Co to są zależności usług w przypadku dostępu warunkowego usługi Microsoft Entra?
Za pomocą zasad dostępu warunkowego można określić wymagania dostępu do witryn internetowych i usług. Na przykład wymagania dostępu mogą obejmować wymaganie uwierzytelniania wieloskładnikowego (MFA) lub urządzeń zarządzanych.
W przypadku uzyskiwania bezpośredniego dostępu do witryny lub usługi wpływ powiązanych zasad jest zazwyczaj łatwy do ocenienia. Jeśli na przykład masz zasady wymagające uwierzytelniania wieloskładnikowego (MFA) dla usługi SharePoint Online skonfigurowane, uwierzytelnianie wieloskładnikowe jest wymuszane dla każdego logowania do portalu internetowego programu SharePoint. Jednak nie zawsze można łatwo ocenić wpływ zasad, ponieważ istnieją aplikacje w chmurze z zależnościami do innych aplikacji w chmurze. Na przykład usługa Microsoft Teams może zapewniać dostęp do zasobów w usłudze SharePoint Online. Dlatego podczas uzyskiwania dostępu do usługi Microsoft Teams w naszym bieżącym scenariuszu będziesz również podlegać zasadom uwierzytelniania wieloskładnikowego programu SharePoint.
Napiwek
Użycie aplikacji usługi Office 365 spowoduje skierowanie wszystkich aplikacja pakietu Office, aby uniknąć problemów z zależnościami usług w stosie pakietu Office.
Egzekwowanie zasad
Jeśli masz skonfigurowaną zależność usługi, zasady mogą być stosowane przy użyciu wymuszania wczesnego lub opóźnionego ograniczenia.
- Wczesne wymuszanie zasad oznacza, że użytkownik musi spełnić wymagania zależnych zasad usługi przed uzyskaniem dostępu do aplikacji wywołującej. Na przykład użytkownik musi spełnić zasady programu SharePoint przed zalogowaniem się do usługi Microsoft Teams.
- Wymuszanie zasad z opóźnieniem występuje po zalogowaniu się użytkownika do aplikacji wywołującej. Wymuszanie jest odroczone w przypadku wywoływania żądań aplikacji tokenu dla usługi podrzędnej. Przykłady obejmują dostęp do usługi Planner w usłudze Microsoft Teams i Office.com uzyskiwanie dostępu do programu SharePoint.
Na poniższym diagramie przedstawiono zależności usługi Microsoft Teams. Strzałki stałe wskazują wczesne wymuszanie ograniczenia strzałki kreskowanej dla narzędzia Planner wskazuje na wymuszanie z opóźnieniem.
Najlepszym rozwiązaniem jest ustawienie wspólnych zasad dla powiązanych aplikacji i usług, o ile jest to możliwe. Posiadanie spójnego stanu zabezpieczeń zapewnia najlepsze środowisko obsługi użytkownika. Na przykład ustawienie typowych zasad w usługach Exchange Online, SharePoint Online, Microsoft Teams i Skype dla firm znacznie zmniejsza nieoczekiwane monity, które mogą wynikać z różnych zasad stosowanych do usług podrzędnych.
Doskonałym sposobem osiągnięcia typowych zasad z aplikacjami w stosie pakietu Office jest użycie aplikacji usługi Office 365 zamiast określania wartości docelowych dla poszczególnych aplikacji.
W poniższej tabeli wymieniono więcej zależności usług, w których aplikacje klienckie muszą spełniać wymagania. Ta lista nie jest wyczerpująca.
| Aplikacje klienckie | Usługa podrzędna | Egzekwowanie |
|---|---|---|
| Azure Data Lake | Interfejs API zarządzania usługami platformy Windows Azure (portal i interfejs API) | Wczesne wiązanie |
| Microsoft Classroom | Exchange | Wczesne wiązanie |
| SharePoint | Wczesne wiązanie | |
| Microsoft Teams | Exchange | Wczesne wiązanie |
| MS Planner | Wiązanie opóźnione | |
| Microsoft Stream | Wiązanie opóźnione | |
| SharePoint | Wczesne wiązanie | |
| Skype for Business Online | Wczesne wiązanie | |
| Microsoft Whiteboard | Wiązanie opóźnione | |
| Office Portal | Exchange | Wiązanie opóźnione |
| SharePoint | Wiązanie opóźnione | |
| Grupy programu Outlook | Exchange | Wczesne wiązanie |
| SharePoint | Wczesne wiązanie | |
| Power Apps | Interfejs API zarządzania usługami platformy Windows Azure (portal i interfejs API) | Wczesne wiązanie |
| Usługa Azure Active Directory systemu Windows | Wczesne wiązanie | |
| SharePoint | Wczesne wiązanie | |
| Exchange | Wczesne wiązanie | |
| Power Automate | Power Apps | Wczesne wiązanie |
| Projekt | Dynamics CRM | Wczesne wiązanie |
| Skype dla firm | Exchange | Wczesne wiązanie |
| Visual Studio | Interfejs API zarządzania usługami platformy Windows Azure (portal i interfejs API) | Wczesne wiązanie |
| Microsoft Forms | Exchange | Wczesne wiązanie |
| SharePoint | Wczesne wiązanie | |
| Microsoft To-Do | Exchange | Wczesne wiązanie |
| SharePoint | Rozszerzalność klienta sieci Web usługi SharePoint Online | Wczesne wiązanie |
| Izolowana rozszerzalność klienta sieci Web usługi SharePoint Online | Wczesne wiązanie | |
| Jednostka aplikacji sieci Web rozszerzalności klienta programu SharePoint (tam, gdzie istnieje) | Wczesne wiązanie |
Rozwiązywanie problemów z zależnościami usługi
Dziennik logowania firmy Microsoft Entra jest cennym źródłem informacji podczas rozwiązywania problemów i sposobu stosowania zasad dostępu warunkowego w danym środowisku. Aby uzyskać więcej informacji na temat rozwiązywania problemów z nieoczekiwanymi wynikami logowania związanymi z dostępem warunkowym, zobacz artykuł Rozwiązywanie problemów z logowaniem przy użyciu dostępu warunkowego.
Następne kroki
Aby dowiedzieć się, jak zaimplementować dostęp warunkowy w środowisku, zobacz Planowanie wdrożenia dostępu warunkowego w usłudze Microsoft Entra ID.