Système d’authentification de sauvegarde de Microsoft Entra ID
Les organisations du monde entier dépendent de la haute disponibilité de l’authentification de Microsoft Entra des utilisateurs et des services 24 heures sur 24, sept jours sur sept. Nous promettons une disponibilité de niveau de service de 99,99 % de l’authentification, et nous cherchons continuellement à l’améliorer en renforçant la résilience de notre service d’authentification. Pour améliorer davantage la résilience lors des pannes, nous avons implémenté en 2021un système de sauvegarde.
Le système d’authentification de sauvegarde de Microsoft Entra est constitué de plusieurs services de sauvegarde qui fonctionnent ensemble pour augmenter la résilience de l’authentification en cas de panne. Ce système gère de manière transparente et automatique les authentifications des applications et services pris en charge si le service Microsoft Entra principal n’est pas disponible ou est détérioré. Il ajoute une couche supplémentaire de résilience au-dessus des différents niveaux de redondance existante. Cette résilience est décrite dans le billet de blog Avancement de la résilience du service dans Microsoft Entra ID avec son service d’authentification de sauvegarde. Ce système synchronise les métadonnées d’authentification lorsque le système est sain et les utilise pour permettre aux utilisateurs de continuer à accéder aux applications pendant les pannes du service principal tout en appliquant des contrôles de stratégie.
Lors d’une panne du service principal, les utilisateurs peuvent continuer à utiliser leurs applications, s’ils y ont accédé au cours des trois derniers jours depuis le même appareil, et s’il n’existe aucune stratégie de blocage qui limiterait leur accès :
En plus des applications Microsoft, nous prenons en charge les applications suivantes :
- Clients natifs de messagerie sur iOS et Android.
- Applications SaaS (software as a service) disponibles dans la galerie d’applications, comme ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday, etc.
- Applications métier sélectionnées, en fonction de leurs modèles d’authentification.
L’authentification de service à service qui s’appuie sur des identités managées pour les ressources Azure ou qui repose sur des services Azure, tels que des machines virtuelles, le stockage cloud, les services Azure AI et App Services, reçoit une résilience accrue de la part du système d’authentification de secours.
Microsoft augmente continuellement le nombre de scénarios pris en charge.
Quelles charges de travail non-Microsoft sont prises en charge ?
Le système d’authentification de sauvegarde fournit automatiquement une résilience incrémentielle à des dizaines de milliers d’applications non-Microsoft prises en charge en fonction de leurs modèles d’authentification. Consultez l’annexe pour obtenir une liste des plus courantes applications non Microsoft et l’état de leur couverture. Pour une explication détaillée des modèles d’authentification pris en charge, consultez l’article Compréhension de la prise en charge des applications par le système d’authentification de sauvegarde.
- Applications natives utilisant le protocole OAuth (Open Authorization) 2.0 pour accéder aux applications de ressources, telles que les clients populaires de messagerie électronique et de messagerie instantanée non Microsoft comme Apple Mail, Aqua Mail, Gmail, Samsung Email et Spark.
- Applications web métier configurées pour s’authentifier avec OpenID Connect à l’aide de jetons d’ID uniquement.
- Applications web s’authentifiant avec le protocole SAML (Security Assertion Markup Language), lorsqu’elles sont configurées pour une authentification unique lancée par le fournisseur d’identité, telles que ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday et Zscaler.
Types d’applications non-Microsoft non protégés
Les modèles d’authentification suivants ne sont pas pris en charge :
- Applications web qui s’authentifient à l’aide d’Open ID Connect et qui requièrent des jetons d’accès
- Applications web qui utilisent le protocole SAML pour une authentification, lorsqu’elles sont configurées pour une authentification unique initiée par le fournisseur de services
Dans quels cas un utilisateur est-il pris en charge par le système d’authentification de sauvegarde ?
Lors d’une panne, un utilisateur peut s’authentifier à l’aide du système d’authentification de sauvegarde si les conditions suivantes sont remplies :
- L’utilisateur s’est correctement authentifié à l’aide de la même application et du même appareil au cours des trois derniers jours.
- L’utilisateur n’est pas tenu de s’authentifier de manière interactive
- L’utilisateur accède à une ressource en tant que membre de son locataire de base, plutôt qu’en exerçant un scénario B2B ou B2C.
- L’utilisateur n’est pas soumis à des stratégies d’accès conditionnel qui limitent le système d’authentification de sauvegarde, comme la désactivation des paramètres de résilience par défaut.
- L’utilisateur n’a pas été soumis à un événement de révocation, tel qu’une modification des informations d’identification depuis sa dernière authentification réussie.
Comment l’authentification interactive et l’activité de l’utilisateur affectent-elles la résilience ?
Le système d’authentification de sauvegarde repose sur les métadonnées d’une authentification antérieure pour réauthentifier l’utilisateur lors d’une panne. Pour cette raison, un utilisateur doit s’être authentifié au cours des trois derniers jours à l’aide de la même application sur le même appareil pour que le service de sauvegarde soit efficace. Les utilisateurs inactifs ou qui ne se sont pas authentifiés auprès d’une application donnée ne peuvent pas utiliser le système d’authentification de sauvegarde pour cette application.
Comment les stratégies d’accès conditionnel affectent-elles la résilience ?
Certaines stratégies ne peuvent pas être évaluées en temps réel par le système d’authentification de sauvegarde et doivent s’appuyer sur des évaluations antérieures de ces stratégies. En cas de panne, le service utilise une évaluation antérieure par défaut pour optimiser la résilience. Par exemple, un accès conditionné à un utilisateur disposant d’un rôle particulier (comme administrateur d’application) se poursuit pendant une panne en fonction du rôle que l’utilisateur a eu lors de cette dernière authentification. Si l’utilisation en panne uniquement d’une évaluation précédente doit être limitée, les administrateurs de locataire peuvent choisir une évaluation stricte de toutes les stratégies d’accès conditionnel, même en cas de panne, en désactivant les paramètres de résilience par défaut. Cette décision doit être prise avec précaution, car la désactivation des valeurs de résilience par défaut d’une stratégie donnée empêche ces utilisateurs d’utiliser l’authentification de sauvegarde. Les paramètres de résilience par défaut doivent être réactivés avant qu’une panne ne se produise pour que le système de secours assure la résilience.
Certains autres types de stratégies ne prennent pas en charge l’utilisation du système d’authentification de sauvegarde. L’utilisation des stratégies suivantes réduit la résilience :
- Utilisation du contrôle de fréquence de connexion dans le cadre d’une stratégie d’accès conditionnel.
- Utilisation de la stratégie des méthodes d’authentification.
- Utilisation des stratégies d’accès conditionnel classiques.
Résilience des identités de charge de travail dans le système d’authentification de sauvegarde
En plus de l’authentification utilisateur, le système d’authentification de sauvegarde assure la résilience des identités managées et d’autres infrastructures clés Azure en offrant un service d’authentification isolé régionalement redondant avec le service d’authentification principal. Ce système permet à l’authentification d’infrastructure au sein d’une région Azure d’être résiliente aux problèmes qui peuvent se produire dans une autre région ou dans le service Microsoft Entra plus large. Ce système complète l’architecture inter-région d’Azure. La création de vos propres applications à l’aide de MI et le respect des meilleures pratiques en matière de résilience et de disponibilité d’Azure garantissent que vos applications sont hautement résilientes. En plus de MI, ce système de sauvegarde résilient au niveau régional protège l’infrastructure et les services clés Azure qui maintiennent le cloud fonctionnel.
Résumé de la prise en charge de l’authentification de l’infrastructure
- Vos services basés sur l’infrastructure Azure utilisant des identités managées sont protégés par le système d’authentification de sauvegarde.
- Les services Azure qui s’authentifient entre eux sont protégés par le système d’authentification de sauvegarde.
- Vos services basés ou non sur Azure dont les identités sont inscrites en tant que principaux de service et non en tant qu’« identités managées » ne sont pas protégés par le système d’authentification de secours.
Environnements cloud qui prennent en charge le système d’authentification de sauvegarde
Le système d’authentification de sauvegarde est pris en charge dans tous les environnements cloud, à l’exception de Microsoft Azure géré par 21Vianet. Les types d’identités pris en charge varient selon le cloud, comme décrit dans le tableau suivant.
| Environnement Azure | Identités protégées |
|---|---|
| Azure Commercial | Les utilisateurs et les identités managées |
| Azure Government | Les utilisateurs et les identités managées |
| Azure Government Secret | Identités managées |
| Azure Government Top Secret | Identités managées |
| Azure géré par 21Vianet | Non disponible |
Annexe
Applications clientes natives non-Microsoft populaires et applications de galerie d’applications
| Nom de l'application | Protected | Pourquoi non protégée ? |
|---|---|---|
| ABBYY FlexiCapture 12 | No | Initiée par le fournisseur de services SAML |
| Adobe Experience Manager | No | Initiée par le fournisseur de services SAML |
| Adobe Identity Management (OIDC) | No | OIDC avec jeton d’accès |
| ADP | Yes | Protected |
| Apple Business Manager | No | Initiée par le fournisseur de services SAML |
| Comptes Internet Apple | Yes | Protected |
| Apple School Manager | No | OIDC avec jeton d’accès |
| Aqua Mail | Yes | Protected |
| Atlassian Cloud | Oui * | Protected |
| Blackboard Learn | No | Initiée par le fournisseur de services SAML |
| Box | No | Initiée par le fournisseur de services SAML |
| Brightspace by Desire2Leam | No | Initiée par le fournisseur de services SAML |
| Canevas | No | Initiée par le fournisseur de services SAML |
| Ceridian Dayforce HCM | No | Initiée par le fournisseur de services SAML |
| Cisco AnyConnect | No | Initiée par le fournisseur de services SAML |
| Cisco Webex | No | Initiée par le fournisseur de services SAML |
| Citrix ADC SAML Connector for Azure AD | Non | Initiée par le fournisseur de services SAML |
| Clever | No | Initiée par le fournisseur de services SAML |
| Mappeur Cloud Drive | Yes | Protected |
| Authentification unique Cornerstone | No | Initiée par le fournisseur de services SAML |
| Docusign | No | Initiée par le fournisseur de services SAML |
| Druva | No | Initiée par le fournisseur de services SAML |
| Intégration Azure AD F5 BIG-IP APM | Non | Initiée par le fournisseur de services SAML |
| FortiGate SSL VPN | No | Initiée par le fournisseur de services SAML |
| Freshworks | No | Initiée par le fournisseur de services SAML |
| Gmail | Yes | Protected |
| Google Cloud / Connecteur G Suite par Microsoft | No | Initiée par le fournisseur de services SAML |
| Ventes HubSpot | No | Initiée par le fournisseur de services SAML |
| Kronos | Oui * | Protected |
| Application Madrasati | No | Initiée par le fournisseur de services SAML |
| OpenAthens | No | Initiée par le fournisseur de services SAML |
| Oracle Fusion ERP | No | Initiée par le fournisseur de services SAML |
| Palo Alto Networks - GlobalProtect | No | Initiée par le fournisseur de services SAML |
| Polycom - Téléphone certifié Skype Entreprise | Yes | Protected |
| Salesforce | No | Initiée par le fournisseur de services SAML |
| Samsung Email | Yes | Protected |
| SAP Cloud Platform Identity Authentication | No | Initiée par le fournisseur de services SAML |
| SAP Concur | Oui * | Initiée par le fournisseur de services SAML |
| SAP Concur Travel and Expense | Oui * | Protected |
| SAP Fiori | No | Initiée par le fournisseur de services SAML |
| SAP NetWeaver | No | Initiée par le fournisseur de services SAML |
| SAP SuccessFactors | No | Initiée par le fournisseur de services SAML |
| ServiceNow | No | Initiée par le fournisseur de services SAML |
| Slack | No | Initiée par le fournisseur de services SAML |
| Smartsheet | Non | Initiée par le fournisseur de services SAML |
| Spark | Oui | Protected |
| UKG pro | Oui * | Protected |
| VMware Boxer | Yes | Protected |
| walkMe | No | Initiée par le fournisseur de services SAML |
| Workday | No | Initiée par le fournisseur de services SAML |
| Workplace de Facebook | No | Initiée par le fournisseur de services SAML |
| Zoom | No | Initiée par le fournisseur de services SAML |
| Zscaler | Oui * | Protected |
| Zscaler Private Access (ZPA) | No | Initiée par le fournisseur de services SAML |
| Zscaler ZSCloud | No | Initiée par le fournisseur de services SAML |
Notes
* Les applications configurées pour s’authentifier avec le protocole SAML sont protégées lors de l’utilisation d’une authentification initiée par le fournisseur d’identité. Les configurations SAML initiées par le fournisseur de services (SP) ne sont pas prises en charge
Ressources Azure et leur état
| resource | Nom de la ressource Azure | Statut |
|---|---|---|
| Microsoft.ApiManagement | Service de gestion des API dans les régions Azure Government et Chine | Protected |
| microsoft.app | App Service | Protected |
| Microsoft.AppConfiguration | Azure App Configuration | Protected |
| Microsoft.AppPlatform | Azure App Service | Protected |
| Microsoft.Authorization | Microsoft Entra ID | Protected |
| Microsoft.Automation | Service Automation | Protected |
| Microsoft.AVX | Azure VMware Solution | Protected |
| Microsoft.Batch | Azure Batch | Protected |
| Microsoft.Cache | Cache Azure pour Redis | Protected |
| Microsoft.Cdn | Azure Content Delivery Network | Non protégé |
| Microsoft.Chaos | Ingénierie du chaos Azure | Protected |
| Microsoft.CognitiveServices | API et conteneurs Azure AI services | Protected |
| Microsoft.Communication | Azure Communication Services | Non protégé |
| Microsoft.Compute | Machines virtuelles Azure | Protected |
| Microsoft.ContainerInstance | Azure Container Instances | Protected |
| Microsoft.ContainerRegistry | Azure Container Registry | Protected |
| Microsoft.ContainerService | Azure Kubernetes Service (déconseillé) | Protected |
| Microsoft.Dashboard | Tableaux de bord Azure | Protected |
| Microsoft.DatabaseWatcher | Réglage automatique d’Azure SQL Database | Protected |
| Microsoft.DataBox | Azure Data Box | Protected |
| Microsoft.Databricks | Azure Databricks | Non protégé |
| Microsoft.DataCollaboration | Azure Data Share | Protected |
| Microsoft.Datadog | Datadog | Protected |
| Microsoft.DataFactory | Azure Data Factory | Protected |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 et Gen2 | Non protégé |
| Microsoft.DataProtection | API de protection des données Microsoft Defender for Cloud Apps | Protected |
| Microsoft.DBforMySQL | Azure Database pour MySQL | Protected |
| Microsoft.DBforPostgreSQL | Azure Database pour PostgreSQL | Protected |
| Microsoft.DelegatedNetwork | Service de gestion d’un réseau délégué | Protected |
| Microsoft.DevCenter | Microsoft Store pour Entreprises et Éducation | Protected |
| Microsoft.Devices | Azure IoT Hub et IoT Central | Non protégé |
| Microsoft.DeviceUpdate | Mise à jour de l’appareil Windows 10 IoT Core Services | Protected |
| Microsoft.DevTestLab | Azure DevTest Labs | Protected |
| Microsoft.DigitalTwins | Azure Digital Twins | Protected |
| Microsoft.DocumentDB | Azure Cosmos DB | Protected |
| Microsoft.EventGrid | Azure Event Grid | Protected |
| Microsoft.EventHub | Hubs d'événements Azure | Protected |
| Microsoft.HealthBot | Service Health Bot | Protected |
| Microsoft.HealthcareApis | API FHIR pour l’API Azure for FHIR et solutions Microsoft Cloud for Healthcare | Protected |
| Microsoft.HybridContainerService | Kubernetes compatible avec Azure Arc | Protected |
| Microsoft.HybridNetwork | Azure Virtual WAN | Protected |
| Microsoft.Insights | Application Insights et Log Analytics | Non protégé |
| Microsoft.IoTCentral | IoT Central | Protected |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Protected |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Protected |
| Microsoft.LoadTestService | Service de test de charge Visual Studio | Protected |
| Microsoft.Logic | Azure Logic Apps | Protected |
| Microsoft.MachineLearningServices | Machine Learning Services sur Azure | Protected |
| Microsoft.managed identity | Identités managées pour les ressources Microsoft | Protected |
| Microsoft.Maps | Azure Maps | Protected |
| Microsoft.Media | Azure Media Services | Protected |
| Microsoft.Migrate | Azure Migrate | Protected |
| Microsoft.MixedReality | Services Mixed Reality, y compris Remote Rendering, Spatial Anchors et Object Anchors | Non protégé |
| Microsoft.NetApp | Azure NetApp Files | Protected |
| Microsoft.Network | Réseau virtuel Azure | Protected |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) sur Azure | Protected |
| Microsoft.OperationalInsights | Journaux Azure Monitor | Protected |
| Microsoft.PowerPlatform | Plateforme Microsoft Power | Protected |
| Microsoft.Purview | Microsoft Purview (anciennement Azure Data Catalog) | Protected |
| Microsoft.Quantum | Kit de développement Microsoft Quantum | Protected |
| Microsoft.RecommendationsService | API de recommandations pour Azure AI services | Protected |
| Microsoft.RecoveryServices | Azure Site Recovery | Protected |
| Microsoft.ResourceConnector | Connecteur de ressources Azure | Protected |
| Microsoft.Scom | System Center Operations Manager | Protected |
| Microsoft.Search | Recherche cognitive Azure | Non protégé |
| Microsoft.Security | Microsoft Defender pour le cloud | Non protégé |
| Microsoft.SecurityDetonation | Service de détonation Microsoft Defender for Endpoint | Protected |
| Microsoft.ServiceBus | Rubriques sur le service de messagerie Service Bus et le domaine Event Grid | Protected |
| Microsoft.ServiceFabric | Azure Service Fabric | Protected |
| Microsoft.SignalRService | Service Azure SignalR | Protected |
| Microsoft.Solutions | Solutions Azure | Protected |
| Microsoft.Sql | SQL Server sur les machines virtuelles et SQL Managed Instance sur Azure | Protected |
| Microsoft.Storage | Stockage Azure | Protected |
| Microsoft.StorageCache | Cache de Stockage Azure | Protected |
| Microsoft.StorageSync | Azure File Sync | Protected |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Non protégé |
| Microsoft.Synapse | Synapse Analytics (anciennement SQL DW) et Synapse Studio (anciennement SQL DW Studio) | Protected |
| Microsoft.UsageBilling | Portail d’utilisation et de facturation Azure | Non protégé |
| Microsoft.VideoIndexer | Video Indexer | Protected |
| Microsoft.VoiceServices | Azure Communication Services - API Voice | Non protégé |
| microsoft.web | Web Apps | Protected |