Microsoft Entra ID 的備份驗證系統
世界各地的組織每周 7 天、每天 24 小時都依賴 Microsoft Entra 驗證對使用者和服務的高可用性。 我們承諾提供 99.99% 服務等級的可用性來進行驗證,並持續尋求透過增強驗證服務的復原能力來改善它。 為了進一步改善中斷期間的復原能力,我們在 2021 年實作了備份系統。
Microsoft Entra 備份驗證系統是由多個備份服務所組成,這些服務會一起運作,以在發生中斷時提高驗證復原能力。 如果主要的 Microsoft Entra 服務無法使用或已降級,此系統就會以透明方式自動處理對所支援應用程式和服務的驗證。 其會在現有備援的多個層級之上新增額外的復原層。 此復原能力的說明請見下列部落格文章:在 Microsoft Entra ID 中使用其備份驗證服務提高服務復原能力 (英文)。 當系統狀況良好時,此系統會同步驗證中繼資料,以便於主要服務故障期間讓使用者繼續存取應用程式,同時確保政策控制。
在主要服務中斷期間,使用者能夠繼續使用其應用程式,只要使用者已在過去三天內從相同裝置存取其應用程式,且不存在任何會限制其存取的封鎖原則:
除了 Microsoft 應用程式,我們還支援:
- iOS 和 Android 上的原生電子郵件用戶端。
- 應用程式資源庫中提供的軟體即服務 (SaaS) 應用程式,例如 ADP、Atlassian、AWS、GoToMeeting、Kronos、Marketo、SAP、Trello、Workday 等等。
- 根據其驗證模式挑選的企業業務應用程式。
依賴 Azure 資源受控識別,或建置於 Azure 服務 (例如,虛擬機器、雲端儲存空間、Azure AI 服務和 App Service) 之上的服務對服務驗證,會從備份驗證系統中得到更高的復原能力。
Microsoft 會持續擴充支援案例的數目。
支援哪些非 Microsoft 工作負載?
備份驗證系統會根據其驗證模式,自動為數萬個支援的非 Microsoft 應用程式提供累加的復原能力。 如需最常見的非 Microsoft 應用程式及其涵蓋範圍狀態清單,請參閱附錄。 如需支援哪些驗證模式的深入說明,請參閱了解備份驗證系統的應用程式支援一文。
- 使用 Open Authorization (OAuth) 2.0 通訊協定來存取資源應用程式的原生應用程式,例如,熱門的非 Microsoft 電子郵件和 IM 用戶端,例如:Apple Mail、Aqua Mail、Gmail、Samsung Email 和 Spark。
- 設定為僅使用識別碼權杖來向 OpenID Connect 進行驗證的企業營運 Web 應用程式。
- 在設定為由 IDP 起始的單一登入 (SSO) 時,使用安全性聲明標記語言 (SAML) 通訊協定進行驗證的 Web 應用程式,例如:ADP、Atlassian Cloud、AWS、GoToMeeting、Kronos、Marketo、Palo Alto Networks、SAP Cloud Identity Services、Trello、Workday 和 Zscaler。
未受保護的非 Microsoft 應用程式類型
目前不支援下列驗證模式:
- 使用 OpenID Connect 進行驗證並要求存取權杖的 Web 應用程式
- 設定為由 SP 起始的 SSO 時,Web 應用程式使用 SAML 通訊協定進行驗證。
什麼讓使用者能夠得到備份驗證系統的支援?
在中斷期間,如果符合下列條件,使用者就能使用備份驗證系統進行驗證:
- 使用者已在過去三天內使用相同的應用程式和裝置成功進行驗證。
- 使用者不需要以互動方式進行驗證
- 使用者正以主租用戶的成員身分存取資源,而不是在練習 B2B 或 B2C 案例。
- 使用者不會受限於限制備份驗證系統的條件式存取原則,例如停用復原預設值。
- 使用者尚未遭遇撤銷事件,例如自上次成功驗證後的憑證更改。
互動式驗證和使用者活動會對復原能力產生何種影響?
備份驗證系統依賴先前驗證的中繼資料,以便在中斷期間重新驗證使用者。 基於這個理由,使用者必須已在過去三天內使用相同裝置上的相同應用程式進行驗證,備份服務才能生效。 非使用中或尚未對指定應用程式進行驗證的使用者,無法針對該應用程式使用備份驗證系統。
條件式存取原則會對復原能力產生何種影響?
備份驗證系統無法即時評估特定原則,而且必須依賴這些原則進行先前的評估。 在中斷狀況下,服務預設會使用先前的評估,將復原能力提高至最大限度。 例如,使用者擁有特定角色(例如應用程式系統管理員)作為存取權條件的情況下,在系統中斷期間,將根據使用者在最近一次驗證中擁有的角色繼續存取權。 如果需要限制僅在中斷時使用先前的評估,租用戶系統管理員就能透過停用復原預設值,來選擇對所有條件式存取原則進行嚴格評估,即使在中斷狀況下也一樣。 您應該謹慎進行此決策,因為針對指定的原則停用復原預設值會使那些使用者無法使用備份驗證。 在發生中斷之前,必須重新啟用備援系統的復原預設值,才能確保其具備復原能力。
某些其他類型的原則不支援使用備份驗證系統。 使用下列原則會降低復原能力:
- 使用登入頻率控制作為條件式存取原則的一部分。
- 使用驗證方法原則。
- 使用傳統的條件式存取原則。
備份驗證系統中的工作負載身分識別復原能力
除了使用者驗證,備份驗證系統還會透過提供與主要驗證服務重複分層的區域隔離驗證服務,來提供受控識別和其他主要 Azure 基礎結構的復原能力。 此系統能使 Azure 區域內的基礎結構驗證具備抵禦能力,從而免受其他區域或較大型 Microsoft Entra 服務中可能出現的問題的影響。 此系統可補充 Azure 的跨區域架構。 使用 MI 建置您自己的應用程式,並遵循 Azure 的復原能力和可用性的最佳做法,可確保您的應用程式具有高度復原性。 除了 MI,此區域復原備份系統也會保護重要的 Azure 基礎結構和服務,讓雲端能夠正常運作。
基礎結構驗證支援的摘要
- 使用受控識別建置於 Azure 基礎結構之上的服務會受到備份驗證系統所保護。
- 相互驗證的 Azure 服務會受到備份驗證系統所保護。
- 當身分識別註冊為服務主體而非「受控識別」時,備份驗證系統不會保護在 Azure 之上或之外建置的服務。
支援備份驗證系統的雲端環境
除了由世紀互聯提供的 Microsoft Azure 以外,所有雲端環境中都支援備份驗證系統。 支援的身分識別類型會因雲端而異,而且有不同的驗證端點,如下表所述。
| Azure 環境 | Microsoft 365 環境 | 受保護的身分識別 | Microsoft Entra 驗證端點 |
|---|---|---|---|
| Azure 商業版 | 商業版和 M365 政府版 | 使用者和受控識別 | https://login.microsoftonline.com |
| Azure Government(政府專用雲端服務) | M365 GCC High 和 DoD | 使用者和受控識別 | https://login.microsoftonline.us |
| Azure 政府祕密 | M365 政府秘密 | 使用者和受控識別 | 不可用 |
| 微軟 Azure 政府最高機密 | M365 政府最高機密 | 使用者和受控識別 | 不可用 |
| 由 21Vianet 營運的 Azure | 不可用 | 受控識別 | https://login.partner.microsoftonline.cn |
附錄
熱門的非 Microsoft 原生用戶端應用程式和應用程式資源庫應用程式
| 應用程式名稱 | 受保護 | 為什麼不受保護? |
|---|---|---|
| ABBYY FlexiCapture 12 | 不 | 由 SAML SP 起始 |
| Adobe Experience Manager | 不 | 由 SAML SP 起始 |
| Adobe Identity Management (OIDC) | 不 | 具有存取權杖的 OIDC |
| ADP | Yes | 受保護 |
| Apple Business Manager | 不 | 由 SAML SP 起始 |
| Apple 網際網路帳戶 | Yes | 受保護的 |
| Apple 學校管理系統 | 否 | 具有存取權杖的 OIDC |
| Aqua Mail | Yes | 受保護的 |
| Atlassian Cloud | 是* | 受保護的 |
| Blackboard Learn | 不是 | 由 SAML SP 起始 |
| 盒子 | 不 | 由 SAML SP 起始 |
| Brightspace by Desire2Learn | 不 | 由 SAML SP 起始 |
| 畫布 | 否 | 由 SAML SP 起始 |
| Ceridian Dayforce HCM (人力資源管理系統) | 不 | 由 SAML SP 起始 |
| Cisco AnyConnect | 不 | 由 SAML SP 起始 |
| Cisco Webex | 不 | 由 SAML SP 起始 |
| Citrix ADC SAML Connector for Azure AD | 不 | 由 SAML SP 起始 |
| 聰明 | 不 | 由 SAML SP 發起 |
| 雲端硬碟映射器 | Yes | 受保護的 |
| Cornerstone 單一登入 | 不 | 由 SAML SP 發起 |
| Docusign (電子簽署) | 否 | 由 SAML SP 起始 |
| Druva | 否 | 由 SAML SP 起始 |
| F5 BIG-IP APM Azure AD 整合 | 不 | 由 SAML SP 起始 |
| FortiGate SSL VPN | 否 | 由 SAML SP 起始 |
| Freshworks | 不 | 由 SAML SP 起始 |
| Gmail | Yes | 受保護的 |
| Google Cloud / G Suite Connector by Microsoft | 不 | 由 SAML SP 起始 |
| HubSpot Sales | 不 | 由 SAML SP 發起 |
| Kronos | 是* | 受保護的 |
| Madrasati App | 否 | 由 SAML SP 發起 |
| OpenAthens | 不 | 由 SAML SP 發起 |
| Oracle Fusion ERP | 不 | 由 SAML SP 起始 |
| Palo Alto Networks - GlobalProtect | 否 | 由 SAML SP 起始 |
| Polycom - 商務用 Skype 認證電話 | Yes | 受保護 |
| Salesforce | 不 | 由 SAML SP 起始 |
| Samsung Email | Yes | 受保護的 |
| SAP Cloud Platform Identity Authentication | 否 | 由 SAML SP 起始 |
| SAP Concur | 是* | 由 SAML SP 發起 |
| SAP Concur 差旅及費用 | 是* | 受保護的 |
| SAP Fiori | 不 | 由 SAML SP 起始 |
| SAP NetWeaver | 不 | 由 SAML SP 起始 |
| SAP SuccessFactors | 否 | 由 SAML SP 起始 |
| 立即服務 | 不 | 由 SAML SP 起始 |
| Slack | 不 | 由 SAML SP 起始 |
| Smartsheet | 否 | 由 SAML SP 起始 |
| 火花 | Yes | 受保護的 |
| UKG pro | 是* | 受保護 |
| VMware Boxer | Yes | 受保護 |
| walkMe | 不 | 由 SAML SP 起始 |
| 工作日 | 不 | 由 SAML SP 發起 |
| 來自 Facebook 的工作場所 | 不 | 由 SAML SP 起始 |
| Zoom | 不 | 由 SAML SP 起始 |
| Zscaler | 是* | 受保護的 |
| Zscaler Private Access (ZPA) | 不 | 由 SAML SP 起始 |
| Zscaler ZSCloud | 不 | 由 SAML SP 起始 |
注意
* 設定為使用 SAML 通訊協定進行驗證的應用程式,在使用由 IDP 起始的驗證時會受到保護。 不支援由服務提供者 (SP) 起始的 SAML 設定
Azure 資源及其狀態
| 資源 | Azure 資源名稱 | 狀態 |
|---|---|---|
| Microsoft.ApiManagement | Azure Government 和中國區域中的 API 管理服務 | 受保護 |
| microsoft.app | 應用程式服務 | 受保護的 |
| Microsoft.AppConfiguration | Azure 應用程式組態 | 受保護的 |
| Microsoft.AppPlatform | Azure App Service | 受保護的 |
| Microsoft.Authorization | Microsoft Entra ID | 受保護的 |
| Microsoft.Automation | 自動化服務 | 受保護的 |
| Microsoft.AVX | Azure VMware 解決方案 | 受保護的 |
| Microsoft.Batch | Azure Batch | 受保護的 |
| Microsoft.Cache | Azure Cache for Redis | 受保護的 |
| Microsoft.Cdn | Azure 內容傳遞網路 | 未受保護 |
| Microsoft.Chaos | Azure 混沌工程 | 受保護的 |
| Microsoft.CognitiveServices | Azure AI 服務 API 和容器 | 受保護的 |
| Microsoft.Communication | Azure 通訊服務 | 未受保護 |
| Microsoft.Compute | Azure 虛擬機器 | 受保護的 |
| Microsoft.ContainerInstance | Azure 容器執行個體 | 受保護的 |
| Microsoft.ContainerRegistry | Azure 容器註冊表 | 受保護的 |
| Microsoft.ContainerService | Azure Kubernetes Service (已淘汰) | 受保護 |
| Microsoft.Dashboard | Azure 儀表板 | 受保護的 |
| Microsoft.DatabaseWatcher | Azure SQL Database 自動微調 | 受保護的 |
| Microsoft.DataBox | Azure 資料箱 | 受保護的 |
| Microsoft.Databricks | Azure Databricks | 未受保護 |
| Microsoft.DataCollaboration | Azure 資料分享 | 受保護的 |
| Microsoft.Datadog | Datadog | 受保護的 |
| Microsoft.DataFactory | Azure Data Factory | 受保護 |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 和 Gen2 | 未受保護 |
| Microsoft.DataProtection | Microsoft Defender for Cloud Apps 資料保護 API | 受保護的 |
| Microsoft.DBforMySQL | 適用於 MySQL 的 Azure 資料庫 | 受保護的 |
| Microsoft.DBforPostgreSQL | 適用於 PostgreSQL 的 Azure 資料庫 | 受保護的 |
| Microsoft.DelegatedNetwork | 委派的網路管理服務 | 受保護 |
| Microsoft.DevCenter | 商務和教育使用的 Microsoft Store | 受保護的 |
| Microsoft.Devices | Azure IoT 中樞和 IoT Central | 未受保護 |
| Microsoft.DeviceUpdate | Windows 10 IoT 核心版服務裝置更新 | 受保護的 |
| Microsoft.DevTestLab | Azure DevTest Labs | 受保護的 |
| Microsoft.DigitalTwins | Azure Digital Twins | 受保護的 |
| Microsoft.DocumentDB | Azure Cosmos DB | 受保護的 |
| Microsoft.EventGrid | Azure 事件格線 | 受保護的 |
| Microsoft.EventHub | Azure 事件中樞 | 受保護的 |
| Microsoft.HealthBot | Health Bot 服務 | 受保護的 |
| Microsoft.HealthcareApis | 適用於 Azure API for FHIR 的 FHIR API,以及 Microsoft Cloud for Healthcare 解決方案的相關應用 | 受保護 |
| Microsoft.HybridContainerService | 已啟用 Azure Arc 的 Kubernetes | 受保護的 |
| Microsoft.HybridNetwork | Azure Virtual WAN | 受保護的 |
| Microsoft.Insights | Application Insights 與 Log Analytics | 未受保護 |
| Microsoft.IoTCentral | IoT Central | 受保護的 |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | 受保護的 |
| Microsoft.Kusto | Azure 資料總管 (Kusto) | 受保護的 |
| Microsoft.LoadTestService | Visual Studio 負載測試服務 | 保護 |
| Microsoft.Logic | Azure Logic 應用程式 | 受保護的 |
| Microsoft.MachineLearningServices | Azure 上的機器學習服務 | 受保護 |
| Microsoft 受控識別 | 適用於 Microsoft 資源的受控識別 | 受保護的 |
| Microsoft.Maps | Azure 地圖服務 | 受保護的 |
| Microsoft.Media | Azure 媒體服務 | 保護 |
| Microsoft.Migrate | Azure Migrate | 受保護的 |
| Microsoft.MixedReality | 混合實境服務,包括遠端渲染、空間錨點和物件錨點 | 未受保護 |
| Microsoft.NetApp | Azure NetApp Files | 受保護的 |
| Microsoft.Network | Azure 虛擬網路 | 受保護的 |
| Microsoft.OpenEnergyPlatform | Azure 上的 Open Energy Platform (OEP) | 受保護的 |
| Microsoft.OperationalInsights | Azure 監視器記錄 | 受保護的 |
| Microsoft.PowerPlatform | Microsoft Power Platform | 受保護的 |
| Microsoft.Purview | Microsoft Purview (先前稱為 Azure 資料目錄) | 受保護的 |
| Microsoft.Quantum | Microsoft Quantum Development Kit | 受保護的 |
| Microsoft.RecommendationsService | Azure AI 服務建議 API | 受保護的 |
| Microsoft.RecoveryServices | Azure Site Recovery | 受保護的 |
| Microsoft.ResourceConnector | Azure 資源連接器 | 受保護的 |
| Microsoft.Scom | System Center Operations Manager | 受保護的 |
| Microsoft.Search | Azure 認知搜尋 | 未受保護 |
| Microsoft.Security | 適用於雲端的 Microsoft Defender | 未受保護 |
| Microsoft.SecurityDetonation | 適用於端點的 Microsoft Defender 引爆服務 | 受保護 |
| Microsoft.ServiceBus | 服務匯流排傳訊服務和事件方格網域主題 | 受保護的 |
| Microsoft.ServiceFabric | Azure Service Fabric | 受保護的 |
| Microsoft.SignalRService | Azure SignalR Service | 受保護的 |
| Microsoft.Solutions | Azure 解決方案 | 受保護的 |
| Microsoft.Sql | 虛擬機器上的 SQL Server 和 Azure 上的 SQL 受控執行個體 | 受保護 |
| Microsoft.Storage | Azure 儲存體 | 受保護的 |
| Microsoft.StorageCache | Azure 儲存體快取 | 受保護的 |
| Microsoft.StorageSync | Azure 檔案同步 | 受保護的 |
| Microsoft.StreamAnalytics | Azure 串流分析 | 未受保護 |
| Microsoft.Synapse | Synapse Analytics (先前稱為 SQL DW) 和 Synapse Studio (先前稱為 SQL DW Studio) | 受保護的 |
| Microsoft.UsageBilling | Azure 使用量和計費入口網站 | 未受保護 |
| Microsoft.VideoIndexer | 影片索引器 | 受保護的 |
| Microsoft.VoiceServices | Azure 通訊服務 - 語音 API | 未受保護 |
| microsoft.web | 網頁應用程式 | 受保護的 |