O que são dependências de serviço no acesso condicional do Azure Active Directory?
Com políticas de acesso condicional, é possível especificar requisitos de acesso a sites e serviços. Por exemplo, seus requisitos de acesso podem incluir a exigência da MFA (autenticação multifator) ou dispositivos gerenciados.
Quando você acessa um site ou um serviço diretamente, geralmente, é fácil avaliar o impacto de uma política relacionada. Por exemplo, se você tem uma política que exige a MFA (autenticação multifator) para o SharePoint Online configurado, a MFA é imposta a todas as entradas no portal da Web do SharePoint. No entanto, nem sempre é simples avaliar o impacto de uma política, pois há aplicativos de nuvem que dependem de outros aplicativos de nuvem. Por exemplo, o Microsoft Teams pode oferecer acesso a recursos do SharePoint Online. Portanto, quando você acessa o Microsoft Teams no nosso cenário atual, também está sujeito à política de MFA do SharePoint.
Dica
Usar o aplicativo Office 365 direcionará todos os aplicativos do Office para evitar problemas com dependências de serviço na pilha do Office.
Aplicação de políticas
Se você tem uma dependência de serviço configurada, a política pode ser aplicada usando o método de associação antecipada ou tardia.
- A aplicação da política de associação antecipada significa que um usuário deve cumprir a política de serviço dependente antes de acessar o aplicativo de chamada. Por exemplo, um usuário deve cumprir a política do SharePoint antes de se conectar ao MS Teams.
- A aplicação da política de associação tardia ocorre depois que o usuário se conecta ao aplicativo de chamada. A aplicação é adiada para o momento da solicitação do aplicativo de chamada, um token de segurança do serviço downstream. Alguns exemplos são quando o MS Teams acessa o Planner e o Office.com acessa o SharePoint.
O diagrama a seguir ilustra as dependências de serviço do MS Teams. As setas contínuas indicam a aplicação da associação antecipada, e a seta pontilhada do Planner indica a aplicação da associação tardia.
Uma melhor prática é definir políticas comuns entre os aplicativos e os serviços relacionados sempre que possível. Ter uma postura consistente de segurança oferecerá a você a melhor experiência do usuário. Por exemplo, definir uma política comum para o Exchange Online, o SharePoint Online, o Microsoft Teams e o Skype for Business reduz significativamente os prompts inesperados que podem surgir com a aplicação de políticas diferentes aos serviços downstream.
Uma ótima maneira de executar uma política comum com aplicativos da pilha do Office é usar o aplicativo Office 365 em vez de direcionar aplicativos individuais.
A tabela abaixo lista mais algumas dependências de serviço que os aplicativos cliente devem cumprir. Essa lista não é completa.
| Aplicativos cliente | Serviço downstream | Imposição |
|---|---|---|
| Azure Data Lake | Portal de Gerenciamento do Microsoft Azure (portal e API) | Associação antecipada |
| Microsoft Classroom | Exchange | Associação antecipada |
| SharePoint | Associação antecipada | |
| Microsoft Teams | Exchange | Associação antecipada |
| MS Planner | Associação tardia | |
| Microsoft Stream | Associação tardia | |
| SharePoint | Associação antecipada | |
| Skype for Business Online | Associação antecipada | |
| Microsoft Whiteboard | Associação tardia | |
| Portal do Office | Exchange | Associação tardia |
| SharePoint | Associação tardia | |
| Outlook Groups | Exchange | Associação antecipada |
| SharePoint | Associação antecipada | |
| Power Apps | Portal de Gerenciamento do Microsoft Azure (portal e API) | Associação antecipada |
| Windows Azure Active Directory | Associação antecipada | |
| SharePoint | Associação antecipada | |
| Exchange | Associação antecipada | |
| Power Automate | Power Apps | Associação antecipada |
| Project | Dynamics CRM | Associação antecipada |
| Skype for Business | Exchange | Associação antecipada |
| Visual Studio | Portal de Gerenciamento do Microsoft Azure (portal e API) | Associação antecipada |
| Microsoft Forms | Exchange | Associação antecipada |
| SharePoint | Associação antecipada | |
| Microsoft To-Do | Exchange | Associação antecipada |
Solução de problemas de dependências de serviço
O log de credenciais do Azure Active Directory é uma fonte valiosa de informações ao solucionar problemas sobre porque e como uma política de Acesso Condicional foi aplicada em seu ambiente. Para obter mais informações sobre como solucionar problemas de resultados de credenciais inesperados relacionados ao Acesso Condicional, confira o artigo Solução de problemas de credenciais com o Acesso Condicional.
Próximas etapas
Para saber como implementar o Acesso Condicional em seu ambiente, confira Planejar a implantação do Acesso Condicional no Azure Active Directory.