Wat zijn serviceafhankelijkheden in voorwaardelijke toegang van Microsoft Entra?
Met beleid voor voorwaardelijke toegang kunt u toegangsvereisten opgeven voor websites en services. Uw toegangsvereisten kunnen bijvoorbeeld meervoudige verificatie (MFA) of beheerde apparaten vereisen.
Wanneer u rechtstreeks toegang hebt tot een site of service, is de impact van een gerelateerd beleid doorgaans eenvoudig vast te stellen. Als u bijvoorbeeld een beleid hebt waarvoor meervoudige verificatie (MFA) is geconfigureerd voor SharePoint Online, wordt MFA afgedwongen voor elke aanmelding bij de SharePoint-webportal. Het is echter niet altijd eenvoudig om de impact van een beleid vast te stellen, omdat er cloud-apps zijn met afhankelijkheden van andere cloud-apps. Microsoft Teams kan bijvoorbeeld toegang bieden tot resources in SharePoint Online. Dus wanneer u Microsoft Teams in het huidige scenario opent, bent u ook onderworpen aan het MFA-beleid van SharePoint.
Tip
Bij het gebruik van de Office 365-app worden alle Office-apps gericht om problemen met serviceafhankelijkheden in de Office-stack te voorkomen.
Beleidsafdwinging
Als u een serviceafhankelijkheid hebt geconfigureerd, kan het beleid worden toegepast met behulp van vroegtijdige of late afdwinging.
- Het afdwingen van vroeg gebonden beleid betekent dat een gebruiker moet voldoen aan het afhankelijke servicebeleid er toegang wordt verkregen tot de aanroepende app. Een gebruiker moet bijvoorbeeld voldoen aan het SharePoint-beleid voordat hij zich aanmeldt bij Microsoft Teams.
- Het afdwingen van laat gebonden beleid vindt plaats nadat de gebruiker zich heeft aangemeld bij de aanroepende app. Afdwingen wordt uitgesteld bij het aanroepen van app-aanvragen, een token voor de downstream-service. Voorbeelden hiervan zijn Toegang tot Planner en Office.com toegang tot SharePoint.
In het volgende diagram ziet u de afhankelijkheden van de Microsoft Teams-service. Met ononderbroken pijlen wordt vroeg gebonden afdwinging aangegeven, met pijlen met streepjes wordt laat gebonden afdwinging aangegeven.
Als best practice moet u waar mogelijk algemene beleidsregels instellen voor gerelateerde apps en services. Als u een consistente beveiligingspostuur hebt, beschikt u over de beste gebruikerservaring. Als u bijvoorbeeld een gemeenschappelijk beleid instelt voor Exchange Online, SharePoint Online en Microsoft Teams, vermindert u de prompts die kunnen optreden als gevolg van verschillende beleidsregels die worden toegepast op downstreamservices.
Een uitstekende manier om een gemeenschappelijk beleid met toepassingen in Microsoft 365 te bereiken, is door de Office 365-app te gebruiken in plaats van afzonderlijke toepassingen te richten.
In de onderstaande tabel staan nog enkele serviceafhankelijkheden, waaraan de client apps moeten voldoen. Deze lijst is niet volledig.
| Client-apps | Downstreamservice | Afdwinging |
|---|---|---|
| Azure Data Lake | Windows Azure Service Management-API (portal en API) | Vroeg gebonden |
| Microsoft Classroom | Exchange | Vroeg gebonden |
| SharePoint | Vroeg gebonden | |
| Microsoft Teams | Exchange | Vroeg gebonden |
| MS Planner | Laat gebonden | |
| Microsoft Stream | Laat gebonden | |
| SharePoint | Vroeg gebonden | |
| Skype for Business Online | Vroeg gebonden | |
| Microsoft Whiteboard | Laat gebonden | |
| Office Portal | Exchange | Laat gebonden |
| SharePoint | Laat gebonden | |
| Outlook-groepen | Exchange | Vroeg gebonden |
| SharePoint | Vroeg gebonden | |
| Power Apps | Windows Azure Service Management-API (portal en API) | Vroeg gebonden |
| Windows Azure Active Directory | Vroeg gebonden | |
| SharePoint | Vroeg gebonden | |
| Exchange | Vroeg gebonden | |
| Power Automate | Power Apps | Vroeg gebonden |
| Project | Dynamics CRM | Vroeg gebonden |
| Skype voor Bedrijven | Exchange | Vroeg gebonden |
| Visual Studio | Windows Azure Service Management-API (portal en API) | Vroeg gebonden |
| Microsoft Forms | Exchange | Vroeg gebonden |
| SharePoint | Vroeg gebonden | |
| Microsoft To Do | Exchange | Vroeg gebonden |
| SharePoint | Uitbreidbaarheid van SharePoint Online-webclient | Vroeg gebonden |
| Uitbreidbaarheid van SharePoint Online-webclient geïsoleerd | Vroeg gebonden | |
| Principal voor uitbreidbaarheid van webtoepassingen van SharePoint-client (indien aanwezig) | Vroeg gebonden |
Problemen met serviceafhankelijkheden oplossen
Het microsoft Entra-aanmeldingslogboek is een waardevolle bron van informatie bij het oplossen van problemen met de reden en hoe beleid voor voorwaardelijke toegang in uw omgeving wordt toegepast. Zie het artikel Problemen met aanmelden met voorwaardelijke toegang oplossen voor meer informatie over het oplossen van onverwachte aanmeldingsresultaten met betrekking tot voorwaardelijke toegang.
Volgende stappen
Zie Uw implementatie van voorwaardelijke toegang plannen in Microsoft Entra ID voor meer informatie over het implementeren van voorwaardelijke toegang in uw omgeving.