Udostępnij za pośrednictwem


Co to są zależności usług w przypadku dostępu warunkowego usługi Microsoft Entra?

Za pomocą zasad dostępu warunkowego można określić wymagania dostępu do witryn internetowych i usług. Na przykład wymagania dostępu mogą obejmować wymaganie uwierzytelniania wieloskładnikowego (MFA) lub urządzeń zarządzanych.

W przypadku uzyskiwania bezpośredniego dostępu do witryny lub usługi wpływ powiązanych zasad jest zazwyczaj łatwy do ocenienia. Jeśli na przykład masz zasady wymagające uwierzytelniania wieloskładnikowego (MFA) dla usługi SharePoint Online skonfigurowane, uwierzytelnianie wieloskładnikowe jest wymuszane dla każdego logowania do portalu internetowego programu SharePoint. Jednak nie zawsze można łatwo ocenić wpływ zasad, ponieważ istnieją aplikacje w chmurze z zależnościami do innych aplikacji w chmurze. Na przykład usługa Microsoft Teams może zapewniać dostęp do zasobów w usłudze SharePoint Online. Dlatego podczas uzyskiwania dostępu do usługi Microsoft Teams w naszym bieżącym scenariuszu będziesz również podlegać zasadom uwierzytelniania wieloskładnikowego programu SharePoint.

Napiwek

Użycie aplikacji usługi Office 365 spowoduje skierowanie wszystkich aplikacja pakietu Office, aby uniknąć problemów z zależnościami usług w stosie pakietu Office.

Egzekwowanie zasad

Jeśli masz skonfigurowaną zależność usługi, zasady mogą być stosowane przy użyciu wymuszania wczesnego lub opóźnionego ograniczenia.

  • Wczesne wymuszanie zasad oznacza, że użytkownik musi spełnić wymagania zależnych zasad usługi przed uzyskaniem dostępu do aplikacji wywołującej. Na przykład użytkownik musi spełnić zasady programu SharePoint przed zalogowaniem się do usługi Microsoft Teams.
  • Wymuszanie zasad z opóźnieniem występuje po zalogowaniu się użytkownika do aplikacji wywołującej. Wymuszanie jest odroczone w przypadku wywoływania żądań aplikacji tokenu dla usługi podrzędnej. Przykłady obejmują dostęp do usługi Planner w usłudze Microsoft Teams i Office.com uzyskiwanie dostępu do programu SharePoint.

Na poniższym diagramie przedstawiono zależności usługi Microsoft Teams. Strzałki stałe wskazują wczesne wymuszanie ograniczenia strzałki kreskowanej dla narzędzia Planner wskazuje na wymuszanie z opóźnieniem.

A diagram showing Microsoft Teams service dependencies.

Najlepszym rozwiązaniem jest ustawienie wspólnych zasad dla powiązanych aplikacji i usług, o ile jest to możliwe. Posiadanie spójnego stanu zabezpieczeń zapewnia najlepsze środowisko obsługi użytkownika. Na przykład ustawienie typowych zasad w usługach Exchange Online, SharePoint Online, Microsoft Teams i Skype dla firm znacznie zmniejsza nieoczekiwane monity, które mogą wynikać z różnych zasad stosowanych do usług podrzędnych.

Doskonałym sposobem osiągnięcia typowych zasad z aplikacjami w stosie pakietu Office jest użycie aplikacji usługi Office 365 zamiast określania wartości docelowych dla poszczególnych aplikacji.

W poniższej tabeli wymieniono więcej zależności usług, w których aplikacje klienckie muszą spełniać wymagania. Ta lista nie jest wyczerpująca.

Aplikacje klienckie Usługa podrzędna Egzekwowanie
Azure Data Lake Interfejs API zarządzania usługami platformy Windows Azure (portal i interfejs API) Wczesne wiązanie
Microsoft Classroom Exchange Wczesne wiązanie
SharePoint Wczesne wiązanie
Microsoft Teams Exchange Wczesne wiązanie
MS Planner Wiązanie opóźnione
Microsoft Stream Wiązanie opóźnione
SharePoint Wczesne wiązanie
Skype for Business Online Wczesne wiązanie
Microsoft Whiteboard Wiązanie opóźnione
Office Portal Exchange Wiązanie opóźnione
SharePoint Wiązanie opóźnione
Grupy programu Outlook Exchange Wczesne wiązanie
SharePoint Wczesne wiązanie
Power Apps Interfejs API zarządzania usługami platformy Windows Azure (portal i interfejs API) Wczesne wiązanie
Usługa Azure Active Directory systemu Windows Wczesne wiązanie
SharePoint Wczesne wiązanie
Exchange Wczesne wiązanie
Power Automate Power Apps Wczesne wiązanie
Projekt Dynamics CRM Wczesne wiązanie
Skype dla firm Exchange Wczesne wiązanie
Visual Studio Interfejs API zarządzania usługami platformy Windows Azure (portal i interfejs API) Wczesne wiązanie
Microsoft Forms Exchange Wczesne wiązanie
SharePoint Wczesne wiązanie
Microsoft To-Do Exchange Wczesne wiązanie
SharePoint Rozszerzalność klienta sieci Web usługi SharePoint Online Wczesne wiązanie
Izolowana rozszerzalność klienta sieci Web usługi SharePoint Online Wczesne wiązanie
Jednostka aplikacji sieci Web rozszerzalności klienta programu SharePoint (tam, gdzie istnieje) Wczesne wiązanie

Rozwiązywanie problemów z zależnościami usługi

Dziennik logowania firmy Microsoft Entra jest cennym źródłem informacji podczas rozwiązywania problemów i sposobu stosowania zasad dostępu warunkowego w danym środowisku. Aby uzyskać więcej informacji na temat rozwiązywania problemów z nieoczekiwanymi wynikami logowania związanymi z dostępem warunkowym, zobacz artykuł Rozwiązywanie problemów z logowaniem przy użyciu dostępu warunkowego.

Następne kroki

Aby dowiedzieć się, jak zaimplementować dostęp warunkowy w środowisku, zobacz Planowanie wdrożenia dostępu warunkowego w usłudze Microsoft Entra ID.