Que sont les dépendances de service dans l’accès conditionnel Microsoft Entra ?
Avec les stratégies d’accès conditionnel, vous pouvez spécifier des conditions d’accès aux sites web et aux services. Par exemple, vous pouvez exiger une authentification multifacteur (MFA) ou des appareils gérés dans vos conditions d’accès.
Lorsque vous accédez directement à un site ou un service, l’impact d’une stratégie associée est généralement facile à évaluer. Par exemple, si vous avez configuré une stratégie qui exige une authentification multifacteur (MFA) pour SharePoint Online, chaque connexion au portail web SharePoint nécessitera une authentification multifacteur. Toutefois, il n’est pas toujours simple d’évaluer l’impact d’une stratégie, car certaines applications cloud sont dépendantes d’autres applications cloud. Par exemple, Microsoft Teams peut accorder un accès aux ressources dans SharePoint Online. Par conséquent, lorsque vous accédez à Microsoft Teams dans notre scénario actuel, vous êtes également soumis à la stratégie MFA de SharePoint.
Conseil
L’application Office 365 ciblera toutes les applications Office pour éviter des problèmes avec les dépendances de service dans la pile Office.
Application de stratégies
Si vous avez configuré une dépendance de service, la stratégie peut s’appliquer via une liaison anticipée ou tardive.
- Une application de stratégie à liaison anticipée signifie qu’un utilisateur doit respecter la stratégie du service dépendant avant d’accéder à l’application appelante. Par exemple, un utilisateur doit satisfaire la stratégie SharePoint avant de se connecter à Microsoft Teams.
- Une application de stratégie à liaison tardive se produit après la connexion de l’utilisateur à l’application appelante. L’application de la stratégie est différée et survient lorsque l’application appelante demande un jeton pour le service en aval. L’un des exemples montre Microsoft Teams qui accède à Planner et Office.com qui accède à SharePoint.
Le diagramme suivant illustre les dépendances du service Microsoft Teams. Les flèches pleines représentent l’application à liaison anticipée et la flèche en pointillé pour Planner indique l’application à liaison tardive.
Une bonne pratique consiste à définir des stratégies communes sur l’ensemble des applications et services associés lorsque c’est possible. Une posture de sécurité cohérente vous offre la meilleure expérience utilisateur. Par exemple, en définissant une stratégie commune sur Exchange Online, SharePoint Online, Microsoft Teams et Skype Entreprise, vous pouvez considérablement réduire le nombre d’invites inattendues pouvant être générées par les différentes stratégies appliquées aux services en aval.
Un bon moyen d’établir une stratégie commune avec les applications de la pile Office consiste à utiliser l’application Office 365 au lieu de cibler des applications individuelles.
Le tableau ci-dessous liste d’autres dépendances de service, où les applications clientes doivent répondre aux conditions. Cette liste n’est pas exhaustive.
| Applications clientes | Service en aval | Application |
|---|---|---|
| Azure Data Lake | API Gestion des services Windows Azure (portail et API) | Liaison anticipée |
| Microsoft Classroom | Exchange | Liaison anticipée |
| SharePoint | Liaison anticipée | |
| Microsoft Teams | Exchange | Liaison anticipée |
| MS Planner | Liaison tardive | |
| Microsoft Stream | Liaison tardive | |
| SharePoint | Liaison anticipée | |
| Skype Entreprise Online | Liaison anticipée | |
| Tableau blanc collaboratif Microsoft | Liaison tardive | |
| Portail Office | Exchange | Liaison tardive |
| SharePoint | Liaison tardive | |
| Outlook Groups | Exchange | Liaison anticipée |
| SharePoint | Liaison anticipée | |
| Power Apps | API Gestion des services Windows Azure (portail et API) | Liaison anticipée |
| Microsoft Azure Active Directory | Liaison anticipée | |
| SharePoint | Liaison anticipée | |
| Exchange | Liaison anticipée | |
| Power Automate | Power Apps | Liaison anticipée |
| Projet | Dynamics CRM | Liaison anticipée |
| Skype Entreprise | Exchange | Liaison anticipée |
| Visual Studio | API Gestion des services Windows Azure (portail et API) | Liaison anticipée |
| Microsoft Forms | Exchange | Liaison anticipée |
| SharePoint | Liaison anticipée | |
| Microsoft To-Do | Exchange | Liaison anticipée |
| SharePoint | Extensibilité du client web SharePoint Online | Liaison anticipée |
| Extensibilité du client web SharePoint Online isolée | Liaison anticipée | |
| Principal d’application web d’extensibilité du client SharePoint (le cas échéant) | Liaison anticipée |
Résolution des problèmes liés aux dépendances de services
Le journal des connexions Microsoft Entra est une source précieuse d’informations pour résoudre les problèmes liés aux causes et aux méthodes d’application d’une stratégie d’accès conditionnel à votre environnement. Pour plus d’informations sur la résolution des problèmes de connexion inattendus liés à l’accès conditionnel, consultez l’article Résolution des problèmes de connexion avec l’accès conditionnel.
Étapes suivantes
Pour apprendre à implémenter l’accès conditionnel dans votre environnement, consultez Planifier votre déploiement de l’accès conditionnel dans Microsoft Entra ID.