通过

Microsoft Entra 条件访问中的服务依赖项

使用条件访问策略,可以指定使用网站和服务的要求。 例如,要求可能包括要求多重身份验证(MFA)或 托管设备

直接使用网站或服务时,通常很容易了解相关策略对你的影响。 例如,如果为 SharePoint Online 设置需要多重身份验证(MFA)的策略,则每次登录 SharePoint Web 门户都需要 MFA。 但有时很难知道策略如何影响你,因为某些云应用依赖于其他云应用。 例如,Microsoft Teams 允许你在 SharePoint Online 中使用资源。 因此,在此方案中使用 Microsoft Teams 时,还受 SharePoint MFA 策略的约束。

提示

使用 Office 365 应用面向所有 Office 应用,并避免 Office 堆栈中的服务依赖项出现问题。

策略强制执行

如果配置了服务依赖项,则可使用早期绑定或后期绑定强制来应用此策略。

  • 早期绑定策略执行意味着用户在使用调用应用程序之前必须满足依赖服务策略。 例如,在登录到 Microsoft Teams 之前,用户必须满足 SharePoint 策略。
  • 后期绑定策略执行发生在用户登录调用应用程序之后。 执行将被推迟,直到调用应用请求下游服务的令牌。 示例包括Microsoft Teams 访问 Planner,以及 Office.com 访问 SharePoint。

下图显示了 Microsoft Teams 服务依赖项。 Planner 的实线箭头表示早期绑定强制,而虚线箭头则表示后期绑定强制。

显示 Microsoft Teams 服务依赖项的图表。

尽可能在相关应用和服务中设置统一政策。 一致的安全态势为你提供了最佳的用户体验。 例如,跨 Exchange Online、SharePoint Online 和 Microsoft Teams 设置通用策略可减少可能来自应用于下游服务的不同策略的提示。

若要为 Microsoft 365 应用设置通用策略,请使用 Office 365 应用 而不是针对单个应用程序。

下表列出了客户端应用必须满足的一些更多服务依赖项。 此列表并不详尽。

客户端应用 下游服务 强制
Azure Data Lake Windows Azure 服务管理 API(门户和 API) 早期绑定
Microsoft Classroom Exchange 早期绑定
SharePoint 早期绑定
Microsoft Teams Exchange 早期绑定
MS Planner (微软计划者) 后期绑定
Microsoft Stream 后期绑定
SharePoint 早期绑定
Skype for Business Online 早期绑定
Microsoft Whiteboard 后期绑定
Office 门户 Exchange 后期绑定
SharePoint 后期绑定
Outlook 组 Exchange 早期绑定
SharePoint 早期绑定
Power Apps Windows Azure 服务管理 API(门户和 API) 早期绑定
Microsoft Azure Active Directory 早期绑定
SharePoint 早期绑定
Exchange 早期绑定
Power Automate Power Apps 早期绑定
项目 Dynamics CRM 早期绑定
Skype for Business Exchange 早期绑定
Visual Studio Windows Azure 服务管理 API(门户和 API) 早期绑定
Microsoft Forms表单 Exchange 早期绑定
SharePoint 早期绑定
微软待办 Exchange 早期绑定
SharePoint SharePoint Online Web 客户端可扩展性 早期绑定
SharePoint Online Web 客户端可扩展性隔离 早期绑定
SharePoint 客户端可扩展性 Web 应用程序主体(如有) 早期绑定

服务依赖项故障排除

在排查环境中应用条件访问策略的原因和方式时,Microsoft Entra 登录日志是一个有价值的信息来源。 登录日志包括有用的信息,如应用程序、资源和受众。 若要深入了解如何排查与条件访问相关的意外登录结果,请参阅文章排查条件访问的登录问题

后续步骤

Microsoft Entra ID 中规划条件访问部署,了解如何在您的环境中实施条件访问。