Система резервной аутентификации Microsoft Entra ID
Организации по всему миру зависят от высокой доступности проверки подлинности Microsoft Entra для пользователей и служб 24 часов в день, семь дней в неделю. Мы обещаем доступность на уровне обслуживания 99,99% для проверки подлинности, и мы постоянно стремимся улучшить ее, повышая устойчивость нашей службы проверки подлинности. Чтобы повысить устойчивость во время сбоя, мы реализовали систему резервного копирования в 2021 году.
Система проверки подлинности резервного копирования Microsoft Entra состоит из нескольких служб резервного копирования, которые совместно работают для повышения устойчивости проверки подлинности при сбое. Эта система прозрачно и автоматически обрабатывает аутентификацию для поддерживаемых приложений и служб, если основная служба Microsoft Entra недоступна или имеет сниженную производительность. Он добавляет дополнительный уровень устойчивости поверх нескольких уровней существующей избыточности. Эта устойчивость описана в записи блога о повышении устойчивости службы в Microsoft Entra ID с помощью резервной службы аутентификации. Эта система синхронизирует метаданные проверки подлинности, если система работоспособна и использует эту функцию, чтобы пользователи могли продолжать получать доступ к приложениям во время сбоя основной службы, при этом применяя элементы управления политикой.
Во время сбоя основной службы пользователи могут продолжать работать со своими приложениями, если они обращаются к ним за последние три дня с того же устройства, и политики блокировки не существуют, которые будут ограничивать их доступ:
Помимо приложений Майкрософт, мы поддерживаем:
- Собственные клиенты электронной почты в iOS и Android.
- Приложения Программного обеспечения как услуга (SaaS), доступные в коллекции приложений, таких как ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday и многое другое.
- Выбор бизнес-приложений на основе шаблонов проверки подлинности.
Аутентификация между службами, которая зависит от управляемых удостоверений для ресурсов Azure или построена на службах Azure, таких как виртуальные машины, облачное хранилище, службы Azure AI и Служба приложений, получает повышенную устойчивость благодаря системе резервной аутентификации.
Корпорация Майкрософт постоянно расширяет число поддерживаемых сценариев.
Какие рабочие нагрузки, отличные от Майкрософт, поддерживаются?
Система проверки подлинности резервного копирования автоматически обеспечивает добавочную устойчивость к десяткам тысяч поддерживаемых приложений, отличных от Майкрософт, на основе их шаблонов проверки подлинности. См. приложение, чтобы увидеть список наиболее распространенных приложений, не связанных с Microsoft, и их статус покрытия. Подробное описание поддерживаемых шаблонов проверки подлинности см. в статье "Общие сведения о поддержке приложений" для системы проверки подлинности резервного копирования.
- Собственные приложения, использующие протокол Open Authorization (OAuth) 2.0 для доступа к приложениям-ресурсам, таким как популярные клиенты электронной почты и службы мгновенных сообщений, отличные от Microsoft, например, Apple Mail, Aqua Mail, Gmail, Samsung Email и Spark.
- Веб-приложения для бизнеса, настроенные на аутентификацию с помощью OpenID Connect, используют только токены идентификатора.
- Веб-приложения, проходящие аутентификацию с помощью протокола SAML (Security Assertion Markup Language), при настройке единого входа, инициированного IDP (SSO), как, например, ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday и Zscaler.
Типы приложений, отличные от Майкрософт, которые не защищены
В настоящее время не поддерживаются следующие шаблоны проверки подлинности:
- Веб-приложения, проходящие проверку подлинности с помощью OpenID Connect и запрашивающие токены доступа
- Веб-приложения, использующие протокол SAML для аутентификации, когда они настроены для единого входа, инициированного поставщиком услуг (SP-Initiated SSO).
Что делает пользователя поддерживаемым системой резервной аутентификации?
Во время сбоя пользователь может пройти проверку подлинности с помощью системы резервной проверки подлинности, если выполнены следующие условия:
- Пользователь успешно прошел проверку подлинности с помощью того же приложения и устройства за последние три дня.
- Пользователю не требуется проходить интерактивную аутентификацию
- Пользователь обращается к ресурсу как член своего домашнего арендатора, а не в сценарии B2B или B2C.
- Пользователь не подлежит политикам условного доступа, ограничивающим систему проверки подлинности резервного копирования, например отключение устойчивости по умолчанию.
- Пользователь не подвергался событию отзыва, например изменению учетных данных после последней успешной проверки подлинности.
Как интерактивная проверка подлинности и активность пользователей влияют на устойчивость?
Система проверки подлинности резервного копирования использует метаданные из предыдущей проверки подлинности для повторной проверки подлинности пользователя во время сбоя. По этой причине пользователь должен пройти проверку подлинности за последние три дня, используя то же приложение на одном устройстве, чтобы служба резервного копирования была эффективной. Пользователи, неактивные или не прошедшие проверку подлинности в данном приложении, не могут использовать систему проверки подлинности резервного копирования для этого приложения.
Как политики условного доступа влияют на устойчивость?
Некоторые политики не могут быть оценены в режиме реального времени системой проверки подлинности резервной копии и должны полагаться на предыдущие оценки этих политик. В условиях сбоя служба использует предварительную оценку по умолчанию для максимальной устойчивости. Например, доступ, который обусловлен пользователем с определенной ролью (например, администратором приложений), продолжается во время сбоя на основе роли, которую пользователь имел во время последней проверки подлинности. Если использование предыдущей оценки только в случае сбоя должно быть ограничено, администраторы арендаторов могут выбрать строгую оценку всех политик условного доступа, даже в условиях сбоя, выключив параметры устойчивости по умолчанию. Это решение следует принять во внимание, так как отключение значений устойчивости по умолчанию для данной политики отключает пользователей от использования проверки подлинности резервного копирования. Чтобы система резервного копирования обеспечила устойчивость, необходимо повторно включить настройки устойчивости до возникновения сбоя.
Некоторые другие типы политик не поддерживают использование системы проверки подлинности резервного копирования. Использование следующих политик снижает устойчивость:
- Использование контроля частоты входа в рамках политики условного доступа.
- Использование политики методов проверки подлинности.
- Использование классических политик условного доступа.
Устойчивость идентификации рабочих нагрузок в системе резервной аутентификации
В дополнение к аутентификации пользователей, система резервной аутентификации обеспечивает устойчивость для управляемых удостоверений и другой ключевой инфраструктуры Azure, предлагая регионально изолированную службу аутентификации, которая функционирует совместно с основной службой аутентификации через избыточное многослойное покрытие. Эта система позволяет обеспечить устойчивость проверки подлинности инфраструктуры в регионе Azure к проблемам, которые могут возникнуть в другом регионе или в более крупной службе Microsoft Entra. Эта система дополняет межрегиональную архитектуру Azure. Создание собственных приложений с помощью MI и применение рекомендаций Azure по обеспечению устойчивости и доступности обеспечивает высокую устойчивость приложений. Помимо MI, эта региональная отказоустойчивая система резервного копирования защищает ключевую инфраструктуру и службы Azure, которые сохраняют облачную функцию.
Сводка поддержки проверки подлинности инфраструктуры
- Ваши службы, построенные на инфраструктуре Azure с использованием управляемых удостоверений, защищены резервной системой аутентификации.
- Службы Azure, осуществляющие авторизацию друг друга, защищены системой резервной аутентификации.
- Службы, созданные в Azure или вне его, если удостоверения зарегистрированы как учётные записи служб, а не "управляемые удостоверения" не защищены резервной системой аутентификации.
Облачные среды, поддерживающие систему проверки подлинности резервного копирования
Система проверки подлинности резервного копирования поддерживается во всех облачных средах, кроме Microsoft Azure, управляемой 21Vianet. Типы удостоверений, поддерживаемые облаком, зависят от облака и имеют отдельные конечные точки проверки подлинности, как описано в следующей таблице.
| Среда Azure | Среды Microsoft 365 | Защищенные личности | Конечная точка проверки подлинности Microsoft Entra |
|---|---|---|---|
| Azure для коммерческих организаций | Коммерческое и M365 правительство | Пользователи и управляемые удостоверения | https://login.microsoftonline.com |
| Azure для государственных организаций | M365 GCC High и Министерство обороны США (DoD) | Пользователи и управляемые удостоверения | https://login.microsoftonline.us |
| Azure Правительственная Тайна | Секрет правительства M365 | Пользователи и управляемые удостоверения | Недоступно |
| Azure Government Совершенно секретно | M365 правительственный топ-секрет | Пользователи и управляемые удостоверения | Недоступно |
| 21Vianet управляет Azure | Недоступно | Управляемые идентификаторы | https://login.partner.microsoftonline.cn |
Приложение
Популярные нативные клиентские приложения и приложения из галереи приложений, отличные от Майкрософт.
| Имя приложения | Защищено | Почему не защищены? |
|---|---|---|
| ABBYY FlexiCapture 12 | Нет | SAML, инициированный SP |
| Adobe Experience Manager | Нет | SAML инициированный поставщиком услуг |
| Adobe Identity Management (OIDC) | Нет | OIDC с токеном доступа |
| ADP | Да | Защищено |
| Apple Business Manager | Нет | SAML, инициированный поставщиком услуг |
| Учетные записи Apple Internet | Да | Защищено |
| Эппл Скул Менеджер | Нет | OIDC с токеном доступа |
| Aqua Mail | Да | Защищено |
| Atlassian Cloud | Да* | Защищено |
| Blackboard Learn (Блэкборд Лёрн) | Нет | SAML, инициированный поставщиком услуг |
| Коробка | Нет | SAML, инициированный поставщиком услуг |
| Brightspace by Desire2Learn | Нет | SAML, инициированный поставщиком услуг |
| Холст | Нет | SAML, инициированный SP |
| Ceridian Dayforce HCM | Нет | SAML, инициированный поставщиком услуг |
| Cisco AnyConnect | Нет | SAML, инициированный поставщиком услуг |
| Cisco Webex | Нет | SAML, инициированный поставщиком услуг |
| Citrix ADC SAML Connector for Azure AD | Нет | SAML, инициированный поставщиком услуг |
| Умный | Нет | SAML, инициированный поставщиком услуг |
| Маппер облачных дисков | Да | Защищено |
| Единый вход в Cornerstone | Нет | SAML, инициированный поставщиком услуг |
| Docusign | Нет | SAML, инициированный поставщиком услуг |
| Druva | Нет | SAML, инициированный SP |
| Интеграция F5 BIG-IP APM с Azure AD | Нет | SAML, инициированный поставщиком услуг |
| SSL VPN FortiGate | Нет | SAML, инициированный поставщиком услуг |
| Freshworks | Нет | SAML, инициированный поставщиком услуг (Service Provider) |
| Gmail | Да | Защищено |
| Google Cloud / G Suite Connector от Майкрософт | Нет | SAML, инициированный SP (поставщиком услуг) |
| HubSpot Sales | Нет | SAML, инициированный поставщиком услуг |
| Kronos | Да* | Защищено |
| Приложение Madrasati | Нет | SAML, инициированный поставщиком услуг |
| OpenAthens | Нет | SAML, инициированный поставщиком услуг |
| Oracle Fusion ERP | Нет | SAML, инициированный поставщиком услуг |
| Palo Alto Networks — GlobalProtect | Нет | SAML, инициированный поставщиком услуг |
| Polycom — сертифицированный телефон Skype для бизнеса | Да | Защищено |
| Salesforce | Нет | SAML, инициированный поставщиком услуг |
| Samsung Email | Да | Защищено |
| SAP Cloud Platform Identity Authentication | Нет | SAML инициированный поставщиком услуг |
| SAP Concur | Да* | SAML, инициированный поставщиком услуг |
| SAP Concur для управления командировками и расходами | Да* | Защищено |
| SAP Fiori | Нет | SAML, инициированный поставщиком услуг |
| SAP NetWeaver | Нет | SAML инициированный поставщиком услуг |
| SAP SuccessFactors | Нет | SAML инициированный Поставщиком услуг |
| ServiceNow | Нет | SAML, инициированный поставщиком услуг |
| Slack | Нет | SAML, инициированный поставщиком услуг |
| Smartsheet | Нет | SAML, инициированный поставщиком услуг |
| Spark | Да | Защищено |
| UKG pro | Да* | Защищено |
| VMware Boxer | Да | Защищено |
| WalkMe | Нет | SAML, инициированный поставщиком услуг |
| рабочий день | Нет | SAML, инициированный СП |
| Workplace от Facebook | Нет | SAML, инициированный поставщиком услуг |
| Масштабирование | Нет | SAML, инициированный поставщиком услуг |
| Zscaler | Да* | Защищено |
| Zscaler Private Access (ZPA) | Нет | SAML, инициированный поставщиком услуг |
| Zscaler ZSCloud | Нет | SAML, инициированный СП |
Примечание.
* Приложения, настроенные для аутентификации с помощью протокола SAML, защищены при использовании аутентификации, инициируемой УЦ. Конфигурации SAML, инициированные поставщиком услуг (SP), не поддерживаются
Ресурсы Azure и их состояние
| ресурс | Имя ресурса Azure | Состояние |
|---|---|---|
| Microsoft.ApiManagement | служба управления API в Azure для правительственного и китайского регионов | Защищено |
| microsoft.app | Служба приложений | Защищено |
| Microsoft.AppConfiguration | Настройка приложения Azure | Защищено |
| Microsoft.AppPlatform | Служба приложений Azure | Защищено |
| Microsoft.Authorization | Microsoft Entra ID | Защищено |
| Microsoft.Automation | Служба автоматизации | Защищено |
| Microsoft.AVX | Решение Azure VMware | Защищено |
| Microsoft.Batch | Пакетная служба Azure | Защищено |
| Microsoft.Cache | Кэш Azure для Redis | Защищено |
| Microsoft.Cdn | Сеть доставки содержимого Azure | Не защищено |
| Microsoft.Chaos | Инженерия хаоса Azure | Защищено |
| Microsoft.CognitiveServices | API и контейнеры служб искусственного интеллекта Azure | Защищено |
| Microsoft.Communication | Службы коммуникации Azure | Не защищено |
| Microsoft.Compute; | Виртуальные машины Azure | Защищено |
| Microsoft.ContainerInstance | Экземпляры контейнеров Azure | Защищено |
| Microsoft.ContainerRegistry | Реестр контейнеров Azure | Защищено |
| Microsoft.ContainerService | Служба Azure Kubernetes (не рекомендуется) | Защищено |
| Microsoft.Dashboard | Панели мониторинга Azure | Защищено |
| Microsoft.DatabaseWatcher | Автоматическая настройка базы данных SQL Azure | Защищено |
| Microsoft.DataBox | Azure Data Box | Защищено |
| Microsoft.Databricks | Azure Databricks | Не защищено |
| Microsoft.DataCollaboration | Azure Data Share (платформа обмена данными Azure) | Защищено |
| Microsoft.Datadog | Datadog | Защищено |
| Microsoft.DataFactory | Azure Data Factory | Защищено |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 и Gen2 | Не защищено |
| Microsoft.DataProtection | API защиты данных приложений Microsoft Defender для облака | Защищено |
| Microsoft.DBforMySQL | База данных Azure для MySQL | Защищено |
| Microsoft.DBforPostgreSQL | База данных Azure для PostgreSQL | Защищено |
| Microsoft.DelegatedNetwork | Делегированная служба управления сетями | Защищено |
| Microsoft.DevCenter | Microsoft Store для бизнеса и образования | Защищено |
| Microsoft.Devices | Центр Интернета вещей Azure и IoT Central | Не защищено |
| Microsoft.DeviceUpdate | Обновление устройств Windows 10 IoT Core Services | Защищено |
| Microsoft.DevTestLab | Azure DevTest Labs | Защищено |
| Microsoft.DigitalTwins | Azure Digital Twins | Защищено |
| Microsoft.DocumentDB | Azure Cosmos DB | Защищено |
| Microsoft.EventGrid | Сетку событий Azure | Защищено |
| Microsoft.EventHub | Центры событий Azure | Защищено |
| Microsoft.HealthBot | Служба Health Bot | Защищено |
| Microsoft.HealthcareApis | API FHIR для Azure API для FHIR и облачных решений Microsoft для здравоохранения | Защищено |
| Microsoft.HybridContainerService | Kubernetes с поддержкой Azure Arc | Защищено |
| Microsoft.HybridNetwork | Виртуальная глобальная сеть Azure | Защищено |
| Microsoft.Insights | Application Insights и Log Analytics | Не защищено |
| Microsoft.IoTCentral | IoT Central | Защищено |
| Microsoft.Kubernetes | Служба Azure Kubernetes (AKS) | Защищено |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Защищено |
| Microsoft.LoadTestService | Служба нагрузочного тестирования Visual Studio | Защищено |
| Microsoft.Logic | Приложения логики Azure | Защищено |
| Microsoft Сервисы машинного обучения | службы Машинное обучение в Azure | Защищено |
| Управляемое удостоверение Microsoft Managed Identity | Управляемые идентификации для ресурсов Microsoft | Защищено |
| Microsoft.Maps | Azure Maps | Защищено |
| Microsoft.Media | Службы мультимедиа Azure | Защищено |
| Microsoft.Migrate | Azure Migrate | Защищено |
| Microsoft.MixedReality | сервисы смешанной реальности, включая удалённое рендеринг, пространственная привязка и привязка объектов | Не защищено |
| Microsoft.NetApp | Azure NetApp Files | Защищено |
| Microsoft.Network. | Виртуальная сеть Azure | Защищено |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) в Azure | Защищено |
| Microsoft.OperationalInsights | журналы мониторинга Azure | Защищено |
| Microsoft.PowerPlatform | Microsoft Power Platform | Защищено |
| Microsoft.Purview | Microsoft Purview (прежнее название — Azure Каталог данных) | Защищено |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Защищено |
| Microsoft.RecommendationsService | API рекомендаций по службам искусственного интеллекта Azure | Защищено |
| Microsoft.RecoveryServices | Azure Site Recovery (восстановление после сбоев) | Защищено |
| Microsoft.ResourceConnector | Соединитель ресурсов Azure | Защищено |
| Microsoft.Scom | System Center Operations Manager | Защищено |
| Microsoft.Search | Когнитивный поиск Azure | Не защищено |
| Microsoft.Security | Microsoft Defender для облака | Не защищено |
| Microsoft.SecurityDetonation | Служба Microsoft Defender для конечной точки детонации | Защищено |
| Microsoft.ServiceBus | служба обмена сообщениями Service Bus и доменные темы Event Grid | Защищено |
| Microsoft.ServiceFabric | Azure Service Fabric | Защищено |
| Microsoft.SignalRService | Служба Azure SignalR | Защищено |
| Microsoft.Solutions | Решения Azure | Защищено |
| Microsoft.Sql | SQL Server на виртуальных машинах и управляемый экземпляр SQL на платформе Azure | Защищено |
| Microsoft Storage | Хранилище Azure | Защищено |
| Microsoft.StorageCache | Кэш хранения Azure | Защищено |
| Microsoft.StorageSync | Служба синхронизации файлов Azure | Защищено |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Не защищено |
| Microsoft.Synapse | Synapse Analytics (прежнее название — SQL DW) и Synapse Studio (прежнее название — SQL DW Studio) | Защищено |
| Microsoft.UsageBilling | Портал использования и выставления счетов Azure | Не защищено |
| Microsoft.VideoIndexer | Индексатор видео | Защищено |
| Microsoft.VoiceServices | Службы коммуникации Azure — API голосовой связи | Не защищено |
| microsoft.web | Веб-приложения | Защищено |