendungen | Geschützt |