Kimlik hizmetlerimizin en kritik vaadi, her kullanıcının ihtiyaç duyduğu uygulamalara ve hizmetlere kesintisiz olarak erişebilmesini sağlamaktır. Bu sözü size çok katmanlı bir yaklaşımla güçlendirerek Azure Active Directory (Azure AD) için yüzde 99,99 kimlik doğrulama çalışma süresi sözümüzü iyileştirdik. Bugün, Azure AD’nin daha da yüksek esneklik seviyelerine ulaşmasını sağlayan genel kullanıma sunulan teknolojiye derinlemesine bir dalış yapmak için heyecanlıyım.
Azure AD yedekleme kimlik doğrulama hizmeti, birincil Azure AD hizmeti kullanılamadığında desteklenen iş yükleri için kimlik doğrulamalarını saydam ve otomatik olarak işler. Azure AD’deki birden çok artıklık düzeyinin üzerine ek bir esneklik katmanı ekler. Size tamamen şeffaf ve otomatik kalırken ek arıza toleransı sağlamak için tasarlanmış bir yedek jeneratör veya kesintisiz güç kaynağı olarak düşünebilirsiniz. Bu sistem Microsoft bulutunda, ancak birincil Azure AD sisteminden ayrı ve dekorlu sistemlerde ve ağ yollarında çalışır. Bu, birçok Azure AD ve bağımlı Azure hizmetinde hizmet, ağ veya kapasite sorunları durumunda çalışmaya devam edebileceği anlamına gelir.
Hizmet hangi iş yüklerini kapsar?
Bu hizmet, 2019’dan bu yana Outlook Web Access ve SharePoint Online iş yüklerini koruyor. Bu yılın başlarında, masaüstlerinde ve mobil cihazlarda veya “yerel” uygulamalarda çalışan uygulamalar için yedekleme desteğini tamamladık. Office 365 ve Teams dahil olmak üzere tüm Microsoft yerel uygulamalarının yanı sıra cihazlarda yerel olarak çalışan Microsoft dışı ve müşteriye ait uygulamalar artık kapsanmaktadır. Yedek kimlik doğrulama kapsamını almak için özel eylem veya yapılandırma değişikliği gerekmez.
2021’in sonundan itibaren, daha fazla web tabanlı uygulama için destek vermeye başlayacağız. Teams Online ve Office 365 gibi Microsoft web uygulamalarından başlayarak Open ID Connect kullanan uygulamalarda ve ardından Open ID Connect ve Security Assertion Markup Language (SAML) kullanan müşteriye ait web uygulamalarında aşama aşama aşama çalışacağız.
Hizmet nasıl çalışır?
Azure AD birincil hizmetinde bir hata algılandığında, yedekleme kimlik doğrulama hizmeti otomatik olarak devreye girer ve kullanıcının uygulamalarının çalışmaya devam etmesine izin verir. Birincil hizmet kurtarıldıkça, kimlik doğrulama istekleri birincil Azure AD hizmetine geri yönlendirilir. Yedekleme kimlik doğrulama hizmeti iki modda çalışır:
- Normal mod: Yedekleme hizmeti, normal çalışma koşulları sırasında temel kimlik doğrulama verilerini depolar. Azure AD’den bağımlı uygulamalara verilen başarılı kimlik doğrulama yanıtları, yedekleme hizmeti tarafından üç güne kadar güvenli bir şekilde depolanan oturuma özgü veriler oluşturur. Kimlik doğrulama verileri bir cihaz-kullanıcı-uygulama-kaynak birleşimine özgüdür ve bir noktada başarılı bir kimlik doğrulamasının anlık görüntüsünü temsil eder.
- Kesinti modu: Kimlik doğrulama isteği beklenmedik şekilde başarısız olduğunda, Azure AD ağ geçidi otomatik olarak yedekleme hizmetine yönlendirir. Daha sonra isteğin kimliğini doğrular, sunulan yapıtların geçerli olduğunu doğrular (yenileme belirteci ve oturum tanımlama bilgisi gibi) ve önceden depolanan verilerde katı bir oturum eşleşmesi arar. Birincil Azure AD sisteminin oluşturacağıyla tutarlı bir kimlik doğrulama yanıtı daha sonra uygulamaya gönderilir. Kurtarma sırasında, trafik dinamik olarak birincil Azure AD hizmetine geri yönlendirilir.
Yedekleme hizmetine yönlendirme otomatiktir ve kimlik doğrulama yanıtları genellikle birincil Azure AD hizmetinden gelenlerle tutarlıdır. Bu, korumanın uygulama değişikliklerine veya manuel müdahaleye gerek kalmadan devreye girmesi anlamına gelir.
Yedekleme kimlik doğrulama hizmetinin önceliğinin, kimlik doğrulamasının yakın zamanda verildiği bir uygulamaya veya kaynağa erişim için kullanıcı üretkenliğini canlı tutmak olduğunu unutmayın. Bu, Azure AD’ye yapılan istek türünün çoğu (aslında yüzde 93) olur. Kullanıcının geçerli cihazında yakın zamanda erişim verilmeyen üç günlük depolama penceresinin ötesindeki “yeni” kimlik doğrulamaları şu anda kesintiler sırasında desteklenmez, ancak çoğu kullanıcı en önemli uygulamalarına günlük olarak tutarlı bir cihazdan erişiyor.
Kesinti sırasında güvenlik ilkeleri ve erişim uyumluluğu nasıl uygulanır?
Yedekleme kimlik doğrulama hizmeti, bu olaylar bir kesintiden hemen önce algılansa bile, hesapları güvende tutmak için kullanıcı erişimini etkileyen güvenlik olaylarını sürekli olarak izler. Artık geçerli olmayan oturumların hemen iptal edilmesini sağlamak için Sürekli Erişim Değerlendirmesi’ni kullanır. Yedekleme hizmetinin kesinti sırasında erişimi kısıtlamasına neden olacak güvenlik olaylarına örnek olarak cihaz durumundaki değişiklikler, hesap devre dışı bırakma, hesap silme, erişimin bir yönetici tarafından iptal edilmesi veya yüksek kullanıcı riski olayının algılanması verilebilir. Yalnızca birincil kimlik doğrulama hizmeti geri yüklendikten sonra, güvenlik olayı olan bir kullanıcı yeniden erişime kavuşabilir.
Ayrıca, yedekleme kimlik doğrulama hizmeti Koşullu Erişim ilkelerini zorlar. İlkeler, hangi ilkelerin geçerli olduğunu ve çok faktörlü kimlik doğrulama (MFA) gibi uygulanabilir ilkeler için gerekli denetimlerin karşılanıp karşılanmadığını belirlemek için kesinti sırasında erişim vermeden önce yedekleme hizmeti tarafından yeniden değerlendirilir. Yedekleme hizmeti tarafından bir kimlik doğrulama isteği alınırsa ve MFA gibi bir denetim karşılanmadıysa, bu kimlik doğrulaması engellenir.
Kullanıcı, uygulama, cihaz platformu ve IP adresi gibi koşullara dayanan Koşullu Erişim ilkeleri, yedekleme kimlik doğrulama hizmeti tarafından algılanan gerçek zamanlı veriler kullanılarak zorlanır. Ancak, belirli ilke koşulları (oturum açma riski ve rol üyeliği gibi) gerçek zamanlı olarak değerlendirilemez ve dayanıklılık ayarlarına göre değerlendirilir. Dayanıklılık varsayılanları, bir kesinti sırasında bir koşul (grup üyeliği gibi) gerçek zamanlı olarak kullanılamıyorsa Azure AD’nin üretkenliği güvenli bir şekilde en üst düzeye çıkarmasını sağlar. Hizmet, kesintiden hemen önceki en son erişimden bu yana koşulun değişmediğini varsayarak bir ilkeyi değerlendirir.
Müşterilere dayanıklılık varsayılanlarını etkin tutmalarını şiddetle tavsiye etsek de, koşullu erişim koşulu gerçek zamanlı olarak değerlendirilemediğinde yöneticilerin kesinti sırasında erişimi engellemeyi tercih ettiği bazı senaryolar olabilir. Bu nadir durumlarda, yöneticiler Koşullu Erişim’de ilke başına dayanıklılık varsayılanlarını devre dışı bırakabilir. Dayanıklılık varsayılanları ilke tarafından devre dışı bırakılırsa, yedekleme kimlik doğrulama hizmeti gerçek zamanlı ilke koşullarına tabi olan isteklere hizmet etmez, yani bu kullanıcılar birincil Azure AD kesintisi tarafından engellenebilir.