Microsoft Entra ID 的備份驗證系統
世界各地的組織每周 7 天、每天 24 小時都依賴 Microsoft Entra 驗證對使用者和服務的高可用性。 我們承諾提供 99.99% 服務等級的可用性來進行驗證,並持續尋求透過增強驗證服務的復原能力來改善它。 為了進一步改善中斷期間的復原能力,我們在 2021 年實作了備份系統。
Microsoft Entra 備份驗證系統是由多個備份服務所組成,這些服務會一起運作,以在發生中斷時提高驗證復原能力。 如果主要的 Microsoft Entra 服務無法使用或已降級,此系統就會以透明方式自動處理對所支援應用程式和服務的驗證。 其會在現有備援的多個層級之上新增額外的復原層。 此復原能力的說明請見下列部落格文章:在 Microsoft Entra ID 中使用其備份驗證服務提高服務復原能力 (英文)。 當系統狀況良好時,此系統會同步處理驗證中繼資料,並使用該中繼資料來讓使用者在主要服務中斷期間繼續存取應用程式,同時仍強制進行原則控制。
在主要服務中斷期間,使用者能夠繼續使用其應用程式,只要使用者已在過去三天內從相同裝置存取其應用程式,且不存在任何會限制其存取的封鎖原則:
除了 Microsoft 應用程式,我們還支援:
- iOS 和 Android 上的原生電子郵件用戶端。
- 應用程式資源庫中提供的軟體即服務 (SaaS) 應用程式,例如 ADP、Atlassian、AWS、GoToMeeting、Kronos、Marketo、SAP、Trello、Workday 等等。
- 根據其驗證模式選取的企業營運應用程式。
依賴 Azure 資源受控識別,或建置於 Azure 服務 (例如,虛擬機器、雲端儲存空間、Azure AI 服務和 App Service) 之上的服務對服務驗證,會從備份驗證系統中得到更高的復原能力。
Microsoft 會持續擴充支援案例的數目。
支援哪些非 Microsoft 工作負載?
備份驗證系統會根據其驗證模式,自動為數萬個支援的非 Microsoft 應用程式提供累加的復原能力。 如需最常見的非 Microsoft 應用程式及其涵蓋範圍狀態清單,請參閱附錄。 如需支援哪些驗證模式的深入說明,請參閱了解備份驗證系統的應用程式支援一文。
- 使用 Open Authorization (OAuth) 2.0 通訊協定來存取資源應用程式的原生應用程式,例如,熱門的非 Microsoft 電子郵件和 IM 用戶端,例如:Apple Mail、Aqua Mail、Gmail、Samsung Email 和 Spark。
- 設定為僅使用識別碼權杖來向 OpenID Connect 進行驗證的企業營運 Web 應用程式。
- 在設定為由 IDP 起始的單一登入 (SSO) 時,使用安全性聲明標記語言 (SAML) 通訊協定進行驗證的 Web 應用程式,例如:ADP、Atlassian Cloud、AWS、GoToMeeting、Kronos、Marketo、Palo Alto Networks、SAP Cloud Identity Services、Trello、Workday 和 Zscaler。
未受保護的非 Microsoft 應用程式類型
目前不支援下列驗證模式:
- 使用 OpenID Connect 進行驗證並要求存取權杖的 Web 應用程式
- 在設定為由 SP 起始的 SSO 時,使用 SAML 通訊協定進行驗證的 Web 應用程式
什麼讓使用者能夠得到備份驗證系統的支援?
在中斷期間,如果符合下列條件,使用者就能使用備份驗證系統進行驗證:
- 使用者已在過去三天內使用相同的應用程式和裝置成功進行驗證。
- 使用者不需要以互動方式進行驗證
- 使用者正以主租用戶的成員身分存取資源,而不是在練習 B2B 或 B2C 案例。
- 使用者不會受限於限制備份驗證系統的條件式存取原則,例如停用復原預設值。
- 使用者尚未受到撤銷事件的影響,例如,自其上次成功驗證之後發生的認證變更。
互動式驗證和使用者活動會對復原能力產生何種影響?
備份驗證系統依賴先前驗證的中繼資料,以便在中斷期間重新驗證使用者。 基於這個理由,使用者必須已在過去三天內使用相同裝置上的相同應用程式進行驗證,備份服務才能生效。 非使用中或尚未對指定應用程式進行驗證的使用者,無法針對該應用程式使用備份驗證系統。
條件式存取原則會對復原能力產生何種影響?
備份驗證系統無法即時評估特定原則,而且必須依賴這些原則進行先前的評估。 在中斷狀況下,服務預設會使用先前的評估,將復原能力提高至最大限度。 例如,以具有特定角色的使用者 (例如應用程式系統管理員) 為條件的存取,會在中斷期間根據使用者在最近一次驗證期間所具備的角色繼續。 如果需要限制僅在中斷時使用先前的評估,租用戶系統管理員就能透過停用復原預設值,來選擇對所有條件式存取原則進行嚴格評估,即使在中斷狀況下也一樣。 您應該謹慎進行此決策,因為針對指定的原則停用復原預設值會使那些使用者無法使用備份驗證。 您必須先在備份系統發生中斷之前重新啟用復原預設值,才能提供復原能力。
某些其他類型的原則不支援使用備份驗證系統。 使用下列原則會降低復原能力:
- 使用登入頻率控制作為條件式存取原則的一部分。
- 使用驗證方法原則。
- 使用傳統的條件式存取原則。
備份驗證系統中的工作負載身分識別復原能力
除了使用者驗證,備份驗證系統還會透過提供與主要驗證服務重複分層的區域隔離驗證服務,來提供受控識別和其他主要 Azure 基礎結構的復原能力。 此系統可讓 Azure 區域內的基礎結構驗證能夠復原在另一個區域中或較大型 Microsoft Entra 服務內可能發生的問題。 此系統可補充 Azure 的跨區域架構。 使用 MI 建置您自己的應用程式,並遵循 Azure 的復原能力和可用性的最佳做法,可確保您的應用程式具有高度復原性。 除了 MI,此區域復原備份系統也會保護重要的 Azure 基礎結構和服務,讓雲端能夠正常運作。
基礎結構驗證支援的摘要
- 使用受控識別建置於 Azure 基礎結構之上的服務會受到備份驗證系統所保護。
- 相互驗證的 Azure 服務會受到備份驗證系統所保護。
- 當身分識別註冊為服務主體而非「受控識別」時,備份驗證系統不會保護在 Azure 之上或之外建置的服務。
支援備份驗證系統的雲端環境
除了由世紀互聯提供的 Microsoft Azure 以外,所有雲端環境中都支援備份驗證系統。 支援的身分識別類型會因雲端而異,如下表所述。
| Azure 環境 | 受保護的身分識別 |
|---|---|
| Azure Commercial | 使用者和受控識別 |
| Azure Government | 使用者和受控識別 |
| Azure Government Secret | 受控識別 |
| Azure Government Top Secret | 受控識別 |
| 由 21Vianet 營運的 Azure | 無法使用 |
附錄
熱門的非 Microsoft 原生用戶端應用程式和應用程式資源庫應用程式
| 應用程式名稱 | Protected | 為什麼不受保護? |
|---|---|---|
| ABBYY FlexiCapture 12 | No | 由 SAML SP 起始 |
| Adobe Experience Manager | No | 由 SAML SP 起始 |
| Adobe Identity Management (OIDC) | No | 具有存取權杖的 OIDC |
| ADP | Yes | Protected |
| Apple Business Manager | No | 由 SAML SP 起始 |
| Apple 網際網路帳戶 | Yes | Protected |
| Apple 學校管理員 | No | 具有存取權杖的 OIDC |
| Aqua Mail | Yes | Protected |
| Atlassian Cloud | 是* | Protected |
| Blackboard Learn | No | 由 SAML SP 起始 |
| Box | No | 由 SAML SP 起始 |
| Brightspace by Desire2Leam | No | 由 SAML SP 起始 |
| Canvas \(英文\) | No | 由 SAML SP 起始 |
| Ceridian Dayforce HCM | No | 由 SAML SP 起始 |
| Cisco AnyConnect | No | 由 SAML SP 起始 |
| Cisco Webex | No | 由 SAML SP 起始 |
| Citrix ADC SAML Connector for Azure AD | No | 由 SAML SP 起始 |
| Clever | No | 由 SAML SP 起始 |
| Cloud Drive Mapper | Yes | Protected |
| Cornerstone 單一登入 | No | 由 SAML SP 起始 |
| Docusign | No | 由 SAML SP 起始 |
| Druva | No | 由 SAML SP 起始 |
| F5 BIG-IP APM Azure AD 整合 | No | 由 SAML SP 起始 |
| FortiGate SSL VPN | No | 由 SAML SP 起始 |
| Freshworks | No | 由 SAML SP 起始 |
| Gmail | Yes | Protected |
| Google Cloud / G Suite Connector by Microsoft | No | 由 SAML SP 起始 |
| HubSpot Sales | No | 由 SAML SP 起始 |
| Kronos | 是* | Protected |
| Madrasati App | No | 由 SAML SP 起始 |
| OpenAthens | No | 由 SAML SP 起始 |
| Oracle Fusion ERP | No | 由 SAML SP 起始 |
| Palo Alto Networks - GlobalProtect | No | 由 SAML SP 起始 |
| Polycom - 商務用 Skype 認證電話 | Yes | Protected |
| Salesforce | No | 由 SAML SP 起始 |
| Samsung Email | Yes | Protected |
| SAP Cloud Platform Identity Authentication | No | 由 SAML SP 起始 |
| SAP Concur | 是* | 由 SAML SP 起始 |
| SAP Concur 差旅及費用 | 是* | Protected |
| SAP Fiori | No | 由 SAML SP 起始 |
| SAP NetWeaver | No | 由 SAML SP 起始 |
| SAP SuccessFactors | No | 由 SAML SP 起始 |
| Service Now | No | 由 SAML SP 起始 |
| Slack | No | 由 SAML SP 起始 |
| Smartsheet | No | 由 SAML SP 起始 |
| Spark | Yes | Protected |
| UKG pro | 是* | Protected |
| VMware Boxer | Yes | Protected |
| walkMe | No | 由 SAML SP 起始 |
| 工作日 | No | 由 SAML SP 起始 |
| 來自 Facebook 的工作場所 | No | 由 SAML SP 起始 |
| Zoom | No | 由 SAML SP 起始 |
| Zscaler | 是* | Protected |
| Zscaler Private Access (ZPA) | No | 由 SAML SP 起始 |
| Zscaler ZSCloud | No | 由 SAML SP 起始 |
注意
* 設定為使用 SAML 通訊協定進行驗證的應用程式,在使用由 IDP 起始的驗證時會受到保護。 不支援由服務提供者 (SP) 起始的 SAML 設定
Azure 資源及其狀態
| resource | Azure 資源名稱 | 狀態 |
|---|---|---|
| Microsoft.ApiManagement | Azure Government 和中國區域中的 API 管理服務 | Protected |
| microsoft.app | 應用程式服務 | Protected |
| Microsoft.AppConfiguration | Azure 應用程式組態 | Protected |
| Microsoft.AppPlatform | Azure App Service | Protected |
| Microsoft.Authorization | Microsoft Entra ID | Protected |
| Microsoft.Automation | 自動化服務 | Protected |
| Microsoft.AVX | Azure VMware 解決方案 | Protected |
| Microsoft.Batch | Azure Batch | Protected |
| Microsoft.Cache | Azure Cache for Redis | Protected |
| Microsoft.Cdn | Azure 內容傳遞網路 | 未受保護 |
| Microsoft.Chaos | Azure 混沌工程 | Protected |
| Microsoft.CognitiveServices | Azure AI 服務 API 和容器 | Protected |
| Microsoft.Communication | Azure 通訊服務 | 未受保護 |
| Microsoft.Compute | Azure 虛擬機器 | Protected |
| Microsoft.ContainerInstance | Azure 容器執行個體 | Protected |
| Microsoft.ContainerRegistry | Azure Container Registry | Protected |
| Microsoft.ContainerService | Azure Kubernetes Service (已淘汰) | Protected |
| Microsoft.Dashboard | Azure 儀表板 | Protected |
| Microsoft.DatabaseWatcher | Azure SQL Database 自動微調 | Protected |
| Microsoft.DataBox | Azure 資料箱 | Protected |
| Microsoft.Databricks | Azure Databricks | 未受保護 |
| Microsoft.DataCollaboration | Azure Data Share | Protected |
| Microsoft.Datadog | Datadog | Protected |
| Microsoft.DataFactory | Azure Data Factory | Protected |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 和 Gen2 | 未受保護 |
| Microsoft.DataProtection | Microsoft Defender for Cloud Apps 資料保護 API | Protected |
| Microsoft.DBforMySQL | 適用於 MySQL 的 Azure 資料庫 | Protected |
| Microsoft.DBforPostgreSQL | 適用於 PostgreSQL 的 Azure 資料庫 | Protected |
| Microsoft.DelegatedNetwork | 委派的網路管理服務 | Protected |
| Microsoft.DevCenter | 商務與教育用 Microsoft Store | Protected |
| Microsoft.Devices | Azure IoT 中樞和 IoT Central | 未受保護 |
| Microsoft.DeviceUpdate | Windows 10 IoT 核心版服務裝置更新 | Protected |
| Microsoft.DevTestLab | Azure DevTest Labs | Protected |
| Microsoft.DigitalTwins | Azure Digital Twins | Protected |
| Microsoft.DocumentDB | Azure Cosmos DB | Protected |
| Microsoft.EventGrid | 事件格線 | Protected |
| Microsoft.EventHub | Azure 事件中樞 | Protected |
| Microsoft.HealthBot | Health Bot 服務 | Protected |
| Microsoft.HealthcareApis | 適用於 Azure API for FHIR 的 FHIR API 和 Microsoft Cloud for Healthcare 解決方案 | Protected |
| Microsoft.HybridContainerService | 已啟用 Azure Arc 的 Kubernetes | Protected |
| Microsoft.HybridNetwork | Azure Virtual WAN | Protected |
| Microsoft.Insights | Application Insights 與 Log Analytics | 未受保護 |
| Microsoft.IoTCentral | IoT Central | Protected |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Protected |
| Microsoft.Kusto | Azure 資料總管 (Kusto) | Protected |
| Microsoft.LoadTestService | Visual Studio 負載測試服務 | Protected |
| Microsoft.Logic | Azure Logic 應用程式 | Protected |
| Microsoft.MachineLearningServices | Azure 上的機器學習服務 | Protected |
| Microsoft 受控識別 | 適用於 Microsoft 資源的受控識別 | Protected |
| Microsoft.Maps | Azure 地圖服務 | Protected |
| Microsoft.Media | Azure 媒體服務 | Protected |
| Microsoft.Migrate | Azure Migrate | Protected |
| Microsoft.MixedReality | 混合實境服務,包括遠端轉譯、Spatial Anchors 和 Object Anchors | 未受保護 |
| Microsoft.NetApp | Azure NetApp Files | Protected |
| Microsoft.Network | Azure 虛擬網路 | Protected |
| Microsoft.OpenEnergyPlatform | Azure 上的 Open Energy Platform (OEP) | Protected |
| Microsoft.OperationalInsights | Azure 監視器記錄 | Protected |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protected |
| Microsoft.Purview | Microsoft Purview (先前稱為 Azure 資料目錄) | Protected |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Protected |
| Microsoft.RecommendationsService | Azure AI 服務建議 API | Protected |
| Microsoft.RecoveryServices | Azure Site Recovery | Protected |
| Microsoft.ResourceConnector | Azure 資源連接器 | Protected |
| Microsoft.Scom | System Center Operations Manager | Protected |
| Microsoft.Search | Azure 認知搜尋 | 未受保護 |
| Microsoft.Security | 適用於雲端的 Microsoft Defender | 未受保護 |
| Microsoft.SecurityDetonation | 適用於端點的 Microsoft Defender 引爆服務 | Protected |
| Microsoft.ServiceBus | 服務匯流排傳訊服務和事件方格網域主題 | Protected |
| Microsoft.ServiceFabric | Azure Service Fabric | Protected |
| Microsoft.SignalRService | Azure SignalR Service | Protected |
| Microsoft.Solutions | Azure 解決方案 | Protected |
| Microsoft.Sql | 虛擬機器上的 SQL Server 和 Azure 上的 SQL 受控執行個體 | Protected |
| Microsoft.Storage | Azure 儲存體 | Protected |
| Microsoft.StorageCache | Azure 儲存體快取 | Protected |
| Microsoft.StorageSync | Azure 檔案同步 | Protected |
| Microsoft.StreamAnalytics | Azure 串流分析 | 未受保護 |
| Microsoft.Synapse | Synapse Analytics (先前稱為 SQL DW) 和 Synapse Studio (先前稱為 SQL DW Studio) | Protected |
| Microsoft.UsageBilling | Azure 使用量和計費入口網站 | 未受保護 |
| Microsoft.VideoIndexer | Video Indexer | Protected |
| Microsoft.VoiceServices | Azure 通訊服務 - 語音 API | 未受保護 |
| microsoft.web | Web Apps | Protected |