共用方式為

什麼是 Microsoft Entra 架構?

  • 發行項

Microsoft Entra ID 可讓您安全地管理您使用者的 Azure 服務和資源存取權。 Microsoft Entra ID 隨附一套完整的身分識別管理功能。 如需 Microsoft Entra 功能的相關資訊,請參閱什麼是 Microsoft Entra ID?

您可以使用 Microsoft Entra ID,建立及管理使用者和群組,並啟用權限以允許和拒絕企業資源存取。 如需身分識別管理的相關資訊,請參閱 Azure 身分識別管理的基本概念

Microsoft Entra 架構

Microsoft Entra ID 的地理位置分散架構結合了廣泛的監視、自動化重新路由、故障轉移和復原功能,以提供全公司的可用性和效能。

本文涵蓋下列架構元素︰

  • 服務架構設計
  • 延展性
  • 持續可用性
  • 資料中心

服務架構設計

建置可存取且可用、數據豐富的系統最常見的方式是使用獨立的建置組塊或縮放單位。 針對 Microsoft Entra 資料層,級別單位稱為「分割區」

資料層有數個可提供讀寫功能的前端服務。 下圖顯示單一目錄分割區的元件如何在分佈各地的資料中心內傳遞。

此圖顯示Microsoft Entra 架構中單一目錄分割區的元件

Microsoft Entra 架構的元件包括主要複本和次要複本。

主要複本

「主要複本」會接收其所屬資料分割的所有「寫入」。 所有寫入作業會先立即複寫至不同資料中心內的次要複本,然後將成功傳回給呼叫端,因而確保寫入的地理備援持久性。

次要複本

所有目錄 讀取 都是從 位於地理位置分散數據中心的次要複本提供服務。 數據會跨許多次要複本以異步方式複寫。 目錄讀取 (例如驗證要求) 是由客戶服務附近的資料中心提供服務。 次要複本負責提供讀取延展性。

延展性

延展性是擴充服務以符合效能需求的能力。 寫入延展性是由分割資料來達成。 讀取延展性則是由將資料從一個資料分割複寫到分散世界各地的多個次要複本來達成。

來自目錄應用程式之要求會路由傳送至最接近的資料中心。 寫入會透明地重新導向到主要複本,以提供讀寫一致性。 次要複本會大幅擴充資料分割的規模,因為目錄通常會為讀取提供服務。

目錄應用程式會連接到最接近的資料中心。 此連線可改善效能,因此有可能相應放大。 由於目錄分割可以有許多次要複本,所以次要複本可放置於較接近目錄用戶端的地方。 只有密集寫入的內部目錄服務元件會直接以使用中主要複本為目標。

持續可用性

可用性 (或運作時間) 定義系統執行不中斷的能力。 Microsoft Entra ID 高可用性關鍵在於服務可以在分佈各地的資料中心間快速地移轉流量。 每個資料中心都是獨立的,可啟用無關聯性失敗模式。 透過此高可用性設計,Microsoft Entra ID 不需要停機即可進行維護活動。

相較於企業 Active Directory 設計,Microsoft Entra 標識符的數據分割設計會簡化,使用包含精心協調且具決定性的主要復本故障轉移程式的單一主要設計。

容錯

如果系統可以容忍硬體、網路和軟體失敗,系統就更可用。 每個目錄分割區都有可處理所有寫入作業的高可用性主要複本。 此主要複本會持續監視,如果偵測到失敗,寫入作業會立即轉移到另一個複本。 此複本會變成新的主要複本。 在此故障轉移程式期間,寫入可用性可能會暫時影響 1-2 分鐘,但讀取可用性仍不會受到影響。

讀取作業 (其數目大幅超出寫入的數量) 只會移至次要複本。 由於次要複本具等冪性,將讀取導向另一個複本 (通常位於相同資料中心) 可輕鬆補償在指定之資料分割中任何一個複本的遺失。

資料耐久性

在認可 (Acknowledge) 之前,系統會將寫入永久認可 (Commit) 到至少兩個資料中心。 先在主要複本上認可寫入,而後立即將寫入複寫到至少一個其他資料中心,即可達成。 這個寫入動作可確保裝載主要複本的資料中心在潛在重大損失時不會導致資料遺失。

Microsoft Entra ID 會將復原時間目標 (RTO) 維持為零,因此在容錯移轉時不會遺失資料。 這包括:

  • 權杖發行和目錄讀取
  • 目錄寫入只允許約 5 分鐘的 RTO

資料中心

Microsoft Entra 的複本會儲存在位於世界各地的資料中心。 如需詳細資訊,請參閱 Azure 全球基礎架構

Microsoft Entra ID 跨越資料中心運作時具有下列特性:

  • 驗證、圖形和其他 Entra ID 服務位於閘道服務後方。 閘道會管理負載平衡。 服務會自動故障轉移交易健康情況探查狀況不良的任何伺服器。 根據這些健康狀態探查,閘道會以動態方式將流量路由傳送至狀況良好的資料中心。
  • 對於「讀取」,在多個資料中心運作的主動-主動組態中,目錄有次要複本和對應的前端服務。 如果資料中心失敗,流量會自動路由傳送至不同的資料中心。
  • 針對寫入,目錄會透過計畫性 (新主要複本會同步處理至舊主要複本) 或緊急容錯移轉程序,將主要複本容錯移轉至各資料中心。 將任何認可複寫到至少兩個資料中心,以達成資料持久性。

資料一致性

目錄模型是其中一項最終一致性。 以非同步方式複寫的分散式系統有一個典型問題,就是從「特定」複本傳回的資料可能不是最新狀態。

Microsoft Entra ID 會對以次要複本為目標的應用程式提供讀寫一致性,其做法是將其寫入路由傳送至主要複本,並以同步方式將寫入提取回到次要複本。

使用 Microsoft Entra ID 的 Microsoft Graph API 的應用程式寫入會為了讀寫一致性,而從維護目錄複本同質性中抽取出來。 Microsoft Graph API 服務會維護邏輯工作階段,其具有用於讀取的次要複本同質性;該服務使用在次要複本資料中心的分散式快取所快取的「複本權杖」來擷取同質性。 此權杖則會接著用於相同邏輯工作階段中的後續作業。 若要繼續使用相同的邏輯工作階段,必須將後續的要求路由傳送到相同的 Microsoft Entra 資料中心。 如果目錄用戶端要求路由傳送到多個 Microsoft Entra 資料中心,則無法繼續邏輯工作階段;如果發生這種情況,用戶端會有多個具有獨立讀寫一致性的邏輯工作階段。

注意

寫入會立即複寫到邏輯工作階段的讀取所發行至的次要複本。

服務層級備份

Microsoft Entra ID 可實作目錄資料的每日備份,並可在發生任何服務方面的問題時,使用這些備份來還原資料。

此目錄也會針對選取的物件類型,執行虛刪除而非實刪除。 租用戶管理員可以在 30 天內復原任何意外刪除的物件。 如需詳細資訊,請參閱用來還原已刪除物件的 API

計量和監視

執行高可用性服務需要世界級的計量和監視功能。 Microsoft Entra ID 會持續分析及報告其每項服務的重要服務健康狀態計量和成功準則。 此外,也會針對每個案例,在每個Microsoft Entra 服務和所有服務內,持續開發和調整計量、監視和警示。

如果有任何Microsoft Entra 服務未如預期般運作,則會立即採取動作以儘快還原功能。 最重要的計量Microsoft Entra ID 追蹤是偵測到即時網站問題並減輕客戶的速度。 我們投入大量時間監視和警示,以將偵測時間降到最低(TTD)(目標: <5 分鐘)和作業準備,以將減輕時間降至最低(TTM)(目標: <30 分鐘)。

安全作業

Microsoft Entra ID 會使用操作控制件,例如任何作業的多重要素驗證,以及所有作業的稽核。 此外,它會使用 Just-In-Time 提高許可權系統,持續為任何作業工作授與必要的暫時存取權。 如需詳細資訊,請參閱受信任的雲端

下一步

若要深入瞭解如何使用 Microsoft Entra 進行開發,請參閱 Microsoft Entra 開發人員指南