Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Organizações em todo o mundo dependem da alta disponibilidade da autenticação Microsoft Entra para usuários e serviços 24 horas por dia, sete dias por semana. Prometemos uma disponibilidade de nível de serviço de 99,99% para autenticação e procuramos continuamente melhorá-la, aumentando a resiliência do nosso serviço de autenticação. Para melhorar ainda mais a resiliência durante interrupções, implementamos um sistema de backup em 2021.
O sistema de autenticação de backup Microsoft Entra é composto por vários serviços de backup que trabalham juntos para aumentar a resiliência da autenticação em caso de interrupção. Este sistema processa de forma transparente e automática as autenticações de aplicações e serviços suportados se o serviço principal do Microsoft Entra não estiver disponível ou degradado. Ele adiciona uma camada extra de resiliência aos vários níveis de redundância existentes. Essa resiliência é descrita no post do blog Avanço da resiliência do serviço no Microsoft Entra ID com seu serviço de autenticação de backup. Esse sistema sincroniza metadados de autenticação quando o sistema está íntegro e usa isso para permitir que os usuários continuem a acessar aplicativos durante interrupções do serviço principal enquanto ainda aplicam controles de política.
Durante uma interrupção do serviço principal, os usuários podem continuar trabalhando com seus aplicativos, desde que os acessem nos últimos três dias a partir do mesmo dispositivo, e não existam políticas de bloqueio que limitem seu acesso:
Além dos aplicativos da Microsoft, suportamos:
- Clientes de email nativos em iOS e Android.
- Aplicativos de software como serviço (SaaS) disponíveis na galeria de aplicativos, como ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday e muito mais.
- Aplicativos de linha de negócios selecionados, com base em seus padrões de autenticação.
A autenticação de serviço a serviço que depende de identidades gerenciadas para recursos do Azure ou é criada em serviços do Azure recebe maior resiliência do sistema de autenticação de backup.
A Microsoft está continuamente a expandir o número de cenários suportados.
Quais cargas de trabalho não Microsoft são suportadas?
O sistema de autenticação de backup fornece automaticamente resiliência incremental a dezenas de milhares de aplicativos não Microsoft suportados com base em seus padrões de autenticação. Consulte o apêndice para obter uma lista dos aplicativos não Microsoft mais comuns e seu status de cobertura. Para obter uma explicação detalhada de quais padrões de autenticação são suportados, consulte o artigo Understanding Application Support for the backup authentication system article.
- Aplicativos nativos que usam o protocolo Open Authorization (OAuth) 2.0 para acessar aplicativos de recursos, como clientes populares de e-mail e mensagens instantâneas que não são da Microsoft, como: Apple Mail, Aqua Mail, Gmail, Samsung Email e Spark.
- Aplicações web de linha de negócio configuradas para autenticar com OpenID Connect usando apenas tokens de identificação (ID).
- Aplicativos Web autenticados com o protocolo SAML (Security Assertion Markup Language), quando configurados para logon único (SSO) iniciado pelo IDP, como: ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday e Zscaler.
Tipos de aplicativos que não são da Microsoft que não estão protegidos
Os seguintes padrões de autenticação não são suportados no momento:
- Aplicativos Web que autenticam usando OpenID Connect e solicitam tokens de acesso
- Aplicativos Web que usam o protocolo SAML para autenticação, quando configurados como SSO iniciado por SP
O que torna um usuário suportado pelo sistema de autenticação de backup?
Durante uma interrupção, um usuário pode se autenticar usando o sistema de autenticação de backup se as seguintes condições forem atendidas:
- O usuário se autenticou com êxito usando o mesmo aplicativo e dispositivo nos últimos três dias.
- O usuário não precisa se autenticar interativamente
- O utilizador está a aceder a um recurso como membro do seu tenant de origem, em vez de utilizar um cenário B2B ou B2C.
- O utilizador não está sujeito a políticas de Acesso Condicional que limitam o sistema de autenticação de backup, como desativar padrões de resiliência.
- O usuário não foi sujeito a um evento de revogação, como uma alteração de credencial desde sua última autenticação bem-sucedida.
Como a autenticação interativa e a atividade do usuário afetam a resiliência?
O sistema de autenticação de backup depende de metadados de uma autenticação anterior para autenticar novamente o usuário durante uma interrupção. Um usuário deve ter se autenticado nos últimos três dias usando o mesmo aplicativo no mesmo dispositivo para que o serviço de backup seja eficaz. Os usuários inativos ou não autenticados em um determinado aplicativo não podem usar o sistema de autenticação de backup para esse aplicativo.
Como as políticas de Acesso Condicional afetam a resiliência?
Certas políticas não podem ser avaliadas em tempo real pelo sistema de autenticação de backup e devem depender de avaliações prévias dessas políticas. Em condições de interrupção, o serviço usa uma avaliação prévia por padrão para maximizar a resiliência. Por exemplo, o acesso condicionado a um usuário ter uma função específica (como Administrador de Aplicativo) continua durante uma interrupção com base na função que o usuário tinha durante a autenticação mais recente. Se o uso exclusivo da avaliação anterior em caso de interrupção precisar ser restringido, os administradores de locatários podem optar por uma avaliação rigorosa de todas as políticas de Acesso Condicional, mesmo em condições de interrupção, desativando os padrões de resiliência. Essa decisão deve ser tomada com cuidado, pois desabilitar os padrões de resiliência para uma determinada política impede que esses usuários usem a autenticação de backup. As configurações de resiliência devem ser reativadas antes que ocorra uma interrupção para que o sistema de backup possa funcionar corretamente.
Alguns outros tipos de políticas não suportam o uso do sistema de autenticação de backup. A utilização das seguintes políticas reduz a resiliência:
- Utilização do controlo de frequência de inícios de sessão como parte de uma política de Acesso Condicional.
- Uso da política de métodos de autenticação.
- Utilização de políticas clássicas de Acesso Condicional.
Avaliação de políticas de Acesso Condicional apenas em modo de relatório
Se uma solicitação for processada pelo sistema de autenticação de backup, as políticas de Acesso Condicional em modo apenas relatório aparecerão na guia Token issuer type == Microsoft Entra Backup Auth para exibir os logs processados pelo sistema de autenticação de backup.
Revogação de certificados e o sistema de autenticação de backup
Para melhorar sua postura de resiliência, o sistema de autenticação de backup não pode executar novas verificações de revogação. Em vez disso, ele depende do estado da verificação da lista de revogação de certificados (CRL) executada quando o último backup da sessão foi feito. Se você precisar revogar antes que esse backup expire, deverá revogar explicitamente a sessão em vez de aguardar a CRL.
Resiliência da identidade de trabalho no sistema de autenticação secundária
Além da autenticação do usuário, o sistema de autenticação de backup fornece resiliência para identidades geridas e outras infraestruturas importantes do Azure, oferecendo um serviço de autenticação isolado regionalmente que é colocado em camadas redundantes com o serviço de autenticação principal. Esse sistema permite que a autenticação de infraestrutura em uma região do Azure seja resiliente a problemas que possam ocorrer em outra região ou no serviço Microsoft Entra maior. Este sistema complementa a arquitetura entre regiões do Azure. Criar seus próprios aplicativos usando MI e seguindo as práticas recomendadas do Azure para resiliência e disponibilidade garante que seus aplicativos sejam altamente resilientes. Além do MI, este sistema de backup regionalmente resiliente protege a infraestrutura e os principais serviços do Azure que mantêm a nuvem funcional.
Resumo do suporte à autenticação de infraestrutura
- Os seus serviços construídos na Infraestrutura do Azure usando identidades geridas são protegidos pelo sistema de autenticação de backup.
- Os serviços do Azure que se autenticam uns com os outros são protegidos pelo sistema de autenticação de backup.
- Seus serviços criados dentro ou fora do Azure quando as identidades são registradas como Entidades de Serviço e não "identidades gerenciadas" não são protegidas pelo sistema de autenticação de backup.
Ambientes de nuvem que suportam o sistema de autenticação de backup
O sistema de autenticação de backup é suportado em todos os ambientes de nuvem, exceto o Microsoft Azure operado pela 21Vianet. Os tipos de identidades suportados variam de acordo com a nuvem e têm pontos de extremidade de autenticação separados, conforme descrito na tabela a seguir.
| Ambiente do Azure | Ambientes Microsoft 365 | Identidades protegidas | Ponto de conexão de autenticação do Microsoft Entra |
|---|---|---|---|
| Azure - Comercial | Comercial e Microsoft 365 para Governo | Usuários e identidades gerenciadas | https://login.microsoftonline.com |
| Azure Government | M365 GCC Nível Elevado e DoD | Usuários e identidades gerenciadas | https://login.microsoftonline.us |
| Azure Government Secret | M365 Segredo do Governo | Usuários e identidades gerenciadas | Não disponível |
| Azure Government Top Secret | M365 Governo Máximo Sigilo | Usuários e identidades gerenciadas | Não disponível |
| Azure operado pela 21Vianet | Não disponível | Identidades geridas | https://login.partner.microsoftonline.cn |
Anexo
Aplicativos cliente não nativos da Microsoft populares e aplicativos de galeria de aplicativos
| Nome da Aplicação | Protegido | Por que não protegido? |
|---|---|---|
| ABBYY FlexiCapture 12 | Não | SAML iniciado pelo SP |
| Adobe Experience Manager | Não | SAML iniciado pelo SP |
| Gerenciamento de identidades da Adobe (OIDC) | Não | OIDC com token de acesso |
| ADP | Sim | Protegido |
| Gestor de Negócios Apple | Não | SAML iniciado pelo SP |
| Contas de Internet da Apple | Sim | Protegido |
| Gestor da Apple School | Não | OIDC com token de acesso |
| Correio Aqua | Sim | Protegido |
| Nuvem da Atlassian | Sim * | Protegido |
| Blackboard Learn | Não | SAML iniciado pelo SP |
| Caixa | Não | SAML iniciado pelo SP |
| Brightspace por Desire2Learn | Não | SAML iniciado pelo SP |
| Tela | Não | SAML iniciado pelo SP |
| Ceridian Dayforce HCM | Não | SAML iniciado pelo SP |
| Cisco AnyConnect | Não | SAML iniciado pelo SP |
| Cisco Webex | Não | SAML iniciado pelo SP |
| Citrix ADC SAML Connector para Azure AD | Não | SAML iniciado pelo SP |
| Inteligente | Não | SAML iniciado pelo SP |
| Mapeador de Cloud Drive | Sim | Protegido |
| Cornerstone Autenticação Única | Não | SAML iniciado pelo SP |
| Docusign (plataforma de assinatura eletrónica) | Não | SAML iniciado pelo SP |
| Druva | Não | SAML iniciado pelo SP |
| Integração do F5 BIG-IP APM com Azure AD | Não | SAML iniciado pelo SP |
| FortiGate SSL VPN | Não | SAML iniciado pelo SP |
| Freshworks | Não | SAML iniciado pelo SP |
| Gmail | Sim | Protegido |
| Google Cloud / G Suite Connector da Microsoft | Não | SAML iniciado pelo SP |
| Vendas HubSpot | Não | SAML iniciado pelo SP |
| Kronos | Sim * | Protegido |
| Aplicação Madrasati | Não | SAML iniciado pelo SP |
| OpenAtenas | Não | SAML iniciado pelo SP |
| Oracle Fusion ERP | Não | SAML iniciado pelo SP |
| Palo Alto Networks - GlobalProtect | Não | SAML iniciado pelo SP |
| Polycom - Telefone certificado do Skype for Business | Sim | Protegido |
| Salesforce | Não | SAML iniciado pelo SP |
| Endereço eletrónico Samsung | Sim | Protegido |
| Autenticação de identidade do SAP Cloud Platform | Não | SAML iniciado pelo SP |
| SAP Concur | Sim * | SAML iniciado pelo SP |
| SAP Concur Viagens e Despesas | Sim * | Protegido |
| SAP Fiori | Não | SAML iniciado pelo SP |
| SAP NetWeaver | Não | SAML iniciado pelo SP |
| SAP SuccessFactors | Não | SAML iniciado pelo SP |
| Serviço Agora | Não | SAML iniciado pelo SP |
| Slack | Não | SAML iniciado pelo SP |
| Folha inteligente | Não | SAML iniciado pelo SP |
| Faísca | Sim | Protegido |
| UKG pro | Sim * | Protegido |
| VMware Boxer | Sim | Protegido |
| walkMe | Não | SAML iniciado pelo SP |
| Workday | Não | SAML iniciado pelo SP |
| Workplace by Facebook | Não | SAML iniciado pelo SP |
| Zoom | Não | SAML iniciado pelo SP |
| Zscaler | Sim * | Protegido |
| Zscaler Acesso Privado (ZPA) | Não | SAML iniciado pelo SP |
| Zscaler ZSCloud | Não | SAML iniciado pelo SP |
Nota
* Os aplicativos configurados para autenticação com o protocolo SAML são protegidos ao usar a autenticação iniciada pelo IDP. Não há suporte para configurações SAML iniciadas pelo provedor de serviços (SP)
Recursos do Azure e seu status
| recurso | Nome do recurso do Azure | Estado |
|---|---|---|
| Microsoft.ApiManagement | Serviço de Gerenciamento de API nas regiões Governo do Azure e China | Protegido |
| microsoft.app | Serviço de Aplicações | Protegido |
| Microsoft.AppConfiguration | Azure App Configuration | Protegido |
| Microsoft.AppPlatform | Serviço de Aplicações do Azure | Protegido |
| Microsoft.Autorização | Microsoft Entra ID | Protegido |
| Microsoft.Automação | Serviço de automação | Protegido |
| Microsoft.AVX | Azure VMware Solution | Protegido |
| Microsoft.Batch | Azure Batch | Protegido |
| Microsoft.Cache | Cache do Azure para Redis | Protegido |
| Microsoft.Cdn | Rede de Entrega de Conteúdos do Azure | Não protegido |
| Microsoft.Caos | Engenharia do Caos da Azure | Protegido |
| Microsoft.CognitiveServices | APIs e contêineres de serviços de IA do Azure | Protegido |
| Microsoft.Comunicação | Azure Communication Services | Não protegido |
| Microsoft.Compute | Máquinas Virtuais do Azure | Protegido |
| Microsoft.ContainerInstance | Azure Container Instances | Protegido |
| Microsoft.ContainerRegistry | Azure Container Registry | Protegido |
| Serviço de Contentores da Microsoft | Serviço Kubernetes do Azure (preterido) | Protegido |
| Microsoft.Dashboard | Dashboards do Microsoft Azure | Protegido |
| Microsoft.DatabaseWatcher | Otimização Automática da Base de Dados SQL do Azure | Protegido |
| Microsoft.DataBox | Azure Data Box | Protegido |
| Microsoft.Databricks | Azure Databricks | Não protegido |
| Microsoft.DataCollaboration | Azure Data Share | Protegido |
| Microsoft.Datadog | Datadog | Protegido |
| Microsoft.DataFactory | Azure Data Factory | Protegido |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 e Gen2 | Não protegido |
| Microsoft.Proteção de Dados | API de proteção de dados do Microsoft Defender for Cloud Apps | Protegido |
| Microsoft.DBforMySQL | Base de Dados do Azure para MySQL | Protegido |
| Microsoft.DBforPostgreSQL | Base de Dados do Azure para PostgreSQL | Protegido |
| Microsoft.DelegatedNetwork | Serviço de Gerenciamento de Rede Delegado | Protegido |
| Microsoft.DevCenter | Microsoft Store para Empresas e Educação | Protegido |
| Microsoft.Dispositivos | Azure IoT Hub e IoT Central | Não protegido |
| Microsoft.DeviceUpdate | Atualização de dispositivo do Windows 10 IoT Core Services | Protegido |
| Microsoft.DevTestLab | Azure DevTest Labs | Protegido |
| Microsoft.DigitalTwins | Azure Digital Twins | Protegido |
| Microsoft DocumentDB | Azure Cosmos DB | Protegido |
| Microsoft.EventGrid | Azure Event Grid | Protegido |
| Microsoft.EventHub | Hubs de Eventos do Azure | Protegido |
| Microsoft.HealthBot | Serviço de Bot de Saúde | Protegido |
| Microsoft.HealthcareApis | API FHIR para soluções de API do Azure para FHIR e Microsoft Cloud for Healthcare | Protegido |
| Microsoft.HybridContainerService | Kubernetes com suporte pelo Azure Arc | Protegido |
| Microsoft.HybridNetwork | WAN Virtual do Azure | Protegido |
| Microsoft.Insights | Application Insights e Log Analytics | Não protegido |
| Microsoft.IoTCentral | IoT Central | Protegido |
| Microsoft.Kubernetes | Serviço Kubernetes do Azure (AKS) | Protegido |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Protegido |
| Microsoft.LoadTestService | Serviço de teste de carga do Visual Studio | Protegido |
| Microsoft.Logic | Azure Logic Apps | Protegido |
| Microsoft.Serviços de Aprendizagem Automática | Serviços de Aprendizado de Máquina no Azure | Protegido |
| Identidade gerida pela Microsoft | Identidades gerenciadas para recursos da Microsoft | Protegido |
| Microsoft.Mapas | Azure Maps | Protegido |
| Microsoft.Media | Serviços de Multimédia do Azure | Protegido |
| Microsoft.Migrate | Azure Migrate | Protegido |
| Microsoft.MixedReality | Serviços de realidade mista, incluindo renderização remota, âncoras espaciais e âncoras de objeto | Não protegido |
| Microsoft.NetApp | Azure NetApp Files | Protegido |
| Microsoft.Rede | Rede Virtual do Azure | Protegido |
| Microsoft.OpenEnergyPlatform | Plataforma de Energia Aberta (OEP) no Azure | Protegido |
| Microsoft.OperationalInsights | Registos do Azure Monitor | Protegido |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protegido |
| Microsoft.Purview | Microsoft Purview (anteriormente Catálogo de Dados do Azure) | Protegido |
| Microsoft.Quantum | Kit de Desenvolvimento Microsoft Quantum | Protegido |
| Microsoft.RecommendationsService | API de recomendações de serviços de IA do Azure | Protegido |
| Microsoft.RecoveryServices | Azure Site Recovery | Protegido |
| Microsoft.ResourceConnector | Azure Resource Connector (Conector de Recursos Azure) | Protegido |
| Microsoft.Scom | System Center Operations Manager | Protegido |
| Microsoft.Pesquisa | Azure Cognitive Search | Não protegido |
| Microsoft.Segurança | Microsoft Defender para a Cloud | Não protegido |
| Microsoft.SecurityDetonation | Serviço de Detonação do Microsoft Defender para Endpoint | Protegido |
| Microsoft.ServiceBus | Tópicos de domínio do serviço de mensagens do Service Bus e da Grade de Eventos | Protegido |
| Microsoft.ServiceFabric | Azure Service Fabric | Protegido |
| Microsoft.SignalRService | Azure SignalR Service | Protegido |
| Microsoft.Soluções | Soluções do Azure | Protegido |
| Microsoft.Sql | SQL Server em máquinas virtuais e instância gerenciada SQL no Azure | Protegido |
| Microsoft.Armazenamento | Armazenamento do Azure | Protegido |
| Microsoft.StorageCache | Cache de Armazenamento do Azure | Protegido |
| Microsoft.StorageSync | Azure File Sync | Protegido |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Não protegido |
| Microsoft.Sinapse | Synapse Analytics (anteriormente SQL DW) e Synapse Studio (anteriormente SQL DW Studio) | Protegido |
| Microsoft.UsageBilling | Portal de Utilização e Faturação do Azure | Não protegido |
| Microsoft.VideoIndexer | Video Indexer | Protegido |
| Microsoft.Serviços de Voz | Serviços de Comunicação do Azure - APIs de voz | Não protegido |
| Microsoft.Web | Aplicações Web | Protegido |