世界各地的组织都依赖于 Microsoft Entra 每周 7 天、每天 24 小时对用户和服务进行身份验证的高可用性。 我们承诺身份验证的服务级别可用性为 99.99%,并且通过提高身份验证服务的复原能力不断寻求改进。 为了进一步提高中断期间的复原能力,我们在 2021 年实施了备份系统。
Microsoft Entra 备份身份验证系统由多个备份服务组成,这些服务会在发生中断时协同工作以提高身份验证复原能力。 如果主 Microsoft Entra 服务不可用或降级,此系统会公开透明地自动处理受支持应用程序和服务的身份验证。 它在现有的多个冗余级别之上额外增加了一层复原能力。 此复原能力在博客文章使用备份身份验证服务提高 Microsoft Entra ID 中的服务复原能力中进行了介绍。 系统正常运行时此系统会同步身份验证元数据,并利用身份验证元数据使用户能够在主服务中断期间继续访问应用程序,同时仍强制实施策略控制。
在主服务中断期间,用户能够继续使用其应用程序,只要过去三天内用户从同一设备访问过这些应用程序,并且没有会限制其访问的阻止策略:
除 Microsoft 应用程序外,我们还支持:
- iOS 和 Android 上的本机电子邮件客户端。
- 应用库中提供的服务型软件 (SaaS) 应用程序,例如 ADP、Atlassian、AWS、GoToMeeting、Kronos、Marketo、SAP、Trello、Workday 等。
- 所选的业务线应用程序,具体取决于其身份验证模式。
服务到服务身份验证,这些身份验证依赖于 Azure 资源的托管标识,或基于 Azure 服务构建,从备份身份验证系统接收增强的复原能力。
Microsoft 正在不断增加受支持方案的数量。
支持哪些非 Microsoft 工作负载?
备份身份验证系统自动为数以万计的受支持的非 Microsoft 应用程序基于其身份验证模式提供增量复原能力。 有关最常见的非 Microsoft 应用程序及其覆盖状态的列表,请参阅附录。 有关支持的身份验证模式的深度介绍,请参阅了解备份身份验证系统的应用程序支持一文。
- 使用 Open Authorization (OAuth) 2.0 协议访问资源应用程序的本机应用程序,例如常用的非 Microsoft 电子邮件和 IM 客户端,如 Apple Mail、Aqua Mail、Gmail、Samsung Email 和 Spark。
- 配置为仅使用 ID 令牌通过 OpenID Connect 进行身份验证的业务线 Web 应用程序。
- 配置为如下所示的 IDP 发起的单一登录 (SSO) 时,使用安全断言标记语言 (SAML) 协议进行身份验证的 Web 应用程序:ADP、Atlassian Cloud、AWS、GoToMeeting、Kronos、Marketo、Palo Alto Networks、SAP Cloud Identity Services、Trello、Workday 和 Zscaler。
不受保护的非 Microsoft 应用程序类型
当前不支持以下身份验证模式:
- 使用 OpenID Connect 进行身份验证并请求访问令牌的 Web 应用程序
- 配置为 SP 发起的 SSO 时,使用 SAML 协议进行身份验证的 Web 应用程序
备份身份验证系统支持用户的条件是什么?
如果满足以下条件,在中断期间,用户便可使用备份身份验证系统进行身份验证:
- 在过去三天内用户使用同一应用和设备成功进行了身份验证。
- 用户不需要以交互方式进行身份验证
- 用户以其主租户的成员身份访问资源,而不是执行 B2B 或 B2C 方案。
- 用户不受限制备份身份验证系统的条件访问策略的约束,例如禁用复原能力默认值。
- 自上次身份验证成功以来,用户未发生任何吊销事件,例如凭据更改。
交互式身份验证和用户活动如何影响复原能力?
备份身份验证系统在中断期间依靠前一次身份验证的元数据重新对用户进行身份验证。 在过去三天内,用户必须使用同一设备上的同一应用进行身份验证,以便备份服务生效。 处于非活动状态或未针对给定应用进行身份验证的用户无法使用该应用程序的备份身份验证系统。
条件访问策略如何影响复原能力?
某些策略不能由备份身份验证系统实时评估,必须依靠对这些策略的既往评估。 在中断情况下,服务默认使用前一次评估来最大程度地提高复原能力。 例如,以具有特定角色(如应用程序管理员)的用户为条件的访问在中断期间基于用户在最近一次身份验证期间所具有的角色继续进行。 如果需要限制对前一次评估的仅中断使用,租户管理员可以通过禁用复原能力默认值来选择对所有条件访问策略进行严格评估,即使在中断情况下也是如此。 请谨慎斟酌此决定,因为禁用给定策略的复原能力默认值会禁止这些用户使用备份身份验证。 在发生中断之前,必须重新启用复原能力默认值,备份系统才能提供复原能力。
某些其他类型的策略不支持使用备份身份验证系统。 使用以下策略会降低复原能力:
服务中断时,证书吊销是如何运作的?
为了增强其复原能力,备份身份验证系统无法执行新的吊销检查。 相反,它依赖于上次备份会话时执行的证书吊销列表(CRL)检查的状态。 如果需要在此备份过期之前撤消,则应显式撤销会话,而不是等待 CRL。
备份身份验证系统中的工作负载标识复原能力
除了用户身份验证之外,备份身份验证系统还提供与主要身份验证服务冗余分层的区域隔离身份验证服务,从而为托管标识和其他关键 Azure 基础结构提供复原能力。 此系统使 Azure 区域中的基础结构身份验证能够灵活应对其他区域或更大的 Microsoft Entra 服务中可能发生的问题。 此系统对 Azure 的跨区域体系结构进行补充。 使用 MI 并遵循 Azure 的复原能力和可用性的最佳做法来自行构建应用程序,确保应用程序具有强大的复原能力。 除 MI 外,此区域可复原备份系统还保护保持云正常运行的关键 Azure 基础结构和服务。
基础结构身份验证支持摘要
- 使用托管标识在 Azure 基础结构上构建的服务受备份身份验证系统保护。
- 彼此进行身份验证的 Azure 服务受备份身份验证系统保护。
- 当标识注册为“服务主体”而不是“托管标识”时,在 Azure 上或 Azure 上构建的服务不受备份身份验证系统保护。
支持备份身份验证系统的云环境
除了 21Vianet 运营的 Microsoft Azure 之外,所有云环境均支持备份身份验证系统。 支持的标识类型因云而异,并具有单独的身份验证终结点,如下表所述。
| Azure 环境 | Microsoft 365 个环境 | 受保护的标识 | Microsoft Entra 身份验证终结点 |
|---|---|---|---|
| Azure 商业版 | 商业和 M365 政府版 | 用户和托管标识 | https://login.microsoftonline.com |
| Azure 政府 | M365 GCC High 和 DoD | 用户和托管标识 | https://login.microsoftonline.us |
| Azure 政府机密 | M365 政府机密 | 用户和托管标识 | 不可用 |
| Azure 政府最高机密 | M365 政府最高机密 | 用户和托管标识 | 不可用 |
| 由世纪互联运营的 Azure | 不可用 | 托管标识 | https://login.partner.microsoftonline.cn |
附录
常用的非 Microsoft 本机客户端应用和应用库应用程序
| 应用程序名称 | Protected | 为什么不受保护? |
|---|---|---|
| ABBYY FlexiCapture 12 | 否 | SAML SP 发起 |
| Adobe Experience Manager | 否 | SAML SP 发起 |
| Adobe Identity Management (OIDC) | 否 | 具有访问令牌的 OIDC |
| ADP | 是 | Protected |
| Apple Business Manager | 否 | SAML SP 发起 |
| Apple Internet 帐户 | 是 | Protected |
| 苹果学校管理器 | 否 | 具有访问令牌的 OIDC |
| 水族邮件 | 是 | Protected |
| Atlassian Cloud | 是 * | Protected |
| Blackboard Learn(在线教育平台) | 否 | SAML SP 发起 |
| Box | 否 | SAML SP 发起 |
| Brightspace by Desire2Learn | 否 | SAML SP 发起 |
| 画布 | 否 | SAML SP 发起 |
| Ceridian Dayforce HCM | 否 | SAML SP 发起 |
| Cisco AnyConnect | 否 | SAML SP 发起 |
| Cisco Webex | 否 | SAML SP 发起 |
| 适用于 Azure AD 的 Citrix ADC SAML 连接器 | 否 | SAML SP 发起 |
| Clever | 否 | SAML SP 发起 |
| 云驱动器映射器 | 是 | Protected |
| Cornerstone 单一登录 | 否 | SAML SP 发起 |
| Docusign | 否 | SAML SP 发起 |
| Druva | 否 | SAML SP 发起 |
| F5 BIG-IP APM Azure AD 集成 | 否 | SAML SP 发起 |
| FortiGate SSL VPN | 否 | SAML SP 发起 |
| Freshworks | 否 | SAML SP 发起 |
| Gmail | 是 | Protected |
| Google Cloud /G Suite Connector by Microsoft | 否 | SAML SP 发起 |
| HubSpot Sales | 否 | SAML SP 发起 |
| Kronos | 是 * | Protected |
| Madrasati 应用 | 否 | SAML SP 发起 |
| OpenAthens | 否 | SAML SP 发起 |
| Oracle Fusion ERP | 否 | SAML SP 发起 |
| Palo Alto Networks - GlobalProtect | 否 | SAML SP 发起 |
| Polycom - Skype for Business 认证电话 | 是 | Protected |
| Salesforce | 否 | SAML SP 发起 |
| Samsung Email | 是 | Protected |
| SAP Cloud Platform Identity Authentication | 否 | SAML SP 发起 |
| SAP Concur | 是 * | SAML SP 发起 |
| SAP Concur 差旅及费用 | 是 * | Protected |
| SAP Fiori | 否 | SAML SP 发起 |
| SAP NetWeaver | 否 | SAML SP 发起 |
| SAP SuccessFactors | 否 | SAML SP 发起 |
| 立即服务 | 否 | SAML SP 发起 |
| Slack | 否 | SAML SP 发起 |
| Smartsheet | 否 | SAML SP 发起 |
| Spark | 是 | Protected |
| UKG pro | 是 * | Protected |
| VMware Boxer | 是 | Protected |
| walkMe | 否 | SAML SP 发起 |
| Workday | 否 | SAML SP 发起 |
| 来自 Facebook 的工作区 | 否 | SAML SP 发起 |
| Zoom | 否 | SAML SP 发起 |
| Zscaler | 是 * | Protected |
| Zscaler Private Access (ZPA) | 否 | SAML SP 发起 |
| Zscaler ZSCloud | 否 | SAML SP 发起 |
注意
* 配置为使用 SAML 协议进行身份验证的应用在使用 IDP 发起的身份验证时受保护。 不支持服务提供程序 (SP) 发起的 SAML 配置
Azure 资源及其状态
| 资源 | Azure 资源名称 | 状态 |
|---|---|---|
| Microsoft.ApiManagement | Azure 政府和中国地区的 API 管理服务 | Protected |
| microsoft.app | App Service | Protected |
| Microsoft.AppConfiguration | Azure 应用程序配置 | Protected |
| Microsoft.AppPlatform | Azure App 服务 | Protected |
| Microsoft.Authorization | Microsoft Entra ID | Protected |
| Microsoft.Automation | 自动化服务 | Protected |
| Microsoft.AVX | Azure VMware 解决方案 | Protected |
| Microsoft.Batch | Azure Batch | Protected |
| Microsoft.Cache | Azure Cache for Redis | Protected |
| Microsoft.Cdn | Azure 内容分发网络 | 不受保护 |
| Microsoft.Chaos | Azure 混沌工程 | Protected |
| Microsoft.CognitiveServices | Azure AI 服务 API 和容器 | Protected |
| Microsoft.Communication | Azure 通信服务 | 不受保护 |
| Microsoft.Compute | Azure 虚拟机 | Protected |
| Microsoft.ContainerInstance | Azure 容器实例 | Protected |
| Microsoft.ContainerRegistry | Azure 容器注册表 | Protected |
| Microsoft.ContainerService | Azure Kubernetes 服务(已弃用) | Protected |
| Microsoft.Dashboard | Azure 仪表板 | Protected |
| Microsoft.DatabaseWatcher | Azure SQL 数据库自动优化 | Protected |
| Microsoft.DataBox | Azure Data Box | Protected |
| Microsoft.Databricks | Azure Databricks | 不受保护 |
| Microsoft.DataCollaboration | Azure Data Share | Protected |
| Microsoft.Datadog | Datadog | Protected |
| Microsoft.DataFactory | Azure 数据工厂 | Protected |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 和 Gen2 | 不受保护 |
| Microsoft.DataProtection | Microsoft Defender for Cloud Apps 数据保护 API | Protected |
| Microsoft.DBforMySQL | Azure Database for MySQL | Protected |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Protected |
| Microsoft.DelegatedNetwork | 委托网络管理服务 | Protected |
| Microsoft.DevCenter | 适用于企业和教育的 Microsoft Store | Protected |
| Microsoft.Devices | Azure IoT 中心和 IoT Central | 不受保护 |
| Microsoft.DeviceUpdate | Windows 10 IoT Core Services 设备更新 | Protected |
| Microsoft.DevTestLab | Azure DevTest Labs | Protected |
| Microsoft.DigitalTwins | Azure 数字孪生 | Protected |
| Microsoft.DocumentDB | Azure Cosmos DB | Protected |
| Microsoft.EventGrid | Azure 事件网格 | Protected |
| Microsoft.EventHub | Azure 事件中心 | Protected |
| Microsoft.HealthBot | Health Bot 服务 | Protected |
| Microsoft.HealthcareApis | 适用于 Azure API for FHIR 和 Microsoft Cloud for Healthcare 解决方案的 FHIR API | Protected |
| Microsoft.HybridContainerService | 已启用 Azure Arc 的 Kubernetes | Protected |
| Microsoft.HybridNetwork | Azure 虚拟 WAN | Protected |
| Microsoft.Insights | Application Insights 和 Log Analytics | 不受保护 |
| Microsoft.IoTCentral | IoT Central | Protected |
| Microsoft.Kubernetes | Azure Kubernetes 服务 (AKS) | Protected |
| Microsoft.Kusto | Azure 数据资源管理器 (Kusto) | Protected |
| Microsoft.LoadTestService | Visual Studio 负载测试服务 | Protected |
| Microsoft.Logic | Azure Logic Apps | Protected |
| Microsoft.MachineLearningServices | Azure 上的机器学习服务 | Protected |
| Microsoft 托管身份验证 | Microsoft 资源的托管标识 | Protected |
| Microsoft.Maps | Azure Maps | Protected |
| Microsoft.Media | Azure 媒体服务 | Protected |
| Microsoft.Migrate | Azure Migrate | Protected |
| Microsoft.MixedReality | 混合现实服务,包括远程渲染、空间定位点和 Object Anchors | 不受保护 |
| Microsoft.NetApp | Azure NetApp 文件 | Protected |
| Microsoft.Network | Azure 虚拟网络 | Protected |
| Microsoft.OpenEnergyPlatform | Azure 上的 Open Energy Platform (OEP) | Protected |
| Microsoft.OperationalInsights | Azure Monitor 日志 | Protected |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protected |
| Microsoft.Purview | Microsoft Purview(以前称为 Azure 数据目录) | Protected |
| Microsoft.Quantum | Microsoft Quantum 开发工具包 | Protected |
| Microsoft.RecommendationsService | Azure AI 服务建议 API | Protected |
| Microsoft.RecoveryServices | Azure Site Recovery | Protected |
| Microsoft.ResourceConnector | Azure 资源连接器 | Protected |
| Microsoft.Scom | System Center Operations Manager | Protected |
| Microsoft.Search | Azure 认知搜索 | 不受保护 |
| Microsoft.Security | Microsoft Defender for Cloud | 不受保护 |
| Microsoft.SecurityDetonation | Microsoft Defender for Endpoint 引爆服务 | Protected |
| Microsoft.ServiceBus | 服务总线消息传送服务和事件网格域主题 | Protected |
| Microsoft.ServiceFabric | Azure Service Fabric | Protected |
| Microsoft.SignalRService | Azure SignalR 服务 | Protected |
| Microsoft.Solutions | Azure 解决方案 | Protected |
| Microsoft.Sql | 虚拟机上的 SQL Server 和 Azure 上的 SQL 托管实例 | Protected |
| Microsoft.Storage | Azure 存储 | Protected |
| Microsoft.StorageCache | Azure 存储缓存 | Protected |
| Microsoft.StorageSync | Azure 文件同步 | Protected |
| Microsoft.StreamAnalytics | Azure 流分析 | 不受保护 |
| Microsoft.Synapse | Synapse Analytics(以前称为 SQL DW)和 Synapse Studio(以前称为 SQL DW Studio) | Protected |
| Microsoft.UsageBilling | Azure 使用情况和计费门户 | 不受保护 |
| Microsoft.VideoIndexer | 视频索引器 | Protected |
| Microsoft.VoiceServices | Azure 通信服务 - Voice API | 不受保护 |
| microsoft.web | Web Apps | Protected |