Microsoft Entra ID 的备份身份验证系统
世界各地的组织都依赖于 Microsoft Entra 每周 7 天、每天 24 小时对用户和服务进行身份验证的高可用性。 我们承诺身份验证的服务级别可用性为 99.99%,并且通过提高身份验证服务的复原能力不断寻求改进。 为了进一步提高中断期间的复原能力,我们在 2021 年实施了备份系统。
Microsoft Entra 备份身份验证系统由多个备份服务组成,这些服务会在发生中断时协同工作以提高身份验证复原能力。 如果主 Microsoft Entra 服务不可用或降级,此系统会公开透明地自动处理受支持应用程序和服务的身份验证。 它在现有的多个冗余级别之上额外增加了一层复原能力。 此复原能力在博客文章使用备份身份验证服务提高 Microsoft Entra ID 中的服务复原能力中进行了介绍。 系统正常运行时此系统会同步身份验证元数据,并利用身份验证元数据使用户能够在主服务中断期间继续访问应用程序,同时仍强制实施策略控制。
在主服务中断期间,用户能够继续使用其应用程序,只要过去三天内用户从同一设备访问过这些应用程序,并且没有会限制其访问的阻止策略:
除 Microsoft 应用程序外,我们还支持:
- iOS 和 Android 上的本机电子邮件客户端。
- 应用库中提供的服务型软件 (SaaS) 应用程序,例如 ADP、Atlassian、AWS、GoToMeeting、Kronos、Marketo、SAP、Trello、Workday 等。
- 所选的业务线应用程序,具体取决于其身份验证模式。
依靠 Azure 资源的托管标识或构建在 Azure 服务(如虚拟机、云存储、Azure AI 服务和应用服务)上的服务到服务身份验证可从备份身份验证系统获得更高的复原能力。
Microsoft 正在不断增加受支持方案的数量。
支持哪些非 Microsoft 工作负载?
备份身份验证系统自动为数以万计的受支持的非 Microsoft 应用程序基于其身份验证模式提供增量复原能力。 有关最常见的非 Microsoft 应用程序及其覆盖状态的列表,请参阅附录。 有关支持的身份验证模式的深度介绍,请参阅了解备份身份验证系统的应用程序支持一文。
- 使用 Open Authorization (OAuth) 2.0 协议访问资源应用程序的本机应用程序,例如常用的非 Microsoft 电子邮件和 IM 客户端,如 Apple Mail、Aqua Mail、Gmail、Samsung Email 和 Spark。
- 配置为仅使用 ID 令牌通过 OpenID Connect 进行身份验证的业务线 Web 应用程序。
- 配置为如下所示的 IDP 发起的单一登录 (SSO) 时,使用安全断言标记语言 (SAML) 协议进行身份验证的 Web 应用程序:ADP、Atlassian Cloud、AWS、GoToMeeting、Kronos、Marketo、Palo Alto Networks、SAP Cloud Identity Services、Trello、Workday 和 Zscaler。
不受保护的非 Microsoft 应用程序类型
当前不支持以下身份验证模式:
- 使用 OpenID Connect 进行身份验证并请求访问令牌的 Web 应用程序
- 配置为 SP 发起的 SSO 时,使用 SAML 协议进行身份验证的 Web 应用程序
备份身份验证系统支持用户的条件是什么?
如果满足以下条件,在中断期间,用户便可使用备份身份验证系统进行身份验证:
- 在过去三天内用户使用同一应用和设备成功进行了身份验证。
- 用户不需要以交互方式进行身份验证
- 用户以其主租户的成员身份访问资源,而不是执行 B2B 或 B2C 方案。
- 用户不受限制备份身份验证系统的条件访问策略的约束,例如禁用复原能力默认值。
- 自上次身份验证成功以来,用户未发生任何吊销事件,例如凭据更改。
交互式身份验证和用户活动如何影响复原能力?
备份身份验证系统在中断期间依靠前一次身份验证的元数据重新对用户进行身份验证。 因此,在过去三天内用户必须在同一设备上使用相同的应用进行了身份验证,备份服务才能生效。 处于非活动状态或未针对给定应用进行身份验证的用户无法使用该应用程序的备份身份验证系统。
条件访问策略如何影响复原能力?
某些策略不能由备份身份验证系统实时评估,必须依靠对这些策略的既往评估。 在中断情况下,服务默认使用前一次评估来最大程度地提高复原能力。 例如,以具有特定角色(如应用程序管理员)的用户为条件的访问在中断期间基于用户在最近一次身份验证期间所具有的角色继续进行。 如果需要限制对前一次评估的仅中断使用,租户管理员可以通过禁用复原能力默认值来选择对所有条件访问策略进行严格评估,即使在中断情况下也是如此。 请谨慎斟酌此决定,因为禁用给定策略的复原能力默认值会禁止这些用户使用备份身份验证。 在发生中断之前,必须重新启用复原能力默认值,备份系统才能提供复原能力。
某些其他类型的策略不支持使用备份身份验证系统。 使用以下策略会降低复原能力:
备份身份验证系统中的工作负载标识复原能力
除了用户身份验证之外,备份身份验证系统还提供与主要身份验证服务冗余分层的区域隔离身份验证服务,从而为托管标识和其他关键 Azure 基础结构提供复原能力。 此系统使 Azure 区域中的基础结构身份验证能够灵活应对其他区域或更大的 Microsoft Entra 服务中可能发生的问题。 此系统对 Azure 的跨区域体系结构进行补充。 使用 MI 并遵循 Azure 的复原能力和可用性的最佳做法来自行构建应用程序,确保应用程序具有强大的复原能力。 除 MI 外,此区域可复原备份系统还保护保持云正常运行的关键 Azure 基础结构和服务。
基础结构身份验证支持摘要
- 使用托管标识在 Azure 基础结构上构建的服务受备份身份验证系统保护。
- 彼此进行身份验证的 Azure 服务受备份身份验证系统保护。
- 当标识注册为“服务主体”而不是“托管标识”时,在 Azure 上或 Azure 上构建的服务不受备份身份验证系统保护。
支持备份身份验证系统的云环境
除了 21Vianet 运营的 Microsoft Azure 之外,所有云环境均支持备份身份验证系统。 支持的标识类型因云而异,如下表所示。
| Azure 环境 | 受保护的标识 |
|---|---|
| Azure 商业版 | 用户和托管标识 |
| Azure 政府 | 用户和托管标识 |
| Azure 政府机密 | 托管标识 |
| Azure 政府最高机密 | 托管标识 |
| 由世纪互联运营的 Azure | 不可用 |
附录
常用的非 Microsoft 本机客户端应用和应用库应用程序
| 应用程序名称 | Protected | 为什么不受保护? |
|---|---|---|
| ABBYY FlexiCapture 12 | 否 | SAML SP 发起 |
| Adobe Experience Manager | 否 | SAML SP 发起 |
| Adobe Identity Management (OIDC) | 否 | 具有访问令牌的 OIDC |
| ADP | 是 | Protected |
| Apple Business Manager | 否 | SAML SP 发起 |
| Apple Internet 帐户 | 是 | Protected |
| Apple School Manager | 否 | 具有访问令牌的 OIDC |
| Aqua Mail | 是 | Protected |
| Atlassian Cloud | 是 * | Protected |
| Blackboard Learn | 否 | SAML SP 发起 |
| Box | 否 | SAML SP 发起 |
| Brightspace by Desire2Leam | 否 | SAML SP 发起 |
| 画布 | 否 | SAML SP 发起 |
| Ceridian Dayforce HCM | 否 | SAML SP 发起 |
| Cisco AnyConnect | 否 | SAML SP 发起 |
| Cisco Webex | 否 | SAML SP 发起 |
| Citrix ADC SAML Connector for Azure AD | 否 | SAML SP 发起 |
| Clever | 否 | SAML SP 发起 |
| Cloud Drive Mapper | 是 | Protected |
| Cornerstone 单一登录 | 否 | SAML SP 发起 |
| Docusign | 否 | SAML SP 发起 |
| Druva | 否 | SAML SP 发起 |
| F5 BIG-IP APM Azure AD 集成 | 否 | SAML SP 发起 |
| FortiGate SSL VPN | 否 | SAML SP 发起 |
| Freshworks | 否 | SAML SP 发起 |
| Gmail | 是 | Protected |
| Google Cloud / G Suite Connector by Microsoft | 否 | SAML SP 发起 |
| HubSpot Sales | 否 | SAML SP 发起 |
| Kronos | 是 * | Protected |
| Madrasati 应用 | 否 | SAML SP 发起 |
| OpenAthens | 否 | SAML SP 发起 |
| Oracle Fusion ERP | 否 | SAML SP 发起 |
| Palo Alto Networks - GlobalProtect | 否 | SAML SP 发起 |
| Polycom - Skype for Business Certified Phone | 是 | Protected |
| Salesforce | 否 | SAML SP 发起 |
| Samsung Email | 是 | Protected |
| SAP Cloud Platform Identity Authentication | 否 | SAML SP 发起 |
| SAP Concur | 是 * | SAML SP 发起 |
| SAP Concur 差旅及费用 | 是 * | Protected |
| SAP Fiori | 否 | SAML SP 发起 |
| SAP NetWeaver | 否 | SAML SP 发起 |
| SAP SuccessFactors | 否 | SAML SP 发起 |
| Service Now | 否 | SAML SP 发起 |
| Slack | 否 | SAML SP 发起 |
| Smartsheet | 否 | SAML SP 发起 |
| Spark | 是 | Protected |
| UKG pro | 是 * | Protected |
| VMware Boxer | 是 | Protected |
| walkMe | 否 | SAML SP 发起 |
| Workday | 否 | SAML SP 发起 |
| 来自 Facebook 的工作区 | 否 | SAML SP 发起 |
| Zoom | 否 | SAML SP 发起 |
| Zscaler | 是 * | Protected |
| Zscaler Private Access (ZPA) | 否 | SAML SP 发起 |
| Zscaler ZSCloud | 否 | SAML SP 发起 |
注意
* 配置为使用 SAML 协议进行身份验证的应用在使用 IDP 发起的身份验证时受保护。 不支持服务提供程序 (SP) 发起的 SAML 配置
Azure 资源及其状态
| resource | Azure 资源名称 | 状态 |
|---|---|---|
| Microsoft.ApiManagement | Azure 政府和中国地区的 API 管理服务 | Protected |
| microsoft.app | 应用服务 | Protected |
| Microsoft.AppConfiguration | Azure 应用程序配置 | Protected |
| Microsoft.AppPlatform | Azure 应用服务 | Protected |
| Microsoft.Authorization | Microsoft Entra ID | 受保护 |
| Microsoft.Automation | 自动化服务 | 受保护 |
| Microsoft.AVX | Azure VMware 解决方案 | Protected |
| Microsoft.Batch | Azure Batch | Protected |
| Microsoft.Cache | 用于 Redis 的 Azure 缓存 | Protected |
| Microsoft.Cdn | Azure 内容分发网络 | 不受保护 |
| Microsoft.Chaos | Azure 混沌工程 | Protected |
| Microsoft.CognitiveServices | Azure AI 服务 API 和容器 | Protected |
| Microsoft.Communication | Azure 通信服务 | 不受保护 |
| Microsoft.Compute | Azure 虚拟机 | Protected |
| Microsoft.ContainerInstance | Azure 容器实例 | Protected |
| Microsoft.ContainerRegistry | Azure 容器注册表 | Protected |
| Microsoft.ContainerService | Azure Kubernetes 服务(已弃用) | 受保护 |
| Microsoft.Dashboard | Azure 仪表板 | Protected |
| Microsoft.DatabaseWatcher | Azure SQL 数据库自动优化 | Protected |
| Microsoft.DataBox | Azure Data Box | Protected |
| Microsoft.Databricks | Azure Databricks | 不受保护 |
| Microsoft.DataCollaboration | Azure Data Share | Protected |
| Microsoft.Datadog | Datadog | Protected |
| Microsoft.DataFactory | Azure 数据工厂 | Protected |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 和 Gen2 | 不受保护 |
| Microsoft.DataProtection | Microsoft Defender for Cloud Apps 数据保护 API | 受保护 |
| Microsoft.DBforMySQL | Azure Database for MySQL | Protected |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Protected |
| Microsoft.DelegatedNetwork | 委托网络管理服务 | Protected |
| Microsoft.DevCenter | 适用于企业和教育的 Microsoft Store | Protected |
| Microsoft.Devices | Azure IoT 中心和 IoT Central | 不受保护 |
| Microsoft.DeviceUpdate | Windows 10 IoT Core Services 设备更新 | Protected |
| Microsoft.DevTestLab | Azure 开发测试实验室 | Protected |
| Microsoft.DigitalTwins | Azure 数字孪生 | Protected |
| Microsoft.DocumentDB | Azure Cosmos DB | Protected |
| Microsoft.EventGrid | Azure 事件网格 | Protected |
| Microsoft.EventHub | Azure 事件中心 | Protected |
| Microsoft.HealthBot | Health Bot 服务 | Protected |
| Microsoft.HealthcareApis | 适用于 Azure API for FHIR 和 Microsoft Cloud for Healthcare 解决方案的 FHIR API | Protected |
| Microsoft.HybridContainerService | 已启用 Azure Arc 的 Kubernetes | 受保护 |
| Microsoft.HybridNetwork | Azure 虚拟 WAN | Protected |
| Microsoft.Insights | Application Insights 和 Log Analytics | 不受保护 |
| Microsoft.IoTCentral | IoT Central | Protected |
| Microsoft.Kubernetes | Azure Kubernetes 服务 (AKS) | Protected |
| Microsoft.Kusto | Azure 数据资源管理器 (Kusto) | Protected |
| Microsoft.LoadTestService | Visual Studio 负载测试服务 | Protected |
| Microsoft.Logic | Azure 逻辑应用 | Protected |
| Microsoft.MachineLearningServices | Azure 上的机器学习服务 | 受保护 |
| Microsoft.managed identity | Microsoft 资源的托管标识 | Protected |
| Microsoft.Maps | Azure Maps | Protected |
| Microsoft.Media | Azure 媒体服务 | Protected |
| Microsoft.Migrate | Azure Migrate | Protected |
| Microsoft.MixedReality | 混合现实服务,包括远程渲染、空间定位点和 Object Anchors | 不受保护 |
| Microsoft.NetApp | Azure NetApp 文件 | Protected |
| Microsoft.Network | Azure 虚拟网络 | Protected |
| Microsoft.OpenEnergyPlatform | Azure 上的 Open Energy Platform (OEP) | Protected |
| Microsoft.OperationalInsights | Azure Monitor 日志 | Protected |
| Microsoft.PowerPlatform | Microsoft Power 平台 | Protected |
| Microsoft.Purview | Microsoft Purview(以前称为 Azure 数据目录) | 受保护 |
| Microsoft.Quantum | Microsoft Quantum 开发工具包 | Protected |
| Microsoft.RecommendationsService | Azure AI 服务建议 API | Protected |
| Microsoft.RecoveryServices | Azure Site Recovery | Protected |
| Microsoft.ResourceConnector | Azure 资源连接器 | Protected |
| Microsoft.Scom | System Center Operations Manager | Protected |
| Microsoft.Search | Azure 认知搜索 | 不受保护 |
| Microsoft.Security | Microsoft Defender for Cloud | 不受保护 |
| Microsoft.SecurityDetonation | Microsoft Defender for Endpoint Detonation Service | Protected |
| Microsoft.ServiceBus | 服务总线消息传送服务和事件网格域主题 | Protected |
| Microsoft.ServiceFabric | Azure Service Fabric | Protected |
| Microsoft.SignalRService | Azure SignalR 服务 | Protected |
| Microsoft.Solutions | Azure 解决方案 | Protected |
| Microsoft.Sql | 虚拟机上的 SQL Server 和 Azure 上的 SQL 托管实例 | Protected |
| Microsoft.Storage | Azure 存储 | Protected |
| Microsoft.StorageCache | Azure 存储缓存 | Protected |
| Microsoft.StorageSync | Azure 文件同步 | Protected |
| Microsoft.StreamAnalytics | Azure 流分析 | 不受保护 |
| Microsoft.Synapse | Synapse Analytics(以前称为 SQL DW)和 Synapse Studio(以前称为 SQL DW Studio) | Protected |
| Microsoft.UsageBilling | Azure 使用情况和计费门户 | 不受保护 |
| Microsoft.VideoIndexer | 视频索引器 | Protected |
| Microsoft.VoiceServices | Azure 通信服务 - Voice API | 不受保护 |
| microsoft.web | Web 应用 | Protected |