Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les organisations du monde entier dépendent de la haute disponibilité de l’authentification de Microsoft Entra des utilisateurs et des services 24 heures sur 24, sept jours sur sept. Nous promettons une disponibilité de niveau de service de 99,99 % de l’authentification, et nous cherchons continuellement à l’améliorer en renforçant la résilience de notre service d’authentification. Pour améliorer davantage la résilience lors des pannes, nous avons implémenté en 2021un système de sauvegarde.
Le système d’authentification de sauvegarde de Microsoft Entra est constitué de plusieurs services de sauvegarde qui fonctionnent ensemble pour augmenter la résilience de l’authentification en cas de panne. Ce système gère de manière transparente et automatique les authentifications des applications et services pris en charge si le service Microsoft Entra principal n’est pas disponible ou est détérioré. Il ajoute une couche supplémentaire de résilience au-dessus des différents niveaux de redondance existante. Cette résilience est décrite dans le billet de blog Avancement de la résilience du service dans Microsoft Entra ID avec son service d’authentification de sauvegarde. Ce système synchronise les métadonnées d’authentification lorsque le système est sain et les utilise pour permettre aux utilisateurs de continuer à accéder aux applications pendant les pannes du service principal tout en appliquant des contrôles de stratégie.
Lors d’une panne du service principal, les utilisateurs peuvent continuer à utiliser leurs applications, s’ils y ont accédé au cours des trois derniers jours depuis le même appareil, et s’il n’existe aucune stratégie de blocage qui limiterait leur accès :
En plus des applications Microsoft, nous prenons en charge les applications suivantes :
- Clients natifs de messagerie sur iOS et Android.
- Applications SaaS (software as a service) disponibles dans la galerie d’applications, comme ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday, etc.
- Applications métier sélectionnées, en fonction de leurs modèles d’authentification.
L’authentification de service à service qui s’appuie sur des identités managées pour les ressources Azure ou qui repose sur des services Azure reçoit une résilience accrue du système d’authentification de sauvegarde.
Microsoft augmente continuellement le nombre de scénarios pris en charge.
Quelles charges de travail non-Microsoft sont prises en charge ?
Le système d’authentification de sauvegarde fournit automatiquement une résilience incrémentielle à des dizaines de milliers d’applications non-Microsoft prises en charge en fonction de leurs modèles d’authentification. Consultez l’annexe pour obtenir une liste des plus courantes applications non Microsoft et l’état de leur couverture. Pour une explication détaillée des modèles d’authentification pris en charge, consultez l’article Compréhension de la prise en charge des applications par le système d’authentification de sauvegarde.
- Applications natives utilisant le protocole OAuth (Open Authorization) 2.0 pour accéder aux applications de ressources, telles que les clients populaires de messagerie électronique et de messagerie instantanée non Microsoft comme Apple Mail, Aqua Mail, Gmail, Samsung Email et Spark.
- Applications web métier configurées pour s’authentifier avec OpenID Connect à l’aide de jetons d’ID uniquement.
- Applications web s’authentifiant avec le protocole SAML (Security Assertion Markup Language), lorsqu’elles sont configurées pour une authentification unique lancée par le fournisseur d’identité, telles que ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday et Zscaler.
Types d’applications non-Microsoft non protégés
Les modèles d’authentification suivants ne sont pas pris en charge :
- Applications web qui s’authentifient à l’aide d’Open ID Connect et qui requièrent des jetons d’accès
- Applications web qui utilisent le protocole SAML pour une authentification, lorsqu’elles sont configurées pour une authentification unique initiée par le fournisseur de services
Dans quels cas un utilisateur est-il pris en charge par le système d’authentification de sauvegarde ?
Lors d’une panne, un utilisateur peut s’authentifier à l’aide du système d’authentification de sauvegarde si les conditions suivantes sont remplies :
- L’utilisateur s’est correctement authentifié à l’aide de la même application et du même appareil au cours des trois derniers jours.
- L’utilisateur n’est pas tenu de s’authentifier de manière interactive
- L’utilisateur accède à une ressource en tant que membre de son locataire de base, plutôt qu’en exerçant un scénario B2B ou B2C.
- L’utilisateur n’est pas soumis à des stratégies d’accès conditionnel qui limitent le système d’authentification de sauvegarde, comme la désactivation des paramètres de résilience par défaut.
- L’utilisateur n’a pas été soumis à un événement de révocation, tel qu’une modification des informations d’identification depuis sa dernière authentification réussie.
Comment l’authentification interactive et l’activité de l’utilisateur affectent-elles la résilience ?
Le système d’authentification de sauvegarde repose sur les métadonnées d’une authentification antérieure pour réauthentifier l’utilisateur lors d’une panne. Un utilisateur doit avoir authentifié au cours des trois derniers jours à l’aide de la même application sur le même appareil pour que le service de sauvegarde soit efficace. Les utilisateurs inactifs ou qui ne se sont pas authentifiés auprès d’une application donnée ne peuvent pas utiliser le système d’authentification de sauvegarde pour cette application.
Comment les stratégies d’accès conditionnel affectent-elles la résilience ?
Certaines stratégies ne peuvent pas être évaluées en temps réel par le système d’authentification de sauvegarde et doivent s’appuyer sur des évaluations antérieures de ces stratégies. En cas de panne, le service utilise une évaluation antérieure par défaut pour optimiser la résilience. Par exemple, un accès conditionné à un utilisateur disposant d’un rôle particulier (comme administrateur d’application) se poursuit pendant une panne en fonction du rôle que l’utilisateur a eu lors de cette dernière authentification. Si l’utilisation en panne uniquement d’une évaluation précédente doit être limitée, les administrateurs de locataire peuvent choisir une évaluation stricte de toutes les stratégies d’accès conditionnel, même en cas de panne, en désactivant les paramètres de résilience par défaut. Cette décision doit être prise avec précaution, car la désactivation des valeurs de résilience par défaut d’une stratégie donnée empêche ces utilisateurs d’utiliser l’authentification de sauvegarde. Les paramètres de résilience par défaut doivent être réactivés avant qu’une panne ne se produise pour que le système de secours assure la résilience.
Certains autres types de stratégies ne prennent pas en charge l’utilisation du système d’authentification de sauvegarde. L’utilisation des stratégies suivantes réduit la résilience :
- Utilisation du contrôle de fréquence de connexion dans le cadre d’une stratégie d’accès conditionnel.
- Utilisation de la stratégie des méthodes d’authentification.
- Utilisation des stratégies d’accès conditionnel classiques.
Évaluation des stratégies d’accès conditionnel uniquement aux rapports
Si une demande est traitée par le système d’authentification de secours, les stratégies d’accès conditionnel configurées en mode Rapport uniquement apparaîtront sous l’onglet Token issuer type == Microsoft Entra Backup Auth pour afficher les journaux traités par le système d’authentification de sauvegarde.
Révocation de certificats et système d’authentification de sauvegarde
Pour améliorer sa posture de résilience, le système d’authentification de sauvegarde ne peut pas effectuer de nouvelles vérifications de révocation. Au lieu de cela, elle s’appuie sur l’état de la vérification de la liste de révocation de certificats (CRL) qui a été effectuée lors de la dernière sauvegarde de la session. Si vous devez révoquer avant l'expiration de cette sauvegarde, il est recommandé de révoquer explicitement la session plutôt que d'attendre le CRL.
Résilience des identités de charge de travail dans le système d’authentification de sauvegarde
En plus de l’authentification utilisateur, le système d’authentification de sauvegarde assure la résilience des identités managées et d’autres infrastructures clés Azure en offrant un service d’authentification isolé régionalement redondant avec le service d’authentification principal. Ce système permet à l’authentification d’infrastructure au sein d’une région Azure d’être résiliente aux problèmes qui peuvent se produire dans une autre région ou dans le service Microsoft Entra plus large. Ce système complète l’architecture inter-région d’Azure. La création de vos propres applications à l’aide de MI et le respect des meilleures pratiques en matière de résilience et de disponibilité d’Azure garantissent que vos applications sont hautement résilientes. En plus de MI, ce système de sauvegarde résilient au niveau régional protège l’infrastructure et les services clés Azure qui maintiennent le cloud fonctionnel.
Résumé de la prise en charge de l’authentification de l’infrastructure
- Vos services basés sur l’infrastructure Azure utilisant des identités managées sont protégés par le système d’authentification de sauvegarde.
- Les services Azure qui s’authentifient entre eux sont protégés par le système d’authentification de sauvegarde.
- Vos services basés ou non sur Azure dont les identités sont inscrites en tant que principaux de service et non en tant qu’« identités managées » ne sont pas protégés par le système d’authentification de secours.
Environnements cloud qui prennent en charge le système d’authentification de sauvegarde
Le système d’authentification de sauvegarde est pris en charge dans tous les environnements cloud, à l’exception de Microsoft Azure géré par 21Vianet. Les types d’identités pris en charge varient selon le cloud et ont des points de terminaison d’authentification distincts, comme décrit dans le tableau suivant.
| Environnement Azure | Environnements Microsoft 365 | Identités protégées | Point de terminaison d’authentification Microsoft Entra |
|---|---|---|---|
| Azure Commerciale | Commercial et M365 Gouvernement | Les utilisateurs et les identités managées | https://login.microsoftonline.com |
| Azure Government | M365 GCC High et DoD | Les utilisateurs et les identités managées | https://login.microsoftonline.us |
| Azure Government Secret | M365 Gouvernement Secret | Les utilisateurs et les identités managées | Non disponible |
| Azure Government Top Secret | M365 Gouvernement Top Secret | Les utilisateurs et les identités managées | Non disponible |
| Azure géré par 21Vianet | Non disponible | Identités managées | https://login.partner.microsoftonline.cn |
Annexe
Applications clientes natives non-Microsoft populaires et applications de galerie d’applications
| Nom de l'application | Protected | Pourquoi non protégée ? |
|---|---|---|
| ABBYY FlexiCapture 12 | No | Initiée par le fournisseur de services SAML |
| Adobe Experience Manager | No | Initiée par le fournisseur de services SAML |
| Adobe Identity Management (OIDC) | No | OIDC avec jeton d’accès |
| ADP | Yes | Protected |
| Apple Business Manager | No | Initiée par le fournisseur de services SAML |
| Comptes Internet Apple | Yes | Protected |
| Apple School Manager | No | OIDC avec jeton d’accès |
| Aqua Mail | Yes | Protected |
| Atlassian Cloud | Oui * | Protected |
| Apprendre avec Blackboard | No | Initiée par le fournisseur de services SAML |
| Box | No | Initiée par le fournisseur de services SAML |
| Brightspace par Desire2Learn | No | Initiée par le fournisseur de services SAML |
| Canevas | No | Initiée par le fournisseur de services SAML |
| Ceridian Dayforce HCM | No | Initiée par le fournisseur de services SAML |
| Cisco AnyConnect | No | Initiée par le fournisseur de services SAML |
| Cisco Webex | No | Initiée par le fournisseur de services SAML |
| Connecteur Citrix ADC SAML pour Azure AD | No | Initiée par le fournisseur de services SAML |
| Clever | No | Initiée par le fournisseur de services SAML |
| Mappeur Cloud Drive | Yes | Protected |
| Authentification unique Cornerstone | No | Initiée par le fournisseur de services SAML |
| Docusign | No | Initiée par le fournisseur de services SAML |
| Druva | No | Initiée par le fournisseur de services SAML |
| Intégration Azure AD F5 BIG-IP APM | No | Initiée par le fournisseur de services SAML |
| FortiGate SSL VPN | No | Initiée par le fournisseur de services SAML |
| Freshworks | No | Initiée par le fournisseur de services SAML |
| Gmail | Yes | Protected |
| Google Cloud / Connecteur G Suite par Microsoft | No | Initiée par le fournisseur de services SAML |
| Ventes HubSpot | No | Initiée par le fournisseur de services SAML |
| Kronos | Oui * | Protected |
| Application Madrasati | No | Initiée par le fournisseur de services SAML |
| OpenAthens | No | Initiée par le fournisseur de services SAML |
| Oracle Fusion ERP | No | Initiée par le fournisseur de services SAML |
| Palo Alto Networks - GlobalProtect | No | Initiée par le fournisseur de services SAML |
| Polycom - Téléphone certifié Skype Entreprise | Yes | Protected |
| Salesforce | No | Initiée par le fournisseur de services SAML |
| Samsung Email | Yes | Protected |
| SAP Cloud Platform Identity Authentication | No | Initiée par le fournisseur de services SAML |
| SAP Concur | Oui * | Initiée par le fournisseur de services SAML |
| SAP Concur Voyages et Dépenses | Oui * | Protected |
| SAP Fiori | No | Initiée par le fournisseur de services SAML |
| SAP NetWeaver | No | Initiée par le fournisseur de services SAML |
| SAP SuccessFactors | No | Initiée par le fournisseur de services SAML |
| ServiceNow | No | Initiée par le fournisseur de services SAML |
| Slack | No | Initiée par le fournisseur de services SAML |
| Smartsheet | No | Initiée par le fournisseur de services SAML |
| Spark | Yes | Protected |
| UKG pro | Oui * | Protected |
| VMware Boxer | Yes | Protected |
| walkMe | No | Initiée par le fournisseur de services SAML |
| Workday | No | Initiée par le fournisseur de services SAML |
| Workplace de Facebook | No | Initiée par le fournisseur de services SAML |
| Zoom | No | Initiée par le fournisseur de services SAML |
| Zscaler | Oui * | Protected |
| Zscaler Private Access (ZPA) | No | Initiée par le fournisseur de services SAML |
| Zscaler ZSCloud | No | Initiée par le fournisseur de services SAML |
Notes
* Les applications configurées pour s’authentifier avec le protocole SAML sont protégées lors de l’utilisation d’une authentification initiée par le fournisseur d’identité. Les configurations SAML initiées par le fournisseur de services (SP) ne sont pas prises en charge
Ressources Azure et leur état
| resource | Nom de la ressource Azure | Statut |
|---|---|---|
| Microsoft.ApiManagement | Service de gestion des API dans les régions Azure Government et Chine | Protected |
| microsoft.app | App Service | Protected |
| Microsoft.AppConfiguration | Azure App Configuration | Protected |
| Microsoft.AppPlatform | Azure App Service | Protected |
| Microsoft.Authorization | Microsoft Entra ID | Protected |
| Microsoft.Automation | Service Automation | Protected |
| Microsoft.AVX | Azure VMware Solution | Protected |
| Microsoft.Batch | Azure Batch | Protected |
| Microsoft.Cache | Cache Azure pour Redis | Protected |
| Microsoft.Cdn | Réseau de distribution de contenu Azure | Non protégé |
| Microsoft.Chaos | Ingénierie du chaos Azure | Protected |
| Microsoft.CognitiveServices | API et conteneurs Azure AI services | Protected |
| Microsoft.Communication | Azure Communication Services | Non protégé |
| Microsoft.Compute | Machines virtuelles Azure | Protected |
| Microsoft.ContainerInstance | Azure Container Instances | Protected |
| Microsoft.ContainerRegistry | Azure Container Registry | Protected |
| Microsoft.ContainerService | Azure Kubernetes Service (déconseillé) | Protected |
| Microsoft.Dashboard | Tableaux de bord Azure | Protected |
| Microsoft.DatabaseWatcher | Réglage automatique d’Azure SQL Database | Protected |
| Microsoft.DataBox | Azure Data Box | Protected |
| Microsoft.Databricks | Azure Databricks | Non protégé |
| Microsoft.DataCollaboration | Azure Data Share | Protected |
| Microsoft.Datadog | Datadog | Protected |
| Microsoft.DataFactory | Azure Data Factory | Protected |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 et Gen2 | Non protégé |
| Microsoft.DataProtection | API de protection des données Microsoft Defender for Cloud Apps | Protected |
| Microsoft.DBforMySQL | Azure Database pour MySQL | Protected |
| Microsoft.DBforPostgreSQL | Azure Database pour PostgreSQL | Protected |
| Microsoft.DelegatedNetwork | Service de gestion d’un réseau délégué | Protected |
| Microsoft.DevCenter | Microsoft Store pour Entreprises et Éducation | Protected |
| Microsoft.Devices | Azure IoT Hub et IoT Central | Non protégé |
| Microsoft.DeviceUpdate | Mise à jour de l’appareil Windows 10 IoT Core Services | Protected |
| Microsoft.DevTestLab | Azure DevTest Labs | Protected |
| Microsoft.DigitalTwins | Azure Digital Twins | Protected |
| Microsoft.DocumentDB | Azure Cosmos DB | Protected |
| Microsoft.EventGrid | Azure Event Grid | Protected |
| Microsoft.EventHub | Hubs d'événements Azure | Protected |
| Microsoft.HealthBot | Service Health Bot | Protected |
| Microsoft.HealthcareApis | API FHIR pour l’API Azure for FHIR et solutions Microsoft Cloud for Healthcare | Protected |
| Microsoft.HybridContainerService | Kubernetes compatible avec Azure Arc | Protected |
| Microsoft.HybridNetwork | Azure Virtual WAN | Protected |
| Microsoft.Insights | Application Insights et Log Analytics | Non protégé |
| Microsoft.IoTCentral | IoT Central | Protected |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Protected |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Protected |
| Microsoft.LoadTestService | Service de test de charge Visual Studio | Protected |
| Microsoft.Logic | Azure Logic Apps | Protected |
| Microsoft.MachineLearningServices | Machine Learning Services sur Azure | Protected |
| Identité managée par Microsoft | Identités managées pour les ressources Microsoft | Protected |
| Microsoft.Maps | Azure Maps | Protected |
| Microsoft.Media | Azure Media Services | Protected |
| Microsoft.Migrate | Azure Migrate | Protected |
| Microsoft.MixedReality | Services Mixed Reality, y compris Remote Rendering, Spatial Anchors et Object Anchors | Non protégé |
| Microsoft.NetApp | Azure NetApp Files | Protected |
| Microsoft.Network | Réseau virtuel Azure | Protected |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) sur Azure | Protected |
| Microsoft.OperationalInsights | Journaux Azure Monitor | Protected |
| Microsoft.PowerPlatform | Plateforme Microsoft Power | Protected |
| Microsoft.Purview | Microsoft Purview (anciennement Azure Data Catalog) | Protected |
| Microsoft.Quantum | Kit de développement Microsoft Quantum | Protected |
| Microsoft.RecommendationsService | API de recommandations pour Azure AI services | Protected |
| Microsoft.RecoveryServices | Azure Site Recovery | Protected |
| Microsoft.ResourceConnector | Connecteur de ressources Azure | Protected |
| Microsoft.Scom | System Center Operations Manager | Protected |
| Microsoft.Search | Recherche cognitive Azure | Non protégé |
| Microsoft.Security | Microsoft Defender pour le cloud | Non protégé |
| Microsoft.SecurityDetonation | Service de détonation Microsoft Defender for Endpoint | Protected |
| Microsoft.ServiceBus | Rubriques sur le service de messagerie Service Bus et le domaine Event Grid | Protected |
| Microsoft.ServiceFabric | Azure Service Fabric | Protected |
| Microsoft.SignalRService | Service Azure SignalR | Protected |
| Microsoft.Solutions | Solutions Azure | Protected |
| Microsoft.Sql | SQL Server sur les machines virtuelles et SQL Managed Instance sur Azure | Protected |
| Microsoft.Storage | Stockage Azure | Protected |
| Microsoft.StorageCache | Cache de Stockage Azure | Protected |
| Microsoft.StorageSync | Azure File Sync | Protected |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Non protégé |
| Microsoft.Synapse | Synapse Analytics (anciennement SQL DW) et Synapse Studio (anciennement SQL DW Studio) | Protected |
| Microsoft.UsageBilling | Portail d’utilisation et de facturation Azure | Non protégé |
| Microsoft.VideoIndexer | Video Indexer | Protected |
| Microsoft.VoiceServices | Azure Communication Services - API Voice | Non protégé |
| microsoft.web | Web Apps | Protected |