Sistema di autenticazione di backup di Microsoft Entra ID
Le organizzazioni di tutto il mondo dipendono dalla disponibilità elevata dell'autenticazione di Microsoft Entra per utenti e servizi 24 ore al giorno, sette giorni alla settimana. Promettiamo una disponibilità del livello di servizio del 99,99% per l'autenticazione e cerchiamo continuamente di migliorarla migliorando la resilienza del servizio di autenticazione. Per migliorare ulteriormente la resilienza durante le interruzioni, è stato implementato un sistema di backup nel 2021.
Il sistema di autenticazione di backup di Microsoft Entra è costituito da più servizi di backup che interagiscono per aumentare la resilienza dell'autenticazione in caso di interruzione. Questo sistema gestisce in modo trasparente e automatico le autenticazioni per applicazioni e servizi supportati se il servizio Microsoft Entra primario non è disponibile o danneggiato. Aggiunge un ulteriore livello di resilienza oltre ai diversi livelli di ridondanza esistenti. Questa resilienza è descritta nel post di blog Migliorare la resilienza del servizio in Microsoft Entra ID con il relativo servizio di autenticazione di backup. Questo sistema sincronizza i metadati di autenticazione quando il sistema è integro e li usa per consentire agli utenti di continuare ad accedere alle applicazioni durante le interruzioni del servizio primario, applicando comunque i controlli dei criteri.
Durante un'interruzione del servizio primario, gli utenti possono continuare a lavorare con le applicazioni, purché abbiano eseguito l'accesso negli ultimi tre giorni dallo stesso dispositivo e non esistano criteri di blocco che ne limitano l'accesso:
Oltre alle applicazioni Microsoft, Microsoft supporta:
- Client di posta elettronica nativi di iOS e Android.
- Applicazioni SaaS (Software as a Service) disponibili nella raccolta di app, ad esempio ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday e altro ancora.
- Applicazioni line-of-business selezionate, in base ai modelli di autenticazione.
L'autenticazione da servizio a servizio che si basa su identità gestite per le risorse di Azure o su servizi di Azure, ad esempio macchine virtuali, archiviazione cloud, servizi di Azure AI e servizio app, riceve una maggiore resilienza dal sistema di autenticazione di backup.
Microsoft sta espandendo continuamente il numero di scenari supportati.
Quali carichi di lavoro non Microsoft sono supportati?
Il sistema di autenticazione di backup offre automaticamente resilienza incrementale a decine di migliaia di applicazioni non Microsoft supportate in base ai modelli di autenticazione. Vedere l'appendice per un elenco delle applicazioni non Microsoft più comuni e il relativo stato di copertura. Per una spiegazione approfondita dei modelli di autenticazione supportati, vedere l'articolo Informazioni sul supporto delle applicazioni per il sistema di autenticazione di backup.
- Applicazioni native che usano il protocollo OAuth (Open Authorization) 2.0 per accedere alle applicazioni di risorse, ad esempio i comuni client di posta elettronica e messaggistica istantanea non Microsoft come Apple Mail, Aqua Mail, Gmail, Samsung Email e Spark.
- Applicazioni aziendali web configurate per l'autenticazione con OpenID Connect usando solo token ID.
- Le applicazioni Web che eseguono l'autenticazione con il protocollo SAML (Security Assertion Markup Language), se configurate per l'accesso Single Sign-On avviato da IdP come ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday e Zscaler.
Tipi di applicazioni non Microsoft non protette
I modelli di autenticazione seguenti non sono attualmente supportati:
- Applicazioni Web che eseguono l'autenticazione con OpenID Connect e richiedono token di accesso
- Applicazioni Web che usano il protocollo SAML per l'autenticazione, se configurate come SSO avviato da SP
Cosa rende un utente supportabile dal sistema di autenticazione di backup?
Durante un'interruzione, un utente può eseguire l'autenticazione usando il sistema di autenticazione di backup se vengono soddisfatte le condizioni seguenti:
- L'utente ha eseguito correttamente l'autenticazione usando la stessa app e lo stesso dispositivo negli ultimi tre giorni.
- Non è necessario che l'utente esegua l'autenticazione interattiva
- L'utente accede a una risorsa come membro del tenant di origine, anziché esercitare uno scenario B2B o B2C.
- L'utente non è soggetto ai criteri di accesso condizionale che limitano il sistema di autenticazione del backup, ad esempio disabilitando le impostazioni predefinite di resilienza.
- L'utente non è stato soggetto a un evento di revoca, ad esempio una modifica delle credenziali dall'ultima autenticazione riuscita.
In che modo l'autenticazione interattiva e l'attività utente influiscono sulla resilienza?
Il sistema di autenticazione di backup si basa sui metadati di un'autenticazione precedente per autenticare nuovamente l'utente durante un'interruzione. Per questo motivo, un utente deve aver eseguito l'autenticazione negli ultimi tre giorni usando la stessa app sullo stesso dispositivo per far funzionare il servizio di backup. Gli utenti inattivi o non autenticati in una determinata app non possono usare il sistema di autenticazione di backup per tale applicazione.
In che modo i criteri di accesso condizionale influiscono sulla resilienza?
Alcuni criteri non possono essere valutati in tempo reale dal sistema di autenticazione di backup e devono basarsi sulle valutazioni precedenti di questi criteri. In condizioni di interruzione, il servizio usa una valutazione precedente per impostazione predefinita per massimizzare la resilienza. Ad esempio, l'accesso condizionale per un utente con un ruolo specifico,ad esempio Amministratore applicazione, continua durante un'interruzione in base al ruolo che l'utente aveva durante l'autenticazione più recente. Se è necessario limitare l'uso di una valutazione precedente solo in caso di interruzione del servizio, gli amministratori del tenant possono optare per una valutazione rigorosa di tutti i criteri di accesso condizionale, anche in caso di interruzione, disabilitando le impostazioni predefinite di resilienza. Questa decisione deve essere presa con attenzione perché la disabilitazione delle impostazioni predefinite di resilienza per un determinato criterio impedisce agli utenti di usare l'autenticazione di backup. Le impostazioni predefinite per la resilienza devono essere riabilitate prima che si verifichi un'interruzione per consentire al sistema di backup di fornire resilienza.
Alcuni altri tipi di criteri non supportano l'uso del sistema di autenticazione di backup. L'uso dei criteri seguenti riduce la resilienza:
- Uso del controllo della frequenza di accesso come parte di un criterio di accesso condizionale.
- Uso dei criteri dei metodi di autenticazione.
- Uso dei criteri di accesso condizionale classici.
Resilienza dell'identità di carico di lavoro nel sistema di autenticazione di riserva
Oltre all'autenticazione utente, il sistema di autenticazione di backup fornisce resilienza per le identità gestite e altre infrastrutture chiave di Azure offrendo un servizio di autenticazione isolato a livello regionale con livelli di ridondanza che affiancano il servizio di autenticazione primario. Questo sistema consente all'autenticazione dell'infrastruttura all'interno di un'area di Azure di essere resiliente ai problemi che possono verificarsi in un'altra area o all'interno del servizio Microsoft Entra più grande. Questo sistema integra l'architettura tra aree di Azure. La creazione delle proprie applicazioni utilizzando l'Intelligenza Artificiale (MI) e seguendo le procedure consigliate di Azure per la resilienza e la disponibilità garantisce che le applicazioni siano altamente resilienti. Oltre a MI, questo sistema di backup resiliente a livello regionale protegge l'infrastruttura e i servizi chiave di Azure che garantiscono la funzionalità del cloud.
Riepilogo del supporto dell'autenticazione dell'infrastruttura
- I servizi basati sull'infrastruttura di Azure che usano identità gestite sono protetti dal sistema di autenticazione di backup.
- I servizi di Azure che eseguono l'autenticazione tra loro sono protetti dal sistema di autenticazione di backup.
- I servizi sviluppati su Azure o al di fuori di Azure, quando le identità sono registrate come principal del servizio e non come "identità gestite", non sono protetti dal sistema di autenticazione di backup.
Ambienti cloud che supportano il sistema di autenticazione di backup
Il sistema di autenticazione di backup è supportato in tutti gli ambienti cloud ad eccezione di Microsoft Azure gestito da 21Vianet. I tipi di identità supportati variano in base al cloud e hanno endpoint di autenticazione separati, come descritto nella tabella seguente.
| Ambiente di Azure | Ambienti Microsoft 365 | Identità protette | Endpoint di autenticazione di Microsoft Entra |
|---|---|---|---|
| Servizio Commerciale di Azure | Commerciale e Microsoft 365 per il settore pubblico | Utenti e identità gestite | https://login.microsoftonline.com |
| Azure Government | M365 GCC High e DoD | Utenti e identità gestite | https://login.microsoftonline.us |
| Azure Secret per enti pubblici | Segreto del governo M365 | Utenti e identità gestite | Non disponibile |
| Azure Top Secret per enti pubblici | M365 Government Top Secret | Utenti e identità gestite | Non disponibile |
| Azure gestito da 21Vianet | Non disponibile | Identità gestite | https://login.partner.microsoftonline.cn |
Appendice
App client native popolari non-Microsoft e applicazioni della galleria
| Nome dell'App | Protetto | Perché Non protetto? |
|---|---|---|
| ABBYY FlexiCapture 12 | No | SAML avviato da SP |
| Adobe Experience Manager | No | SAML avviato da SP |
| Adobe Identity Management (OIDC) | No | OIDC con token di accesso |
| ADP | Sì | Protetto |
| Apple Business Manager | No | SAML avviato da SP |
| Account Apple Internet | Sì | Protetto |
| Apple School Manager | No | OIDC con token di accesso |
| Aqua Mail | Sì | Protetto |
| Atlassian Cloud | Sì* | Protetto |
| Blackboard Learn | No | SAML avviato da SP |
| Casella | No | SAML avviato da SP |
| Brightspace by Desire2Learn | No | SAML avviato da SP |
| Tela | No | SAML avviato da SP |
| Ceridian Dayforce HCM | No | SAML avviato da SP |
| Cisco AnyConnect | No | SAML avviato da SP |
| Cisco Webex | No | SAML avviato da SP |
| Citrix ADC SAML Connector for Azure AD | No | SAML avviato da SP |
| Intelligente | No | SAML avviato da SP |
| Cloud Drive Mapper | Sì | Protetto |
| Cornerstone Single Sign-On (accesso singolo) | No | SAML avviato da SP |
| Docusign | No | SAML avviato da SP |
| Druva | No | SAML avviato da SP |
| Integrazione di F5 BIG-IP APM con Azure AD | No | SAML avviato da SP |
| FortiGate SSL VPN | No | SAML avviato da SP |
| Freshworks | No | SAML avviato da SP |
| Gmail | Sì | Protetto |
| Google Cloud/G Suite Connector by Microsoft | No | SAML avviato da SP |
| HubSpot Sales | No | SAML avviato da SP |
| Kronos | Sì* | Protetto |
| App Madrasati | No | SAML avviato da SP |
| OpenAthens | No | SAML avviato da SP |
| Oracle Fusion ERP | No | SAML avviato da SP |
| Palo Alto Networks - GlobalProtect | No | SAML avviato da SP |
| Polycom - Telefono certificato da Skype for Business | Sì | Protetto |
| Salesforce | No | SAML avviato da SP |
| Samsung Email | Sì | Protetto |
| SAP Cloud Platform Identity Authentication | No | SAML avviato da SP |
| SAP Concur | Sì* | SAML avviato da SP |
| SAP Concur Viaggi e Spese | Sì* | Protetto |
| SAP Fiori | No | SAML avviato da SP |
| SAP NetWeaver | No | SAML avviato da SP |
| SAP SuccessFactors | No | SAML avviato da SP |
| ServiceNow | No | SAML avviato da SP |
| Slack | No | SAML avviato da SP |
| Smartsheet | No | SAML avviato da SP |
| Spark | Sì | Protetto |
| UKG Pro | Sì* | Protetto |
| VMware Boxer | Sì | Protetto |
| walkMe | No | SAML avviato da SP |
| Giornata lavorativa | No | SAML avviato da SP |
| Il Workplace di Facebook | No | SAML avviato da SP |
| Zoom | No | SAML avviato da SP |
| Zscaler | Sì* | Protetto |
| Zscaler Private Access (ZPA) | No | SAML avviato da SP |
| Zscaler ZSCloud | No | SAML avviato da SP |
Nota
* Le app configurate per l'autenticazione con il protocollo SAML sono protette quando si usa l'autenticazione avviata da IdP. Le configurazioni SAML avviate dal provider di servizi (SP) non sono supportate
Risorse di Azure e relativo stato
| risorsa | Nome risorsa di Azure | Status |
|---|---|---|
| Microsoft.ApiManagement | Servizio Gestione API in Azure per enti pubblici e regioni della Cina | Protetto |
| microsoft.app | Servizio app | Protetto |
| Microsoft.AppConfiguration | Configurazione app di Azure | Protetto |
| Microsoft.AppPlatform | Servizio app di Azure | Protetto |
| Microsoft.Authorization | Microsoft Entra ID | Protetto |
| Microsoft.Automation | Servizio Automazione | Protetto |
| Microsoft.AVX | Soluzione Azure VMware | Protetto |
| Microsoft.Batch | Azure Batch | Protetto |
| Microsoft.Cache | Cache Redis di Azure | Protetto |
| Microsoft.Cdn | Rete di distribuzione dei contenuti di Azure | Non protetti |
| Microsoft.Chaos | Azure Chaos Engineering | Protetto |
| Microsoft.CognitiveServices | API e contenitori dei servizi di Azure AI | Protetto |
| Microsoft.Communication | Servizi di comunicazione di Azure | Non protetti |
| Microsoft.Compute | Macchine virtuali di Azure | Protetto |
| Microsoft.ContainerInstance | Istanze di Azure Container | Protetto |
| Microsoft.ContainerRegistry | Registro dei container di Azure | Protetto |
| Microsoft.ContainerService (servizio di containerizzazione di Microsoft) | Servizio Azure Kubernetes (deprecato) | Protetto |
| Microsoft.Dashboard | Dashboard di Azure | Protetto |
| Microsoft.DatabaseWatcher | Ottimizzazione automatica in Database SQL di Azure | Protetto |
| Microsoft.DataBox | Azure Data Box | Protetto |
| Microsoft.Databricks | Azure Databricks | Non protetti |
| Microsoft.DataCollaboration | Condivisione dati di Azure | Protetto |
| Microsoft.Datadog | Datadog | Protetto |
| Microsoft.DataFactory | Azure Data Factory | Protetto |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 e Gen2 | Non protetti |
| Microsoft.DataProtection | API di protezione dei dati di Microsoft Defender for Cloud Apps | Protetto |
| Microsoft.DBforMySQL | Database di Azure per MySQL | Protetto |
| Microsoft.DBforPostgreSQL | Database di Azure per PostgreSQL | Protetto |
| Microsoft.DelegatedNetwork | Servizio Gestione rete delegata | Protetto |
| Microsoft.DevCenter | Microsoft Store per aziende e istruzione | Protetto |
| Microsoft.Devices | Hub IoT di Azure e IoT Central | Non protetti |
| Microsoft.DeviceUpdate | Servizi di Windows 10 IoT Core: Aggiornamento del Dispositivo | Protetto |
| Microsoft.DevTestLab | Azure DevTest Labs | Protetto |
| Microsoft.DigitalTwins | Gemelli digitali di Azure | Protetto |
| Microsoft.DocumentDB | Azure Cosmos DB | Protetto |
| Microsoft.EventGrid | Azure Event Grid | Protetto |
| Microsoft.EventHub | Hub eventi di Azure | Protetto |
| Microsoft.HealthBot | Servizio Health Bot | Protetto |
| Microsoft.HealthcareApis | API FHIR per Azure API per FHIR e soluzioni Microsoft Cloud per l'assistenza sanitaria | Protetto |
| Microsoft.HybridContainerService | Kubernetes con abilitazione di Azure Arc | Protetto |
| Microsoft.HybridNetwork | Rete WAN virtuale di Azure | Protetto |
| Microsoft.Insights | Application Insights e Log Analytics | Non protetti |
| Microsoft.IoTCentral | IoT Central | Protetto |
| Microsoft.Kubernetes | Servizio Azure Kubernetes (AKS) | Protetto |
| Microsoft.Kusto | Esplora dati di Azure (Kusto) | Protetto |
| Microsoft.LoadTestService | Servizio test di carico di Visual Studio | Protetto |
| Microsoft.Logic | App per la logica di Azure | Protetto |
| Microsoft.MachineLearningServices | Machine Learning Services in Azure | Protetto |
| Identità gestita di Microsoft | Identità gestite per le risorse Microsoft | Protetto |
| Microsoft.Maps | Mappe di Azure | Protetto |
| Microsoft.Media | Servizi multimediali di Azure | Protetto |
| Microsoft.Migrate | Azure Migrate | Protetto |
| Microsoft.MixedReality | Servizi di realtà mista, tra cui rendering remoto, ancoraggi nello spazio e ancoraggi di oggetti | Non protetti |
| Microsoft.NetApp | Azure NetApp Files | Protetto |
| Microsoft.Network | Rete virtuale di Azure | Protetto |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) in Azure | Protetto |
| Microsoft.OperationalInsights | Log di Monitoraggio di Azure | Protetto |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protetto |
| Microsoft.Purview | Microsoft Purview (in precedenza Azure Data Catalog) | Protetto |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Protetto |
| Microsoft.RecommendationsService | API consigliate per i servizi di Azure AI | Protetto |
| Microsoft.RecoveryServices | Azure Site Recovery | Protetto |
| Microsoft.ResourceConnector | Connettore di risorse di Azure | Protetto |
| Microsoft.Scom | Monitoraggio delle Operazioni di System Center | Protetto |
| Microsoft.Search | Ricerca cognitiva di Azure | Non protetti |
| Microsoft.Security | Microsoft Defender for Cloud | Non protetti |
| Microsoft.SecurityDetonation | Servizio di Detonazione di Microsoft Defender per Endpoint | Protetto |
| Microsoft.ServiceBus | Argomenti relativi al servizio di messaggistica del bus di servizio e al dominio di Griglia di eventi | Protetto |
| Microsoft.ServiceFabric | Azure Service Fabric | Protetto |
| Microsoft.SignalRService | Servizio Azure SignalR | Protetto |
| Microsoft.Solutions | Soluzioni Azure | Protetto |
| Microsoft.Sql | SQL Server in macchine virtuali e Istanza gestita di SQL Server su Azure | Protetto |
| Microsoft.Storage | Archiviazione di Azure | Protetto |
| Microsoft.StorageCache | Cache di Archiviazione di Azure | Protetto |
| Microsoft.StorageSync | Sincronizzazione file di Azure | Protetto |
| Microsoft.StreamAnalytics | Analisi di streaming di Azure | Non protetti |
| Microsoft.Synapse | Synapse Analytics (in precedenza SQL DW) e Synapse Studio (in precedenza SQL DW Studio) | Protetto |
| Microsoft.UsageBilling | Portale di utilizzo e fatturazione di Azure | Non protetti |
| Microsoft.VideoIndexer | Video Indexer | Protetto |
| Microsoft.VoiceServices | Servizi di comunicazione di Azure - API vocali | Non protetti |
| microsoft.web | App Web | Protetto |