В Microsoft рассказали о недавнем сбое: всему виной ключи

Microsoft пролила свет на основную причину вчерашнего массового сбоя проверки подлинности Azure, который затронул несколько служб Microsoft и заблокировал пользователям вход в свои учётные записи.

В Microsoft рассказали о недавнем сбое Фото: Pixabay

Как сообщал Startpack, у клиентов возникали ошибки аутентификации во многих службах Microsoft , включая Microsoft 365, Microsoft Teams, Exchange Online, Forms, Xbox Live, Intune, Outlook.com, Office Web, SharePoint Online, OneDrive для бизнеса, Yammer и других.

Читайте в тему:

После подтверждения того, что отключение службы повлияло на вход в систему и потоки проверки подлинности в её онлайн-службах, Microsoft заявила, что широко распространённые сбои были вызваны проблемой конфигурации Azure Active Directory (Azure AD).

Из-за этой проблемы пользователи не могли пройти аутентификацию в Microsoft 365, Exchange Online, Microsoft Teams или любой другой службе, использующей Azure AD.

«Между 19:00 (приблизительно) UTC 15 марта 2021 г. и 09:25 UTC 16 марта 2021 г. клиенты могли столкнуться с ошибками при выполнении операций проверки подлинности для любых приложений Microsoft и сторонних производителей, которые зависят от Azure Active Directory (Azure AD ) для аутентификации », — пояснили сегодня в Microsoft в предварительном отчёте об анализе первопричин.

Как объясняют в Microsoft, проблемы аутентификации и входа в систему, вызвавшие вчерашний сбой, были вызваны ошибкой, которая повлияла на правильную ротацию ключей подписи, используемых для поддержки использования OpenID в Azure AD.

Бизнесу: Microsoft внедряет Cloud PC: Windows начинают продавать как услугу

Ключи подписи - это пары закрытых и общедоступных криптографических ключей, которые используются для подписи запросов аутентификации от пользователя.

Платформа идентификации Microsoft периодически меняет ключи подписи в целях безопасности, при этом приложения должны обрабатывать события смены ключей, чтобы попытки аутентификации не заканчивались неудачей.

«В рамках стандартной гигиены безопасности автоматизированная система по расписанию удаляет ключи, которые больше не используются», — заявили в Microsoft.— «За последние несколько недель конкретный ключ был помечен меткой «сохранить» дольше обычного для поддержки сложной миграции между облаками. Это выявило ошибку, при которой автоматизация неправильно игнорировала это состояние« сохранить », что привело к удалению этого конкретного ключа».

После того, как ключ подписи был удалён, даже если он был отмечен для более длительного хранения, приложения, использующие службы проверки подлинности Azure AD, сразу перестали доверять токенам, подписанным удалённым ключом.

Это привело к тому, что все попытки пользователей войти в затронутые приложения и службы были отклонены, и в результате пользователи больше не могли получить доступ к своим учётным записям.

Инженеры Microsoft откатили ключевые метаданные до состояния, которое было до того, как глобальный перерыв в обслуживании начал устранять проблему.

Офтоп: Внедрение DevOps почти удвоилось за пять лет, Covid ускорил процесс: исследование

Однако сбой не удалось устранить сразу из-за различных «серверных реализаций, которые по-разному обрабатывают кэширование».

Пользователи продолжали сталкиваться с проблемами, пока затронутым приложениям не удалось получить обновлённые ключевые метаданные и обновить свои кэши.

Несмотря на то, что после отката основных изменений влияние сбоя в значительной степени уменьшилось, Microsoft все ещё работает над восстановлением Intune и Microsoft Managed Desktop.

Система проверки подлинности резервного копирования Azure AD все ещё находится в стадии разработки

«Мы понимаем, насколько это невероятно впечатляюще и неприемлемо, и приносим свои глубокие извинения», — заявила Microsoft. — «Мы постоянно предпринимаем шаги для улучшения платформы Microsoft Azure и наших процессов, чтобы гарантировать, что подобные инциденты не произойдут в будущем».

Как сообщал Startpack, ранее Microsoft выпустила локальный инструмент устранения рисков Exchange в один клик.

Startpack также подготовил список инструментов для организации эффективной командной работы над проектами или для повседневной деятельности. Системы позволяют быстро наладить коммуникацию между членами команды, спланировать деятельность, распределить задачи и проконтролировать результат. Раздел включает в себя CRM, почтовые сервисы, мессенджеры, системы управления задачами, тайм-трекеры, генераторы отчётов и документов, а так же многое другое.

Особая рекомендация: Worksection — инструмент управления проектами для бизнеса. Отлично подходит для растущих компаний, в которых необходимо систематизировать свои задачи.

Полезная новость? Прокомментируйте её или кликните на значок "+" ниже!

Упомянутые сервисы

OneDrive Облачное хранилище файлов для загрузки и хранения пользовательских данных.

Облачное хранилище файлов для загрузки и хранения пользовательских данных.

Microsoft Outlook Почтовый клиент от компании Microsoft. Может выступать как почтовиком, так и планировщиком, календарём и списком задач.

Почтовый клиент от компании Microsoft. Может выступать как почтовиком, так и планировщиком, календарём и списком задач.

Microsoft 365 Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).

Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).