Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Organisasi di seluruh dunia bergantung pada ketersediaan tinggi autentikasi Microsoft Entra untuk pengguna dan layanan 24 jam sehari, tujuh hari seminggu. Kami menjanjikan ketersediaan tingkat layanan 99,99% untuk autentikasi, dan kami terus berupaya meningkatkannya dengan meningkatkan ketahanan layanan autentikasi kami. Untuk lebih meningkatkan ketahanan selama pemadaman, kami menerapkan sistem pencadangan pada tahun 2021.
Sistem autentikasi cadangan Microsoft Entra terdiri dari beberapa layanan cadangan yang bekerja sama untuk meningkatkan ketahanan autentikasi jika ada pemadaman. Sistem ini secara transparan dan otomatis menangani autentikasi untuk aplikasi dan layanan yang didukung jika layanan Microsoft Entra utama tidak tersedia atau terdegradasi. Ini menambahkan lapisan ketahanan tambahan di atas beberapa tingkat redundansi yang ada. Ketahanan ini dijelaskan dalam posting blog berjudul Meningkatkan ketahanan layanan di Microsoft Entra ID dengan layanan autentikasi cadangan. Sistem ini menyinkronkan metadata autentikasi ketika sistem sehat dan menggunakannya untuk memungkinkan pengguna terus mengakses aplikasi selama pemadaman layanan utama sambil tetap memberlakukan kontrol kebijakan.
Selama pemadaman layanan utama, pengguna dapat terus bekerja dengan aplikasi mereka, selama mereka mengaksesnya dalam tiga hari terakhir dari perangkat yang sama, dan tidak ada kebijakan pemblokiran yang akan menguraikan akses mereka:
Selain aplikasi Microsoft, kami mendukung:
- Klien email asli di iOS dan Android.
- Aplikasi Software as a service (SaaS) yang tersedia di galeri aplikasi, seperti ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday, dan banyak lagi.
- Lini aplikasi bisnis yang dipilih, berdasarkan pola autentikasinya.
Autentikasi layanan ke layanan yang bergantung pada identitas terkelola untuk sumber daya Azure atau dibangun di layanan Azure menerima peningkatan ketahanan dari sistem autentikasi cadangan.
Microsoft terus memperluas jumlah skenario yang didukung.
Beban kerja non-Microsoft mana yang didukung?
Sistem autentikasi cadangan secara otomatis memberikan ketahanan inkremental terhadap puluhan ribu aplikasi non-Microsoft yang didukung berdasarkan pola autentikasinya. Lihat lampiran untuk daftar aplikasi non-Microsoft yang paling umum dan status cakupannya. Untuk penjelasan mendalam tentang pola autentikasi yang didukung, lihat artikel Memahami Dukungan Aplikasi untuk sistem autentikasi cadangan.
- Aplikasi asli yang menggunakan protokol Open Authorization (OAuth) 2.0 untuk mengakses aplikasi sumber daya, seperti email non-Microsoft dan klien IM populer seperti: Apple Mail, Aqua Mail, Gmail, Samsung Email, dan Spark.
- Aplikasi web lini bisnis yang dikonfigurasi untuk mengautentikasi dengan OpenID Connect hanya menggunakan token ID.
- Aplikasi web yang mengautentikasi dengan protokol Security Assertion Markup Language (SAML), ketika dikonfigurasi untuk single sign-on yang diinisiasi IDP seperti: ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday, dan Zscaler.
Jenis aplikasi non-Microsoft yang tidak dilindungi
Pola autentikasi berikut saat ini tidak didukung:
- Aplikasi web yang mengautentikasi menggunakan OpenID Connect dan meminta token akses
- Aplikasi web yang menggunakan protokol SAML untuk autentikasi, saat dikonfigurasi sebagai SSO yang diinisiasi oleh SP
Apa yang membuat pengguna dapat didukung oleh sistem autentikasi cadangan?
Selama pemadaman, pengguna dapat mengautentikasi menggunakan sistem autentikasi cadangan jika kondisi berikut terpenuhi:
- Pengguna berhasil diautentikasi menggunakan aplikasi dan perangkat yang sama dalam tiga hari terakhir.
- Pengguna tidak diperlukan untuk mengautentikasi secara interaktif
- Pengguna mengakses sumber daya sebagai anggota penyewa rumah mereka, daripada menggunakan skenario B2B atau B2C.
- Pengguna tidak tunduk pada kebijakan Akses Bersyarat yang membatasi sistem autentikasi cadangan, seperti menonaktifkan pengaturan ketahanan bawaan.
- Pengguna belum tunduk pada peristiwa pencabutan, seperti perubahan kredensial sejak autentikasi terakhir mereka yang berhasil.
Bagaimana autentikasi interaktif dan aktivitas pengguna memengaruhi ketahanan?
Sistem autentikasi cadangan bergantung pada metadata dari autentikasi sebelumnya untuk mengautentikasi ulang pengguna selama pemadaman. Pengguna harus mengautentikasi dalam tiga hari terakhir menggunakan aplikasi yang sama pada perangkat yang sama agar layanan cadangan efektif. Pengguna yang tidak aktif atau belum diautentikasi ke aplikasi tertentu tidak dapat menggunakan sistem autentikasi cadangan untuk aplikasi tersebut.
Bagaimana kebijakan Akses Kondisional berdampak pada ketahanan?
Kebijakan tertentu tidak dapat dievaluasi secara real time oleh sistem autentikasi cadangan dan harus mengandalkan evaluasi sebelumnya dari kebijakan ini. Dalam kondisi pemadaman, layanan menggunakan evaluasi sebelumnya secara default untuk memaksimalkan ketahanan. Misalnya, akses yang dikondisikan pada pengguna yang memiliki peran tertentu (seperti Administrator Aplikasi) berlanjut selama pemadaman berdasarkan peran yang dimiliki pengguna selama autentikasi terbaru tersebut. Jika penggunaan selama pemadaman dari evaluasi sebelumnya perlu dibatasi, administrator tenant dapat memilih evaluasi ketat dari semua kebijakan Akses Bersyarat, bahkan dalam kondisi pemadaman, dengan menonaktifkan pengaturan ketahanan bawaan. Keputusan ini harus diambil dengan hati-hati karena menonaktifkan pengaturan ketahanan standar untuk kebijakan tertentu mencegah pengguna tersebut untuk menggunakan autentikasi cadangan. Default pengaturan ketahanan harus diaktifkan ulang sebelum terjadi pemadaman agar sistem cadangan dapat memberikan ketahanan.
Jenis kebijakan tertentu yang lain tidak mendukung penggunaan sistem autentikasi cadangan. Penggunaan kebijakan berikut mengurangi ketahanan:
- Penggunaan kontrol frekuensi masuk sebagai bagian dari kebijakan Akses Bersyarat.
- Penggunaan kebijakan metode autentikasi.
- Penggunaan kebijakan Akses Bersyar klasik.
Evaluasi kebijakan Akses Bersyarat hanya laporan
Jika permintaan diproses oleh sistem autentikasi cadangan, kebijakan hanya-laporan Akses Bersyarat akan muncul di bawah tab
Pencabutan sertifikat dan sistem autentikasi cadangan
Untuk meningkatkan postur ketahanannya, sistem autentikasi cadangan tidak dapat melakukan pemeriksaan pencabutan baru. Sebaliknya, ini bergantung pada status pemeriksaan daftar pencabutan sertifikat (CRL) yang dilakukan ketika sesi terakhir dicadangkan. Jika Anda perlu mencabut sebelum cadangan ini kedaluwarsa, Anda harus secara eksplisit mencabut sesi alih-alih menunggu CRL.
Ketahanan identitas beban kerja dalam sistem autentikasi cadangan
Selain autentikasi pengguna, sistem autentikasi cadangan memberikan ketahanan untuk identitas terkelola dan infrastruktur kunci Azure lainnya dengan menyediakan layanan autentikasi yang terisolasi secara regional yang memiliki lapisan redundan dengan layanan autentikasi utama. Sistem ini memungkinkan autentikasi infrastruktur dalam wilayah Azure tahan terhadap masalah yang mungkin terjadi di wilayah lain atau dalam layanan Microsoft Entra yang lebih besar. Sistem ini melengkapi arsitektur lintas wilayah Azure. Membangun aplikasi Anda sendiri menggunakan MI dan mengikuti praktik terbaik Azure untuk ketahanan dan ketersediaan memastikan aplikasi Anda sangat tangguh. Selain MI, sistem pencadangan yang tangguh secara regional ini melindungi infrastruktur dan layanan Azure utama yang menjaga agar cloud tetap berfungsi.
Ringkasan dukungan autentikasi infrastruktur
- Layanan Anda yang dibangun di Azure Infrastructure menggunakan identitas terkelola dilindungi oleh sistem autentikasi cadangan.
- Layanan Azure yang mengautentikasi satu sama lain dilindungi oleh sistem autentikasi cadangan.
- Layanan Anda yang dibangun atau di luar Azure saat identitas terdaftar sebagai Perwakilan Layanan dan bukan "identitas terkelola" tidak dilindungi oleh sistem autentikasi cadangan.
Lingkungan cloud yang mendukung sistem autentikasi cadangan
Sistem autentikasi cadangan didukung di semua lingkungan cloud kecuali Microsoft Azure yang dioperasikan oleh 21Vianet. Jenis identitas yang didukung bervariasi menurut cloud dan memiliki titik akhir autentikasi terpisah, seperti yang dijelaskan dalam tabel berikut.
| Lingkungan Azure | Lingkungan Microsoft 365 | Identitas dilindungi | Titik akhir autentikasi Microsoft Entra |
|---|---|---|---|
| Azure Komersial | Komersial dan Pemerintah M365 | Pengguna dan identitas terkelola | https://login.microsoftonline.com |
| Azure Government | M365 GCC High dan DoD | Pengguna dan identitas terkelola | https://login.microsoftonline.us |
| Layanan Rahasia Azure Government | Rahasia Pemerintah M365 | Pengguna dan identitas terkelola | Tidak tersedia |
| Rahasia Teratas Azure Government | Rahasia Utama M365 Government | Pengguna dan identitas terkelola | Tidak tersedia |
| Azure dioperasikan oleh 21Vianet | Tidak tersedia | Identitas Terkelola | https://login.partner.microsoftonline.cn |
Lampiran
Aplikasi klien asli non-Microsoft populer dan aplikasi galeri aplikasi
| Nama Aplikasi | Dilindungi | Mengapa tidak terlindungi? |
|---|---|---|
| ABBYY FlexiCapture 12 | Tidak | SAML yang diinisiasi SP |
| Adobe Experience Manager | Tidak | SAML yang diinisiasi SP |
| Adobe Identity Management (OIDC) | Tidak | OIDC dengan Token Akses |
| ADP | Ya | Dilindungi |
| Manajer Bisnis Apple | Tidak | SAML yang diinisiasi SP |
| Akun Internet Apple | Ya | Dilindungi |
| Manajer Sekolah Apple | Tidak | OIDC dengan Token Akses |
| Email Aqua | Ya | Dilindungi |
| Atlassian Cloud | Ya* | Dilindungi |
| Blackboard Learn | Tidak | SAML yang diinisiasi SP |
| Kotak | Tidak | SAML yang diinisiasi SP |
| Brightspace oleh Desire2Learn | Tidak | SAML yang diinisiasi SP |
| Kanvas | Tidak | SAML yang diinisiasi SP |
| Ceridian Dayforce HCM | Tidak | SAML yang diinisiasi SP |
| Cisco AnyConnect | Tidak | SAML yang diinisiasi SP |
| Cisco Webex | Tidak | SAML yang diinisiasi SP |
| Konektor SAML Citrix ADC untuk Azure Active Directory | Tidak | SAML yang diinisiasi SP |
| Pintar | Tidak | SAML yang diinisiasi SP |
| Cloud Drive Mapper | Ya | Dilindungi |
| Akses Menyeluruh Cornerstone | Tidak | SAML yang diinisiasi SP |
| Docusign | Tidak | SAML yang diinisiasi SP |
| Druva | Tidak | SAML yang diinisiasi SP |
| Integrasi F5 BIG-IP APM Azure AD | Tidak | SAML yang diinisiasi SP |
| FortiGate SSL VPN | Tidak | SAML yang diinisiasi SP |
| Freshworks | Tidak | SAML yang diinisiasi SP |
| Gmail | Ya | Dilindungi |
| Konektor Google Cloud / G Suite oleh Microsoft | Tidak | SAML yang diinisiasi SP |
| Penjualan HubSpot | Tidak | SAML yang diinisiasi SP |
| Kronos | Ya* | Dilindungi |
| Aplikasi Madrasati | Tidak | SAML yang diinisiasi SP |
| OpenAthens | Tidak | SAML yang diinisiasi SP |
| Oracle Fusion ERP | Tidak | SAML yang diinisiasi SP |
| Palo Alto Networks - GlobalProtect | Tidak | SAML yang diinisiasi SP |
| Polycom - Telepon Bersertifikat Skype for Business | Ya | Dilindungi |
| Salesforce | Tidak | SAML yang diinisiasi SP |
| Samsung Email | Ya | Dilindungi |
| Autentikasi Identitas Platform Cloud SAP | Tidak | SAML yang diinisiasi SP |
| SAP Concur | Ya* | SAML yang diinisiasi SP |
| Perjalanan dan Pengeluaran SAP Concur | Ya* | Dilindungi |
| SAP Fiori | Tidak | SAML yang diinisiasi SP |
| SAP NetWeaver | Tidak | SAML yang diinisiasi SP |
| SAP SuccessFactors | Tidak | SAML yang diinisiasi SP |
| Layanan Sekarang | Tidak | SAML yang diinisiasi SP |
| Slack | Tidak | SAML yang diinisiasi SP |
| Smartsheet | Tidak | SAML yang diinisiasi SP |
| Spark | Ya | Dilindungi |
| UKG pro | Ya* | Dilindungi |
| VMware Boxer | Ya | Dilindungi |
| walkMe | Tidak | SAML yang diinisiasi SP |
| Workday | Tidak | SAML yang diinisiasi SP |
| Ruang kerja dari Facebook | Tidak | SAML yang diinisiasi SP |
| Zoom | Tidak | SAML yang diinisiasi SP |
| Zscaler | Ya* | Dilindungi |
| Zscaler Private Access (ZPA) | Tidak | SAML yang diinisiasi SP |
| Zscaler ZSCloud | Tidak | SAML yang diinisiasi SP |
Catatan
* Aplikasi yang dikonfigurasi untuk mengautentikasi dengan protokol SAML dilindungi saat menggunakan autentikasi yang Dimulai IDP. Konfigurasi SAML yang diinisiasi oleh Penyedia Layanan (SP) tidak didukung
Sumber daya Azure dan statusnya
| sumber daya | Nama sumber daya Azure | Kedudukan |
|---|---|---|
| Microsoft.ApiManagement | Layanan API Management di wilayah Azure Government dan Tiongkok | Dilindungi |
| microsoft.app | App Service | Dilindungi |
| Microsoft.AppConfiguration | Azure App Configuration | Dilindungi |
| Microsoft.AppPlatform | Azure App Service | Dilindungi |
| Microsoft.Authorization | Microsoft Entra ID | Dilindungi |
| Microsoft.Automation | Layanan Otomatisasi | Dilindungi |
| Microsoft.AVX | Azure VMware Solution | Dilindungi |
| Microsoft.Batch | Azure Batch | Dilindungi |
| Microsoft Cache | Azure Cache for Redis | Dilindungi |
| Microsoft.Cdn | Jaringan Pengiriman Konten Azure | Tidak dilindungi |
| Microsoft.Chaos | Azure Chaos Engineering | Dilindungi |
| Microsoft.CognitiveServices | API dan Kontainer layanan Azure AI | Dilindungi |
| Microsoft.Communication | Azure Communication Services | Tidak dilindungi |
| Microsoft.Compute | Azure Virtual Machines | Dilindungi |
| Microsoft.ContainerInstance | Azure Container Instances | Dilindungi |
| Microsoft.ContainerRegistry | Azure Container Registry | Dilindungi |
| Microsoft.ContainerService | Azure Kubernetes Service (tidak digunakan lagi) | Dilindungi |
| Microsoft.Dashboard | Dasbor Azure | Dilindungi |
| Microsoft.DatabaseWatcher | Azure SQL Database Penyetelan Otomatis | Dilindungi |
| Microsoft.DataBox | Azure Data Box | Dilindungi |
| Microsoft.Databricks | Azure Databricks | Tidak dilindungi |
| Microsoft.DataCollaboration | Azure Data Share | Dilindungi |
| Microsoft.Datadog | Datadog | Dilindungi |
| Microsoft.DataFactory | Azure Data Factory | Dilindungi |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 dan Gen2 | Tidak dilindungi |
| Microsoft.DataProtection | API Perlindungan Data Microsoft Defender untuk Cloud Apps | Dilindungi |
| Microsoft.DBforMySQL | Azure Database for MySQL | Dilindungi |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Dilindungi |
| Microsoft.DelegatedNetwork | Layanan Manajemen Jaringan yang Didelegasikan | Dilindungi |
| Microsoft.DevCenter | Microsoft Store untuk Bisnis dan Pendidikan | Dilindungi |
| Microsoft.Devices | Azure IoT Hub dan IoT Central | Tidak dilindungi |
| Microsoft.DeviceUpdate | Pembaruan Perangkat Windows 10 IoT Core Services | Dilindungi |
| Microsoft.DevTestLab | Azure DevTest Labs | Dilindungi |
| Microsoft.DigitalTwins | Azure Digital Twins | Dilindungi |
| Microsoft.DocumentDB | Azure Cosmos DB | Dilindungi |
| Microsoft.EventGrid | Azure Event Grid | Dilindungi |
| Microsoft.EventHub | Azure Event Hubs | Dilindungi |
| Microsoft.HealthBot | Layanan Bot Kesehatan | Dilindungi |
| Microsoft.HealthcareApis | FHIR API untuk API Azure untuk FHIR dan Microsoft Cloud untuk Solusi Kesehatan | Dilindungi |
| Microsoft.HybridContainerService | Kubernetes yang mendukung Azure Arc | Dilindungi |
| Microsoft.HybridNetwork | Azure Virtual WAN | Dilindungi |
| Microsoft.Insights | Application Insights dan Analitik Log | Tidak dilindungi |
| Microsoft.IoTCentral | IoT Central | Dilindungi |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Dilindungi |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Dilindungi |
| Microsoft.LoadTestService | Layanan Pengujian Beban Visual Studio | Dilindungi |
| Microsoft.Logic | Azure Logic Apps | Dilindungi |
| Microsoft.LayananPembelajaranMesin | Layanan Pembelajaran Mesin di Azure | Dilindungi |
| Identitas terkelola Microsoft | Identitas terkelola untuk Sumber Daya Microsoft | Dilindungi |
| Microsoft.Maps | Azure Maps | Dilindungi |
| Microsoft.Media | Azure Media Services | Dilindungi |
| Microsoft.Migrate | Azure Migrate | Dilindungi |
| Microsoft.MixedReality | Layanan Mixed Reality termasuk *Remote Rendering*, *Spatial Anchors*, dan *Object Anchors*. | Tidak dilindungi |
| Microsoft.NetApp | Azure NetApp Files | Dilindungi |
| Microsoft.Network | Jaringan Virtual Azure | Dilindungi |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) di Azure | Dilindungi |
| Microsoft.OperationalInsights | Azure Monitor Logs (Log Pemantauan Azure) | Dilindungi |
| Microsoft.PowerPlatform | Microsoft Power Platform | Dilindungi |
| Microsoft Purview | Microsoft Purview (sebelumnya Azure Data Catalog) | Dilindungi |
| Microsoft.Quantum | Kit Pengembangan Kuantum Microsoft | Dilindungi |
| Microsoft.RecommendationsService | API Rekomendasi layanan Azure AI | Dilindungi |
| Microsoft.RecoveryServices | Azure Site Recovery | Dilindungi |
| Microsoft.ResourceConnector | Konektor Sumber Daya Azure | Dilindungi |
| Microsoft.Scom | Manajer Pengoperasian Pusat Sistem | Dilindungi |
| Microsoft.Search | Azure Cognitive Search | Tidak dilindungi |
| Microsoft.Security | Microsoft Defender untuk Cloud | Tidak dilindungi |
| Microsoft.KeamananLedakan | Layanan Pendeteksian Ancaman Microsoft Defender untuk Titik Akhir | Dilindungi |
| Microsoft.ServiceBus | Bus Layanan layanan olahpesan dan topik domain Event Grid | Dilindungi |
| Microsoft.ServiceFabric | Azure Service Fabric | Dilindungi |
| Microsoft.SignalRService | Azure SignalR Service | Dilindungi |
| Microsoft.Solutions | Solusi Azure | Dilindungi |
| Microsoft.Sql | SQL Server di Komputer Virtual dan SQL Managed Instance di Azure | Dilindungi |
| Microsoft.Storage | Azure Storage | Dilindungi |
| Microsoft Storage Cache | Azure Storage Cache | Dilindungi |
| Microsoft.StorageSync | Sinkronisasi File Azure | Dilindungi |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Tidak dilindungi |
| Microsoft.Synapse | Synapse Analytics (sebelumnya SQL DW) dan Synapse Studio (sebelumnya SQL DW Studio) | Dilindungi |
| Microsoft.UsageBilling | Portal Penggunaan dan Penagihan Azure | Tidak dilindungi |
| Microsoft.VideoIndexer | Video Indexer | Dilindungi |
| Microsoft.VoiceServices | Azure Communication Services - API Panggilan Suara | Tidak dilindungi |
| microsoft.web | Web Apps | Dilindungi |