Co jsou závislosti služeb v podmíněném přístupu Microsoft Entra?
Pomocí zásad podmíněného přístupu můžete určit požadavky na přístup k webům a službám. Požadavky na přístup můžou například zahrnovat vyžadování vícefaktorového ověřování (MFA) nebo spravovaných zařízení.
Když přistupujete k webu nebo službě přímo, dopad souvisejících zásad se obvykle vyhodnotí snadno. Pokud máte například nakonfigurovanou zásadu vícefaktorového ověřování (MFA) pro SharePoint Online, vynutí se pro každé přihlášení k webovému portálu SharePointu vícefaktorové ověřování. Není ale vždy jednoduché posoudit dopad zásad, protože existují cloudové aplikace se závislostmi na jiné cloudové aplikace. Microsoft Teams může například poskytovat přístup k prostředkům v SharePointu Online. Takže když v našem aktuálním scénáři přistupujete k Microsoft Teams, podléháte také zásadám vícefaktorového ověřování SharePointu.
Tip
Použití aplikace Office 365 bude cílit na všechny aplikace Office, aby nedocházelo k problémům se závislostmi služeb v zásobníku Office.
Vynucení zásad
Pokud máte nakonfigurovanou závislost služby, může se zásada použít pomocí vynucení s časnou vazbou nebo opožděnou vazbou.
- Vynucení zásad v rané fázi znamená, že uživatel musí před přístupem k volající aplikaci splňovat závislé zásady služby. Uživatel musí například před přihlášením k Microsoft Teams splňovat zásady SharePointu.
- Vynucení zásad s pozdní vazbou nastane po přihlášení uživatele k volající aplikaci. Vynucení se odloží při volání požadavků aplikace, což je token pro podřízenou službu. Mezi příklady patří Microsoft Teams přistupující k Planneru a Office.com přístupu k SharePointu.
Následující diagram znázorňuje závislosti služeb Microsoft Teams. Plné šipky označují vynucení s časnou vazbou přerušovanou šipku pro Planner indikuje pozdní vynucení.
Osvědčeným postupem je nastavit společné zásady v rámci souvisejících aplikací a služeb, kdykoli je to možné. Konzistentní stav zabezpečení poskytuje nejlepší uživatelské prostředí. Například nastavení společné zásady pro Exchange Online, SharePoint Online a Microsoft Teams snižuje výzvy, které můžou vzniknout z různých zásad, které se použijí na podřízené služby.
Skvělým způsobem, jak dosáhnout běžných zásad s aplikacemi v Microsoftu 365, je místo cílení na jednotlivé aplikace používat aplikaci Office 365.
Následující tabulka uvádí několik dalších závislostí služeb, kde musí klientské aplikace vyhovovat. Tento seznam není vyčerpávající.
| Klientské aplikace | Podřízená služba | Vynucení |
|---|---|---|
| Azure Data Lake | Rozhraní API pro správu služeb Windows Azure (portál a rozhraní API) | Časná vazba |
| Microsoft Classroom | Exchange | Časná vazba |
| SharePoint | Časná vazba | |
| Microsoft Teams | Exchange | Časná vazba |
| MS Planner | Pozdně vázané | |
| Microsoft Stream | Pozdně vázané | |
| SharePoint | Časná vazba | |
| Online Skype pro firmy | Časná vazba | |
| Microsoft Whiteboard | Pozdně vázané | |
| Portál Office | Exchange | Pozdně vázané |
| SharePoint | Pozdně vázané | |
| Skupiny Outlooku | Exchange | Časná vazba |
| SharePoint | Časná vazba | |
| Power Apps | Rozhraní API pro správu služeb Windows Azure (portál a rozhraní API) | Časná vazba |
| Windows Azure Active Directory | Časná vazba | |
| SharePoint | Časná vazba | |
| Exchange | Časná vazba | |
| Power Automate | Power Apps | Časná vazba |
| Projekt | Dynamics CRM | Časná vazba |
| Skype pro firmy | Exchange | Časná vazba |
| Visual Studio | Rozhraní API pro správu služeb Windows Azure (portál a rozhraní API) | Časná vazba |
| Microsoft Forms | Exchange | Časná vazba |
| SharePoint | Časná vazba | |
| Microsoft To Do | Exchange | Časná vazba |
| SharePoint | Rozšiřitelnost webového klienta SharePointu Online | Časná vazba |
| Izolovaná rozšiřitelnost webového klienta SharePointu Online | Časná vazba | |
| Instanční objekt webové aplikace rozšiřitelnosti klienta SharePointu (kde je k dispozici) | Časná vazba |
Řešení potíží se závislostmi služeb
Přihlašovací protokol Microsoft Entra je cenným zdrojem informací při řešení potíží s tím, proč a jak se ve vašem prostředí použily zásady podmíněného přístupu. Další informace o řešení potíží s neočekávanými výsledky přihlašování souvisejícími s podmíněným přístupem najdete v článku Řešení potíží s přihlášením pomocí podmíněného přístupu.
Další kroky
Informace o implementaci podmíněného přístupu ve vašem prostředí najdete v tématu Plánování nasazení podmíněného přístupu v Microsoft Entra ID.