マイクロソフトが新しいバックアップ サービスで Azure AD 認証の問題を解決する方法

マイクロソフトが新しいバックアップ サービスで Azure AD 認証の問題を解決する方法 [ad_1]

Office 365 のアキレス腱の修正

長年にわたり、Office 365 は非常に高いレベルのサービスを維持し、快適に マイクロソフトの財政的支援99.9%SLA目標 Office 365 が 2011 年に起動された直後に、いくつかの初期の不具合が起きて以来です。最近、物事がうまくいかなかったとき、 Azure AD は、多くの場合、問題の原因となっています.Office 365 の開始以来、何らかの認証の問題が存在しています。2015年と同じくらい前に、私は質問をした場合 Azure AD は Office 365 のアキレス腱でした。.

いくつかの点で、ディレクトリ サービスは、クラウドまたはオンプレミスのいずれのサービスの超重要なコンポーネントである必要があります。クライアントが認証できない場合、クライアントはリソースにアクセスできません。これは、認証機能の喪失がクライアントをクラッシュ停止させた多くの例によって証明された単純な方程式です。

バックアップ認証サービスとその 3 日間の成功した認証キャッシュ

マイクロソフトは、(MFA サービスなど) 単一障害点を排除し、容量を構築することで、Azure AD の復元力を徐々に向上させてきました。最新のイノベーションは、バックアップ認証サービスであり、下支え Azure AD の 99.99% 認証のアップタイム.

ある 11月22日ブログ投稿 計画を説明します。マイクロソフトは、Azure AD を監視して停止を検出するサービスを実装しています。停止が発生すると、バックアップ認証サービスは、Azure AD ゲートウェイによって自動的にルーティングされるクライアントからの認証要求を処理するために運用に移行します (最初の接続ポイント Azure AD のプライマリ インスタンスが回復すると、バックアップ サービスは動的に要求を再ルーティングし、監視 (通常) モードに戻ります。

バックアップ サービスは、Azure AD によって処理された成功した認証要求から派生した情報を使用して認証要求を処理します (図 1)。この情報は、最長 3 日まで経過することができます。バックアップ サービスは、過去 3 日以内にアプリケーションが正常に認証されたことを検証し、アプリケーションを続行するための認証応答を生成するのには十分です。マイクロソフトによると、Azure AD によって処理される認証要求の 90% 以上が既存のクライアント セッション用です。これらはすべてバックアップ サービスで処理できます。一方、バックアップ サービスには新しいセッションのデータがないため、これらの要求 (またはゲスト アカウントからの要求) を処理できません。

Azure AD バックアップ認証サービス (イメージ クレジット: マイクロソフト)
図 1: Azure AD バックアップ認証サービス (イメージ クレジット: マイクロソフト)

条件付きアクセスと復元の既定値

バックアップ認証サービスは、認証要求の処理とは別に、多要素認証、条件付きアクセス ポリシー、および継続的アクセス評価を適用して、無効な資格情報を使用できないようにします。

サービスの継続性を可能な限り高くするために、バックアップ認証サービスは 復元の既定値 条件付きアクセス ポリシーを使用して、プライマリ Azure AD サービスがオフラインのときにリアルタイムで利用できないサインイン リスクやグループ メンバーシップなどの条件に応じて、ポリシーを継続できるようにします。基本的に、ポリシーは、Azure AD がオフラインになってから条件が変更されていないという根拠に基づいて進められます。このようなことが起こることを望まない組織は、可能 復元の既定値を無効にする Azure AD 管理センターを通じてすべてのまたは一部の条件付きアクセス ポリシー (図 2) の場合、これは一部のクライアントが認証に接続する機能に影響を与えることを認識しています。

Azure AD 条件付きアクセス ポリシーの復元の既定値を無効にする場所
図 2: Azure AD 条件付きアクセス ポリシーの復元の既定値を無効にする場所

2019年から段階的に導入

最も良い点は、2019 年から OWA と SharePoint Online のバックアップ認証サービスが提供されているということです。2021 年初頭、マイクロソフトは、エンタープライズ向け Microsoft 365 アプリ (Outlook など) や Teams デスクトップおよびモバイル クライアントなどの"ネイティブ" アプリのサポートを追加しました。認証要求の再ルーティングはゲートウェイ レベルで行われ、バックアップ認証サービスからの応答はプライマリ Azure AD サービスによって発行された応答と同じであるため、クライアントの再構成や特別な設定は必要ありません。

マイクロソフトは現在、アプリを使用してアプリを取り込むためのサポートをアップグレードしています オープン ID 接続、独自のチーム オンラインアプリと Office オンライン アプリから始まり、顧客のアプリに進みます。彼らは2021年末にこのサポートの展開を開始する予定です。その時点で、すべての Office 365 はバックアップ認証サービスによって保護される必要があります。

合理的な妥協

認証要求の成功に関する情報を 3 日間保存し、その情報を使用して Azure AD サービスがオフラインになった場合に作業を続行できるようにすることは、ユーティリティとセキュリティの間の合理的なバランスのように思えます。Azure AD の停止が過去に発生したことを確認します。また、Azure AD は、時間の経過とともにより多くのトラフィックを処理し続けていることもわかっています( 月間アクティブユーザー数は5億人 マイクロソフトによると、毎日数百億の認証を生成し、それ自体がストレスを生み出しています。今後、Azure AD の一部の停止が発生する可能性があります。良いニュースは、少なくともクライアントセッションの大半で、認証のためのバックアップ提供が利用可能になったことです。

Office 365 が実際にどのように機能するかについては、サブスクリプションを作成してください。 IT 担当者向け Office 365 電子書籍。毎月の更新プログラムでは、Office 365 エコシステム全体で重要な情報を購読者に通知します。

[ad_2]

未分類

Posted by admin