Sistema de autenticação de backup do Microsoft Entra ID
As organizações em todo o mundo dependem da alta disponibilidade da autenticação do Microsoft Entra para usuários e serviços 24 horas por dia, sete dias por semana. Prometemos uma disponibilidade de nível de serviço de 99,99% para autenticação e buscamos aprimorá-la continuamente aumentando a resiliência do nosso serviço de autenticação. Para melhorar ainda mais a resiliência durante interrupções, implementamos um sistema de backup em 2021.
O sistema de autenticação de backup do Microsoft Entra é composto por vários serviços de backup que trabalham juntos para aumentar a resiliência de autenticação se houver uma interrupção. Esse sistema lida de forma transparente e automática com autenticações para aplicativos e serviços com suporte se o serviço primário do Microsoft Entra estiver indisponível ou degradado. Ele adiciona uma camada extra de resiliência sobre os vários níveis de redundância existente. Essa resiliência é descrita na postagem no blog Avançando a resiliência do serviço no Microsoft Entra ID com seu serviço de autenticação de backup. Esse sistema sincroniza os metadados de autenticação quando o sistema está íntegro e usa isso para permitir que os usuários continuem a acessar aplicativos durante interrupções do serviço primário enquanto ainda impõe controles de política.
Durante uma interrupção do serviço primário, os usuários podem continuar trabalhando com seus aplicativos, desde que os tenham acessado nos últimos três dias do mesmo dispositivo e que não existam políticas de bloqueio que reduzam o acesso:
Além dos aplicativos da Microsoft, damos suporte a:
- Clientes de email nativos no iOS e Android.
- Aplicativos SaaS (software como serviço) disponíveis na galeria de aplicativos, como ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday e muito mais.
- Aplicativos de linha de negócios selecionados, com base em seus padrões de autenticação.
A autenticação de serviço a serviço que depende de identidades gerenciadas para recursos do Azure ou é criada em serviços do Azure, como máquinas virtuais, armazenamento em nuvem, serviços de IA do Azure e Serviço de Aplicativo, recebe maior resiliência do sistema de autenticação de backup.
A Microsoft está expandindo continuamente o número de cenários com suporte.
Quais cargas de trabalho que não são da Microsoft têm suporte?
O sistema de autenticação de backup fornece automaticamente resiliência incremental a dezenas de milhares de aplicativos que não são da Microsoft com suporte com base em seus padrões de autenticação. Confira o apêndice para obter uma lista dos aplicativos que não são da Microsoft mais comuns e seu status de cobertura. Para obter uma explicação detalhada de quais padrões de autenticação têm suporte, consulte o artigo Noções básicas sobre o suporte a aplicativos para o sistema de autenticação de backup.
- Aplicativos nativos que usam o protocolo OAuth (Open Authorization) 2.0 para acessar aplicativos de recursos, como clientes de email e mensagens instantâneas populares que não são da Microsoft, como: Apple Mail, Aqua Mail, Gmail, Samsung Email e Spark.
- Aplicativos Web de linha de negócios configurados para autenticar com o OpenID Connect usando apenas tokens de ID.
- Os aplicativos Web que se autenticam com o protocolo SAML (Security Assertion Markup Language), quando configurados para SSO (logon único) iniciado por IDP, como: ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday e Zscaler.
Tipos de aplicativos que não são da Microsoft que não estão protegidos
Atualmente, não há suporte para os seguintes padrões de autenticação:
- Aplicativos Web que autenticam usando o Open ID Connect e solicitam tokens de acesso
- Aplicativos Web que usam o protocolo SAML para autenticação, quando configurados como SSO iniciado por SP
O que torna um usuário compatível com o sistema de autenticação de backup?
Durante uma interrupção, um usuário poderá se autenticar usando o sistema de autenticação de backup se as seguintes condições forem atendidas:
- O usuário foi autenticado com sucesso usando o mesmo aplicativo e dispositivo nos últimos três dias.
- O usuário não é necessário para autenticar interativamente
- O usuário está acessando um recurso como membro de seu locatário inicial, em vez de exercer um cenário B2B ou B2C.
- O usuário não está sujeito a políticas de acesso condicional que limitam o sistema de autenticação de backup, como desabilitar padrões de resiliência.
- O usuário não foi sujeito a um evento de revogação, como uma alteração de credencial desde sua última autenticação bem-sucedida.
Como a autenticação interativa e a atividade do usuário afetam a resiliência?
O sistema de autenticação de backup depende de metadados de uma autenticação anterior para autenticar novamente o usuário durante uma interrupção. Por esse motivo, um usuário deve ter se autenticado nos últimos três dias usando o mesmo aplicativo no mesmo dispositivo para que o serviço de backup seja eficaz. Os usuários que estão inativos ou não se autenticaram em um determinado aplicativo não podem usar o sistema de autenticação de backup para esse aplicativo.
Como as políticas de acesso condicional afetam a resiliência?
Determinadas políticas não podem ser avaliadas em tempo real pelo sistema de autenticação de backup e deve contar com avaliações anteriores dessas políticas. Em condições de interrupção, o serviço usa uma avaliação anterior por padrão para maximizar a resiliência. Por exemplo, o acesso condicionado a um usuário que tem uma função específica (como Administrador de Aplicativos) continua durante uma interrupção com base na função que o usuário tinha durante a autenticação mais recente. Se o uso somente de interrupção de uma avaliação anterior precisar ser restrito, os administradores de locatários podem escolher uma avaliação estrita de todas as políticas de acesso condicional, mesmo em condições de interrupção, desabilitando os padrões de resiliência. Essa decisão deve ser tomada com cuidado, pois desabilitar os padrões de resiliência de uma determinada política desabilita a autenticação de backup para esses usuários. Os padrões de resiliência precisam ser habilitados novamente antes que ocorra uma interrupção para que o sistema de backup forneça resiliência.
Alguns outros tipos de políticas não dão suporte ao uso do sistema de autenticação de backup. O uso das seguintes políticas reduz a resiliência:
- Uso do controle de frequência de entrada como parte de uma política de acesso condicional.
- Uso da política de métodos de autenticação.
- Uso das políticas de acesso condicional clássicas.
Resiliência de identidade de carga de trabalho no sistema de autenticação de backup
Além da autenticação do usuário, o sistema de autenticação de backup fornece resiliência para identidades gerenciadas e outras principais infraestruturas do Azure oferecendo um serviço de autenticação isolado regionalmente de forma redundante em camadas com o serviço de autenticação primário. Esse sistema permite que a autenticação de infraestrutura em uma região do Azure seja resiliente a problemas que podem ocorrer em outra região ou dentro do serviço maior do Microsoft Entra. Esse sistema complementa a arquitetura entre regiões do Azure. Criar seus aplicativos usando MI e seguindo as melhores práticas para resiliência e disponibilidade do Azure garante que seus aplicativos sejam altamente resilientes. Além da MI, esse sistema de backup resiliente regionalmente protege as principais infraestruturas e serviços do Azure que mantêm a nuvem funcional.
Resumo do suporte à autenticação de infraestrutura
- Seus serviços integrados à Infraestrutura do Azure usando identidades gerenciadas são protegidos pelo sistema de autenticação de backup.
- Os serviços do Azure que se autenticam entre si são protegidos pelo sistema de autenticação de backup.
- Seus serviços criados dentro e fora do Azure quando as identidades são registradas como entidades de serviço e não “identidades gerenciadas” não são protegidos pelo sistema de autenticação de backup.
Ambientes de nuvem que dão suporte ao sistema de autenticação de backup
O sistema de autenticação de backup tem suporte em todos os ambientes de nuvem, exceto no Microsoft Azure operado pela 21Vianet. Os tipos de identidades com suporte variam por nuvem, conforme descrito na tabela a seguir.
| Ambiente do Azure | Identidades protegidas |
|---|---|
| Azure Commercial | Usuários e identidades gerenciadas |
| Azure Governamental | Usuários e identidades gerenciadas |
| Azure Governamental Secreto | Identidades gerenciadas |
| Azure Governamental Ultrassecreto | Identidades gerenciadas |
| Azure operado pela 21Vianet | Não disponível |
Apêndice
Aplicativos cliente nativos que não da Microsoft e aplicativos da galeria de aplicativos populares
| Nome do Aplicativo | Protegido | Por que não está protegido? |
|---|---|---|
| ABBYY FlexiCapture 12 | No | SAML iniciado por SP |
| Adobe Experience Manager | Não | SAML iniciado por SP |
| Adobe Identity Management (OIDC) | No | OIDC com Token de Acesso |
| ADP | Sim | Protegido |
| Apple Business Manager | No | SAML iniciado por SP |
| Contas de Internet da Apple | Sim | Protegido |
| Apple School Manager | No | OIDC com Token de Acesso |
| Aqua Mail | Sim | Protegido |
| Atlassian Cloud | Sim * | Protegido |
| Blackboard Learn | No | SAML iniciado por SP |
| Box | Não | SAML iniciado por SP |
| Brightspace by Desire2Leam | Não | SAML iniciado por SP |
| Tela | Não | SAML iniciado por SP |
| Ceridian Dayforce HCM | Não | SAML iniciado por SP |
| Cisco AnyConnect | Não | SAML iniciado por SP |
| Cisco Webex | Não | SAML iniciado por SP |
| Conector SAML do Citrix ADC para Azure AD | Não | SAML iniciado por SP |
| Clever | Não | SAML iniciado por SP |
| Mapeador de Unidade de Nuvem | Sim | Protegido |
| Logon único do Cornerstone | No | SAML iniciado por SP |
| Docusign | Não | SAML iniciado por SP |
| Druva | Não | SAML iniciado por SP |
| Integração entre o F5 BIG-IP APM e o Azure AD | Não | SAML iniciado por SP |
| VPN SSL FortiGate | Não | SAML iniciado por SP |
| Freshworks | No | SAML iniciado por SP |
| Gmail | Sim | Protegido |
| Google Cloud / G Suite Connector da Microsoft | Não | SAML iniciado por SP |
| HubSpot Sales | No | SAML iniciado por SP |
| Kronos | Sim * | Protegido |
| Aplicativo Madrasati | No | SAML iniciado por SP |
| OpenAthens | No | SAML iniciado por SP |
| Oracle Fusion ERP | No | SAML iniciado por SP |
| Palo Alto Networks – GlobalProtect | No | SAML iniciado por SP |
| Polycom – Telefone certificado para uso no Skype for Business | Sim | Protegido |
| Salesforce | Não | SAML iniciado por SP |
| Samsung Email | Sim | Protegido |
| Autenticação de identidade do SAP Cloud Platform | Não | SAML iniciado por SP |
| SAP Concur | Sim * | SAML iniciado por SP |
| SAP Concur Travel and Expense | Sim * | Protegido |
| SAP Fiori | No | SAML iniciado por SP |
| SAP NetWeaver | No | SAML iniciado por SP |
| SAP SuccessFactors | No | SAML iniciado por SP |
| Service Now | No | SAML iniciado por SP |
| Slack | Não | SAML iniciado por SP |
| Smartsheet | Não | SAML iniciado por SP |
| Spark | Sim | Protegido |
| UKG pro | Sim * | Protegido |
| VMware Boxer | Sim | Protegido |
| walkMe | No | SAML iniciado por SP |
| Workday | No | SAML iniciado por SP |
| Workplace do Facebook | No | SAML iniciado por SP |
| Zoom | No | SAML iniciado por SP |
| Zscaler | Sim * | Protegido |
| Zscaler Private Access (ZPA) | No | SAML iniciado por SP |
| Zscaler ZSCloud | No | SAML iniciado por SP |
Observação
* Os aplicativos configurados para autenticação com o protocolo SAML são protegidos ao usar a autenticação iniciada por IDP. Não há suporte para configurações de SAML iniciadas pelo Provedor de Serviços (SP)
Recursos do Azure e seus status
| recurso | Nome do recurso do Azure | Status |
|---|---|---|
| Microsoft.ApiManagement | Serviço de Gerenciamento de API em regiões do Azure Governamental e China | Protegido |
| microsoft.app | Serviço de Aplicativo | Protegido |
| Microsoft.AppConfiguration | Configuração de Aplicativo do Azure | Protegido |
| Microsoft.AppPlatform | Serviço de aplicativo do Azure | Protegido |
| Microsoft.Authorization | ID do Microsoft Entra | Protegido |
| Microsoft.Automation | Serviço de Automação | Protegido |
| Microsoft.AVX | Solução VMware no Azure | Protegido |
| Microsoft.Batch | Lote do Azure | Protegido |
| Microsoft.Cache | Cache do Azure para Redis | Protegido |
| Microsoft.Cdn | Rede de Distribuição de Conteúdo do Azure | Não protegido |
| Microsoft.Chaos | Engenharia do Caos do Azure | Protegido |
| Microsoft.CognitiveServices | Contêineres e APIs dos serviços de IA do Azure | Protegido |
| Microsoft.Communication | Serviços de Comunicação do Azure | Não protegido |
| Microsoft.Compute | Máquinas Virtuais do Azure | Protegido |
| Microsoft.ContainerInstance | Instâncias de Contêiner do Azure | Protegido |
| Microsoft.ContainerRegistry | Registro de Contêiner do Azure | Protegido |
| Microsoft.ContainerService | Serviço de Kubernetes do Azure (preterido) | Protegido |
| Microsoft.Dashboard | Painéis do Azure | Protegido |
| Microsoft.DatabaseWatcher | Ajuste Automático para o Banco de Dados SQL do Azure | Protegido |
| Microsoft.DataBox | Azure Data Box | Protegido |
| Microsoft.Databricks | Azure Databricks | Não protegido |
| Microsoft.DataCollaboration | Azure Data Share | Protegido |
| Microsoft.Datadog | Datadog | Protegido |
| Microsoft.DataFactory | Fábrica de dados do Azure | Protegido |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 e Gen2 | Não protegido |
| Microsoft.DataProtection | API de Proteção de Dados do Microsoft Defender para Aplicativos de Nuvem | Protegido |
| Microsoft.DBforMySQL | Banco de Dados do Azure para MySQL | Protegido |
| Microsoft.DBforPostgreSQL | Banco de Dados do Azure para PostgreSQL | Protegido |
| Microsoft.DelegatedNetwork | Serviço de Gerenciamento de Rede Delegada | Protegido |
| Microsoft.DevCenter | Microsoft Store para Empresas e Educação | Protegido |
| Microsoft.Devices | Hub IoT do Azure e IoT Central | Não protegido |
| Microsoft.DeviceUpdate | Atualizações do Dispositivo de Serviços do Windows 10 IoT Core | Protegido |
| Microsoft.DevTestLab | Azure DevTest Labs | Protegido |
| Microsoft.DigitalTwins | Gêmeos Digitais do Azure | Protegido |
| Microsoft.DocumentDB | Azure Cosmos DB | Protegido |
| Microsoft.EventGrid | Grade de Eventos do Azure | Protegido |
| Microsoft.EventHub | Hubs de eventos do Azure | Protegido |
| Microsoft.HealthBot | Serviço do Health Bot | Protegido |
| Microsoft.HealthcareApis | API do FHIR para soluções de API do Azure para FHIR e Microsoft Cloud for Healthcare | Protegido |
| Microsoft.HybridContainerService | Kubernetes habilitado para Azure Arc | Protegido |
| Microsoft.HybridNetwork | WAN Virtual do Azure | Protegido |
| Microsoft.insights | Application Insights e Log Analytics | Não protegido |
| Microsoft.IoTCentral | IoT Central | Protegido |
| Microsoft.Kubernetes | AKS (Serviço de Kubernetes do Azure) | Protegido |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Protegido |
| Microsoft.LoadTestService | Serviço de Teste de Carga do Visual Studio | Protegido |
| Microsoft.Logic | Aplicativos Lógicos do Azure | Protegido |
| Microsoft.MachineLearningServices | Serviços de Machine Learning no Azure | Protegido |
| Identidade gerenciada da Microsoft | Identidades gerenciadas para recursos da Microsoft | Protegido |
| Microsoft.Maps | Mapas do Azure | Protegido |
| Microsoft.Media | Serviços de Mídia do Azure | Protegido |
| Microsoft.Migrate | Migrações para Azure | Protegido |
| Microsoft.MixedReality | Serviços de Realidade Misturada, incluindo Remote Rendering, Âncoras Espaciais e Âncoras de Objeto | Não protegido |
| Microsoft.NetApp | Azure NetApp Files | Protegido |
| Microsoft.Network | Rede Virtual do Azure | Protegido |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) no Azure | Protegido |
| Microsoft.OperationalInsights | Logs do Azure Monitor | Protegido |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protegido |
| Microsoft.Purview | Microsoft Purview (antigo Catálogo de Dados do Azure) | Protegido |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Protegido |
| Microsoft.RecommendationsService | API de Recomendações dos serviços de IA do Azure | Protegido |
| Microsoft.RecoveryServices | Azure Site Recovery | Protegido |
| Microsoft.ResourceConnector | Conector de Recursos do Azure | Protegido |
| Microsoft.Scom | System Center Operations Manager | Protegido |
| Microsoft.Search | Pesquisa Cognitiva do Azure | Não protegido |
| Microsoft.Security | Microsoft Defender para Nuvem | Não protegido |
| Microsoft.SecurityDetonation | Serviço de Detonação do Microsoft Defender para Ponto de Extremidade | Protegido |
| Microsoft.ServiceBus | Serviço de mensagens do Barramento de Serviços e tópicos de domínio da Grade de Eventos | Protegido |
| Microsoft.ServiceFabric | Azure Service Fabric | Protegido |
| Microsoft.SignalRService | Serviço do Azure SignalR | Protegido |
| Microsoft.Solutions | Soluções do Azure | Protegido |
| Microsoft.Sql | SQL Server em Máquinas Virtuais e Instância Gerenciada de SQL no Azure | Protegido |
| Microsoft.Storage | Armazenamento do Azure | Protegido |
| Microsoft.StorageCache | Cache de Armazenamento do Azure | Protegido |
| Microsoft.StorageSync | Sincronização de Arquivos do Azure | Protegido |
| Microsoft.StreamAnalytics | Stream Analytics do Azure | Não protegido |
| Microsoft.Synapse | Synapse Analytics (antigo SQL DW) e Synapse Studio (antigo SQL DW Studio) | Protegido |
| Microsoft.UsageBilling | Uso do Azure e Portal de Cobrança | Não protegido |
| Microsoft.VideoIndexer | Video Indexer | Protegido |
| Microsoft.VoiceServices | Serviços de Comunicação do Azure – APIs de Voz | Não protegido |
| microsoft.web | Aplicativos Web | Protegido |