• 5 min read

バックアップ認証サービスで Azure Active Directory のサービス回復性を高める

By Mark Russinovich, Chief Technology Officer and Technical Fellow, Microsoft Azure
Microsoft の ID サービスの最も重要な約束は、すべてのユーザーが必要なアプリケーションやサービスに支障なくアクセスできることです。Microsoft は多層的なアプローチを通じて、このお客様との約束を強化し、Azure Active Directory (Azure AD) の認証アップタイムを 99.99% に向上させるという約束を実現しました。

Microsoft の「信頼性の強化」ブログ シリーズでは、Azure プラットフォームやサービスの信頼性向上に関連する主要な更新情報や取り組みを紹介していますが、今日は Azure Active Directory (Azure AD) に焦点を当てていきます。2019 年には、このシリーズの一環として、Azure AD の中核となる可用性の原則を説明しました。そこで、エンジニアリング担当コーポレート バイス プレジデントの Nadim Abdo に、お客様やパートナー様にとって非常に重要な ID とアクセス管理サービスの信頼性を確保するために、当社のエンジニアリング チームがどのように取り組んでいるか、最新の情報を提供してもらいました。」 - Mark Russinovich (CTO、Azure)

 

Microsoft の ID サービスの最も重要な約束は、すべてのユーザーが必要なアプリケーションやサービスに支障なくアクセスできることです。Microsoft は多層的なアプローチを通じて、このお客様との約束を強化し、Azure Active Directory (Azure AD)認証アップタイムを 99.99% に向上させるという約束を実現しました。本日は、Azure AD がさらに高いレベルの回復性を達成するための、一般提供が開始されているテクノロジの詳細をご紹介します。

Azure AD バックアップ認証サービスは、プライマリ Azure AD サービスが利用できない場合に、サポートされているワークロードの認証を透過的かつ自動的に処理します。これにより、Azure AD の複数レベルの冗長性に加えて、回復性のレイヤーがさらに追加されます。これは、バックアップの発電機または無停電電源装置のようなものであると考えることができ、お客様に対して完全に透過的かつ自動的な状態を維持しながら、追加のフォールト トレランスが提供されるように設計されています。このシステムは、Microsoft クラウド内で動作しますが、プライマリ Azure AD システムとは別の独立したシステムとネットワーク パス上で動作します。つまり、多くの Azure AD や依存する Azure サービスでサービス、ネットワーク、容量の問題が発生しても、継続して運用することができます。

サービスの対象となるワークロード

本サービスは 2019 年以降、Outlook Web Access と SharePoint Online のワークロードを保護しています。今年の初めには、Microsoft はデスクトップやモバイル デバイス上で動作するアプリケーション、つまり「ネイティブ」アプリのバックアップ サポートを完了しました。Office 365 や Teams を含むすべての Microsoft のネイティブ アプリに加え、デバイス上でネイティブに動作する Microsoft 以外のアプリやお客様所有のアプリケーションも対象となりました。バックアップ認証の適用を受けるために、特別な操作や構成の変更は必要ありません。

2021 年末からは、さらに多くの Web ベースのアプリケーションのサポートをロールアウトします。まずは Teams Online や Office 365 などの Microsoft の Web アプリから、Open ID Connect や Security Assertion Markup Language (SAML) を使用するお客様所有の Web アプリへと、Open ID Connect を使用するアプリを段階的に導入していく予定です。

サービスのしくみ

Azure AD プライマリ サービスの障害が検出されると、バックアップ認証サービスが自動的に作動し、ユーザーのアプリケーションが継続して動作できるようにします。プライマリ サービスが回復すると、認証要求はプライマリ Azure AD サービスに再ルーティングされます。バックアップ認証サービスは、2 つのモードで動作します。

  • 通常モード: バックアップ サービスにより、通常の運用の状態で必要な認証データが保存されます。Azure AD からの依存するアプリに対する認証応答が成功すると、セッション固有のデータが生成され、バックアップ サービスによって最大 3 日間安全に保存されます。この認証データは、デバイス - ユーザー - アプリ - リソースの組み合わせに固有のもので、ある時点で成功した認証のスナップショットを表します。
  • 障害発生時モード: 認証要求が予期せず失敗した場合、Azure AD ゲートウェイは自動的にバックアップ サービスにその要求をルーティングします。次に、要求を認証し、提示されたアーティファクト (リフレッシュ トークンやセッション クッキーなど) が有効であることを確認し、以前に保存されたデータの中から厳密にセッションが一致するものを探します。そして、プライマリ Azure AD システムが生成したものと一致する認証応答が、アプリケーションに送信されます。回復すると、トラフィックは動的にプライマリ Azure AD サービスに再ルーティングされます。

Outlook や Exchange Online などのクライアント/サービスがトークンにアクセスしている様子を示した図 (新しい Backup Auth サービスからキャッシュされたアクセス トークンを含む)

バックアップ サービスへのルーティングは自動的に行われ、その認証応答は通常、プライマリ Azure AD サービスから送られてくるものと一致します。つまり、アプリケーションを変更したり、手動で介入したりすることなく、保護が有効になります。

バックアップ認証サービスの優先順位は、最近認証が許可されたアプリやリソースにアクセスするための、ユーザーの生産性維持であることに注意してください。これは、Azure AD への要求の大部分を占めており、実際には 93% がこのタイプです。ユーザーの現在のデバイスで最近アクセスが許可されず、3 日間の保存期間を超えた "新規 "認証は、現在のところ障害発生時にはサポートされていませんが、ほとんどのユーザーは、最も重要なアプリケーションに、一貫したデバイスから毎日アクセスしています。

障害発生時にセキュリティ ポリシーやアクセス コンプライアンスはどのように適用されるか

バックアップ認証サービスは、ユーザーのアクセスに影響するセキュリティ イベントを継続的に監視し、このようなイベントが障害発生前に検出されたとしても、アカウントの安全性を維持します。また、継続的アクセス評価により、有効でなくなったセッションを直ちに失効させることができます。障害発生中にバックアップ サービスがアクセスを制限する原因となるセキュリティ イベントの例としては、デバイスの状態の変更、アカウントの無効化、アカウントの削除、管理者によるアクセスの取り消し、またはユーザー リスクの高いイベントの検出などがあります。プライマリ認証サービスが復旧すると、セキュリティ イベントが発生したユーザーは再びアクセスできるようになります。

さらに、バックアップ認証サービスによって、条件付きアクセス ポリシーが強制されます。障害発生中にアクセスを許可する前に、バックアップ サービスによってポリシーが再評価され、どのポリシーが適用されるか、また適用対象となるポリシーについて、多要素認証 (MFA) などの必要な制御が満たされているかが判断されます。バックアップ サービスが認証要求を受け取ったときに、MFA などの制御が満たされていなければ、その認証はブロックされます。

ユーザー、アプリケーション、デバイス プラットフォーム、IP アドレスなどの条件に依存する条件付アクセス ポリシーは、バックアップ認証サービスによって検出されたリアルタイム データを使用して適用されます。ただし、特定のポリシー条件 (サインイン リスクやロールのメンバーシップなど) はリアルタイムでは評価できず、回復性設定に基づいて評価されます。回復性の既定値を使用すると、障害時に条件 (グループ メンバーシップなど) がリアルタイムで利用できない場合に、Azure AD によって安全に生産性を最大化できるようになります。本サービスでは、障害発生直前の最新のアクセス以降、条件が変更されていないと仮定して、ポリシーが評価されます。

お客様には回復性の既定値を有効にしておくことを強くお勧めしますが、障害発生中に条件付きアクセスの条件をリアルタイムで評価できない場合、管理者がアクセスをブロックしたいシナリオもあるでしょう。このようなまれなケースでは、管理者は条件付きアクセスのポリシーごとに回復性の既定値を無効化することができます。ポリシーによって回復性の既定値を無効にすると、バックアップ認証サービスによってリアルタイムのポリシー条件の対象となる要求が処理されないため、プライマリ Azure AD の障害によってそれらのユーザーがブロックされる可能性があります。

次に来るものは?

Azure AD バックアップ認証サービスにより、Azure AD のプライマリ認証に障害が発生したという予期せぬシナリオにおいても、ユーザーが生産性を維持できるようになります。このサービスによって、Microsoft のクラウドとネットワークの経路において、サービスにもう 1 つの透過的な冗長性のレイヤーが提供されます。将来的には、Microsoft はプロトコルのサポート、シナリオのサポート、パブリック クラウド以外の対象範囲を拡大していき、先進的なお客様にはサービスの可視性を拡大していきたいと考えています。

皆様の変わらぬ信頼とパートナーシップに感謝いたします。

Microsoft の「信頼性の強化」ブログ シリーズでは、Azure プラットフォームやサービスの信頼性向上に関連する主要な更新情報や取り組みを紹介していますが、今日は Azure Active Directory (Azure AD) に焦点を当てていきます。2019 年には、このシリーズの一環として、Azure AD の中核となる可用性の原則を説明しました。そこで、エンジニアリング担当コーポレート バイス プレジデントの Nadim Abdo に、お客様やパートナー様にとって非常に重要な ID とアクセス管理サービスの信頼性を確保するために、当社のエンジニアリング チームがどのように取り組んでいるか、最新の情報を提供してもらいました。」 - Mark Russinovich (CTO、Azure)

 

Microsoft の ID サービスの最も重要な約束は、すべてのユーザーが必要なアプリケーションやサービスに支障なくアクセスできることです。Microsoft は多層的なアプローチを通じて、このお客様との約束を強化し、Azure Active Directory (Azure AD)認証アップタイムを 99.99% に向上させるという約束を実現しました。本日は、Azure AD がさらに高いレベルの回復性を達成するための、一般提供が開始されているテクノロジの詳細をご紹介します。

Azure AD バックアップ認証サービスは、プライマリ Azure AD サービスが利用できない場合に、サポートされているワークロードの認証を透過的かつ自動的に処理します。これにより、Azure AD の複数レベルの冗長性に加えて、回復性のレイヤーがさらに追加されます。これは、バックアップの発電機または無停電電源装置のようなものであると考えることができ、お客様に対して完全に透過的かつ自動的な状態を維持しながら、追加のフォールト トレランスが提供されるように設計されています。このシステムは、Microsoft クラウド内で動作しますが、プライマリ Azure AD システムとは別の独立したシステムとネットワーク パス上で動作します。つまり、多くの Azure AD や依存する Azure サービスでサービス、ネットワーク、容量の問題が発生しても、継続して運用することができます。

サービスの対象となるワークロード

本サービスは 2019 年以降、Outlook Web Access と SharePoint Online のワークロードを保護しています。今年の初めには、Microsoft はデスクトップやモバイル デバイス上で動作するアプリケーション、つまり「ネイティブ」アプリのバックアップ サポートを完了しました。Office 365 や Teams を含むすべての Microsoft のネイティブ アプリに加え、デバイス上でネイティブに動作する Microsoft 以外のアプリやお客様所有のアプリケーションも対象となりました。バックアップ認証の適用を受けるために、特別な操作や構成の変更は必要ありません。

2021 年末からは、さらに多くの Web ベースのアプリケーションのサポートをロールアウトします。まずは Teams Online や Office 365 などの Microsoft の Web アプリから、Open ID Connect や Security Assertion Markup Language (SAML) を使用するお客様所有の Web アプリへと、Open ID Connect を使用するアプリを段階的に導入していく予定です。

サービスのしくみ

Azure AD プライマリ サービスの障害が検出されると、バックアップ認証サービスが自動的に作動し、ユーザーのアプリケーションが継続して動作できるようにします。プライマリ サービスが回復すると、認証要求はプライマリ Azure AD サービスに再ルーティングされます。バックアップ認証サービスは、2 つのモードで動作します。

Outlook や Exchange Online などのクライアント/サービスがトークンにアクセスしている様子を示した図 (新しい Backup Auth サービスからキャッシュされたアクセス トークンを含む)

バックアップ サービスへのルーティングは自動的に行われ、その認証応答は通常、プライマリ Azure AD サービスから送られてくるものと一致します。つまり、アプリケーションを変更したり、手動で介入したりすることなく、保護が有効になります。

バックアップ認証サービスの優先順位は、最近認証が許可されたアプリやリソースにアクセスするための、ユーザーの生産性維持であることに注意してください。これは、Azure AD への要求の大部分を占めており、実際には 93% がこのタイプです。ユーザーの現在のデバイスで最近アクセスが許可されず、3 日間の保存期間を超えた "新規 "認証は、現在のところ障害発生時にはサポートされていませんが、ほとんどのユーザーは、最も重要なアプリケーションに、一貫したデバイスから毎日アクセスしています。

障害発生時にセキュリティ ポリシーやアクセス コンプライアンスはどのように適用されるか

バックアップ認証サービスは、ユーザーのアクセスに影響するセキュリティ イベントを継続的に監視し、このようなイベントが障害発生前に検出されたとしても、アカウントの安全性を維持します。また、継続的アクセス評価により、有効でなくなったセッションを直ちに失効させることができます。障害発生中にバックアップ サービスがアクセスを制限する原因となるセキュリティ イベントの例としては、デバイスの状態の変更、アカウントの無効化、アカウントの削除、管理者によるアクセスの取り消し、またはユーザー リスクの高いイベントの検出などがあります。プライマリ認証サービスが復旧すると、セキュリティ イベントが発生したユーザーは再びアクセスできるようになります。

さらに、バックアップ認証サービスによって、条件付きアクセス ポリシーが強制されます。障害発生中にアクセスを許可する前に、バックアップ サービスによってポリシーが再評価され、どのポリシーが適用されるか、また適用対象となるポリシーについて、多要素認証 (MFA) などの必要な制御が満たされているかが判断されます。バックアップ サービスが認証要求を受け取ったときに、MFA などの制御が満たされていなければ、その認証はブロックされます。

ユーザー、アプリケーション、デバイス プラットフォーム、IP アドレスなどの条件に依存する条件付アクセス ポリシーは、バックアップ認証サービスによって検出されたリアルタイム データを使用して適用されます。ただし、特定のポリシー条件 (サインイン リスクやロールのメンバーシップなど) はリアルタイムでは評価できず、回復性設定に基づいて評価されます。回復性の既定値を使用すると、障害時に条件 (グループ メンバーシップなど) がリアルタイムで利用できない場合に、Azure AD によって安全に生産性を最大化できるようになります。本サービスでは、障害発生直前の最新のアクセス以降、条件が変更されていないと仮定して、ポリシーが評価されます。

お客様には回復性の既定値を有効にしておくことを強くお勧めしますが、障害発生中に条件付きアクセスの条件をリアルタイムで評価できない場合、管理者がアクセスをブロックしたいシナリオもあるでしょう。このようなまれなケースでは、管理者は条件付きアクセスのポリシーごとに回復性の既定値を無効化することができます。ポリシーによって回復性の既定値を無効にすると、バックアップ認証サービスによってリアルタイムのポリシー条件の対象となる要求が処理されないため、プライマリ Azure AD の障害によってそれらのユーザーがブロックされる可能性があります。

次に来るものは?

Azure AD バックアップ認証サービスにより、Azure AD のプライマリ認証に障害が発生したという予期せぬシナリオにおいても、ユーザーが生産性を維持できるようになります。このサービスによって、Microsoft のクラウドとネットワークの経路において、サービスにもう 1 つの透過的な冗長性のレイヤーが提供されます。将来的には、Microsoft はプロトコルのサポート、シナリオのサポート、パブリック クラウド以外の対象範囲を拡大していき、先進的なお客様にはサービスの可視性を拡大していきたいと考えています。

皆様の変わらぬ信頼とパートナーシップに感謝いたします。