世界中の組織は、ユーザーとサービスに対する Microsoft Entra 認証の高可用性に 1 日 24 時間、週 7 日間依存しています。 Microsoft は、サービス レベルの認証において 99.99% の可用性をお約束しています。また、認証サービスの回復性を強化することで、継続的に改善するように努めています。 停止中における回復性をさらに改善するために、2021 年にバックアップ システムを実装しました。
Microsoft Entra バックアップ認証システムは、複数のバックアップ サービスで構成されています。これらは、停止が発生した場合に連携し、認証の回復性を高めます。 このシステムは、主要な Microsoft Entra サービスが利用不可であるか、機能が低下した場合に、サポートされているアプリケーションとサービスの認証を透明的かつ自動的に処理します。 複数のレベルから成る既存の冗長性の上に、別の回復性レイヤーを追加します。 この回復性については、「バックアップ認証サービスで Microsoft Entra ID のサービス回復性を高める」のブログ記事で説明されています。 このシステムでは、システムが正常な場合に認証メタデータを同期し、ポリシー制御を適用しながら、これを使用して主要なサービスの停止中にユーザーがアプリケーションに引き続きアクセスできるようにします。
主要なサービスの停止中、ユーザーは過去 3 日以内に同じデバイスからアクセスしたことがあり、アクセスを抑制するブロック ポリシーが存在しない限り、引き続きアプリケーションを操作できます。
Microsoft アプリケーションに加えて、以下もサポートしています:
- iOS および Android 上のネイティブ メール クライアント。
- アプリ ギャラリーで使用できるサービスとしてのソフトウェア (SaaS) アプリケーション (ADP、Atlassian、AWS、GoToMeeting、Kronos、Marketo、SAP、Trello、Workday など)。
- 認証パターンに基づいて選択された基幹業務アプリケーション。
Azure リソースのマネージド ID に依存するサービス間認証、または Azure サービス上に構築されたサービス間認証は、バックアップ認証システムからの回復性の向上を受けます。
Microsoft では、サポートされるシナリオの数を継続的に拡大しています。
サポートされている Microsoft 以外のワークロード
バックアップ認証システムは、サポートしている Microsoft 以外の数万ものアプリケーションに対して、その認証パターンに基づいて回復性を段階的かつ自動的に提供します。 最も一般的な Microsoft 以外のアプリケーションとそのカバレッジ状態の一覧については、付録をご覧ください。 サポートされている認証パターンの詳細な説明については、バックアップ認証サポートのアプリケーション サポートに関する記事をご覧ください。
- Open Authorization (OAuth) 2.0 プロトコルを使用してリソース アプリケーションにアクセスするネイティブ アプリケーション (Apple Mail、Aqua Mail、Gmail、Samsung Email、Spark など、一般的な Microsoft 以外のメールや IM クライアントなど)。
- ID トークンのみを使用して OpenID Connect で認証するように構成された基幹業務 Web アプリケーション。
- Security Assertion Markup Language (SAML) プロトコルを使用して認証する Web アプリケーション (ADP、Atlassian Cloud、AWS、GoToMeeting、Kronos、Marketo、Palo Alto Networks、SAP Cloud Identity サービス、Trello、Workday、Zscaler など) が IDP 起点のシングル サインオン (SSO) 用に構成されている場合。
保護されていない Microsoft 以外のアプリケーションの種類
現在、次の認証パターンはサポートされていません:
- OpenID Connect を使用して認証し、アクセス トークンを要求する Web アプリケーション
- 認証に SAML プロトコルを使用する Web アプリケーションが SP 起点の SSO として構成されている場合
バックアップ認証システムでユーザーがサポートされるための条件
停止中に、次の条件が満たされた場合、ユーザーはバックアップ認証システムを使用して認証できます:
- ユーザーが過去 3 日以内に同じデバイスとアプリを使用して正常に認証したことがある場合。
- ユーザーが対話的に認証する必要がない場合
- ユーザーが B2B や B2C シナリオを実行するのではなく、ホーム テナントのメンバーとしてリソースにアクセスしている場合。
- ユーザーがバックアップ認証システムを制限 (回復性の既定値を無効にするなど) する条件付きアクセス ポリシーの対象でない場合。
- ユーザーが前回の正常な認証以来、失効イベント (資格情報の変更など) の対象になったことがない場合。
対話的な認証とユーザー アクティビティが回復性に与える影響
バックアップ認証システムは、停止中にユーザーを再認証するために、以前の認証のメタデータに依存します。 バックアップ サービスを有効にするには、同じデバイス上の同じアプリを使用して、過去 3 日間にユーザーが認証されている必要があります。 非アクティブなユーザーや、該当アプリで認証されたことがないユーザーは、そのアプリケーションでバックアップ認証システムを使用できません。
条件付きアクセス ポリシーが回復性に与える影響
特定のポリシーは、バックアップ認証システムによってリアルタイムで評価できないため、これらのポリシーの以前の評価に依存する必要があります。 停止状態では、サービスは既定で以前の評価を使用して回復性を最大化します。 たとえば、特定のロール (アプリケーション管理者など) を持つユーザーに対して条件付けされたアクセスは、前回の認証時にユーザーが持っていたロールに基づいて停止中も続行されます。 以前の評価を停止時のみ使用することを制限する必要がある場合、テナント管理者は、回復性の既定値を無効にすることで、停止状態でもすべての条件付きアクセス ポリシーの厳密な評価を選択できます。 特定のポリシーの回復性の既定値を無効にすると、それらのユーザーによるバックアップ認証の使用が無効になるため、この決定は慎重に行う必要があります。 バックアップ システムが回復性を提供するには、停止が発生する前に、回復性の既定値をもう一度有効にする必要があります。
他の特定の種類のポリシーでは、バックアップ認証システムの使用がサポートされていません。 次のポリシーを使用すると、回復性が低下します:
- 条件付きアクセス ポリシーの一部として、サインイン頻度の制御を使用する。
- 認証方法ポリシーを使用する。
- 従来の条件付きアクセス ポリシーを使用する。
レポートのみの条件付きアクセス ポリシーの評価
バックアップ認証システムでリクエストが処理された場合、条件付きアクセスのレポート専用ポリシーはToken issuer type == Microsoft Entra Backup Authを追加します。
証明書失効とバックアップ認証システム
回復性を強化するために、バックアップ認証システムは新しい失効チェックを実行できません。 代わりに、セッションが最後にバックアップされたときに実行された証明書失効リスト (CRL) チェックの状態に依存します。 このバックアップの有効期限が切れる前に取り消す必要がある場合は、CRL を待機するのではなく、セッションを明示的に取り消す必要があります。
バックアップ認証システムでのワークロード ID の回復性
バックアップ認証システムは、ユーザー認証に加えて、主要な認証サービスと冗長に階層化されたリージョン分離認証サービスを提供することで、マネージド ID やその他の主要な Azure インフラストラクチャに回復性を提供します。 このシステムにより、Azure リージョン内のインフラストラクチャ認証は、別のリージョンまたは大規模な Microsoft Entra サービス内で発生する可能性のある問題に対する回復性を持つことができます。 このシステムは、Azure のリージョン間アーキテクチャを補完します。 MI を使用して独自のアプリケーションを構築し、回復性と可用性に関する Azure のベスト プラクティスに従うと、アプリケーションの回復性が高くなります。 MI に加えて、このリージョン回復性の高いバックアップ システムは、クラウドの機能を維持する主要な Azure インフラストラクチャとサービスを保護します。
インフラストラクチャ認証のサポートの概要
- マネージド ID を使用する Azure インフラストラクチャに組み込まれているサービスは、バックアップ認証システムによって保護されます。
- 相互に認証を行う Azure サービスは、バックアップ認証システムによって保護されます。
- ID が "マネージド ID" ではなくサービス プリンシパルとして登録されている場合、Azure 上または Azure から構築されたサービスは、バックアップ認証システムによって保護されません。
バックアップ認証システムをサポートするクラウド環境
バックアップ認証システムは、21Vianet によって運営される Microsoft Azure を除くすべてのクラウド環境でサポートされています。 次の表に示すように、サポートされる ID の種類はクラウドによって異なり、個別の認証エンドポイントがあります。
| Azure 環境 | Microsoft 365 環境 | 保護された ID | Microsoft Entra 認証エンドポイント |
|---|---|---|---|
| Azure コマーシャル | Commercial および M365 Government | ユーザーとマネージド ID | https://login.microsoftonline.com |
| Azure Government | M365 GCC High および DoD | ユーザーとマネージド ID | https://login.microsoftonline.us |
| Azure Government Secret | M365 政府秘密 | ユーザーとマネージド ID | 使用できません |
| Azure Government Top Secret | M365 政府機密トップシークレット | ユーザーとマネージド ID | 使用できません |
| 21Vianet によって運営される Azure | 使用できません | 管理されたアイデンティティー | https://login.partner.microsoftonline.cn |
付録
Microsoft 以外の一般的なネイティブ クライアント アプリとアプリ ギャラリー アプリケーション
| アプリケーション名 | 保護された | 保護されない理由 |
|---|---|---|
| ABBYY FlexiCapture 12 | いいえ | SP によって開始された SAML |
| Adobe Experience Manager | いいえ | SP によって開始された SAML |
| Adobe Identity Management (OIDC) | いいえ | アクセス トークンを使用した OIDC |
| ADP | はい | 保護された |
| アップルビジネスマネージャー | いいえ | SP によって開始された SAML |
| Apple インターネット アカウント | はい | 保護された |
| Apple スクール マネージャー | いいえ | アクセス トークンを使用した OIDC |
| アクアメール | はい | 保護された |
| Atlassian Cloud | はい * | 保護された |
| Blackboard Learn(オンライン学習システム) | いいえ | SP によって開始された SAML |
| ボックス | いいえ | SP によって開始された SAML |
| Brightspace by Desire2Learn | いいえ | SP によって開始された SAML |
| キャンバス | いいえ | SP によって開始された SAML |
| Ceridian Dayforce HCM | いいえ | SP によって開始された SAML |
| Cisco AnyConnect | いいえ | SP によって開始された SAML |
| Cisco Webex | いいえ | SP によって開始された SAML |
| Citrix ADC SAML Connector for Azure AD | いいえ | SP によって開始された SAML |
| 賢い | いいえ | SP によって開始された SAML |
| クラウドドライブマッパー | はい | 保護された |
| コーナーストーン シングルサインオン | いいえ | SP によって開始された SAML |
| Docusign | いいえ | SP によって開始された SAML |
| Druva | いいえ | SP によって開始された SAML |
| F5 BIG-IP APM と Azure AD の統合 | いいえ | SP によって開始された SAML |
| FortiGate SSL VPN | いいえ | SP によって開始された SAML |
| Freshworks | いいえ | SP によって開始された SAML |
| Gmail | はい | 保護された |
| Google Cloud / G Suite Connector by Microsoft | いいえ | SP によって開始された SAML |
| HubSpot セールス | いいえ | SP によって開始された SAML |
| クロノス | はい * | 保護された |
| Madrasati アプリ | いいえ | SP によって開始された SAML |
| OpenAthens | いいえ | SP によって開始された SAML |
| Oracle Fusion ERP | いいえ | SP によって開始された SAML |
| Palo Alto Networks - GlobalProtect | いいえ | SP によって開始された SAML |
| Polycom - Skype for Business 認定電話 | はい | 保護された |
| Salesforce | いいえ | SP によって開始された SAML |
| Samsung 電子メール | はい | 保護された |
| SAP Cloud Platform Identity Authentication | いいえ | SP によって開始された SAML |
| SAP Concur | はい * | SP によって開始された SAML |
| SAP Concur トラベルおよび経費管理 | はい * | 保護された |
| SAP Fiori | いいえ | SP によって開始された SAML |
| SAP NetWeaver | いいえ | SP によって開始された SAML |
| SAP SuccessFactors | いいえ | SP によって開始された SAML |
| ServiceNow (サービスナウ) | いいえ | SP によって開始された SAML |
| Slack | いいえ | SP によって開始された SAML |
| Smartsheet(スマートシート) | いいえ | SP によって開始された SAML |
| Spark | はい | 保護された |
| UKG Pro | はい * | 保護された |
| VMware Boxer | はい | 保護された |
| ウォークミー (walkMe) | いいえ | SP によって開始された SAML |
| Workday | いいえ | SP によって開始された SAML |
| FacebookのWorkplace | いいえ | SP によって開始された SAML |
| ズーム | いいえ | SP によって開始された SAML |
| Zscaler | はい * | 保護された |
| Zscaler Private Access (ZPA) | いいえ | SP によって開始された SAML |
| Zscaler ZSCloud | いいえ | SP によって開始された SAML |
メモ
* SAML プロトコルで認証するように構成されたアプリは、IDP 起点の認証を使用するときに保護されます。 サービス プロバイダー (SP) 起点の SAML 構成はサポートされていません
Azure リソースとその状態
| リソース | Azure リソース名 | ステータス |
|---|---|---|
| Microsoft.ApiManagement | Azure Government および中国のリージョンにおける API Management サービス | 保護された |
| microsoft.app | App Service | 保護された |
| Microsoft.AppConfiguration | Azure App Configuration | 保護された |
| Microsoft.AppPlatform | Azure App Service | 保護された |
| Microsoft.Authorization | Microsoft Entra ID | 保護された |
| Microsoft.Automation | オートメーションサービス | 保護された |
| Microsoft.AVX | Azure VMware Solution | 保護された |
| Microsoft.Batch | Azure Batch | 保護された |
| Microsoft.Cache | Azure Cache for Redis | 保護された |
| Microsoft.Cdn | Azure Content Delivery Network | 保護されていない |
| Microsoft.カオス | Azure カオス エンジニアリング | 保護された |
| Microsoft.CognitiveServices | Azure AI サービス API およびコンテナ | 保護された |
| Microsoft.Communication | Azure Communication Services | 保護されていない |
| Microsoft.Compute | Azure 仮想マシン | 保護された |
| Microsoft.ContainerInstance | Azure Container Instances | 保護された |
| Microsoft.ContainerRegistry (マイクロソフトのコンテナレジストリ) | Azure Container Registry | 保護された |
| マイクロソフト・コンテナーサービス | Azure Kubernetes Service (非推奨) | 保護された |
| Microsoft ダッシュボード | Azure ダッシュボード | 保護された |
| Microsoft.DatabaseWatcher | Azure SQL Database の自動チューニング | 保護された |
| Microsoft.DataBox | Azure Data Box | 保護された |
| Microsoft.Databricks | Azure Databricks | 保護されていない |
| マイクロソフト.データコラボレーション | Azure Data Share | 保護された |
| マイクロソフト.Datadog | Datadog | 保護された |
| Microsoft.DataFactory | Azure Data Factory | 保護された |
| Microsoft.DataLakeStore | Azure Data Lake Storage Gen1 と Gen2 | 保護されていない |
| Microsoft.DataProtection | Microsoft Defender for Cloud アプリデータ保護 API | 保護された |
| Microsoft.DBforMySQL | Azure Database for MySQL | 保護された |
| Microsoft.DBforPostgreSQL | Azure Database for PostgreSQL | 保護された |
| Microsoft.DelegatedNetwork | 委任されたネットワーク管理サービス | 保護された |
| Microsoft.DevCenter | ビジネス向けおよび教育機関向け Microsoft Store | 保護された |
| Microsoft.Devices | Azure IoT Hub と IoT Central | 保護されていない |
| Microsoft.DeviceUpdate | Windows 10 IoT Core Services デバイスアップデート | 保護された |
| Microsoft.DevTestLab | Azure DevTest Labs | 保護された |
| Microsoft.DigitalTwins | Azure Digital Twins | 保護された |
| Microsoft.DocumentDB | Azure Cosmos DB | 保護された |
| Microsoft.EventGrid | Azure Event Grid | 保護された |
| Microsoft.EventHub | Azure Event Hubs | 保護された |
| マイクロソフト.ヘルスボット | ヘルスボットサービス | 保護された |
| Microsoft.HealthcareApis | Azure API for FHIR の FHIR API と Microsoft Cloud for Healthcare ソリューション | 保護された |
| Microsoft.HybridContainerService | Azure Arc 対応 Kubernetes | 保護された |
| Microsoft.HybridNetwork | Azure Virtual WAN | 保護された |
| Microsoft.Insights | Application Insights と Log Analytics | 保護されていない |
| Microsoft.IoTCentral | IoT Central | 保護された |
| Microsoft.Kubernetes | Azure Kubernetes Service (AKS) | 保護された |
| Microsoft.Kusto | Azure Data Explorer (Kusto) | 保護された |
| Microsoft.LoadTestService | Visual Studio Load Testing サービス | 保護された |
| Microsoft.Logic | Azure Logic Apps | 保護された |
| Microsoft.MachineLearningServices(マイクロソフトの機械学習サービス) | Azure 上の Machine Learning Services | 保護された |
| Microsoft マネージド ID | Microsoft Resources のマネージド ID | 保護された |
| Microsoft.Maps | Azure Maps | 保護された |
| Microsoft.Media | Azure Media Services | 保護された |
| Microsoft.Migrate | Azure Migrate | 保護された |
| Microsoft.MixedReality | Mixed Reality サービス (Remote Rendering、Spatial Anchors、Object Anchors を含む) | 保護されていない |
| Microsoft.NetApp | Azure NetApp Files | 保護された |
| Microsoft.Network | Azure 仮想ネットワーク | 保護された |
| マイクロソフト.OpenEnergyPlatform | Azure 上の Open Energy Platform (OEP) | 保護された |
| Microsoft Operational Insights(マイクロソフト オペレーショナル インサイツ) | Azure Monitor ログ | 保護された |
| Microsoft.PowerPlatform | Microsoft Power Platform | 保護された |
| Microsoft.Purview | Microsoft Purview (以前の Azure Data Catalog) | 保護された |
| Microsoft.Quantum | Microsoft Quantum 開発キット | 保護された |
| Microsoft.RecommendationsService | Azure AI サービスの推奨事項 API | 保護された |
| Microsoft.RecoveryServices | Azure Site Recovery | 保護された |
| Microsoft.ResourceConnector | Azure Resource Connector(アジュール リソース コネクタ) | 保護された |
| マイクロソフト.Scom | System Center Operations Manager | 保護された |
| マイクロソフト・サーチ | Azure Cognitive Search | 保護されていない |
| Microsoft.Security | Microsoft Defender for Cloud | 保護されていない |
| Microsoft.SecurityDetonation (英語) | Microsoft Defender for Endpoint デトネーション サービス | 保護された |
| Microsoft.ServiceBus | Service Bus メッセージング サービスと Event Grid ドメイン トピック | 保護された |
| Microsoft.ServiceFabric | Azure Service Fabric | 保護された |
| Microsoft.SignalRService | Azure SignalR Service | 保護された |
| Microsoft.Solutions | Azure ソリューション | 保護された |
| Microsoft.Sql | SQL Server on Virtual Machines と Azure 上の SQL Managed Instance | 保護された |
| Microsoft.Storage | Azure Storage | 保護された |
| Microsoft.StorageCache | Azure Storage キャッシュ | 保護された |
| Microsoft.StorageSync | Azure File Sync | 保護された |
| Microsoft.StreamAnalytics | Azure Stream Analytics | 保護されていない |
| Microsoft.Synapse | Synapse Analytics (以前の SQL DW) と Synapse Studio (以前の SQL DW Studio) | 保護された |
| Microsoft.UsageBilling | Azure 利用と請求のポータル | 保護されていない |
| マイクロソフト.ビデオインデクサー | Video Indexer | 保護された |
| Microsoft.VoiceServices | Azure Communication Services - 音声 API | 保護されていない |
| microsoft.web | Web Apps | 保護された |