Microsoft Entra-ID:ts system för säkerhetskopieringsautentisering
Organisationer runt om i världen är beroende av hög tillgänglighet för Microsoft Entra-autentisering för användare och tjänster 24 timmar om dygnet, sju dagar i veckan. Vi lovar en tillgänglighet på 99,99 % för autentisering på tjänstnivå, och vi strävar ständigt efter att förbättra den genom att förbättra motståndskraften i vår autentiseringstjänst. För att ytterligare förbättra motståndskraften vid avbrott implementerade vi ett säkerhetskopieringssystem 2021.
Microsoft Entra-säkerhetskopieringsautentiseringssystemet består av flera säkerhetskopieringstjänster som fungerar tillsammans för att öka autentiseringsresiliensen om det uppstår ett avbrott. Det här systemet hanterar transparent och automatiskt autentiseringar för program och tjänster som stöds om den primära Microsoft Entra-tjänsten inte är tillgänglig eller degraderad. Det lägger till ett extra lager av motståndskraft ovanpå de flera nivåerna av befintlig redundans. Den här motståndskraften beskrivs i blogginlägget Avancerar tjänstens motståndskraft i Microsoft Entra-ID med dess tjänst för säkerhetskopieringsautentisering. Det här systemet synkroniserar autentiseringsmetadata när systemet är felfritt och använder det för att göra det möjligt för användare att fortsätta att komma åt program under avbrott i den primära tjänsten samtidigt som principkontroller tillämpas.
Under ett avbrott i den primära tjänsten kan användarna fortsätta att arbeta med sina program, så länge de har använt dem under de senaste tre dagarna från samma enhet, och det finns inga blockeringsprinciper som skulle begränsa deras åtkomst:
Förutom Microsoft-program stöder vi:
- Interna e-postklienter i iOS och Android.
- SaaS-program (Software as a Service) finns i appgalleriet, till exempel ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday med mera.
- Valda verksamhetsprogram baserat på deras autentiseringsmönster.
Tjänst-till-tjänst-autentisering som förlitar sig på hanterade identiteter för Azure-resurser eller bygger på Azure-tjänster, till exempel virtuella datorer, molnlagring, Azure AI-tjänster och App Service, får ökad motståndskraft från säkerhetskopieringsautentiseringssystemet.
Microsoft utökar kontinuerligt antalet scenarier som stöds.
Vilka icke-Microsoft-arbetsbelastningar stöds?
Säkerhetskopieringsautentiseringssystemet ger automatiskt inkrementell motståndskraft till tiotusentals program som inte stöds av Microsoft baserat på deras autentiseringsmönster. Se bilagan för en lista över de vanligaste programmen som inte kommer från Microsoft och deras täckningsstatus. En detaljerad förklaring av vilka autentiseringsmönster som stöds finns i artikeln Förstå programstöd för systemet för säkerhetskopieringsautentisering.
- Inbyggda program som använder OAuth 2.0-protokollet (Open Authorization) för att få åtkomst till resursprogram, till exempel populära e-post- och snabbmeddelandeklienter från andra länder än Microsoft, till exempel Apple Mail, Aqua Mail, Gmail, Samsung Email och Spark.
- Verksamhetsspecifika webbprogram som har konfigurerats för att autentiseras med OpenID Connect med endast ID-token.
- Webbprogram som autentiserar med SAML-protokollet (Security Assertion Markup Language) när de konfigureras för IDP-initierad enkel inloggning (SSO) som: ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday och Zscaler.
Programtyper som inte är Microsoft-programtyper som inte är skyddade
Följande autentiseringsmönster stöds inte för närvarande:
- Webbprogram som autentiserar med OpenID Connect och begär åtkomsttoken
- Webbapplikationer som använder SAML-protokollet för autentisering, när de konfigureras som SP-initierad SSO.
Vad gör att en användare kan stödjas av säkerhetskopieringsautentiseringssystemet?
Under ett avbrott kan en användare autentisera med hjälp av säkerhetskopieringsautentiseringssystemet om följande villkor uppfylls:
- Användaren har autentiserats med samma app och enhet under de senaste tre dagarna.
- Användaren behöver inte autentisera interaktivt
- Användaren har åtkomst till en resurs som medlem i sin hemklientorganisation i stället för att använda ett B2B- eller B2C-scenario.
- Användaren omfattas inte av principer för villkorsstyrd åtkomst som begränsar säkerhetskopieringsautentiseringssystemet, till exempel inaktivering av standardinställningar för motståndskraft.
- Användaren har inte varit föremål för en återkallningshändelse, till exempel en ändring av autentiseringsuppgifterna sedan deras senaste lyckade autentisering.
Hur påverkar interaktiv autentisering och användaraktivitet motståndskraften?
Säkerhetskopieringsautentiseringssystemet förlitar sig på metadata från en tidigare autentisering för att autentisera användaren igen under ett avbrott. Därför måste en användare ha autentiserats under de senaste tre dagarna med samma app på samma enhet för att säkerhetskopieringstjänsten ska vara effektiv. Användare som är inaktiva eller inte har autentiserats till en viss app kan inte använda säkerhetskopieringsautentiseringssystemet för programmet.
Hur påverkar principer för villkorsstyrd åtkomst motståndskraft?
Vissa principer kan inte utvärderas i realtid av säkerhetskopieringsautentiseringssystemet och måste förlita sig på tidigare utvärderingar av dessa principer. Under avbrottsförhållanden använder tjänsten en tidigare utvärdering som standard för att maximera motståndskraften. Till exempel fortsätter åtkomst som är villkorad för en användare som har en viss roll (till exempel programadministratör) under ett avbrott baserat på den roll som användaren hade under den senaste autentiseringen. Om användningen av en tidigare utvärdering endast vid avbrott behöver begränsas kan huvudadministratörer välja en strikt utvärdering av alla villkorsbaserade åtkomstprinciper, även under avbrottsförhållanden, genom att inaktivera förinställda motståndskraftinställningar. Det här beslutet bör fattas med försiktighet eftersom inaktivering av standardvärden för motståndskraft för en viss princip inaktiverar dessa användare från att använda säkerhetskopieringsautentisering. Standardvärden för motståndskraft måste återaktiveras innan ett avbrott inträffar för att säkerhetskopieringssystemet ska ge motståndskraft.
Vissa andra typer av principer stöder inte användning av säkerhetskopieringsautentiseringssystemet. Användning av följande principer minskar motståndskraften:
- Användning av kontrollen för inloggningsfrekvens som en del av en princip för villkorsstyrd åtkomst.
- Användning av principen för autentiseringsmetoder.
- Användning av klassiska principer för villkorsstyrd åtkomst.
Motståndskraft hos arbetsbelastningsidentifiering i systemet för säkerhetskopieringsautentisering
Utöver användarautentisering ger säkerhetskopieringsautentiseringssystemet motståndskraft för hanterade identiteter och annan viktig Azure-infrastruktur genom att erbjuda en regionalt isolerad autentiseringstjänst som är redundant skiktad med den primära autentiseringstjänsten. Det här systemet gör att infrastrukturautentiseringen i en Azure-region kan vara motståndskraftig mot problem som kan uppstå i en annan region eller inom den större Microsoft Entra-tjänsten. Det här systemet kompletterar Azures arkitektur mellan regioner. Genom att skapa egna program med hjälp av MI och följa Azures metodtips för motståndskraft och tillgänglighet ser du till att dina program är mycket motståndskraftiga. Förutom MI skyddar det här regionalt motståndskraftiga säkerhetskopieringssystemet viktig Azure-infrastruktur och -tjänster som håller molnet funktionellt.
Sammanfattning av stöd för infrastrukturautentisering
- Dina tjänster som är inbyggda i Azure-infrastrukturen med hanterade identiteter skyddas av säkerhetskopieringsautentiseringssystemet.
- Azure-tjänster som autentiserar med varandra skyddas av säkerhetskopieringsautentiseringssystemet.
- Dina tjänster som bygger på eller utanför Azure när identiteterna registreras som tjänstens huvudnamn och inte "hanterade identiteter" skyddas inte av säkerhetskopieringsautentiseringssystemet.
Molnmiljöer som stöder säkerhetskopieringsautentiseringssystemet
Säkerhetskopieringsautentiseringssystemet stöds i alla molnmiljöer utom Microsoft Azure som drivs av 21Vianet. De typer av identiteter som stöds varierar beroende på moln och har separata autentiseringsslutpunkter, enligt beskrivningen i följande tabell.
| Azure-miljö | Microsoft 365-miljöer | Identiteter som skyddas | Microsoft Entra-autentiseringsslutpunkt |
|---|---|---|---|
| Azure Kommersiell | Kommersiella myndigheter och M365-myndigheter | Användare och hanterade identiteter | https://login.microsoftonline.com |
| Azure Government-tjänst | M365 GCC High och DoD | Användare och hanterade identiteter | https://login.microsoftonline.us |
| Azure för regeringens hemligheter | M365 Regeringshemlighet | Användare och hanterade identiteter | Inte tillgängliga |
| Topphemlighet för Azure Government | M365 Regering Högsta Hemlighet | Användare och hanterade identiteter | Inte tillgängliga |
| Azure drivs av 21Vianet | Inte tillgängliga | Hanterade identiteter | https://login.partner.microsoftonline.cn |
Bilaga
Populära interna klientappar och appgalleriprogram som inte är från Microsoft
| Appnamn | Skyddad | Varför inte skyddat? |
|---|---|---|
| ABBYY FlexiCapture 12 | Nej | SAML SP-initierad |
| Adobe Experience Manager | Nej | SAML SP-initierad |
| Adobe Identity Management (OIDC) | Nej | OIDC med åtkomsttoken |
| ADP | Ja | Skyddad |
| Apple Business Manager | Nej | SAML SP-initierad |
| Apple Internet-konton | Ja | Skyddad |
| Apple School Manager | Nej | OIDC med åtkomsttoken |
| Aqua Mail | Ja | Skyddad |
| Atlassian Cloud | Ja* | Skyddad |
| Blackboard Learn | Nej | SAML, initierad av tjänsteleverantör |
| Låda | Nej | SAML SP-initierad |
| Brightspace av Desire2Learn | Nej | SAML SP-initierad |
| Arbetsyta | Nej | SAML SP-initierad |
| Ceridian Dayforce HCM | Nej | SAML SP-initierad |
| Cisco AnyConnect | Nej | SAML SP-initierad |
| Cisco Webex | Nej | SAML SP-initierad |
| Citrix ADC SAML Connector för Azure AD | Nej | SAML SP-initierad |
| Smart | Nej | SAML SP-initierad |
| Cloud Drive Mapper | Ja | Skyddad |
| Cornerstone Enkel inloggning | Nej | SAML SP-initierad |
| Docusign | Nej | SAML SP-initierad |
| Druva | Nej | SAML SP-initierad |
| F5 BIG-IP APM Azure AD-integrering | Nej | SAML SP-initierad |
| FortiGate SSL VPN | Nej | SAML SP-initierad |
| Freshworks | Nej | SAML SP-initierad |
| Gmail | Ja | Skyddad |
| Google Cloud/G Suite Connector från Microsoft | Nej | SAML SP-initierad |
| HubSpot-försäljning | Nej | SAML SP-initierad |
| Kronos | Ja* | Skyddad |
| Madrasati-app | Nej | SAML SP-initierad |
| OpenAthens | Nej | SAML SP-initierad |
| Oracle Fusion ERP | Nej | SAML SP-initierad |
| Palo Alto Networks – GlobalProtect | Nej | SAML SP-initierad |
| Polycom – Skype för företag certifierad telefon | Ja | Skyddad |
| Salesforce | Nej | SAML SP-initierad |
| Samsung Email | Ja | Skyddad |
| SAP Cloud Platform Identity Authentication | Nej | SAML SP-initierad |
| SAP Concur | Ja* | SAML SP-initierad |
| SAP Concur Resor och Utgifter | Ja* | Skyddad |
| SAP Fiori | Nej | SAML SP-initierad |
| SAP NetWeaver | Nej | SAML SP-initierad |
| SAP SuccessFactors | Nej | SAML SP-initierad |
| Tjänst nu | Nej | SAML SP-initierad |
| Slack | Nej | SAML SP-initierad |
| Smartsheet | Nej | SAML SP-initierad |
| Spark | Ja | Skyddad |
| UKG pro | Ja* | Skyddad |
| VMware Boxer | Ja | Skyddad |
| Gå med mig | Nej | SAML SP-initierad |
| Arbetsdag | Nej | SAML SP-initierad |
| Workplace från Facebook | Nej | SAML SP-initierad |
| Zooma | Nej | SAML SP-initierad |
| Zscaler | Ja* | Skyddad |
| Zscaler Private Access (ZPA) | Nej | SAML SP-initierad |
| Zscaler ZSCloud | Nej | SAML SP-initierad |
Kommentar
* Appar som konfigurerats för att autentisera med SAML-protokollet skyddas när IDP-initierad autentisering används. Tjänstproviderns (SP) initierade SAML-konfigurationer stöds inte
Azure-resurser och deras status
| resurs | Azure-resursnamn | Status |
|---|---|---|
| Microsoft.ApiManagement | API Management-tjänsten i Azure Government- och Kina-regioner | Skyddad |
| microsoft.app | App-tjänst | Skyddad |
| Microsoft.AppConfiguration | Azure App Configuration | Skyddad |
| Microsoft.AppPlatform | Azure App Service | Skyddad |
| Microsoft.Authorization | Microsoft Entra ID | Skyddad |
| Microsoft.Automation | Automatiseringstjänst | Skyddad |
| Microsoft.AVX | Azure VMware Solution | Skyddad |
| Microsoft.Batch | Azure Batch | Skyddad |
| Microsoft.Cache | Azure-cache för Redis | Skyddad |
| Microsoft.Cdn | Azure Content Delivery Network | Inte skyddad |
| Microsoft.Chaos | Azure Chaos Engineering | Skyddad |
| Microsoft.CognitiveServices | API:er och containrar för Azure AI-tjänster | Skyddad |
| Microsoft.Communication | Azure Communication Services | Inte skyddad |
| Microsoft.Compute | Azure Virtual Machines | Skyddad |
| Microsoft.ContainerInstance | Azure Container Instances | Skyddad |
| Microsoft.ContainerRegistry | Azure Container Registry | Skyddad |
| Microsoft.ContainerService | Azure Kubernetes Service (inaktuell) | Skyddad |
| Microsoft.Dashboard | Azure Dashboards | Skyddad |
| Microsoft.DatabaseWatcher | Automatisk justering av Azure SQL-databas | Skyddad |
| Microsoft.DataBox | Azure Data Box | Skyddad |
| Microsoft.Databricks | Azure Databricks | Inte skyddad |
| Microsoft.DataCollaboration | Azure Data Share | Skyddad |
| Microsoft.Datadog | Datadog | Skyddad |
| Microsoft.DataFactory | Azure Data Factory | Skyddad |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 och Gen2 | Inte skyddad |
| Microsoft.DataProtection | Microsoft Defender för molnappar Dataskydds-API | Skyddad |
| Microsoft.DBforMySQL | Azure Database for MySQL | Skyddad |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Skyddad |
| Microsoft.DelegatedNetwork | Delegerad nätverkshanteringstjänst | Skyddad |
| Microsoft.DevCenter | Microsoft Store för företag och utbildning | Skyddad |
| Microsoft.Devices | Azure IoT Hub och IoT Central | Inte skyddad |
| Microsoft.DeviceUpdate | Enhetsuppdatering för Windows 10 IoT Core Services | Skyddad |
| Microsoft.DevTestLab | Azure DevTest Labs | Skyddad |
| Microsoft.DigitalTwins | Azure Digital Twins | Skyddad |
| Microsoft.DocumentDB | Azure Cosmos DB | Skyddad |
| Microsoft.EventGrid | Azure Event Grid | Skyddad |
| Microsoft.EventHub | Azure Event Hubs | Skyddad |
| Microsoft.HealthBot | Hälsorobottjänst | Skyddad |
| Microsoft.HealthcareApis | FHIR API för Azure API för FHIR- och Microsoft Cloud for Healthcare-lösningar | Skyddad |
| Microsoft.HybridContainerService | Azure Arc-aktiverade Kubernetes | Skyddad |
| Microsoft.HybridNetwork | Azure Virtual WAN | Skyddad |
| Microsoft.Insights | Application Insights och Log Analytics | Inte skyddad |
| Microsoft.IoTCentral | IoT Central | Skyddad |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Skyddad |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Skyddad |
| Microsoft.LoadTestService | Visual Studio Belastningstesttjänst | Skyddad |
| Microsoft.Logic | Azure Logic Apps | Skyddad |
| Microsoft.MachineLearningServices | Machine Learning Services i Azure | Skyddad |
| Microsoft-hanterad identitet | Hanterade identiteter för Microsoft-resurser | Skyddad |
| Microsoft.Maps | Azure Maps | Skyddad |
| Microsoft.Media | Azure Media Services | Skyddad |
| Microsoft.Migrate | Azure Migrate | Skyddad |
| Microsoft.MixedReality | Mixed Reality-tjänster som fjärrrendering, spatiala fästpunkter och objektankare | Inte skyddad |
| Microsoft.NetApp | Azure NetApp Files | Skyddad |
| Microsoft.Network | Azure Virtual Network | Skyddad |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) i Azure | Skyddad |
| Microsoft.OperationalInsights | Azure Monitor loggar | Skyddad |
| Microsoft.PowerPlatform | Microsoft Power Platform | Skyddad |
| Microsoft.Purview | Microsoft Purview (tidigare Azure Data Catalog) | Skyddad |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Skyddad |
| Microsoft.RecommendationsService | API för rekommendationer för Azure AI-tjänster | Skyddad |
| Microsoft.RecoveryServices | Azure Site Recovery (webbplatsåterställning) | Skyddad |
| Microsoft.ResourceConnector | Azure Resource Connector | Skyddad |
| Microsoft.Scom | System Center Operations Manager | Skyddad |
| Microsoft.Search | Azure Cognitive Search | Inte skyddad |
| Microsoft.Security | Microsoft Defender for Cloud | Inte skyddad |
| Microsoft.SecurityDetonation | Microsoft Defender för Endpoint Detonation Service | Skyddad |
| Microsoft.ServiceBus | Avsnitt om Service Bus-meddelandetjänster och Event Grid-domäner | Skyddad |
| Microsoft.ServiceFabric | Azure Service Fabric | Skyddad |
| Microsoft.SignalRService | Azure SignalR Service | Skyddad |
| Microsoft.Solutions | Azure-lösningar | Skyddad |
| Microsoft.Sql | SQL Server på virtuella datorer och SQL Managed Instance i Azure | Skyddad |
| Microsoft.Storage | Azure Storage | Skyddad |
| Microsoft.StorageCache | Azure Storage Cache | Skyddad |
| Microsoft.StorageSync | Azure File Sync | Skyddad |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Inte skyddad |
| Microsoft.Synapse | Synapse Analytics (tidigare SQL DW) och Synapse Studio (tidigare SQL DW Studio) | Skyddad |
| Microsoft.Användningsfakturering | Azure-användnings- och faktureringsportalen | Inte skyddad |
| Microsoft.VideoIndexer | Videoindexerare | Skyddad |
| Microsoft.VoiceServices | Azure Communication Services – Röst-API:er | Inte skyddad |
| microsoft.web | Webbappar | Skyddad |