Microsoft Entra ID のバックアップ認証システム
世界中の組織は、ユーザーとサービスに対する Microsoft Entra 認証の高可用性に 1 日 24 時間、週 7 日間依存しています。 Microsoft は、サービス レベルの認証において 99.99% の可用性をお約束しています。また、認証サービスの回復性を強化することで、継続的に改善するように努めています。 停止中における回復性をさらに改善するために、2021 年にバックアップ システムを実装しました。
Microsoft Entra バックアップ認証システムは、複数のバックアップ サービスで構成されています。これらは、停止が発生した場合に連携し、認証の回復性を高めます。 このシステムは、主要な Microsoft Entra サービスが利用不可であるか、機能が低下した場合に、サポートされているアプリケーションとサービスの認証を透明的かつ自動的に処理します。 複数のレベルから成る既存の冗長性の上に、別の回復性レイヤーを追加します。 この回復性については、「バックアップ認証サービスで Microsoft Entra ID のサービス回復性を高める」のブログ記事で説明されています。 このシステムでは、システムが正常な場合に認証メタデータを同期し、ポリシー制御を適用しながら、これを使用して主要なサービスの停止中にユーザーがアプリケーションに引き続きアクセスできるようにします。
主要なサービスの停止中、ユーザーは過去 3 日以内に同じデバイスからアクセスしたことがあり、アクセスを抑制するブロック ポリシーが存在しない限り、引き続きアプリケーションを操作できます。
Microsoft アプリケーションに加えて、以下もサポートしています:
- iOS および Android 上のネイティブ メール クライアント。
- アプリ ギャラリーで使用できるサービスとしてのソフトウェア (SaaS) アプリケーション (ADP、Atlassian、AWS、GoToMeeting、Kronos、Marketo、SAP、Trello、Workday など)。
- 認証パターンに基づいて選択された基幹業務アプリケーション。
Azure リソース用マネージド ID に依存するか、Azure サービス (仮想マシン、クラウド ストレージ、Azure AI サービス、App Service など) 上に構築されているサービス間認証では、バックアップ認証システムからの回復性が向上します。
Microsoft では、サポートされるシナリオの数を継続的に拡大しています。
サポートされている Microsoft 以外のワークロード
バックアップ認証システムは、サポートしている Microsoft 以外の数万ものアプリケーションに対して、その認証パターンに基づいて回復性を段階的かつ自動的に提供します。 最も一般的な Microsoft 以外のアプリケーションとそのカバレッジ状態の一覧については、付録をご覧ください。 サポートされている認証パターンの詳細な説明については、バックアップ認証サポートのアプリケーション サポートに関する記事をご覧ください。
- Open Authorization (OAuth) 2.0 プロトコルを使用してリソース アプリケーションにアクセスするネイティブ アプリケーション (Apple Mail、Aqua Mail、Gmail、Samsung Email、Spark など、一般的な Microsoft 以外のメールや IM クライアントなど)。
- ID トークンのみを使用して OpenID Connect で認証するように構成された基幹業務 Web アプリケーション。
- Security Assertion Markup Language (SAML) プロトコルを使用して認証する Web アプリケーション (ADP、Atlassian Cloud、AWS、GoToMeeting、Kronos、Marketo、Palo Alto Networks、SAP Cloud Identity サービス、Trello、Workday、Zscaler など) が IDP 起点のシングル サインオン (SSO) 用に構成されている場合。
保護されていない Microsoft 以外のアプリケーションの種類
現在、次の認証パターンはサポートされていません:
- OpenID Connect を使用して認証し、アクセス トークンを要求する Web アプリケーション
- 認証に SAML プロトコルを使用する Web アプリケーションが SP 起点の SSO として構成されている場合
バックアップ認証システムでユーザーがサポートされるための条件
停止中に、次の条件が満たされた場合、ユーザーはバックアップ認証システムを使用して認証できます:
- ユーザーが過去 3 日以内に同じデバイスとアプリを使用して正常に認証したことがある場合。
- ユーザーが対話的に認証する必要がない場合
- ユーザーが B2B や B2C シナリオを実行するのではなく、ホーム テナントのメンバーとしてリソースにアクセスしている場合。
- ユーザーがバックアップ認証システムを制限 (回復性の既定値を無効にするなど) する条件付きアクセス ポリシーの対象でない場合。
- ユーザーが前回の正常な認証以来、失効イベント (資格情報の変更など) の対象になったことがない場合。
対話的な認証とユーザー アクティビティが回復性に与える影響
バックアップ認証システムは、停止中にユーザーを再認証するために、以前の認証のメタデータに依存します。 このため、バックアップ サービスを有効にするには、ユーザーが過去 3 日以内に同じデバイス上で同じアプリに対して認証を行っている必要があります。 非アクティブなユーザーや、該当アプリで認証されたことがないユーザーは、そのアプリケーションでバックアップ認証システムを使用できません。
条件付きアクセス ポリシーが回復性に与える影響
特定のポリシーは、バックアップ認証システムによってリアルタイムで評価できないため、これらのポリシーの以前の評価に依存する必要があります。 停止状態では、サービスは既定で以前の評価を使用して回復性を最大化します。 たとえば、特定のロール (アプリケーション管理者など) を持つユーザーに対して条件付けされたアクセスは、前回の認証時にユーザーが持っていたロールに基づいて停止中も続行されます。 以前の評価を停止時のみ使用することを制限する必要がある場合、テナント管理者は、回復性の既定値を無効にすることで、停止状態でもすべての条件付きアクセス ポリシーの厳密な評価を選択できます。 特定のポリシーの回復性の既定値を無効にすると、それらのユーザーによるバックアップ認証の使用が無効になるため、この決定は慎重に行う必要があります。 バックアップ システムが回復性を提供するには、停止が発生する前に、回復性の既定値をもう一度有効にする必要があります。
他の特定の種類のポリシーでは、バックアップ認証システムの使用がサポートされていません。 次のポリシーを使用すると、回復性が低下します:
- 条件付きアクセス ポリシーの一部として、サインイン頻度の制御を使用する。
- 認証方法ポリシーを使用する。
- 従来の条件付きアクセス ポリシーを使用する。
バックアップ認証システムでのワークロード ID の回復性
バックアップ認証システムは、ユーザー認証に加えて、主要な認証サービスと冗長に階層化されたリージョン分離認証サービスを提供することで、マネージド ID やその他の主要な Azure インフラストラクチャに回復性を提供します。 このシステムにより、Azure リージョン内のインフラストラクチャ認証は、別のリージョンまたは大規模な Microsoft Entra サービス内で発生する可能性のある問題に対する回復性を持つことができます。 このシステムは、Azure のリージョン間アーキテクチャを補完します。 MI を使用して独自のアプリケーションを構築し、回復性と可用性に関する Azure のベスト プラクティスに従うと、アプリケーションの回復性が高くなります。 MI に加えて、このリージョン回復性の高いバックアップ システムは、クラウドの機能を維持する主要な Azure インフラストラクチャとサービスを保護します。
インフラストラクチャ認証のサポートの概要
- マネージド ID を使用する Azure インフラストラクチャに組み込まれているサービスは、バックアップ認証システムによって保護されます。
- 相互に認証を行う Azure サービスは、バックアップ認証システムによって保護されます。
- ID が "マネージド ID" ではなくサービス プリンシパルとして登録されている場合、Azure 上または Azure から構築されたサービスは、バックアップ認証システムによって保護されません。
バックアップ認証システムをサポートするクラウド環境
バックアップ認証システムは、21Vianet によって運営される Microsoft Azure を除くすべてのクラウド環境でサポートされています。 次の表に示すように、サポートされる ID の種類はクラウドによって異なり、個別の認証エンドポイントがあります。
| Azure 環境 | Microsoft 365 環境 | 保護された ID | Microsoft Entra 認証エンドポイント |
|---|---|---|---|
| Azure Commercial | Commercial および M365 Government | ユーザーとマネージド ID | https://login.microsoftonline.com |
| Azure Government | M365 GCC High および DoD | ユーザーとマネージド ID | https://login.microsoftonline.us |
| アジュール政府機密 | M365 政府秘密 | ユーザーとマネージド ID | 使用不可 |
| Azure政府最高機密 | M365 政府機密トップシークレット | ユーザーとマネージド ID | 使用不可 |
| 21Vianet によって運営される Azure | 使用不可 | 管理されたアイデンティティー | https://login.partner.microsoftonline.cn |
付録
Microsoft 以外の一般的なネイティブ クライアント アプリとアプリ ギャラリー アプリケーション
| アプリケーション名 | 保護された | 保護されない理由 |
|---|---|---|
| ABBYY FlexiCapture 12 | いいえ | SAML SP 起点 |
| Adobe Experience Manager | いいえ | SAML SP 起点 |
| Adobe Identity Management (OIDC) | いいえ | アクセス トークンを使用した OIDC |
| ADP | はい | 保護されています |
| Apple Business Manager | いいえ | SAML SP 起点 |
| Apple インターネット アカウント | はい | 保護された |
| Apple School Manager | いいえ | アクセス トークンを使用した OIDC |
| Aqua Mail | はい | 保護された |
| Atlassian Cloud | はい * | 保護された |
| Blackboard Learn | いいえ | SAML SP 起点 |
| Box | いいえ | SAML SP 起点 |
| Brightspace by Desire2Learn | いいえ | SAML SP 起点 |
| キャンバス | いいえ | SAML SP 起点 |
| Ceridian Dayforce HCM | いいえ | SAML SP 起点 |
| Cisco AnyConnect | いいえ | SAML SP 起点 |
| Cisco Webex | いいえ | SAML SP 起点 |
| Citrix ADC SAML Connector for Azure AD | いいえ | SAML SP 起点 |
| 賢い | いいえ | SAML SP 起点 |
| クラウドドライブマッパー | はい | 保護された |
| Cornerstone Single Sign-on | いいえ | SAML SP 起点 |
| Docusign | いいえ | SAML SP 起点 |
| Druva | いいえ | SAML SP 起点 |
| F5 BIG-IP APM と Azure AD の統合 | いいえ | SAML SP 起点 |
| FortiGate SSL VPN | いいえ | SAML SP 起点 |
| Freshworks | いいえ | SAML SP 起点 |
| Gmail | はい | 保護された |
| Google Cloud / G Suite Connector by Microsoft | いいえ | SAML SP 起点 |
| HubSpot セールス | いいえ | SAML SP 起点 |
| Kronos | はい * | 保護された |
| Madrasati App | いいえ | SAML SP 起点 |
| OpenAthens | いいえ | SAML SP 起点 |
| Oracle Fusion ERP | いいえ | SAML SP 起点 |
| Palo Alto Networks - GlobalProtect | いいえ | SAML SP 起点 |
| Polycom - Skype for Business Certified Phone | はい | 保護された |
| Salesforce | いいえ | SAML SP 起点 |
| Samsung Email | はい | 保護された |
| SAP Cloud Platform Identity Authentication | いいえ | SAML SP 起点 |
| SAP Concur | はい * | SAML SP 起点 |
| SAP Concur トラベルおよび経費管理 | はい * | 保護された |
| SAP Fiori | いいえ | SAML SP 起点 |
| SAP NetWeaver | いいえ | SAML SP 起点 |
| SAP SuccessFactors | いいえ | SAML SP 起点 |
| ServiceNow (サービスナウ) | いいえ | SAML SP 起点 |
| Slack | いいえ | SAML SP 起点 |
| Smartsheet | いいえ | SAML SP 起点 |
| スパーク | はい | 保護された |
| UKG pro | はい * | 保護されています |
| VMware Boxer | はい | 保護された |
| walkMe | いいえ | SAML SP 起点 |
| Workday | いいえ | SAML SP 起点 |
| Workplace from Facebook | いいえ | SAML SP 起点 |
| Zoom | いいえ | SAML SP 起点 |
| Zscaler | はい * | 保護された |
| Zscaler Private Access (ZPA) | いいえ | SAML SP 起点 |
| Zscaler ZSCloud | いいえ | SAML SP 起点 |
メモ
* SAML プロトコルで認証するように構成されたアプリは、IDP 起点の認証を使用するときに保護されます。 サービス プロバイダー (SP) 起点の SAML 構成はサポートされていません
Azure リソースとその状態
| リソース | Azure リソース名 | ステータス |
|---|---|---|
| Microsoft.ApiManagement | Azure Government および中国のリージョンにおける API Management サービス | 保護された |
| microsoft.app | App Service | 保護されています |
| Microsoft.AppConfiguration | Azure App Configuration (アプリ構成) | 保護された |
| Microsoft.AppPlatform | Azure App Service | 保護された |
| Microsoft.Authorization | Microsoft Entra ID | 保護された |
| Microsoft.Automation | オートメーションサービス | 保護された |
| Microsoft.AVX | Azure VMware Solution | 保護されている |
| Microsoft.Batch | Azure Batch | 保護された |
| Microsoft.Cache | Azure Cache for Redis | 保護された |
| Microsoft.Cdn | Azure Content Delivery Network | 保護されていない |
| Microsoft.カオス | Azure カオス エンジニアリング | Protected |
| Microsoft.CognitiveServices | Azure AI サービス API およびコンテナ | 保護された |
| Microsoft.Communication | Azure Communication Services | 保護されていない |
| Microsoft.Compute | Azure Virtual Machines | 保護されています |
| Microsoft.ContainerInstance | Azure Container Instances | 保護された |
| Microsoft.ContainerRegistry | Azure コンテナー レジストリ(Azure Container Registry) | 保護された |
| Microsoft.ContainerService | Azure Kubernetes Service (非推奨) | 保護された |
| Microsoft.Dashboard | Azure ダッシュボード | 保護された |
| Microsoft.DatabaseWatcher | Azure SQL Database の自動チューニング | 保護された |
| Microsoft.DataBox | Azure Data Box | Protected |
| Microsoft.Databricks | Azure Databricks | 保護されていない |
| Microsoft.DataCollaboration | Azure Data Share | 保護された |
| Microsoft.Datadog | Datadog | 保護された |
| Microsoft.DataFactory | Azure Data Factory | 保護されている |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 と Gen2 | 保護されていません |
| Microsoft.DataProtection | Microsoft Defender for Cloud アプリデータ保護 API | 保護された |
| Microsoft.DBforMySQL | MySQL 用 Azure データベース | 保護された |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | 保護された |
| Microsoft.DelegatedNetwork | 委任されたネットワーク管理サービス | 保護された |
| Microsoft.DevCenter | ビジネス向けおよび教育機関向け Microsoft Store | 保護された |
| Microsoft.Devices | Azure IoT Hub と IoT Central | 保護されていない |
| Microsoft.DeviceUpdate | Windows 10 IoT Core Services デバイスアップデート | 保護された |
| Microsoft.DevTestLab | Azure DevTest Labs | 保護された |
| Microsoft.DigitalTwins | Azure Digital Twins | 保護された |
| Microsoft.DocumentDB | Azure Cosmos DB | 保護されています |
| Microsoft.EventGrid | Azure Event Grid | 保護された |
| Microsoft.EventHub | Azure Event Hubs | 保護された |
| Microsoft.HealthBot | ヘルスボットサービス | 保護された |
| Microsoft.HealthcareApis | Azure API for FHIR 用 FHIR API と Microsoft Cloud for Healthcare ソリューション | 保護されている |
| Microsoft.HybridContainerService | Azure Arc 対応 Kubernetes | 保護された |
| Microsoft.HybridNetwork | Azure Virtual WAN | 保護された |
| Microsoft.Insights | Application Insights と Log Analytics | 保護されていない |
| Microsoft.IoTCentral | IoT Central | 保護された |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | 保護された |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | 保護された |
| Microsoft.LoadTestService | Visual Studio Load Testing サービス | 保護された |
| Microsoft.Logic | Azure Logic Apps | 保護されている |
| Microsoft.MachineLearningServices | Azure 上の Machine Learning Services | 保護された |
| Microsoft.managed identity | Microsoft Resources のマネージド ID | 保護された |
| Microsoft.Maps | Azure Maps | 保護された |
| Microsoft.Media | Azure Media Services | 保護された |
| Microsoft.Migrate | Azure Migrate | 保護された |
| Microsoft.MixedReality | Mixed Reality サービス (Remote Rendering、Spatial Anchors、Object Anchors を含む) | 保護されていない |
| Microsoft.NetApp | Azure NetApp Files | Protected |
| Microsoft.Network | Azure Virtual Network | 保護された |
| Microsoft.OpenEnergyPlatform | Azure 上の Open Energy Platform (OEP) | 保護された |
| Microsoft.OperationalInsights | Azure Monitor ログ | 保護されています |
| Microsoft.PowerPlatform | Microsoft Power Platform | 保護された |
| Microsoft.Purview | Microsoft Purview (以前の Azure Data Catalog) | 保護された |
| Microsoft.Quantum | Microsoft Quantum 開発キット | 保護された |
| Microsoft.RecommendationsService | Azure AI サービスの推奨事項 API | 保護されています |
| Microsoft.RecoveryServices | Azure Site Recovery | 保護された |
| Microsoft.ResourceConnector | Azure Resource Connector(アジュール リソース コネクタ) | 保護された |
| Microsoft.Scom | システムセンターオペレーションズマネージャー | 保護された |
| Microsoft.Search | Azure Cognitive Search | 保護されていない |
| Microsoft.Security | Microsoft Defender for Cloud | 保護されていない |
| Microsoft.SecurityDetonation | Microsoft Defender for Endpoint Detonation Service | 保護された |
| Microsoft.ServiceBus | Service Bus メッセージング サービスと Event Grid ドメイン トピック | 保護された |
| Microsoft.ServiceFabric | Azure Service Fabric | 保護された |
| Microsoft.SignalRService | Azure SignalR Service | 保護されています |
| Microsoft.Solutions | Azure ソリューション | 保護された |
| Microsoft.Sql | SQL Server on Virtual Machines と Azure 上の SQL Managed Instance | 保護されている |
| Microsoft.Storage | Azure Storage | 保護された |
| Microsoft.StorageCache | Azure Storage キャッシュ | 保護されています |
| Microsoft.StorageSync | Azure File Sync | 保護された |
| Microsoft.StreamAnalytics | Azure Stream Analytics | 未保護 |
| Microsoft.Synapse | Synapse Analytics (以前の SQL DW) と Synapse Studio (以前の SQL DW Studio) | 保護された |
| Microsoft.UsageBilling | Azure 利用と請求のポータル | 保護されていない |
| Microsoft.VideoIndexer | ビデオ インデクサー | 保護された |
| Microsoft.VoiceServices | Azure Communication Services - Voice APIs | 保護されていない |
| microsoft.web | ウェブアプリ | 保護された |