Che cosa sono le dipendenze del servizio nell'accesso condizionale di Microsoft Entra?
Con i criteri di accesso condizionale, è possibile specificare i requisiti di accesso ai siti Web e ai servizi. Ad esempio, i requisiti di accesso possono includere la richiesta di autenticazione a più fattori (MFA) o dispositivi gestiti.
Quando si accede direttamente a un sito o a un servizio, l'impatto di un criterio correlato è in genere facile da valutare. Ad esempio, se si dispone di un criterio che richiede l'autenticazione a più fattori (MFA) per SharePoint Online configurato, l'autenticazione a più fattori viene applicata per ogni accesso al portale Web di SharePoint. Tuttavia, non è sempre semplice valutare l'impatto di un criterio perché sono presenti app cloud con dipendenze ad altre app cloud. Ad esempio, Microsoft Teams può fornire l'accesso alle risorse in SharePoint Online. Quindi, quando si accede a Microsoft Teams nello scenario corrente, si è soggetti anche ai criteri di autenticazione a più fattori di SharePoint.
Suggerimento
L'uso dell'app Office 365 interesserà tutte le app di Office per evitare problemi con le dipendenze del servizio nello stack di Office.
Applicazione dei criteri
Se è configurata una dipendenza del servizio, i criteri possono essere applicati usando l'applicazione con associazione anticipata o tardiva.
- L'applicazione dei criteri con associazione anticipata significa che un utente deve soddisfare i criteri del servizio dipendente prima di accedere all'app chiamante. Ad esempio, un utente deve soddisfare i criteri di SharePoint prima di accedere a Microsoft Teams.
- L'applicazione dei criteri ad associazione tardiva si verifica dopo che l'utente accede all'app chiamante. L'applicazione viene posticipata a quando l'app chiamante richiede un token per il servizio downstream. Ad esempio, Microsoft Teams accede a Planner e Office.com che accede a SharePoint.
Il diagramma seguente illustra le dipendenze del servizio Microsoft Teams. Le frecce a tinta unita indicano l'applicazione con associazione anticipata; la freccia tratteggiata per Planner indica l'imposizione con applicazione tardiva.
La procedura consigliata prevede la configurazione di criteri comuni in app e servizi correlati quanto possibile. L'adozione di una postura di sicurezza coerente offre l'esperienza utente migliore. L'impostazione di un criterio comune tra Exchange Online, SharePoint Online, Microsoft Teams e Skype for Business, ad esempio, riduce significativamente le richieste impreviste che potrebbero derivare da criteri diversi applicati ai servizi downstream.
Un ottimo modo per ottenere criteri comuni con le applicazioni nello stack di Office consiste nell'usare le app di Office 365 anziché specificare singole applicazioni.
La tabella seguente elenca altre dipendenze del servizio che le app client devono soddisfare. Questo elenco non è esaustivo.
| App client | Servizio downstream | Imposizione |
|---|---|---|
| Azure Data Lake | API Gestione dei servizi di Windows Azure (portale e API) | Associazione anticipata |
| Microsoft Classroom | Exchange | Associazione anticipata |
| SharePoint | Associazione anticipata | |
| Microsoft Teams | Exchange | Associazione anticipata |
| MS Planner | Associazione tardiva | |
| Microsoft Stream | Associazione tardiva | |
| SharePoint | Associazione anticipata | |
| Skype for Business Online | Associazione anticipata | |
| Microsoft Whiteboard | Associazione tardiva | |
| Portale di Office | Exchange | Associazione tardiva |
| SharePoint | Associazione tardiva | |
| Outlook Groups | Exchange | Associazione anticipata |
| SharePoint | Associazione anticipata | |
| Power Apps | API Gestione dei servizi di Windows Azure (portale e API) | Associazione anticipata |
| Windows Azure Active Directory | Associazione anticipata | |
| SharePoint | Associazione anticipata | |
| Exchange | Associazione anticipata | |
| Power Automate | Power Apps | Associazione anticipata |
| Project | Dynamics CRM | Associazione anticipata |
| Skype for Business | Exchange | Associazione anticipata |
| Visual Studio | API Gestione dei servizi di Windows Azure (portale e API) | Associazione anticipata |
| Microsoft Forms | Exchange | Associazione anticipata |
| SharePoint | Associazione anticipata | |
| Microsoft To-Do | Exchange | Associazione anticipata |
| SharePoint | Estendibilità del client Web di SharePoint Online | Associazione anticipata |
| Estendibilità del client Web di SharePoint Online isolato | Associazione anticipata | |
| Entità applicazione Web estendibilità client SharePoint (dove presente) | Associazione anticipata |
Risoluzione dei problemi relativi alle dipendenze del servizio
Il log di accesso di Microsoft Entra è un'importante fonte di informazioni per la risoluzione dei problemi relativi al motivo e al modo in cui i criteri di accesso condizionale sono applicati nell'ambiente. Per altre informazioni sulla risoluzione dei problemi degli esiti di accesso imprevisti correlati all'accesso condizionale, vedere l'articolo Risoluzione dei problemi di accesso con l'accesso condizionale.
Passaggi successivi
Per informazioni su come implementare l'accesso condizionale nell'ambiente in uso, vedere Pianificare la distribuzione dell'accesso condizionale in Microsoft Entra ID.