Sistema de copia de seguridad de autenticación de Microsoft Entra ID
Las organizaciones de todo el mundo dependen de la alta disponibilidad de la autenticación de usuarios y servicios de Microsoft Entra que debe funcionar 24 horas al día, siete días a la semana. Prometemos una disponibilidad del nivel de servicio del 99,99 % para la autenticación, y buscamos continuamente mejorarla. Para ello es fundamental aumentar la resistencia de nuestro servicio de autenticación. Con el fin de mejorar aún más la resistencia durante las interrupciones, en 2021 implementamos un sistema de reserva.
El sistema de autenticación de reserva de Microsoft Entra se compone de varios servicios de reserva que funcionan conjuntamente para aumentar la resistencia de la autenticación si se produce una interrupción. Este sistema controla de forma transparente y automática las autenticaciones de aplicaciones y servicios compatibles si el servicio principal de Microsoft Entra no está disponible o está degradado. Agrega una capa adicional de resistencia sobre los varios niveles de redundancia existente. Esta resistencia se describe en la entrada de blog Mejora de la resistencia del servicio en Microsoft Entra ID con su servicio de autenticación de reserva. Este sistema sincroniza los metadatos de autenticación cuando el sistema está en buen estado y los usa para permitir que los usuarios sigan teniendo acceso a las aplicaciones durante las interrupciones del servicio principal sin dejar de aplicar controles de directiva.
Durante una interrupción del servicio principal, los usuarios pueden seguir trabajando con sus aplicaciones, siempre y cuando hayan accedido a ellas en los últimos tres días desde el mismo dispositivo y no existan directivas de bloqueo que reduzcan su acceso:
Además de las aplicaciones de Microsoft, se admite lo siguiente:
- Clientes de correo electrónico nativos en iOS y Android.
- Aplicaciones de software como servicio (SaaS) disponibles en la galería de aplicaciones, como ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday, etc.
- Aplicaciones de línea de negocio seleccionadas, en función de sus patrones de autenticación.
La autenticación de servicio a servicio que se basa en identidades administradas para recursos de Azure o está integrada en servicios de Azure (como máquinas virtuales, almacenamiento en la nube, servicios de Azure AI y App Service) recibe una mayor resistencia del sistema de autenticación de reserva.
Microsoft amplía continuamente el número de escenarios admitidos.
¿Qué cargas de trabajo que no son de Microsoft se admiten?
El sistema de autenticación de reserva proporciona automáticamente resistencia incremental a decenas de miles de aplicaciones que no son compatibles con Microsoft en función de sus patrones de autenticación. Consulte el apéndice para obtener una lista de las aplicaciones que no son de Microsoft más comunes y su estado de cobertura. Para obtener una explicación detallada de qué patrones de autenticación se admiten, consulte el artículo Descripción de la compatibilidad con aplicaciones para el sistema de autenticación de reserva.
- Aplicaciones nativas que usan el protocolo Open Authorization (OAuth) 2.0 para acceder a aplicaciones de recursos, como el correo electrónico y los clientes de mensajería instantánea populares que no son de Microsoft, como: Apple Mail, Aqua Mail, Gmail, Samsung Email y Spark.
- Aplicaciones web de línea de negocio configuradas para autenticarse con OpenID Connect solamente con tokens de identificador.
- Aplicaciones web que se autentican con el protocolo de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML), cuando se configuran para inicio de sesión único (SSO) iniciado por un proveedor de identidades como: ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday y Zscaler.
Tipos de aplicaciones que no son de Microsoft y no están protegidas
Actualmente, no se admiten los siguientes patrones de autenticación:
- Aplicaciones web que se autentican mediante OpenID Connect y solicitan tokens de acceso
- Aplicaciones web que usan el protocolo SAML para la autenticación, cuando se configuran como SSO iniciado por proveedor de servicios
¿Qué hace que un usuario sea compatible con el sistema de autenticación de reserva?
Durante una interrupción, un usuario puede autenticarse mediante el sistema de autenticación de reserva si se cumplen las condiciones siguientes:
- El usuario se autenticó correctamente con la misma aplicación y dispositivo en los últimos tres días.
- No se requiere que el usuario se autentique de forma interactiva
- El usuario accede a un recurso como miembro de su inquilino principal y no en un escenario B2B o B2C.
- El usuario no está sujeto a directivas de acceso condicional que limiten el sistema de autenticación de reserva, como deshabilitar los valores predeterminados de resistencia.
- El usuario no ha estado sujeto a un evento de revocación, como un cambio de credencial desde su última autenticación correcta.
¿Cómo afecta la autenticación interactiva y la actividad del usuario a la resistencia?
El sistema de autenticación de reserva se basa en los metadatos de una autenticación anterior para volver a autenticar al usuario durante una interrupción. Por este motivo, un usuario debe haberse autenticado en los últimos tres días con la misma aplicación en el mismo dispositivo para que el servicio de reserva sea efectivo. Los usuarios inactivos o que no se han autenticado en una aplicación determinada no pueden usar el sistema de autenticación de reserva para esa aplicación.
¿Cómo afectan las directivas de acceso condicional a la resistencia?
El sistema de autenticación de reserva no puede evaluar determinadas directivas en tiempo real y debe basarse en evaluaciones anteriores de estas directivas. En condiciones de interrupción, el servicio usa una evaluación previa de forma predeterminada para maximizar la resistencia. Por ejemplo, un acceso condicionado a que un usuario tenga un rol determinado (como administrador de aplicaciones) continúa durante una interrupción en función del rol que tuviera el usuario durante esa autenticación más reciente. Si es necesario restringir el uso de solo interrupción de una evaluación anterior, los administradores de inquilinos pueden elegir una evaluación estricta de todas las directivas de acceso condicional, incluso en condiciones de interrupción, deshabilitando los valores predeterminados de resistencia. Esta decisión debe tenerse en cuenta porque deshabilitar los valores predeterminados de resistencia de una directiva determinada deshabilita el uso de la autenticación de reserva. Los valores predeterminados de resistencia deben volver a habilitarse antes de que se produzca una interrupción para que el sistema de reserva proporcione resistencia.
Hay otros tipos de directivas que no admiten el uso del sistema de autenticación de reserva. El uso de las siguientes directivas reduce la resistencia:
- Uso del control de frecuencia de inicio de sesión como parte de una directiva de acceso condicional.
- Uso de la directiva de métodos de autenticación.
- Uso de una directiva de acceso condicional clásica.
Resistencia de la identidad de carga de trabajo en el sistema de autenticación de reserva
Además de la autenticación de usuario, el sistema de autenticación de reserva proporciona resistencia para identidades administradas y otra infraestructura de Azure clave al ofrecer un servicio de autenticación aislado regionalmente que se superpone con redundancia con el servicio de autenticación principal. Este sistema permite que la autenticación de infraestructura dentro de una región de Azure sea resistente a los problemas que puedan producirse en otra región o dentro del servicio de Microsoft Entra más grande. Este sistema complementa la arquitectura entre regiones de Azure. Compilar sus propias aplicaciones mediante MI y seguir los procedimientos recomendados de Azure para lograr resistencia y disponibilidad garantiza que las aplicaciones sean altamente resistentes. Además de MI, este sistema de reserva resistente regionalmente protege la infraestructura y los servicios clave de Azure que mantienen la nube funcional.
Resumen de la compatibilidad con la autenticación de infraestructura
- Los servicios integrados en la infraestructura de Azure mediante identidades administradas están protegidos por el sistema de autenticación de reserva.
- Los servicios de Azure que se autentican entre sí están protegidos por el sistema de autenticación de reserva.
- Los servicios creados en Azure (o a partir de Azure) cuando las identidades se registran como entidades de servicio y no como "identidades administradas" no están protegidos por el sistema de autenticación de reserva.
Entornos en la nube que admiten el sistema de autenticación de reserva
El sistema de autenticación de copia de seguridad es compatible con todos los entornos de nube excepto Microsoft Azure operado por 21Vianet. Los tipos de identidades admitidos varían según la nube, como se describe en la tabla siguiente.
| Entorno de Azure | Identidades protegidas |
|---|---|
| Azure Commercial | Usuarios e identidades administradas |
| Azure Government | Usuarios e identidades administradas |
| Azure Government Secret | Identidades administradas |
| Azure Government Top Secret | Identidades administradas |
| Azure operado por 21Vianet | No disponible |
Apéndice
Aplicaciones cliente nativas populares que no son de Microsoft y aplicaciones de galería de aplicaciones
| Nombre de la aplicación | Protegido | ¿Por qué no está protegida? |
|---|---|---|
| ABBYY FlexiCapture 12 | No | Iniciada por proveedor de servicios de SAML |
| Adobe Experience Manager | No | Iniciada por proveedor de servicios de SAML |
| Adobe Identity Management (OIDC) | No | OIDC con token de acceso |
| ADP | Sí | Protegido |
| Apple Business Manager | No | Iniciada por proveedor de servicios de SAML |
| Apple Internet Accounts | Sí | Protegido |
| Apple School Manager | No | OIDC con token de acceso |
| Aqua Mail | Sí | Protegido |
| Atlassian Cloud | Sí * | Protegido |
| Blackboard Learn | No | Iniciada por proveedor de servicios de SAML |
| Box | No | Iniciada por proveedor de servicios de SAML |
| Brightspace by Desire2Leam | No | Iniciada por proveedor de servicios de SAML |
| Lienzo | No | Iniciada por proveedor de servicios de SAML |
| Ceridian Dayforce HCM | No | Iniciada por proveedor de servicios de SAML |
| Cisco AnyConnect | No | Iniciada por proveedor de servicios de SAML |
| Cisco Webex | No | Iniciada por proveedor de servicios de SAML |
| Citrix ADC SAML Connector for Azure AD | No | Iniciada por proveedor de servicios de SAML |
| Clever | No | Iniciada por proveedor de servicios de SAML |
| Cloud Drive Mapper | Sí | Protegido |
| Inicio de sesión único de Cornerstone | No | Iniciada por proveedor de servicios de SAML |
| Docusign | No | Iniciada por proveedor de servicios de SAML |
| Druva | No | Iniciada por proveedor de servicios de SAML |
| Integración de Azure AD y del APM BIG-IP de F5 | No | Iniciada por proveedor de servicios de SAML |
| FortiGate SSL VPN | No | Iniciada por proveedor de servicios de SAML |
| Freshworks | No | Iniciada por proveedor de servicios de SAML |
| Gmail | Sí | Protegido |
| Google Cloud / G Suite Connector de Microsoft | No | Iniciada por proveedor de servicios de SAML |
| HubSpot Sales | No | Iniciada por proveedor de servicios de SAML |
| Kronos | Sí * | Protegido |
| Madrasati App | No | Iniciada por proveedor de servicios de SAML |
| OpenAthens | No | Iniciada por proveedor de servicios de SAML |
| Oracle Fusion ERP | No | Iniciada por proveedor de servicios de SAML |
| Palo Alto Networks - GlobalProtect | No | Iniciada por proveedor de servicios de SAML |
| Polycom - Skype for Business Certified Phone | Sí | Protegido |
| Salesforce | No | Iniciada por proveedor de servicios de SAML |
| Samsung Email | Sí | Protegido |
| SAP Cloud Platform Identity Authentication | No | Iniciada por proveedor de servicios de SAML |
| SAP Concur | Sí * | Iniciada por proveedor de servicios de SAML |
| SAP Concur Travel and Expense | Sí * | Protegido |
| SAP Fiori | No | Iniciada por proveedor de servicios de SAML |
| SAP NetWeaver | No | Iniciada por proveedor de servicios de SAML |
| SAP SuccessFactors | No | Iniciada por proveedor de servicios de SAML |
| Service Now | No | Iniciada por proveedor de servicios de SAML |
| Slack | No | Iniciada por proveedor de servicios de SAML |
| Smartsheet | No | Iniciada por proveedor de servicios de SAML |
| Spark | Sí | Protegido |
| UKG pro | Sí * | Protegido |
| VMware Boxer | Sí | Protegido |
| walkMe | No | Iniciada por proveedor de servicios de SAML |
| Workday | No | Iniciada por proveedor de servicios de SAML |
| Workplace from Facebook | No | Iniciada por proveedor de servicios de SAML |
| Zoom | No | Iniciada por proveedor de servicios de SAML |
| Zscaler | Sí * | Protegido |
| Zscaler Private Access (ZPA) | No | Iniciada por proveedor de servicios de SAML |
| Zscaler ZSCloud | No | Iniciada por proveedor de servicios de SAML |
Nota
* Las aplicaciones configuradas para autenticarse con el protocolo SAML están protegidas al usar una autenticación iniciada por el proveedor de identidades. No se admiten las configuraciones de SAML iniciadas por el proveedor de servicios (SP)
Recursos de Azure y su estado
| resource | Nombre de recurso de Azure | Estado |
|---|---|---|
| Microsoft.ApiManagement | Servicio de API Management en regiones de Azure Government y China | Protegido |
| microsoft.app | App Service | Protegido |
| Microsoft.AppConfiguration | Configuración de aplicaciones de Azure | Protegido |
| Microsoft.AppPlatform | Azure App Service | Protegido |
| Microsoft.Authorization | Microsoft Entra ID | Protegido |
| Microsoft.Automation | Automation Service | Protegido |
| Microsoft.AVX | Azure VMware Solution | Protegido |
| Microsoft.Batch | Azure Batch | Protegido |
| Microsoft.Cache | Azure Cache for Redis | Protegido |
| Microsoft.Cdn | Azure Content Delivery Network | Sin protección |
| Microsoft.Chaos | Azure Chaos Engineering | Protegido |
| Microsoft.CognitiveServices | API y contenedores de servicios de Azure AI | Protegido |
| Microsoft.Communication | Azure Communication Services | Sin protección |
| Microsoft.Compute | Azure Virtual Machines | Protegido |
| Microsoft.ContainerInstance | Azure Container Instances | Protegido |
| Microsoft.ContainerRegistry | Azure Container Registry | Protegido |
| Microsoft.ContainerService | Azure Kubernetes Service (en desuso) | Protegido |
| Microsoft.Dashboard | Paneles de Azure | Protegido |
| Microsoft.DatabaseWatcher | Automatic Tuning de Azure SQL Database | Protegido |
| Microsoft.DataBox | Azure Data Box | Protegido |
| Microsoft.Databricks | Azure Databricks | Sin protección |
| Microsoft.DataCollaboration | Azure Data Share | Protegido |
| Microsoft.Datadog | Datadog | Protegido |
| Microsoft.DataFactory | Azure Data Factory | Protegido |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 y Gen2 | Sin protección |
| Microsoft.DataProtection | API de protección de datos de Microsoft Defender for Cloud Apps | Protegido |
| Microsoft.DBforMySQL | Azure Database for MySQL | Protegido |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Protegido |
| Microsoft.DelegatedNetwork | Servicio de administración de redes delegadas | Protegido |
| Microsoft.DevCenter | Microsoft Store para Empresas y Educación | Protegido |
| Microsoft.Devices | IoT Hub y IoT Central | Sin protección |
| Microsoft.DeviceUpdate | Actualización de dispositivos de Windows 10 IoT Core Services | Protegido |
| Microsoft.DevTestLab | Azure DevTest Labs | Protegido |
| Microsoft.DigitalTwins | Azure Digital Twins | Protegido |
| Microsoft.DocumentDB | Azure Cosmos DB | Protegido |
| Microsoft.EventGrid | Azure Event Grid | Protegido |
| Microsoft.EventHub | Azure Event Hubs | Protegido |
| Microsoft.HealthBot | Health Bot Service | Protegido |
| Microsoft.HealthcareApis | API de FHIR para Azure API for FHIR y soluciones de Microsoft Cloud for Healthcare | Protegido |
| Microsoft.HybridContainerService | Kubernetes habilitado para Azure Arc | Protegido |
| Microsoft.HybridNetwork | Azure Virtual WAN | Protegido |
| Microsoft.Insights | API de Application Insights y Log Analytics | Sin protección |
| Microsoft.IoTCentral | IoT Central | Protegido |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Protegido |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Protegido |
| Microsoft.LoadTestService | Servicio de Load Testing de Visual Studio | Protegido |
| Microsoft.Logic | Azure Logic Apps | Protegido |
| Microsoft.MachineLearningServices | Machine Learning Services en Azure | Protegido |
| Identidad Microsoft.managed | Identidades administradas para recursos de Microsoft | Protegido |
| Microsoft.Maps | Azure Maps | Protegido |
| Microsoft.Media | Azure Media Services | Protegido |
| Microsoft.Migrate | Azure Migrate | Protegido |
| Microsoft.MixedReality | Servicios de Mixed Reality, incluidos Remote Rendering, Spatial Anchors y Object Anchors | Sin protección |
| Microsoft.NetApp | Azure NetApp Files | Protegido |
| Microsoft.Network | Azure Virtual Network | Protegido |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) en Azure | Protegido |
| Microsoft.OperationalInsights | Registros de Azure Monitor | Protegido |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protegido |
| Microsoft.Purview | Microsoft Purview (anteriormente Azure Data Catalog) | Protegido |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Protegido |
| Microsoft.RecommendationsService | API de recomendaciones de servicios de Azure AI | Protegido |
| Microsoft.RecoveryServices | Azure Site Recovery | Protegido |
| Microsoft.ResourceConnector | Conector de recursos de Azure | Protegido |
| Microsoft.Scom | System Center Operations Manager | Protegido |
| Microsoft.Search | Azure Cognitive Search | Sin protección |
| Microsoft.Security | Microsoft Defender for Cloud | Sin protección |
| Microsoft.SecurityDetonation | Servicio de detonación de Microsoft Defender para punto de conexión | Protegido |
| Microsoft.ServiceBus | Temas sobre el servicio de mensajería de Service Bus y el dominio de Event Grid | Protegido |
| Microsoft.ServiceFabric | Azure Service Fabric | Protegido |
| Microsoft.SignalRService | Servicio Azure SignalR | Protegido |
| Microsoft.Solutions | Soluciones de Azure | Protegido |
| Microsoft.Sql | SQL Server en Virtual Machines y SQL Managed Instance en Azure | Protegido |
| Microsoft.Storage | Azure Storage | Protegido |
| Microsoft.StorageCache | Caché de Azure Storage | Protegido |
| Microsoft.StorageSync | Azure File Sync | Protegido |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Sin protección |
| Microsoft.Synapse | Synapse Analytics (anteriormente SQL DW) y Synapse Studio (anteriormente SQL DW Studio) | Protegido |
| Microsoft.UsageBilling | Portal de uso y facturación de Azure | Sin protección |
| Microsoft.VideoIndexer | Video Indexer | Protegido |
| Microsoft.VoiceServices | API de Voice de Azure Communication Services | Sin protección |
| microsoft.web | Web Apps | Protegido |