世界各地的組織每周 7 天、每天 24 小時都依賴 Microsoft Entra 驗證對使用者和服務的高可用性。 我們承諾提供 99.99% 服務等級的可用性來進行驗證,並持續尋求透過增強驗證服務的復原能力來改善它。 為了進一步改善中斷期間的復原能力,我們在 2021 年實作了備份系統。
Microsoft Entra 備份驗證系統是由多個備份服務所組成,這些服務會一起運作,以在發生中斷時提高驗證復原能力。 如果主要的 Microsoft Entra 服務無法使用或已降級,此系統就會以透明方式自動處理對所支援應用程式和服務的驗證。 其會在現有備援的多個層級之上新增額外的復原層。 此復原能力的說明請見下列部落格文章:在 Microsoft Entra ID 中使用其備份驗證服務提高服務復原能力 (英文)。 當系統狀況良好時,此系統會同步驗證中繼資料,以便於主要服務故障期間讓使用者繼續存取應用程式,同時確保政策控制。
在主要服務中斷期間,使用者能夠繼續使用其應用程式,只要使用者已在過去三天內從相同裝置存取其應用程式,且不存在任何會限制其存取的封鎖原則:
除了 Microsoft 應用程式,我們還支援:
- iOS 和 Android 上的原生電子郵件用戶端。
- 應用程式資源庫中提供的軟體即服務 (SaaS) 應用程式,例如 ADP、Atlassian、AWS、GoToMeeting、Kronos、Marketo、SAP、Trello、Workday 等等。
- 根據其驗證模式挑選的企業業務應用程式。
服務對服務驗證,依賴 Azure 資源的受控識別,或建置在 Azure 服務上,從備份驗證系統接收增強的復原能力。
Microsoft 會持續擴充支援案例的數目。
支援哪些非 Microsoft 工作負載?
備份驗證系統會根據其驗證模式,自動為數萬個支援的非 Microsoft 應用程式提供累加的復原能力。 如需最常見的非 Microsoft 應用程式及其涵蓋範圍狀態清單,請參閱附錄。 如需支援哪些驗證模式的深入說明,請參閱了解備份驗證系統的應用程式支援一文。
- 使用 Open Authorization (OAuth) 2.0 通訊協定來存取資源應用程式的原生應用程式,例如,熱門的非 Microsoft 電子郵件和 IM 用戶端,例如:Apple Mail、Aqua Mail、Gmail、Samsung Email 和 Spark。
- 設定為僅使用識別碼權杖來向 OpenID Connect 進行驗證的企業營運 Web 應用程式。
- 在設定為由 IDP 起始的單一登入 (SSO) 時,使用安全性聲明標記語言 (SAML) 通訊協定進行驗證的 Web 應用程式,例如:ADP、Atlassian Cloud、AWS、GoToMeeting、Kronos、Marketo、Palo Alto Networks、SAP Cloud Identity Services、Trello、Workday 和 Zscaler。
未受保護的非 Microsoft 應用程式類型
目前不支援下列驗證模式:
- 使用 OpenID Connect 進行驗證並要求存取權杖的 Web 應用程式
- 設定為由 SP 起始的 SSO 時,Web 應用程式使用 SAML 通訊協定進行驗證。
什麼讓使用者能夠得到備份驗證系統的支援?
在中斷期間,如果符合下列條件,使用者就能使用備份驗證系統進行驗證:
- 使用者已在過去三天內使用相同的應用程式和裝置成功進行驗證。
- 使用者不需要以互動方式進行驗證
- 使用者正以主租用戶的成員身分存取資源,而不是在練習 B2B 或 B2C 案例。
- 使用者不會受限於限制備份驗證系統的條件式存取原則,例如停用復原預設值。
- 使用者尚未遭遇撤銷事件,例如自上次成功驗證後的憑證更改。
互動式驗證和使用者活動會對復原能力產生何種影響?
備份驗證系統依賴先前驗證的中繼資料,以便在中斷期間重新驗證使用者。 在過去三天內,用戶必須使用相同裝置上的相同應用程式進行驗證,備份服務才能生效。 非使用中或尚未對指定應用程式進行驗證的使用者,無法針對該應用程式使用備份驗證系統。
條件式存取原則會對復原能力產生何種影響?
備份驗證系統無法即時評估特定原則,而且必須依賴這些原則進行先前的評估。 在中斷狀況下,服務預設會使用先前的評估,將復原能力提高至最大限度。 例如,使用者擁有特定角色(例如應用程式系統管理員)作為存取權條件的情況下,在系統中斷期間,將根據使用者在最近一次驗證中擁有的角色繼續存取權。 如果需要限制僅在中斷時使用先前的評估,租用戶系統管理員就能透過停用復原預設值,來選擇對所有條件式存取原則進行嚴格評估,即使在中斷狀況下也一樣。 您應該謹慎進行此決策,因為針對指定的原則停用復原預設值會使那些使用者無法使用備份驗證。 在發生中斷之前,必須重新啟用備援系統的復原預設值,才能確保其具備復原能力。
某些其他類型的原則不支援使用備份驗證系統。 使用下列原則會降低復原能力:
- 使用登入頻率控制作為條件式存取原則的一部分。
- 使用驗證方法原則。
- 使用傳統的條件式存取原則。
評估僅限報表的條件式存取原則
如果備份驗證系統處理要求,則僅限報告的條件式存取原則會出現在該登入事件的 Entra ID>>的 [條件式存取] 索引標籤下,而不是 [僅限報告] 索引標籤中。請注意,即使在此檢視中,也永遠不會強制執行以僅限報告模式設定的原則。 若要查看代幣是否透過租用戶內的備援驗證系統發行,您可以使用登入記錄。 在 Entra ID>監控和健康情況>登入記錄中,新增篩選條件 Token issuer type == Microsoft Entra Backup Auth 以顯示備份驗證系統所處理的記錄。
憑證撤銷和備份驗證系統
為了增強其復原狀態,備份驗證系統無法執行新的撤銷檢查。 相反地,該系統依賴於上次備份會話時執行的憑證撤銷清單(CRL)檢查結果。 如果您需要在此備份到期之前撤銷,您應該明確撤銷工作階段,而不是等待 CRL。
備份驗證系統中的工作負載身分識別復原能力
除了使用者驗證,備份驗證系統還會透過提供與主要驗證服務重複分層的區域隔離驗證服務,來提供受控識別和其他主要 Azure 基礎結構的復原能力。 此系統能使 Azure 區域內的基礎結構驗證具備抵禦能力,從而免受其他區域或較大型 Microsoft Entra 服務中可能出現的問題的影響。 此系統可補充 Azure 的跨區域架構。 使用 MI 建置您自己的應用程式,並遵循 Azure 的復原能力和可用性的最佳做法,可確保您的應用程式具有高度復原性。 除了 MI,此區域復原備份系統也會保護重要的 Azure 基礎結構和服務,讓雲端能夠正常運作。
基礎結構驗證支援的摘要
- 使用受控識別建置於 Azure 基礎結構之上的服務會受到備份驗證系統所保護。
- 相互驗證的 Azure 服務會受到備份驗證系統所保護。
- 當身分識別註冊為服務主體而非「受控識別」時,備份驗證系統不會保護在 Azure 之上或之外建置的服務。
支援備份驗證系統的雲端環境
除了由世紀互聯提供的 Microsoft Azure 以外,所有雲端環境中都支援備份驗證系統。 支援的身分識別類型會因雲端而異,而且有不同的驗證端點,如下表所述。
| Azure 環境 | Microsoft 365 環境 | 受保護的身分識別 | Microsoft Entra 驗證端點 |
|---|---|---|---|
| Azure 商業版 | 商業版和 M365 政府版 | 使用者和受控識別 | https://login.microsoftonline.com |
| Azure Government | M365 GCC High 和 DoD | 使用者和受控識別 | https://login.microsoftonline.us |
| Azure Government Secret | M365 政府秘密 | 使用者和受控識別 | 不可用 |
| Azure Government Top Secret | M365 政府最高機密 | 使用者和受控識別 | 不可用 |
| 由 21Vianet 營運的 Azure | 不可用 | 受控識別 | https://login.partner.microsoftonline.cn |
附錄
熱門的非 Microsoft 原生用戶端應用程式和應用程式資源庫應用程式
| 應用程式名稱 | 受保護 | 為什麼不受保護? |
|---|---|---|
| ABBYY FlexiCapture 12 | 不 | 由 SAML SP 起始 |
| Adobe Experience Manager | 不 | 由 SAML SP 起始 |
| Adobe Identity Management (OIDC) | 不 | 具有存取權杖的 OIDC |
| ADP | 是的 | 受保護 |
| 蘋果商務管理 | 不 | 由 SAML SP 起始 |
| Apple 網際網路帳戶 | 是的 | 受保護 |
| Apple 學校管理系統 | 不 | 具有存取權杖的 OIDC |
| 青色郵件 | 是的 | 受保護 |
| Atlassian Cloud | 是* | 受保護 |
| Blackboard 學習系統 | 不 | 由 SAML SP 起始 |
| 盒子 | 不 | 由 SAML SP 起始 |
| Desire2Learn 的 Brightspace | 不 | 由 SAML SP 起始 |
| 畫布 | 不 | 由 SAML SP 起始 |
| Ceridian Dayforce HCM (人力資源管理系統) | 不 | 由 SAML SP 起始 |
| 思科AnyConnect | 不 | 由 SAML SP 起始 |
| Cisco Webex | 不 | 由 SAML SP 起始 |
| 適用於 Azure AD 的 Citrix ADC SAML 連接器 | 不 | 由 SAML SP 起始 |
| 聰明 | 不 | 由 SAML SP 起始 |
| 雲端硬碟映射器 | 是的 | 受保護 |
| Cornerstone 單一登入 | 不 | 由 SAML SP 起始 |
| Docusign (電子簽署) | 不 | 由 SAML SP 起始 |
| Druva | 不 | 由 SAML SP 起始 |
| F5 BIG-IP APM Azure AD 整合 | 不 | 由 SAML SP 起始 |
| FortiGate SSL VPN | 不 | 由 SAML SP 起始 |
| Freshworks | 不 | 由 SAML SP 起始 |
| Gmail | 是的 | 受保護 |
| Microsoft 的 Google Cloud / G Suite 連接器 | 不 | 由 SAML SP 起始 |
| HubSpot 銷售 | 不 | 由 SAML SP 起始 |
| Kronos | 是* | 受保護 |
| 馬德拉薩提應用程式 | 不 | 由 SAML SP 起始 |
| OpenAthens | 不 | 由 SAML SP 起始 |
| Oracle Fusion ERP | 不 | 由 SAML SP 起始 |
| 帕洛阿爾托網絡 - GlobalProtect | 不 | 由 SAML SP 起始 |
| Polycom - 商務用 Skype 認證電話 | 是的 | 受保護 |
| Salesforce | 不 | 由 SAML SP 起始 |
| 三星電子郵件 | 是的 | 受保護 |
| SAP Cloud Platform 身分驗證 | 不 | 由 SAML SP 起始 |
| SAP Concur (差旅和費用管理解決方案) | 是* | 由 SAML SP 起始 |
| SAP Concur 差旅及費用 | 是* | 受保護 |
| SAP Fiori | 不 | 由 SAML SP 起始 |
| SAP NetWeaver | 不 | 由 SAML SP 起始 |
| SAP 成功因素 | 不 | 由 SAML SP 起始 |
| 立即服務 | 不 | 由 SAML SP 起始 |
| Slack | 不 | 由 SAML SP 起始 |
| Smartsheet | 不 | 由 SAML SP 起始 |
| Spark | 是的 | 受保護 |
| UKG專業版 | 是* | 受保護 |
| VMware 拳擊手 | 是的 | 受保護 |
| walkMe | 不 | 由 SAML SP 起始 |
| Workday | 不 | 由 SAML SP 起始 |
| 來自 Facebook 的工作場所 | 不 | 由 SAML SP 起始 |
| 縮放 | 不 | 由 SAML SP 起始 |
| Zscaler | 是* | 受保護 |
| Zscaler Private Access (ZPA) | 不 | 由 SAML SP 起始 |
| Zscaler ZSCloud | 不 | 由 SAML SP 起始 |
注意
* 設定為使用 SAML 通訊協定進行驗證的應用程式,在使用由 IDP 起始的驗證時會受到保護。 不支援由服務提供者 (SP) 起始的 SAML 設定
Azure 資源及其狀態
| 資源 | Azure 資源名稱 | 狀態 |
|---|---|---|
| Microsoft.ApiManagement | Azure Government 和中國區域中的 API 管理服務 | 受保護 |
| microsoft.app | App Service | 受保護 |
| Microsoft.AppConfiguration | Azure 應用程式組態 | 受保護 |
| Microsoft.AppPlatform | Azure App Service | 受保護 |
| Microsoft.Authorization | Microsoft Entra ID | 受保護 |
| Microsoft.Automation | 自動化服務 | 受保護 |
| Microsoft.AVX | Azure VMware 解決方案 | 受保護 |
| Microsoft.Batch | Azure Batch | 受保護 |
| Microsoft.Cache | Azure Cache for Redis | 受保護 |
| Microsoft.Cdn | Azure 內容傳遞網路 | 未受保護 |
| Microsoft.Chaos | Azure 混沌工程 | 受保護 |
| Microsoft.CognitiveServices | Azure AI 服務 API 和容器 | 受保護 |
| Microsoft 通訊 (Microsoft.Communication) | Azure 通訊服務 | 未受保護 |
| Microsoft.Compute | Azure 虛擬機器 | 受保護 |
| Microsoft.ContainerInstance | Azure 容器執行個體 | 受保護 |
| Microsoft.ContainerRegistry | Azure Container Registry | 受保護 |
| Microsoft.ContainerService(微軟容器服務) | Azure Kubernetes Service (已淘汰) | 受保護 |
| Microsoft.Dashboard | Azure 儀表板 | 受保護 |
| Microsoft.DatabaseWatcher | Azure SQL Database 自動微調 | 受保護 |
| Microsoft.DataBox | Azure 資料箱 | 受保護 |
| Microsoft.Databricks | Azure Databricks | 未受保護 |
| Microsoft.DataCollaboration | Azure Data Share | 受保護 |
| Microsoft.Datadog | 數據狗 | 受保護 |
| Microsoft.DataFactory | Azure Data Factory | 受保護 |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 和 Gen2 | 未受保護 |
| Microsoft.DataProtection | Microsoft Defender for Cloud Apps 資料保護 API | 受保護 |
| Microsoft.DBforMySQL | 適用於 MySQL 的 Azure 資料庫 | 受保護 |
| Microsoft.DBforPostgreSQL | 適用於 PostgreSQL 的 Azure 資料庫 | 受保護 |
| Microsoft.DelegatedNetwork | 委派的網路管理服務 | 受保護 |
| Microsoft.DevCenter | 商務和教育使用的 Microsoft Store | 受保護 |
| Microsoft.Devices | Azure IoT 中樞和 IoT Central | 未受保護 |
| Microsoft.DeviceUpdate | Windows 10 IoT 核心版服務裝置更新 | 受保護 |
| Microsoft.DevTestLab | Azure DevTest Labs | 受保護 |
| Microsoft.DigitalTwins | Azure Digital Twins | 受保護 |
| Microsoft.DocumentDB | Azure Cosmos DB | 受保護 |
| Microsoft.EventGrid | Azure 事件方格 | 受保護 |
| Microsoft.EventHub | Azure 事件中樞 | 受保護 |
| Microsoft.HealthBot | Health Bot 服務 | 受保護 |
| Microsoft.HealthcareApis | 適用於 Azure API for FHIR 的 FHIR API,以及 Microsoft Cloud for Healthcare 解決方案的相關應用 | 受保護 |
| Microsoft.HybridContainerService | 已啟用 Azure Arc 的 Kubernetes | 受保護 |
| Microsoft.HybridNetwork | Azure Virtual WAN | 受保護 |
| Microsoft.Insights | Application Insights 與 Log Analytics | 未受保護 |
| Microsoft.IoTCentral | IoT Central | 受保護 |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | 受保護 |
| Microsoft.Kusto | Azure 資料總管 (Kusto) | 受保護 |
| Microsoft.LoadTestService | Visual Studio 負載測試服務 | 受保護 |
| Microsoft.Logic | Azure Logic Apps | 受保護 |
| Microsoft.MachineLearningServices | Azure 上的機器學習服務 | 受保護 |
| Microsoft 受控識別 | 適用於 Microsoft 資源的受控識別 | 受保護 |
| Microsoft.Maps | Azure Maps | 受保護 |
| Microsoft.Media | Azure 媒體服務 | 受保護 |
| Microsoft.Migrate | Azure Migrate | 受保護 |
| Microsoft.MixedReality | 混合實境服務,包括遠端渲染、空間錨點和物件錨點 | 未受保護 |
| Microsoft.NetApp | Azure NetApp Files | 受保護 |
| Microsoft.Network | Azure 虛擬網路 | 受保護 |
| Microsoft.OpenEnergyPlatform | Azure 上的 Open Energy Platform (OEP) | 受保護 |
| Microsoft.OperationalInsights | Azure 監視器記錄 | 受保護 |
| Microsoft.PowerPlatform | Microsoft Power Platform | 受保護 |
| Microsoft.Purview | Microsoft Purview (先前稱為 Azure 資料目錄) | 受保護 |
| Microsoft.Quantum | Microsoft Quantum 開發工具包 | 受保護 |
| Microsoft.RecommendationsService | Azure AI 服務建議 API | 受保護 |
| Microsoft.RecoveryServices | Azure Site Recovery | 受保護 |
| Microsoft.ResourceConnector | Azure 資源連接器 | 受保護 |
| Microsoft.Scom | System Center Operations Manager | 受保護 |
| Microsoft 搜尋 | Azure 認知搜尋 | 未受保護 |
| Microsoft.Security | 適用於雲端的 Microsoft Defender | 未受保護 |
| Microsoft.SecurityDetonation | 適用於端點的 Microsoft Defender 引爆服務 | 受保護 |
| Microsoft.ServiceBus | 服務匯流排傳訊服務和事件方格網域主題 | 受保護 |
| Microsoft.ServiceFabric | Azure Service Fabric | 受保護 |
| Microsoft.SignalRService | Azure SignalR Service | 受保護 |
| Microsoft.Solutions | Azure 解決方案 | 受保護 |
| Microsoft.Sql | 虛擬機器上的 SQL Server 和 Azure 上的 SQL 受控執行個體 | 受保護 |
| Microsoft 儲存服務 | Azure 儲存體 | 受保護 |
| Microsoft.StorageCache | Azure 儲存體快取 | 受保護 |
| Microsoft.StorageSync | Azure 檔案同步 | 受保護 |
| Microsoft.StreamAnalytics | Azure 串流分析 | 未受保護 |
| Microsoft.Synapse | Synapse Analytics (先前稱為 SQL DW) 和 Synapse Studio (先前稱為 SQL DW Studio) | 受保護 |
| Microsoft.UsageBilling | Azure 使用量和計費入口網站 | 未受保護 |
| Microsoft.VideoIndexer | Video Indexer | 受保護 |
| Microsoft.VoiceServices | Azure 通訊服務 - 語音 API | 未受保護 |
| microsoft.web | Web Apps | 受保護 |