전 세계의 조직은 연중무휴 24시간 사용자 및 서비스에 대한 Microsoft Entra 인증의 고가용성에 의존합니다. Microsoft는 인증에 대한 99.99% 서비스 수준 가용성을 약속하며, 인증 서비스의 복원력을 개선하여 이를 개선하기 위해 지속적으로 노력하고 있습니다. 중단 시 복원력을 더욱 개선시키기 위해 2021년에 백업 시스템을 구현했습니다.
Microsoft Entra 백업 인증 시스템은 가동 중단 시 인증 복원력을 높이기 위해 함께 작동하는 여러 백업 서비스로 구성됩니다. 이 시스템은 기본 Microsoft Entra 서비스를 사용할 수 없거나 성능이 저하된 경우 지원되는 애플리케이션 및 서비스에 대한 인증을 투명하고 자동으로 처리합니다. 이는 기존 중복성의 여러 수준 위에 추가 복원력 계층을 추가합니다. 이 복원력은 블로그 게시물 백업 인증 서비스를 사용하여 Microsoft Entra ID의 서비스 복원력 향상에 설명되어 있습니다. 이 시스템은 시스템이 정상일 때 인증 메타데이터를 동기화하고 이를 사용하여 정책 제어를 계속 적용하면서 기본 서비스가 중단되는 동안 사용자가 애플리케이션에 계속 액세스할 수 있도록 합니다.
기본 서비스가 중단되는 동안 사용자는 지난 3일 동안 동일한 디바이스에서 액세스한 한 애플리케이션 작업을 계속할 수 있으며 액세스를 제한하는 차단 정책이 없습니다.
Microsoft 애플리케이션 외에도 다음을 지원합니다.
- iOS 및 Android의 네이티브 이메일 클라이언트.
- 앱 갤러리에서 사용할 수 있는 ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday 등과 같은 SaaS(Software as a Service) 애플리케이션
- 인증 패턴을 기반으로 선택된 사업 부문 애플리케이션입니다.
Azure 리소스에 대한 관리 ID를 사용하거나 Azure 서비스를 기반으로 하는 서비스 대 서비스 인증은 백업 인증 시스템에서 향상된 복원력을 받습니다.
Microsoft는 지원되는 시나리오의 수를 지속적으로 확장하고 있습니다.
지원되는 타사 워크로드는 무엇인가요?
백업 인증 시스템은 인증 패턴을 기반으로 지원되는 수만 개의 타사 애플리케이션에 자동으로 증분 복원력을 제공합니다. 가장 일반적인 Microsoft 이외의 애플리케이션 및 적용 상태 목록은 부록을 참조하세요. 지원되는 인증 패턴에 대한 자세한 설명은 백업 인증 시스템에 대한 애플리케이션 지원 이해 문서를 참조하세요.
- OAuth(Open Authorization) 2.0 프로토콜을 사용하여 Apple Mail, Aqua Mail, Gmail, Samsung Email 및 Spark와 같은 널리 사용되는 타사 메일 및 IM 클라이언트와 같은 리소스 애플리케이션에 액세스하는 네이티브 애플리케이션
- ID 토큰만 사용하여 OpenID Connect로 인증하도록 구성된 LOB(사업 부문) 웹 애플리케이션
- ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday 및 Zscaler와 같은 IDP 시작 SSO(Single Sign On)에 대해 구성된 경우 SAML(Security Assertion Markup Language) 프로토콜로 인증하는 웹 애플리케이션
보호되지 않는 타사 애플리케이션 형식
다음 인증 패턴은 현재 지원되지 않습니다.
- OpenID Connect를 사용하여 인증하고 액세스 토큰을 요청하는 웹 애플리케이션
- SP 시작 SSO로 구성된 경우 인증을 위해 SAML 프로토콜을 사용하는 웹 애플리케이션
백업 인증 시스템으로 사용자를 지원할 수 있는 이유는 무엇인가요?
가동 중단 중에 다음 조건이 충족되면 사용자는 백업 인증 시스템을 사용하여 인증할 수 있습니다.
- 사용자가 지난 3일 동안 동일한 앱과 디바이스를 사용하여 성공적으로 인증했습니다.
- 사용자는 대화형으로 인증할 필요가 없습니다.
- 사용자는 B2B 또는 B2C 시나리오를 실행하는 대신 홈 테넌트의 멤버로 리소스에 액세스하고 있습니다.
- 사용자는 복원력 기본값을 사용하지 않도록 설정하는 것과 같이 백업 인증 시스템을 제한하는 조건부 액세스 정책의 적용을 받지 않습니다.
- 사용자는 마지막으로 성공한 인증 이후 자격 증명 변경과 같은 해지 이벤트를 겪지 않았습니다.
대화형 인증과 사용자 작업이 복원력에 어떤 영향을 미치나요?
백업 인증 시스템은 가동 중단 중에 사용자를 다시 인증하기 위해 이전 인증의 메타데이터를 사용합니다. 백업 서비스가 유효하려면 사용자가 동일한 디바이스에서 동일한 앱을 사용하여 지난 3일 동안 인증을 받아야 합니다. 비활성 상태이거나 특정 앱에 대해 인증되지 않은 사용자는 해당 애플리케이션에 대한 백업 인증 시스템을 사용할 수 없습니다.
조건부 액세스 정책은 복원력에 어떤 영향을 미치나요?
특정 정책은 백업 인증 시스템에서 실시간으로 평가할 수 없으며 이러한 정책에 대한 사전 평가에 의존해야 합니다. 가동 중단 상황에서 서비스는 복원력을 최대화하기 위해 기본적으로 사전 평가를 사용합니다. 예를 들어, 특정 역할(예: 애플리케이션 관리자)을 가진 사용자에 따라 조건화된 액세스는 중단 중에도 해당 사용자가 최근 인증 중에 가졌던 역할을 기반으로 계속됩니다. 이전 평가의 중단 전용 사용을 제한해야 하는 경우 테넌트 관리자는 복원력 기본값을 사용하지 않도록 설정하여 중단 조건에서도 모든 조건부 액세스 정책에 대한 엄격한 평가를 선택할 수 있습니다. 특정 정책에 대해 복원력 기본값을 사용하지 않도록 설정하면 해당 사용자가 백업 인증을 사용할 수 없게 되므로 이 결정은 신중하게 이루어져야 합니다. 백업 시스템이 복원력을 제공하려면 중단이 발생하기 전에 복원력 기본값을 다시 사용하도록 설정해야 합니다.
다른 특정 형식의 정책은 백업 인증 시스템 사용을 지원하지 않습니다. 다음 정책을 사용하면 복원력이 감소합니다.
- 조건부 액세스 정책의 일부로 로그인 빈도 제어를 사용합니다.
- 인증 방법 정책을 사용합니다.
- 클래식 조건부 액세스 정책을 사용합니다.
보고서 전용 조건부 액세스 정책 평가
백업 인증 시스템에서 요청을 처리하는 경우 보고서 전용 액세스 정책은 보고서 전용 탭이 아닌 해당 로그인 이벤트에 대한 Entra ID>모니터링 및 상태>로그인 로그의 조건부 액세스 탭 아래에 표시됩니다. 이 보기에서도 보고서 전용 모드로 구성된 정책은 적용되지 않습니다. 테넌트 내의 백업 인증 시스템을 통해 토큰이 발급되었는지 확인하려면 로그인 로그를 사용할 수 있습니다.
Entra ID>모니터링 및 상태>로그인 로그에서 백업 인증 시스템에서 처리된 로그를 표시하는 필터 Token issuer type == Microsoft Entra Backup Auth 를 추가합니다.
인증서 해지 및 백업 인증 시스템
복원력을 향상시키기 위해 백업 인증 시스템은 새로운 해지 검사를 수행할 수 없습니다. 대신 세션이 마지막으로 백업되었을 때 수행되는 CRL(인증서 해지 목록) 확인의 상태에 의존합니다. 이 백업이 만료되기 전에 해지해야 하는 경우 CRL을 기다리는 대신 세션을 명시적으로 해지해야 합니다.
백업 인증 시스템의 워크로드 ID 복원력
백업 인증 시스템은 사용자 인증 외에도 주 인증 서비스와 중복 계층화된 지역적으로 격리된 인증 서비스를 제공하여 관리 ID 및 기타 주요 Azure 인프라에 대한 복원력을 제공합니다. 이 시스템을 사용하면 Azure 지역 내의 인프라 인증이 다른 지역 또는 더 큰 Microsoft Entra 서비스 내에서 발생할 수 있는 문제에 복원력을 갖게 됩니다. 이 시스템은 Azure의 지역 간 아키텍처를 보완합니다. MI를 사용하여 고유한 애플리케이션을 빌드하고 복원력 및 가용성에 대한 Azure의 모범 사례를 따르면 애플리케이션의 복원력이 강화됩니다. MI 외에도 이 지역적으로 복원력 있는 백업 시스템은 클라우드 기능을 유지하는 주요 Azure 인프라 및 서비스를 보호합니다.
인프라 인증 지원 요약
- 관리 ID를 사용하여 Azure 인프라를 기반으로 하는 서비스는 백업 인증 시스템으로 보호됩니다.
- 서로 인증하는 Azure 서비스는 백업 인증 시스템으로 보호됩니다.
- ID가 서비스 주체로 등록되고 "관리형 ID"가 아닌 경우 Azure에서 또는 해당 Azure 밖에서 빌드된 서비스는 백업 인증 시스템에 의해 보호되지 않습니다.
백업 인증 시스템을 지원하는 클라우드 환경
백업 인증 시스템은 21Vianet에서 운영하는 Microsoft Azure를 제외한 모든 클라우드 환경에서 지원됩니다. 지원되는 ID 유형은 클라우드에 따라 다르며 다음 표에 설명된 대로 별도의 인증 엔드포인트가 있습니다.
| Azure 환경 | Microsoft 365 환경 | 보호된 신원 | Microsoft Entra 인증 엔드포인트 |
|---|---|---|---|
| Azure 상용 | 상업용 및 M365 공공 부문 | 사용자 및 관리형 ID | https://login.microsoftonline.com |
| Azure Government (정부 전용 클라우드 서비스) | M365 GCC High 및 DoD | 사용자 및 관리형 ID | https://login.microsoftonline.us |
| Azure Government 기밀 | M365 정부 비밀 | 사용자 및 관리형 ID | 사용할 수 없음 |
| Azure 정부 일급 비밀 | M365 정부 일급 비밀 | 사용자 및 관리형 ID | 사용할 수 없음 |
| 21Vianet에서 운영하는 Azure | 사용할 수 없음 | 관리되는 ID | https://login.partner.microsoftonline.cn |
부록
인기 있는 타사 네이티브 클라이언트 앱 및 앱 갤러리 애플리케이션
| 앱 이름 | 보호됨 | 보호되지 않는 이유는 무엇인가요? |
|---|---|---|
| ABBYY FlexiCapture 12 | 아니요 | SAML SP에 의해 시작됨 |
| Adobe Experience Manager | 아니요 | SAML SP에 의해 시작됨 |
| Adobe ID 관리(OIDC) | 아니요 | 액세스 토큰이 포함된 OIDC |
| ADP | 예 | 보호됨 |
| Apple 비즈니스 매니저 | 아니요 | SAML SP에 의해 시작됨 |
| Apple 인터넷 계정 | 예 | 보호됨 |
| 애플 스쿨 매니저 | 아니요 | 액세스 토큰이 포함된 OIDC |
| 아쿠아 메일 | 예 | 보호됨 |
| Atlassian Cloud | 예 * | 보호됨 |
| Blackboard Learn (블랙보드 러닝 플랫폼) | 아니요 | SAML SP에 의해 시작됨 |
| 상자 | 아니요 | SAML SP에 의해 시작됨 |
| Brightspace by Desire2Learn | 아니요 | SAML SP에 의해 시작됨 |
| 캔버스 | 아니요 | SAML SP에 의해 시작됨 |
| Ceridian Dayforce HCM (인적 자원 관리) | 아니요 | SAML SP에 의해 시작됨 |
| Cisco AnyConnect | 아니요 | SAML SP에 의해 시작됨 |
| Cisco Webex | 아니요 | SAML SP에 의해 시작됨 |
| Azure AD용 Citrix ADC SAML 커넥터 | 아니요 | SAML SP에 의해 시작됨 |
| 영리한 | 아니요 | SAML SP에 의해 시작됨 |
| 클라우드 드라이브 매퍼 | 예 | 보호됨 |
| 코너스톤 단일 로그인 | 아니요 | SAML SP에 의해 시작됨 |
| Docusign | 아니요 | SAML SP에 의해 시작됨 |
| 드루바 주 | 아니요 | SAML SP에 의해 시작됨 |
| F5 BIG-IP APM Azure AD 통합 | 아니요 | SAML SP에 의해 시작됨 |
| FortiGate SSL VPN | 아니요 | SAML SP에 의해 시작됨 |
| Freshworks | 아니요 | SAML SP에 의해 시작됨 |
| Gmail | 예 | 보호됨 |
| Microsoft의 Google Cloud/G Suite Connector | 아니요 | SAML SP에 의해 시작됨 |
| HubSpot 세일즈 | 아니요 | SAML SP에 의해 시작됨 |
| 크로노스 | 예 * | 보호됨 |
| Madrasati 앱 | 아니요 | SAML SP에 의해 시작됨 |
| OpenAthens | 아니요 | SAML SP에 의해 시작됨 |
| Oracle Fusion ERP | 아니요 | SAML SP에 의해 시작됨 |
| Palo Alto Networks - GlobalProtect | 아니요 | SAML SP에 의해 시작됨 |
| Polycom - 비즈니스용 Skype 인증된 전화 | 예 | 보호됨 |
| Salesforce | 아니요 | SAML SP에 의해 시작됨 |
| 삼성 전자 메일 | 예 | 보호됨 |
| SAP Cloud Platform Identity Authentication | 아니요 | SAML SP에 의해 시작됨 |
| SAP 컨커 | 예 * | SAML SP에 의해 시작됨 |
| SAP Concur 여행 및 비용 | 예 * | 보호됨 |
| SAP Fiori | 아니요 | SAML SP에 의해 시작됨 |
| SAP NetWeaver | 아니요 | SAML SP에 의해 시작됨 |
| SAP SuccessFactors | 아니요 | SAML SP에 의해 시작됨 |
| 서비스 나우 | 아니요 | SAML SP에 의해 시작됨 |
| 슬랙 | 아니요 | SAML SP에 의해 시작됨 |
| 스마트시트 | 아니요 | SAML SP에 의해 시작됨 |
| 스파크 | 예 | 보호됨 |
| UKG Pro | 예 * | 보호됨 |
| VMware Boxer | 예 | 보호됨 |
| walkMe | 아니요 | SAML SP에 의해 시작됨 |
| 근무일 | 아니요 | SAML SP에 의해 시작됨 |
| Facebook의 작업 영역 | 아니요 | SAML SP에 의해 시작됨 |
| 확대/축소 | 아니요 | SAML SP에 의해 시작됨 |
| Zscaler | 예 * | 보호됨 |
| ZPA(Zscaler Private Access) | 아니요 | SAML SP에 의해 시작됨 |
| Zscaler ZSCloud | 아니요 | SAML SP에 의해 시작됨 |
참고
* SAML 프로토콜로 인증하도록 구성된 앱은 IDP 시작 인증을 사용할 때 보호됩니다. SP(서비스 공급자) 시작 SAML 구성은 지원되지 않습니다.
Azure 리소스 및 해당 상태
| 자원 | Azure 리소스 이름 | 상태 |
|---|---|---|
| Microsoft.ApiManagement (Microsoft API 관리) | Azure Government 및 중국 지역의 API Management 서비스 | 보호됨 |
| microsoft.app | 앱 서비스 | 보호됨 |
| Microsoft.AppConfiguration | Azure App 구성 | 보호됨 |
| Microsoft.AppPlatform | Azure App Service | 보호됨 |
| Microsoft.Authorization | Microsoft Entra ID (마이크로소프트 엔트라 ID) | 보호됨 |
| Microsoft.Automation | 자동화 서비스 | 보호됨 |
| Microsoft.AVX | Azure VMware 솔루션 | 보호됨 |
| Microsoft.Batch | Azure Batch (마이크로소프트의 클라우드 기반 일괄 처리 서비스) | 보호됨 |
| Microsoft.Cache | Azure Cache for Redis (Azure의 Redis용 캐시) | 보호됨 |
| Microsoft.Cdn | Azure Content Delivery Network | 보호 안 됨 |
| Microsoft.Chaos | Azure 카오스 엔지니어링 | 보호됨 |
| Microsoft.CognitiveServices | Azure AI 서비스 API 및 컨테이너 | 보호됨 |
| Microsoft 커뮤니케이션 | Azure 통신 서비스 | 보호 안 됨 |
| Microsoft.Compute | Azure Virtual Machines | 보호됨 |
| Microsoft.ContainerInstance | Azure 컨테이너 인스턴스 | 보호됨 |
| Microsoft.ContainerRegistry | Azure Container Registry (Azure 컨테이너 레지스트리) | 보호됨 |
| Microsoft.ContainerService | Azure Kubernetes Service(사용되지 않음) | 보호됨 |
| Microsoft 대시보드 (Microsoft.Dashboard) | Azure 대시보드 | 보호됨 |
| Microsoft.DatabaseWatcher | Azure SQL Database 자동 튜닝 | 보호됨 |
| Microsoft.DataBox | Azure Data Box | 보호됨 |
| Microsoft.Databricks | Azure Databricks | 보호 안 됨 |
| Microsoft 데이터 협업 | 애저 데이터 공유 | 보호됨 |
| Microsoft.Datadog | 데이터독 | 보호됨 |
| Microsoft.DataFactory | Azure Data Factory | 보호됨 |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 및 Gen2 | 보호 안 됨 |
| Microsoft.DataProtection | Microsoft Defender for Cloud Apps 데이터 보호 API | 보호됨 |
| Microsoft.DBforMySQL | Azure의 MySQL 데이터베이스 서비스 | 보호됨 |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL(애저 데이터베이스 포 포스트그레SQL) | 보호됨 |
| Microsoft.DelegatedNetwork | 위임된 네트워크 관리 서비스 | 보호됨 |
| Microsoft.DevCenter | 비즈니스용 및 교육용 Microsoft Store | 보호됨 |
| Microsoft.Devices | Azure IoT Hub 및 IoT Central | 보호 안 됨 |
| Microsoft 디바이스 업데이트 | Windows 10 IoT Core Services 디바이스 업데이트 | 보호됨 |
| Microsoft.DevTestLab | Azure DevTest Labs | 보호됨 |
| Microsoft.DigitalTwins | Azure 디지털 트윈스 | 보호됨 |
| Microsoft.DocumentDB | Azure Cosmos DB (애저 코스모스 DB) | 보호됨 |
| Microsoft.EventGrid | Azure Event Grid | 보호됨 |
| Microsoft.EventHub | Azure Event Hubs | 보호됨 |
| Microsoft.HealthBot | Health Bot 서비스 | 보호됨 |
| Microsoft.HealthcareApis | Azure API for FHIR 및 Microsoft Cloud for Healthcare 솔루션을 위한 FHIR API | 보호됨 |
| Microsoft.하이브리드컨테이너서비스 | Azure Arc 적용된 Kubernetes | 보호됨 |
| Microsoft.HybridNetwork | Azure 가상 WAN | 보호됨 |
| Microsoft.Insights | Application Insights 및 Log Analytics | 보호 안 됨 |
| Microsoft.IoTCentral | IoT Central | 보호됨 |
| Microsoft.Kubernetes | AKS(Azure Kubernetes Service) | 보호됨 |
| Microsoft.Kusto | Azure Data Explorer(Kusto) | 보호됨 |
| Microsoft.LoadTestService | Visual Studio 부하 테스트 서비스 | 보호됨 |
| Microsoft.Logic | Azure 논리 앱 | 보호됨 |
| Microsoft.MachineLearningServices (마이크로소프트 머신러닝 서비스) | Azure의 Machine Learning Services | 보호됨 |
| Microsoft 관리형 ID | Microsoft 리소스에 대한 관리 ID | 보호됨 |
| Microsoft.Maps | Azure Maps | 보호됨 |
| Microsoft.Media | Azure Media Services | 보호됨 |
| Microsoft.Migrate | Azure Migrate (Azure 마이그레이션) | 보호됨 |
| Microsoft.MixedReality | Mixed Reality 서비스에는 Remote Rendering, Spatial Anchors 및 Object Anchors가 포함됩니다. | 보호 안 됨 |
| Microsoft.NetApp | Azure NetApp 파일 | 보호됨 |
| Microsoft.Network | Azure 가상 네트워크 | 보호됨 |
| Microsoft.OpenEnergy플랫폼 | Azure의 OEP(Open Energy Platform) | 보호됨 |
| Microsoft.OperationalInsights | Azure Monitor 로그 | 보호됨 |
| Microsoft.PowerPlatform | Microsoft Power Platform | 보호됨 |
| Microsoft.Purview | Microsoft Purview(이전의 Azure Data Catalog) | 보호됨 |
| Microsoft.Quantum | Microsoft Quantum Development Kit | 보호됨 |
| Microsoft.RecommendationsService | Azure AI 서비스 권장 사항 API | 보호됨 |
| Microsoft.RecoveryServices | Azure 사이트 복구 | 보호됨 |
| Microsoft.ResourceConnector | Azure 리소스 커넥터 | 보호됨 |
| 마이크로소프트.Scom | 시스템 센터 운영 관리자 | 보호됨 |
| Microsoft.Search | Azure Cognitive Search (클라우드 기반 검색 서비스) | 보호 안 됨 |
| Microsoft.Security | 클라우드용 Microsoft Defender | 보호 안 됨 |
| Microsoft.SecurityDetonation | 엔드포인트용 Microsoft Defender 데토네이션 서비스 | 보호됨 |
| Microsoft.ServiceBus | Service Bus 메시징 서비스 및 Event Grid 도메인 토픽 | 보호됨 |
| Microsoft.ServiceFabric | Azure 서비스 패브릭 | 보호됨 |
| Microsoft.SignalRService | Azure SignalR 서비스 | 보호됨 |
| Microsoft.Solutions | Azure 솔루션 | 보호됨 |
| Microsoft.Sql | Azure 가상 머신의 SQL Server 및 Azure의 SQL 관리형 인스턴스 | 보호됨 |
| Microsoft.Storage (마이크로소프트 저장소) | Azure Storage | 보호됨 |
| Microsoft.StorageCache | Azure Storage 캐시 | 보호됨 |
| Microsoft.StorageSync | Azure 파일 동기화 | 보호됨 |
| Microsoft.StreamAnalytics | Azure Stream Analytics | 보호 안 됨 |
| Microsoft.Synapse | Synapse Analytics(이전의 SQL DW) 및 Synapse Studio(이전의 SQL DW Studio) | 보호됨 |
| Microsoft.사용량 청구 | Azure 사용량 및 결제 포털 | 보호 안 됨 |
| Microsoft.Video인덱서 | 비디오 인덱서 | 보호됨 |
| Microsoft.VoiceServices | Azure Communication Services - 음성 API | 보호 안 됨 |
| microsoft.web | 웹 애플리케이션 | 보호됨 |