O que são dependências de serviço no acesso condicional do Microsoft Entra?
Com políticas de acesso condicional, é possível especificar requisitos de acesso a sites e serviços. Por exemplo, seus requisitos de acesso podem incluir a exigência da MFA (autenticação multifator) ou dispositivos gerenciados.
Quando você acessa um site ou um serviço diretamente, geralmente, é fácil avaliar o impacto de uma política relacionada. Por exemplo, se você tem uma política que exige a MFA (autenticação multifator) para o SharePoint Online configurado, a MFA é imposta a todas as entradas no portal da Web do SharePoint. No entanto, nem sempre é simples avaliar o impacto de uma política, pois há aplicativos de nuvem que dependem de outros aplicativos de nuvem. Por exemplo, o Microsoft Teams pode oferecer acesso a recursos do SharePoint Online. Portanto, quando você acessa o Microsoft Teams no nosso cenário atual, também está sujeito à política de MFA do SharePoint.
Dica
Usar o aplicativo Office 365 direcionará todos os aplicativos do Office para evitar problemas com dependências de serviço na pilha do Office.
Aplicação de políticas
Se você tem uma dependência de serviço configurada, a política pode ser aplicada usando o método de associação antecipada ou tardia.
- A aplicação da política de associação antecipada significa que um usuário deve cumprir a política de serviço dependente antes de acessar o aplicativo de chamada. Por exemplo, um usuário deve cumprir a política do SharePoint antes de se conectar ao Microsoft Teams.
- A aplicação da política de associação tardia ocorre depois que o usuário se conecta ao aplicativo de chamada. A aplicação é adiada para o momento da solicitação do aplicativo de chamada, um token de segurança do serviço downstream. Alguns exemplos são quando o Microsoft Teams acessa o Planner e o Office.com acessa o SharePoint.
O diagrama a seguir ilustra as dependências de serviço do Microsoft Teams. As setas contínuas indicam a aplicação da associação antecipada, e a seta pontilhada do Planner indica a aplicação da associação tardia.
Uma melhor prática é definir políticas comuns entre os aplicativos e os serviços relacionados sempre que possível. Ter uma postura consistente de segurança oferecerá a você a melhor experiência do usuário. Por exemplo, definir uma política comum para o Exchange Online, o SharePoint Online, o Microsoft Teams e o Skype for Business reduz significativamente os prompts inesperados que podem surgir com a aplicação de políticas diferentes aos serviços downstream.
Uma ótima maneira de executar uma política comum com aplicativos da pilha do Office é usar o aplicativo Office 365 em vez de direcionar aplicativos individuais.
A tabela abaixo lista mais algumas dependências de serviço que os aplicativos cliente devem cumprir. Essa lista não é completa.
| Aplicativos cliente | Serviço downstream | Imposição |
|---|---|---|
| Azure Data Lake | API de Gerenciamento de Serviços do Windows Azure (portal and API) | Associação antecipada |
| Microsoft Classroom | Exchange | Associação antecipada |
| SharePoint | Associação antecipada | |
| Microsoft Teams | Exchange | Associação antecipada |
| MS Planner | Associação tardia | |
| Microsoft Stream | Associação tardia | |
| SharePoint | Associação antecipada | |
| Skype for Business Online | Associação antecipada | |
| Microsoft Whiteboard | Associação tardia | |
| Portal do Office | Exchange | Associação tardia |
| SharePoint | Associação tardia | |
| Outlook Groups | Exchange | Associação antecipada |
| SharePoint | Associação antecipada | |
| Power Apps | API de Gerenciamento de Serviços do Windows Azure (portal and API) | Associação antecipada |
| Windows Azure Active Directory | Associação antecipada | |
| SharePoint | Associação antecipada | |
| Exchange | Associação antecipada | |
| Power Automate | Power Apps | Associação antecipada |
| Project | Dynamics CRM | Associação antecipada |
| Skype for Business | Exchange | Associação antecipada |
| Visual Studio | API de Gerenciamento de Serviços do Windows Azure (portal and API) | Associação antecipada |
| Microsoft Forms | Exchange | Associação antecipada |
| SharePoint | Associação antecipada | |
| Microsoft To-Do | Exchange | Associação antecipada |
| SharePoint | Extensibilidade do Cliente Web do SharePoint Online | Associação antecipada |
| Extensibilidade do Cliente Web do SharePoint Online isolada | Associação antecipada | |
| Entidade de segurança do aplicativo Web de Extensibilidade do Cliente do SharePoint (em que estiver presente) | Associação antecipada |
Solução de problemas de dependências de serviço
O log de entrada do Microsoft Entra é uma fonte valiosa de informações ao solucionar problemas de por que e como uma política de Acesso Condicional foi aplicada no seu ambiente. Para obter mais informações sobre como solucionar problemas de resultados de credenciais inesperados relacionados ao Acesso Condicional, confira o artigo Solução de problemas de credenciais com o Acesso Condicional.
Próximas etapas
Para saber como implementar o acesso condicional no seu ambiente, confira Planejar a implantação do acesso condicional na ID do Microsoft Entra.