Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le organizzazioni in tutto il mondo dipendono dalla disponibilità elevata dell'autenticazione Microsoft Entra per utenti e servizi 24 ore al giorno, sette giorni alla settimana. Promettiamo una disponibilità del livello di servizio del 99,99% per l'autenticazione e cerchiamo continuamente di migliorarla migliorando la resilienza del servizio di autenticazione. Per migliorare ulteriormente la resilienza durante le interruzioni, è stato implementato un sistema di backup nel 2021.
Il sistema di autenticazione di backup Microsoft Entra è costituito da più servizi di backup che interagiscono per aumentare la resilienza dell'autenticazione in caso di interruzione. Questo sistema gestisce in modo trasparente e automatico le autenticazioni per applicazioni e servizi supportati se il servizio primario Microsoft Entra non è disponibile o danneggiato. Aggiunge un ulteriore livello di resilienza oltre ai diversi livelli di ridondanza esistenti. Questa resilienza è descritta nell'articolo del blog Advancing service resilience in Microsoft Entra ID with its backup authentication service. Questo sistema sincronizza i metadati di autenticazione quando il sistema è integro e li usa per consentire agli utenti di continuare ad accedere alle applicazioni durante le interruzioni del servizio primario, applicando comunque i controlli dei criteri.
Durante un'interruzione del servizio primario, gli utenti possono continuare a lavorare con le applicazioni, purché abbiano eseguito l'accesso negli ultimi tre giorni dallo stesso dispositivo e non esistano criteri di blocco che ne limitano l'accesso:
Oltre alle applicazioni Microsoft, Microsoft supporta:
- Client di posta elettronica nativi di iOS e Android.
- Applicazioni SaaS (Software as a Service) disponibili nella raccolta di app, ad esempio ADP, Atlassian, AWS, GoToMeeting, Kronos, Marketo, SAP, Trello, Workday e altro ancora.
- Applicazioni line-of-business selezionate, in base ai modelli di autenticazione.
L'autenticazione servizio a servizio che si basa sulle identità gestite per le risorse Azure o è costruita sui servizi Azure riceve una maggiore resilienza dal sistema di autenticazione di backup.
Microsoft sta espandendo continuamente il numero di scenari supportati.
Quali carichi di lavoro non Microsoft sono supportati?
Il sistema di autenticazione di backup offre automaticamente resilienza incrementale a decine di migliaia di applicazioni non Microsoft supportate in base ai modelli di autenticazione. Vedere l'appendice per un elenco delle applicazioni non Microsoft più comuni e il relativo stato di copertura. Per una spiegazione approfondita dei modelli di autenticazione supportati, vedere l'articolo Informazioni sul supporto delle applicazioni per il sistema di autenticazione di backup.
- Applicazioni native che usano il protocollo OAuth (Open Authorization) 2.0 per accedere alle applicazioni di risorse, ad esempio i comuni client di posta elettronica e messaggistica istantanea non Microsoft come Apple Mail, Aqua Mail, Gmail, Samsung Email e Spark.
- Applicazioni aziendali web configurate per l'autenticazione con OpenID Connect usando solo token ID.
- Le applicazioni Web che eseguono l'autenticazione con il protocollo SAML (Security Assertion Markup Language), se configurate per l'accesso Single Sign-On avviato da IdP come ADP, Atlassian Cloud, AWS, GoToMeeting, Kronos, Marketo, Palo Alto Networks, SAP Cloud Identity Services, Trello, Workday e Zscaler.
Tipi di applicazioni non Microsoft non protette
I modelli di autenticazione seguenti non sono attualmente supportati:
- Applicazioni Web che eseguono l'autenticazione con OpenID Connect e richiedono token di accesso
- Applicazioni Web che usano il protocollo SAML per l'autenticazione, se configurate come SSO avviato da SP
Cosa rende un utente supportabile dal sistema di autenticazione di backup?
Durante un'interruzione, un utente può eseguire l'autenticazione usando il sistema di autenticazione di backup se vengono soddisfatte le condizioni seguenti:
- L'utente ha eseguito correttamente l'autenticazione usando la stessa app e lo stesso dispositivo negli ultimi tre giorni.
- Non è necessario che l'utente esegua l'autenticazione interattiva
- L'utente accede a una risorsa come membro del tenant di origine, anziché esercitare uno scenario B2B o B2C.
- L'utente non è soggetto ai criteri di accesso condizionale che limitano il sistema di autenticazione del backup, ad esempio disabilitando le impostazioni predefinite di resilienza.
- L'utente non è stato soggetto a un evento di revoca, ad esempio una modifica delle credenziali dall'ultima autenticazione riuscita.
In che modo l'autenticazione interattiva e l'attività utente influiscono sulla resilienza?
Il sistema di autenticazione di backup si basa sui metadati di un'autenticazione precedente per autenticare nuovamente l'utente durante un'interruzione. Un utente deve aver eseguito l'autenticazione negli ultimi tre giorni usando la stessa app nello stesso dispositivo per rendere effettivo il servizio di backup. Gli utenti inattivi o non autenticati in una determinata app non possono usare il sistema di autenticazione di backup per tale applicazione.
In che modo i criteri di accesso condizionale influiscono sulla resilienza?
Alcuni criteri non possono essere valutati in tempo reale dal sistema di autenticazione di backup e devono basarsi sulle valutazioni precedenti di questi criteri. In condizioni di interruzione, il servizio usa una valutazione precedente per impostazione predefinita per massimizzare la resilienza. Ad esempio, l'accesso condizionale per un utente con un ruolo specifico,ad esempio Amministratore applicazione, continua durante un'interruzione in base al ruolo che l'utente aveva durante l'autenticazione più recente. Se è necessario limitare l'uso di una valutazione precedente solo in caso di interruzione del servizio, gli amministratori del tenant possono optare per una valutazione rigorosa di tutti i criteri di accesso condizionale, anche in caso di interruzione, disabilitando le impostazioni predefinite di resilienza. Questa decisione deve essere presa con attenzione perché la disabilitazione delle impostazioni predefinite di resilienza per un determinato criterio impedisce agli utenti di usare l'autenticazione di backup. Le impostazioni predefinite per la resilienza devono essere riabilitate prima che si verifichi un'interruzione per consentire al sistema di backup di fornire resilienza.
Alcuni altri tipi di criteri non supportano l'uso del sistema di autenticazione di backup. L'uso dei criteri seguenti riduce la resilienza:
- Uso del controllo della frequenza di accesso come parte di un criterio di accesso condizionale.
- Uso dei criteri dei metodi di autenticazione.
- Uso dei criteri di accesso condizionale classici (deprecati: i criteri classici hanno smesso di funzionare dopo il 10 luglio 2024).
Valutazione dei criteri solo report di accesso condizionale
Se una richiesta viene elaborata dal sistema di autenticazione di backup, i criteri di accesso condizionale in modalità solo segnalazione verranno visualizzati nella scheda Accesso condizionale in Entra ID>Monitoraggio e integrità>Registri di accesso per quell'evento di accesso, anziché nella scheda Solo segnalazione. Si noti che, anche in questa visualizzazione, i criteri configurati in modalità solo segnalazione non vengono mai applicati. Per verificare se i token sono stati emessi tramite il sistema di autenticazione di backup all'interno del tenant, è possibile usare i log di accesso. In ID di Entra>Monitoraggio e salute>Registri di accesso, aggiungere il filtro Token issuer type == Microsoft Entra Backup Auth per visualizzare i log elaborati dal sistema di autenticazione di backup.
Revoca dei certificati e sistema di autenticazione di backup
Per migliorare il comportamento di resilienza, il sistema di autenticazione del backup non può eseguire nuovi controlli di revoca. Si basa invece sullo stato dell'elenco di revoche di certificati (CRL) eseguito quando è stato eseguito l'ultimo backup della sessione. Se è necessario revocare prima della scadenza del backup, è necessario revocare in modo esplicito la sessione anziché attendere il CRL.
Resilienza dell'identità di carico di lavoro nel sistema di autenticazione di riserva
Oltre all'autenticazione utente, il sistema di autenticazione di backup offre resilienza per le managed identities e altre componenti chiave dell'infrastruttura Azure, offrendo un servizio di autenticazione con isolamento a livello di area, ridondante con il servizio di autenticazione primario. Questo sistema consente all'autenticazione dell'infrastruttura all'interno di un'area Azure di essere resiliente ai problemi che possono verificarsi in un'altra area o all'interno del servizio Microsoft Entra più grande. Questo sistema integra l'architettura tra aree di Azure. La creazione di applicazioni personalizzate usando MI e seguendo le migliori pratiche di Azure per la resilienza e la disponibilità garantiscono un'elevata resilienza delle tue applicazioni. Oltre a MI, questo sistema di backup resiliente a livello regionale protegge l'infrastruttura e i servizi chiave di Azure mantenendo il cloud funzionale.
Riepilogo del supporto dell'autenticazione dell'infrastruttura
- I servizi basati sull'infrastruttura Azure che usano identità gestite sono protetti dal sistema di autenticazione di backup.
- Azure servizi che eseguono l'autenticazione tra loro sono protetti dal sistema di autenticazione di backup.
- I servizi costruiti su o fuori Azure quando le identità sono registrate come Service Principals e non come "identità gestite" non sono protetti dal sistema di autenticazione di backup.
Ambienti cloud che supportano il sistema di autenticazione di backup
Il sistema di autenticazione di backup è supportato in tutti gli ambienti cloud tranne Microsoft Azure gestito da 21Vianet. I tipi di identità supportati variano in base al cloud e hanno endpoint di autenticazione separati, come descritto nella tabella seguente.
| ambiente Azure | ambienti Microsoft 365 | Identità protette | Endpoint di autenticazione di Microsoft Entra |
|---|---|---|---|
| Azure Commerciale | Commerciale e Microsoft 365 per il settore pubblico | Utenti e identità gestite | https://login.microsoftonline.com |
| Azure Government | M365 GCC High e DoD | Utenti e identità gestite | https://login.microsoftonline.us |
| Azure Government Secret | Segreto del governo M365 | Utenti e identità gestite | Non disponibile |
| Azure Government Top Secret | M365 Government Top Secret | Utenti e identità gestite | Non disponibile |
| Azure gestito da 21Vianet | Non disponibile | Identità gestite | https://login.partner.microsoftonline.cn |
Appendice
App client native popolari non-Microsoft e applicazioni della galleria
| Nome dell'App | Protetto | Perché Non protetto? |
|---|---|---|
| ABBYY FlexiCapture 12 | NO | SAML avviato da SP |
| Adobe Experience Manager | NO | SAML avviato da SP |
| Adobe Identity Management (OIDC) | NO | OIDC con token di accesso |
| ADP | Sì | Protetto |
| Apple Business Manager | NO | SAML avviato da SP |
| Account Apple Internet | Sì | Protetto |
| Gestore Scolastico di Apple | NO | OIDC con token di accesso |
| Aqua Mail | Sì | Protetto |
| Atlassian Cloud | Sì* | Protetto |
| Piattaforma di apprendimento Blackboard Learn | NO | SAML avviato da SP |
| Casella | NO | SAML avviato da SP |
| Brightspace by Desire2Learn | NO | SAML avviato da SP |
| Tela | NO | SAML avviato da SP |
| Ceridian Dayforce HCM | NO | SAML avviato da SP |
| Cisco AnyConnect | NO | SAML avviato da SP |
| Cisco Webex | NO | SAML avviato da SP |
| Citrix ADC SAML Connector per Azure AD | NO | SAML avviato da SP |
| Intelligente | NO | SAML avviato da SP |
| Mappatore di Cloud Drive | Sì | Protetto |
| Cornerstone Single Sign-On (accesso singolo) | NO | SAML avviato da SP |
| Docusign | NO | SAML avviato da SP |
| Druva | NO | SAML avviato da SP |
| Integrazione di F5 BIG-IP APM con Azure AD | NO | SAML avviato da SP |
| FortiGate SSL VPN | NO | SAML avviato da SP |
| Freshworks | NO | SAML avviato da SP |
| Gmail | Sì | Protetto |
| Google Cloud/G Suite Connector by Microsoft | NO | SAML avviato da SP |
| Vendite di HubSpot | NO | SAML avviato da SP |
| Kronos | Sì* | Protetto |
| App Madrasati | NO | SAML avviato da SP |
| OpenAthens | NO | SAML avviato da SP |
| Oracle Fusion ERP | NO | SAML avviato da SP |
| Palo Alto Networks - GlobalProtect | NO | SAML avviato da SP |
| Polycom - telefono certificato Skype for Business | Sì | Protetto |
| Salesforce | NO | SAML avviato da SP |
| Samsung Email | Sì | Protetto |
| SAP Cloud Platform Identity Authentication | NO | SAML avviato da SP |
| SAP Concur | Sì* | SAML avviato da SP |
| SAP Concur Viaggi e Spese | Sì* | Protetto |
| SAP Fiori | NO | SAML avviato da SP |
| SAP NetWeaver | NO | SAML avviato da SP |
| SAP SuccessFactors | NO | SAML avviato da SP |
| ServiceNow | NO | SAML avviato da SP |
| Slack | NO | SAML avviato da SP |
| Smartsheet | NO | SAML avviato da SP |
| Scintilla | Sì | Protetto |
| UKG Pro | Sì* | Protetto |
| VMware Boxer | Sì | Protetto |
| WalkMe | NO | SAML avviato da SP |
| Giornata lavorativa | NO | SAML avviato da SP |
| Il Workplace di Facebook | NO | SAML avviato da SP |
| Zoom | NO | SAML avviato da SP |
| Zscaler | Sì* | Protetto |
| Zscaler Private Access (ZPA) | NO | SAML avviato da SP |
| Zscaler ZSCloud | NO | SAML avviato da SP |
Nota
* Le app configurate per l'autenticazione con il protocollo SAML sono protette quando si usa l'autenticazione avviata da IdP. Le configurazioni SAML avviate dal provider di servizi (SP) non sono supportate
Azure risorse e il relativo stato
| risorsa | Azure nome della risorsa | stato |
|---|---|---|
| Microsoft.ApiManagement | Servizio Gestione API nelle aree di Azure Government e Cina | Protetto |
| microsoft.app | Servizio app | Protetto |
| Microsoft.AppConfiguration | Azure App Configuration | Protetto |
| Microsoft.AppPlatform | Azure App Service | Protetto |
| Microsoft.Authorization | Microsoft Entra ID | Protetto |
| Microsoft.Automation | Servizio Automazione | Protetto |
| Microsoft.AVX | Azure VMware Solution | Protetto |
| Microsoft.Batch | Azure Batch | Protetto |
| Microsoft.Cache | Azure Cache for Redis | Protetto |
| Microsoft.Cdn | Azure Content Delivery Network | Non protetti |
| Microsoft.Chaos | Azure Chaos Engineering | Protetto |
| Microsoft.CognitiveServices | API e contenitori di Azure AI Services | Protetto |
| Microsoft.Communication | Azure Communication Services | Non protetti |
| Microsoft.Compute | Azure Virtual Machines | Protetto |
| Microsoft.ContainerInstance | Azure Container Instances | Protetto |
| Microsoft.ContainerRegistry | Azure Container Registry | Protetto |
| Microsoft.ContainerService (servizio di containerizzazione di Microsoft) | Azure Kubernetes Service (deprecato) | Protetto |
| Microsoft.Dashboard | Dashboards di Azure | Protetto |
| Microsoft.DatabaseWatcher | Ottimizzazione automatica di Azure SQL Database | Protetto |
| Microsoft.DataBox | Azure Data Box | Protetto |
| Microsoft.Databricks | Azure Databricks | Non protetti |
| Microsoft.DataCollaboration | Azure Data Share | Protetto |
| Microsoft.Datadog | Datadog | Protetto |
| Microsoft.DataFactory | Azure Data Factory | Protetto |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 e Gen2 | Non protetti |
| Microsoft.DataProtection | API di protezione dei dati Microsoft Defender for Cloud Apps | Protetto |
| Microsoft.DBforMySQL | Azure Database for MySQL | Protetto |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | Protetto |
| Microsoft.DelegatedNetwork | Servizio Gestione rete delegata | Protetto |
| Microsoft.DevCenter | Microsoft Store per aziende e istruzione | Protetto |
| Microsoft.Devices | Azure IoT Hub e IoT Central | Non protetti |
| Microsoft.DeviceUpdate | Aggiornamento dei dispositivi di Windows 10 IoT Core Services | Protetto |
| Microsoft.DevTestLab | Azure DevTest Labs | Protetto |
| Microsoft.DigitalTwins | Azure Digital Twins | Protetto |
| Microsoft.DocumentDB | Azure Cosmos DB | Protetto |
| Microsoft.EventGrid | Azure Event Grid | Protetto |
| Microsoft.EventHub | Azure Event Hubs | Protetto |
| Microsoft.HealthBot | Servizio Bot per la Salute | Protetto |
| Microsoft.HealthcareApis | API FHIR per Azure API per FHIR e soluzioni Microsoft Cloud for Healthcare | Protetto |
| Microsoft.HybridContainerService | Kubernetes abilitato per Azure Arc | Protetto |
| Microsoft.HybridNetwork | Azure Virtual WAN | Protetto |
| Microsoft.Insights | Application Insights e Log Analytics | Non protetti |
| Microsoft.IoTCentral | IoT Central | Protetto |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | Protetto |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | Protetto |
| Microsoft.LoadTestService | Servizio di test di carico per Visual Studio | Protetto |
| Microsoft.Logic | Azure Logic Apps | Protetto |
| Microsoft.MachineLearningServices | Machine Learning Services on Azure | Protetto |
| Identità gestita di Microsoft | Identità gestite per le risorse Microsoft | Protetto |
| Microsoft.Maps | Azure Maps | Protetto |
| Microsoft.Media | Azure Media Services | Protetto |
| Microsoft.Migrate | Azure Migrate | Protetto |
| Microsoft.MixedReality | Servizi di Mixed Reality, tra cui Remote Rendering, Ancòre Spaziali e Ancoraggi di Oggetti | Non protetti |
| Microsoft.NetApp | Azure NetApp Files | Protetto |
| Microsoft.Network | Azure Virtual Network | Protetto |
| Microsoft.OpenEnergyPlatform | Open Energy Platform (OEP) in Azure | Protetto |
| Microsoft.OperationalInsights | Logs di Azure Monitor | Protetto |
| Microsoft.PowerPlatform | Microsoft Power Platform | Protetto |
| Microsoft.Purview | Microsoft Purview (in precedenza Azure Data Catalog) | Protetto |
| Microsoft.Quantum | Microsoft Quantum Development Kit | Protetto |
| Microsoft.RecommendationsService | Servizi Azure AI Recommendations API | Protetto |
| Microsoft.RecoveryServices | Azure Site Recovery | Protetto |
| Microsoft.ResourceConnector | Azure Connettore risorse | Protetto |
| Microsoft.Scom | System Center Operations Manager (Gestore Operazioni di System Center) | Protetto |
| Microsoft.Search | Azure Cognitive Search | Non protetti |
| Microsoft Sicurezza | Microsoft Defender for Cloud | Non protetti |
| Microsoft.SecurityDetonation | servizio di detonazione Microsoft Defender for Endpoint | Protetto |
| Microsoft.ServiceBus | Servizio di messaggistica di Service Bus e argomenti di dominio di Event Grid | Protetto |
| Microsoft.ServiceFabric | Azure Service Fabric | Protetto |
| Microsoft.SignalRService | Azure SignalR Service | Protetto |
| Microsoft.Solutions | soluzioni Azure | Protetto |
| Microsoft.Sql | SQL Server on Virtual Machines e SQL Managed Instance su Azure | Protetto |
| Microsoft.Storage | Azure Storage | Protetto |
| Microsoft.StorageCache | Cache di Azure Storage | Protetto |
| Microsoft.StorageSync | Azure File Sync | Protetto |
| Microsoft.StreamAnalytics | Azure Stream Analytics | Non protetti |
| Microsoft.Synapse | Synapse Analytics (in precedenza SQL Data Warehouse) e Synapse Studio (in precedenza SQL DW Studio) | Protetto |
| Microsoft.UsageBilling | portale di utilizzo e fatturazione di Azure | Non protetti |
| Microsoft.VideoIndexer | Indicizzatore di Video | Protetto |
| Microsoft.VoiceServices | Azure Communication Services - API vocali | Non protetti |
| microsoft.web | Applicazioni Web | Protetto |