Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las organizaciones de todo el mundo dependen de la alta disponibilidad de la autenticación de usuarios y servicios de Microsoft Entra que debe funcionar 24 horas al día, siete días a la semana. Prometemos una disponibilidad del nivel de servicio del 99,99 % para la autenticación, y buscamos continuamente mejorarla. Para ello es fundamental aumentar la resistencia de nuestro servicio de autenticación. Con el fin de mejorar aún más la resistencia durante las interrupciones, en 2021 implementamos un sistema de reserva.
El sistema de autenticación de reserva de Microsoft Entra se compone de varios servicios de reserva que funcionan conjuntamente para aumentar la resistencia de la autenticación si se produce una interrupción. Este sistema controla de forma transparente y automática las autenticaciones de aplicaciones y servicios compatibles si el servicio principal de Microsoft Entra no está disponible o está degradado. Agrega una capa adicional de resistencia sobre los varios niveles de redundancia existente. Esta resistencia se describe en la entrada de blog Mejora de la resistencia del servicio en Microsoft Entra ID con su servicio de autenticación de reserva. Este sistema sincroniza los metadatos de autenticación cuando el sistema está en buen estado y los usa para permitir que los usuarios sigan teniendo acceso a las aplicaciones durante las interrupciones del servicio principal sin dejar de aplicar controles de directiva.
Durante una interrupción del servicio principal, los usuarios pueden seguir trabajando con sus aplicaciones, siempre y cuando hayan accedido a ellas en los últimos tres días desde el mismo dispositivo y no existan directivas de bloqueo que reduzcan su acceso:
Además de las aplicaciones de Microsoft, se admite lo siguiente:
- Clientes de correo electrónico nativos en iOS y Android.
- Aplicaciones de software como servicio (SaaS) disponibles en la galería de aplicaciones, como ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday, etc.
- Aplicaciones de línea de negocio seleccionadas, en función de sus patrones de autenticación.
La autenticación de servicio a servicio que se basa en identidades administradas para recursos de Azure o que se basan en los servicios de Azure reciben una mayor resistencia del sistema de autenticación de copia de seguridad.
Microsoft amplía continuamente el número de escenarios admitidos.
¿Qué cargas de trabajo que no son de Microsoft se admiten?
El sistema de autenticación de reserva proporciona automáticamente resistencia incremental a decenas de miles de aplicaciones que no son compatibles con Microsoft en función de sus patrones de autenticación. Consulte el apéndice para obtener una lista de las aplicaciones que no son de Microsoft más comunes y su estado de cobertura. Para obtener una explicación detallada de qué patrones de autenticación se admiten, consulte el artículo Descripción de la compatibilidad con aplicaciones para el sistema de autenticación de reserva.
- Aplicaciones nativas que usan el protocolo Open Authorization (OAuth) 2.0 para acceder a aplicaciones de recursos, como el correo electrónico y los clientes de mensajería instantánea populares que no son de Microsoft, como: Apple Mail, Aqua Mail, Gmail, Samsung Email y Spark.
- Aplicaciones web de línea de negocio configuradas para autenticarse con OpenID Connect solamente con tokens de identificador.
- Aplicaciones web que se autentican con el protocolo de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML), cuando se configuran para inicio de sesión único (SSO) iniciado por un proveedor de identidades como: ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday y Zscaler.
Tipos de aplicaciones que no son de Microsoft y no están protegidas
Actualmente, no se admiten los siguientes patrones de autenticación:
- Aplicaciones web que se autentican mediante OpenID Connect y solicitan tokens de acceso
- Aplicaciones web que usan el protocolo SAML para la autenticación, cuando se configuran como SSO iniciado por proveedor de servicios
¿Qué hace que un usuario sea compatible con el sistema de autenticación de reserva?
Durante una interrupción, un usuario puede autenticarse mediante el sistema de autenticación de reserva si se cumplen las condiciones siguientes:
- El usuario se autenticó correctamente con la misma aplicación y dispositivo en los últimos tres días.
- No se requiere que el usuario se autentique de forma interactiva
- El usuario accede a un recurso como miembro de su inquilino principal y no en un escenario B2B o B2C.
- El usuario no está sujeto a directivas de acceso condicional que limiten el sistema de autenticación de reserva, como deshabilitar los valores predeterminados de resistencia.
- El usuario no ha estado sujeto a un evento de revocación, como un cambio de credencial desde su última autenticación correcta.
¿Cómo afecta la autenticación interactiva y la actividad del usuario a la resistencia?
El sistema de autenticación de reserva se basa en los metadatos de una autenticación anterior para volver a autenticar al usuario durante una interrupción. Un usuario debe haber autenticado en los últimos tres días con la misma aplicación en el mismo dispositivo para que el servicio de copia de seguridad sea efectivo. Los usuarios inactivos o que no se han autenticado en una aplicación determinada no pueden usar el sistema de autenticación de reserva para esa aplicación.
¿Cómo afectan las directivas de acceso condicional a la resistencia?
El sistema de autenticación de reserva no puede evaluar determinadas directivas en tiempo real y debe basarse en evaluaciones anteriores de estas directivas. En condiciones de interrupción, el servicio usa una evaluación previa de forma predeterminada para maximizar la resistencia. Por ejemplo, un acceso condicionado a que un usuario tenga un rol determinado (como administrador de aplicaciones) continúa durante una interrupción en función del rol que tuviera el usuario durante esa autenticación más reciente. Si es necesario restringir el uso de solo interrupción de una evaluación anterior, los administradores de inquilinos pueden elegir una evaluación estricta de todas las directivas de acceso condicional, incluso en condiciones de interrupción, deshabilitando los valores predeterminados de resistencia. Esta decisión debe tenerse en cuenta porque deshabilitar los valores predeterminados de resistencia de una directiva determinada deshabilita el uso de la autenticación de reserva. Los valores predeterminados de resistencia deben volver a habilitarse antes de que se produzca una interrupción para que el sistema de reserva proporcione resistencia.
Hay otros tipos de directivas que no admiten el uso del sistema de autenticación de reserva. El uso de las siguientes directivas reduce la resistencia:
- Uso del control de frecuencia de inicio de sesión como parte de una directiva de acceso condicional.
- Uso de la directiva de métodos de autenticación.
- Uso de una directiva de acceso condicional clásica.
Evaluación de directivas de acceso condicional solo para informes
Si el sistema de autenticación de copia de seguridad procesa una solicitud, las directivas de acceso condicional de solo informe aparecerán en la pestaña Acceso condicional de Entra ID>Supervisión y salud>Registros de inicio de sesión para ese evento de inicio de sesión, en lugar de en la pestaña Solo informes. Tenga en cuenta que, incluso en esta vista, las directivas configuradas en modo de solo informe nunca se aplican. Para ver si los tokens se emitieron a través del sistema de autenticación de respaldo dentro de tu inquilino, puedes usar los registros de inicio de sesión. En Entra ID>Supervisión y salud>Registros de inicio de sesión, agregue el filtro Token issuer type == Microsoft Entra Backup Auth para mostrar los registros procesados por el sistema de autenticación de copia de seguridad.
Revocación de certificados y el sistema de autenticación de copia de seguridad
Para mejorar su posición de resistencia, el sistema de autenticación de copia de seguridad no puede realizar comprobaciones de revocación nuevas. En su lugar, se basa en el estado de la comprobación de la lista de revocación de certificados (CRL) que se realiza cuando se realizó la última copia de seguridad de la sesión. Si necesita revocar antes de que expire esta copia de seguridad, debe revocar explícitamente la sesión en lugar de esperar a la CRL.
Resistencia de la identidad de carga de trabajo en el sistema de autenticación de reserva
Además de la autenticación de usuario, el sistema de autenticación de reserva proporciona resistencia para identidades administradas y otra infraestructura de Azure clave al ofrecer un servicio de autenticación aislado regionalmente que se superpone con redundancia con el servicio de autenticación principal. Este sistema permite que la autenticación de infraestructura dentro de una región de Azure sea resistente a los problemas que puedan producirse en otra región o dentro del servicio de Microsoft Entra más grande. Este sistema complementa la arquitectura entre regiones de Azure. Compilar sus propias aplicaciones mediante MI y seguir los procedimientos recomendados de Azure para lograr resistencia y disponibilidad garantiza que las aplicaciones sean altamente resistentes. Además de MI, este sistema de reserva resistente regionalmente protege la infraestructura y los servicios clave de Azure que mantienen la nube funcional.
Resumen de la compatibilidad con la autenticación de infraestructura
- Los servicios integrados en la infraestructura de Azure mediante identidades administradas están protegidos por el sistema de autenticación de reserva.
- Los servicios de Azure que se autentican entre sí están protegidos por el sistema de autenticación de reserva.
- Los servicios creados en Azure (o a partir de Azure) cuando las identidades se registran como entidades de servicio y no como "identidades administradas" no están protegidos por el sistema de autenticación de reserva.
Entornos en la nube que admiten el sistema de autenticación de reserva
El sistema de autenticación de copia de seguridad es compatible con todos los entornos de nube excepto Microsoft Azure operado por 21Vianet. Los tipos de identidades admitidos varían según la nube y tienen puntos de conexión de autenticación independientes, como se describe en la tabla siguiente.
| Entorno de Azure | Entornos de Microsoft 365 | Identidades protegidas | Punto de conexión de autenticación de Microsoft Entra |
|---|---|---|---|
| Azure Comercial | Administración pública comercial y M365 | Usuarios e identidades administradas | https://login.microsoftonline.com |
| Azure Government | M365 GCC High y DoD | Usuarios e identidades administradas | https://login.microsoftonline.us |
| Azure Government Secret | Secreto del gobierno de M365 | Usuarios e identidades administradas | No disponible |
| Azure Government Top Secret | Secreto superior del gobierno de M365 | Usuarios e identidades administradas | No disponible |
| Azure operado por 21Vianet | No disponible | Identidades administradas | https://login.partner.microsoftonline.cn |
Apéndice
Aplicaciones cliente nativas populares que no son de Microsoft y aplicaciones de galería de aplicaciones
| Nombre de la aplicación | Protegido | ¿Por qué no está protegida? |
|---|---|---|
| ABBYY FlexiCapture 12 | No | Iniciada por proveedor de servicios de SAML |
| Adobe Experience Manager | No | Iniciada por proveedor de servicios de SAML |
| Adobe Identity Management (OIDC) | No | OIDC con token de acceso |
| ADP | Sí | Protegido |
| Administrador de Negocios de Apple | No | Iniciada por proveedor de servicios de SAML |
| Cuentas de Internet de Apple | Sí | Protegido |
| Apple School Manager | No | OIDC con token de acceso |
| Correo acuático | Sí | Protegido |
| Atlassian Cloud | Sí * | Protegido |
| Blackboard Learn (plataforma educativa) | No | Iniciada por proveedor de servicios de SAML |
| Box | No | Iniciada por proveedor de servicios de SAML |
| Brightspace de Desire2Learn | No | Iniciada por proveedor de servicios de SAML |
| Lienzo | No | Iniciada por proveedor de servicios de SAML |
| Ceridian Dayforce HCM | No | Iniciada por proveedor de servicios de SAML |
| Cisco AnyConnect | No | Iniciada por proveedor de servicios de SAML |
| Cisco Webex | No | Iniciada por proveedor de servicios de SAML |
| Conector SAML de Citrix ADC para Azure AD | No | Iniciada por proveedor de servicios de SAML |
| Clever | No | Iniciada por proveedor de servicios de SAML |
| Asignador de unidad en la nube | Sí | Protegido |
| Inicio de sesión único de Cornerstone | No | Iniciada por proveedor de servicios de SAML |
| Docusign | No | Iniciada por proveedor de servicios de SAML |
| Druva | No | Iniciada por proveedor de servicios de SAML |
| Integración de Azure AD y del APM BIG-IP de F5 | No | Iniciada por proveedor de servicios de SAML |
| FortiGate SSL VPN | No | Iniciada por proveedor de servicios de SAML |
| Freshworks | No | Iniciada por proveedor de servicios de SAML |
| Gmail | Sí | Protegido |
| Google Cloud / G Suite Connector de Microsoft | No | Iniciada por proveedor de servicios de SAML |
| Ventas de HubSpot | No | Iniciada por proveedor de servicios de SAML |
| Kronos | Sí * | Protegido |
| Aplicación Madrasati | No | Iniciada por proveedor de servicios de SAML |
| OpenAthens | No | Iniciada por proveedor de servicios de SAML |
| Oracle Fusion ERP | No | Iniciada por proveedor de servicios de SAML |
| Palo Alto Networks - GlobalProtect | No | Iniciada por proveedor de servicios de SAML |
| Polycom: teléfono certificado por Skype Empresarial | Sí | Protegido |
| Salesforce | No | Iniciada por proveedor de servicios de SAML |
| Correo electrónico de Samsung | Sí | Protegido |
| SAP Cloud Platform Identity Authentication | No | Iniciada por proveedor de servicios de SAML |
| SAP Concur | Sí * | Iniciada por proveedor de servicios de SAML |
| SAP Concur Viajes y Gastos | Sí * | Protegido |
| SAP Fiori | No | Iniciada por proveedor de servicios de SAML |
| SAP NetWeaver | No | Iniciada por proveedor de servicios de SAML |
| SAP SuccessFactors | No | Iniciada por proveedor de servicios de SAML |
| Servicio ahora | No | Iniciada por proveedor de servicios de SAML |
| Slack | No | Iniciada por proveedor de servicios de SAML |
| Smartsheet | No | Iniciada por proveedor de servicios de SAML |
| Spark | Sí | Protegido |
| UkG Pro | Sí * | Protegido |
| VMware Boxer | Sí | Protegido |
| walkMe | No | Iniciada por proveedor de servicios de SAML |
| Workday | No | Iniciada por proveedor de servicios de SAML |
| Área de trabajo de Facebook | No | Iniciada por proveedor de servicios de SAML |
| Zoom | No | Iniciada por proveedor de servicios de SAML |
| Zscaler | Sí * | Protegido |
| Acceso privado de Zscaler (ZPA) | No | Iniciada por proveedor de servicios de SAML |
| Zscaler ZSCloud | No | Iniciada por proveedor de servicios de SAML |
Nota
* Las aplicaciones configuradas para autenticarse con el protocolo SAML están protegidas al usar una autenticación iniciada por el proveedor de identidades. No se admiten las configuraciones de SAML iniciadas por el proveedor de servicios (SP)
Recursos de Azure y su estado
| resource | Nombre de recurso de Azure | Estado |
|---|---|---|
| Microsoft.ApiManagement | Servicio de API Management en regiones de Azure Government y China | Protegido |
| microsoft.app | App Service | Protegido |
| Microsoft.AppConfiguration | Configuración de aplicaciones de Azure | Protegido |
| Microsoft.AppPlatform | Azure App Service | Protegido |
| Microsoft.Authorization | Microsoft Entra ID | Protegido |
| Microsoft.Automation | Servicio Automation | Protegido |
| Microsoft.AVX | Azure VMware Solution | Protegido |
| Microsoft.Batch | Azure Batch | Protegido |
| Microsoft.Cache | Azure Cache for Redis | Protegido |
| Microsoft.Cdn | Azure Content Delivery Network | Sin protección |
| Microsoft.Chaos | Ingeniería de Caos de Azure | Protegido |
| Microsoft.CognitiveServices | API y contenedores de servicios de Azure AI | Protegido |
| Microsoft.Communication | Azure Communication Services | Sin protección |
| Microsoft.Compute | Azure Virtual Machines | Protegido |
| Microsoft.ContainerInstance | Azure Container Instances | Protegido |
| Microsoft.ContainerRegistry | Azure Container Registry | Protegido |
| Microsoft.ContainerService | Azure Kubernetes Service (en desuso) | Protegido |
| Microsoft.Dashboard | Paneles de Azure | Protegido |
| Microsoft.DatabaseWatcher | Automatic Tuning de Azure SQL Database | Protegido |
| Microsoft.DataBox | Azure Data Box | Protegido |
| Microsoft.Databricks | Azure Databricks | Sin protección |
| Microsoft.DataCollaboration | Azure Data Share | Protegido |
| Microsoft.Datadog | Datadog | Protegido |
| Microsoft.DataFactory | Azure Data Factory | Protegido |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 y Gen2 | Sin protección |
| Microsoft.DataProtection | API de protección de datos de Microsoft Defender for Cloud Apps | Protegido |
| Microsoft.DBforMySQL | Azure Database for MySQL | Protegido |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Protegido |
| Microsoft.DelegatedNetwork | Servicio de administración de redes delegadas | Protegido |
| Microsoft.DevCenter | Microsoft Store para Empresas y Educación | Protegido |
| Microsoft.Devices | IoT Hub y IoT Central | Sin protección |
| Microsoft.DeviceUpdate | Actualización de dispositivos de Windows 10 IoT Core Services | Protegido |
| Microsoft.DevTestLab | Azure DevTest Labs | Protegido |
| Microsoft.DigitalTwins | Azure Digital Twins | Protegido |
| Microsoft.DocumentDB | Azure Cosmos DB | Protegido |
| Microsoft.EventGrid | Azure Event Grid | Protegido |
| Microsoft.EventHub | Azure Event Hubs | Protegido |
| Microsoft.HealthBot | Servicio de Bot de Salud | Protegido |
| Microsoft.HealthcareApis | API de FHIR para Azure API for FHIR y soluciones de Microsoft Cloud for Healthcare | Protegido |
| Microsoft.HybridContainerService | Kubernetes habilitado para Azure Arc | Protegido |
| Microsoft.HybridNetwork | Azure Virtual WAN | Protegido |
| Microsoft.Insights | API de Application Insights y Log Analytics | Sin protección |
| Microsoft.IoTCentral | IoT Central | Protegido |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Protegido |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Protegido |
| Microsoft.LoadTestService | Servicio de Load Testing de Visual Studio | Protegido |
| Microsoft.Logic | Azure Logic Apps | Protegido |
| Microsoft.MachineLearningServices | Machine Learning Services en Azure | Protegido |
| Identidad Microsoft.managed | Identidades administradas para recursos de Microsoft | Protegido |
| Microsoft.Maps | Azure Maps | Protegido |
| Microsoft.Media | Azure Media Services | Protegido |
| Microsoft.Migrate | Azure Migrate | Protegido |
| Microsoft.MixedReality | Servicios de Mixed Reality, incluidos Remote Rendering, Spatial Anchors y Object Anchors | Sin protección |
| Microsoft.NetApp | Azure NetApp Files | Protegido |
| Microsoft.Network | Red virtual de Azure | Protegido |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) en Azure | Protegido |
| Microsoft.OperationalInsights | Registros de Azure Monitor | Protegido |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protegido |
| Microsoft.Purview | Microsoft Purview (anteriormente Azure Data Catalog) | Protegido |
| Microsoft.Quantum | Kit de desarrollo de Microsoft Quantum | Protegido |
| Microsoft.RecommendationsService | API de recomendaciones de servicios de Azure AI | Protegido |
| Microsoft.RecoveryServices | Azure Site Recovery | Protegido |
| Microsoft.ResourceConnector | Conector de recursos de Azure | Protegido |
| Microsoft.Scom | System Center Operations Manager | Protegido |
| Microsoft.Search | Azure Cognitive Search | Sin protección |
| Microsoft.Security | Microsoft Defender for Cloud | Sin protección |
| Microsoft.SecurityDetonation | Servicio de detonación de Microsoft Defender para punto de conexión | Protegido |
| Microsoft.ServiceBus | Temas sobre el servicio de mensajería de Service Bus y el dominio de Event Grid | Protegido |
| Microsoft.ServiceFabric | Azure Service Fabric | Protegido |
| Microsoft.SignalRService | Servicio Azure SignalR | Protegido |
| Microsoft.Solutions | Soluciones de Azure | Protegido |
| Microsoft.Sql | SQL Server en Virtual Machines y SQL Managed Instance en Azure | Protegido |
| Microsoft.Storage | Azure Storage | Protegido |
| Microsoft.StorageCache | Caché de Azure Storage | Protegido |
| Microsoft.StorageSync | Azure File Sync | Protegido |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Sin protección |
| Microsoft.Synapse | Synapse Analytics (anteriormente SQL DW) y Synapse Studio (anteriormente SQL DW Studio) | Protegido |
| Microsoft.UsageBilling | Portal de uso y facturación de Azure | Sin protección |
| Microsoft.VideoIndexer | Video Indexer | Protegido |
| Microsoft.VoiceServices | API de Voice de Azure Communication Services | Sin protección |
| microsoft.web | Web Apps | Protegido |