Co to są zależności usług w przypadku dostępu warunkowego usługi Microsoft Entra?
Za pomocą zasad dostępu warunkowego można określić wymagania dostępu do witryn internetowych i usług. Na przykład wymagania dostępu mogą obejmować wymaganie uwierzytelniania wieloskładnikowego (MFA) lub urządzeń zarządzanych.
W przypadku uzyskiwania bezpośredniego dostępu do witryny lub usługi wpływ powiązanych zasad jest zazwyczaj łatwy do ocenienia. Jeśli na przykład masz zasady wymagające uwierzytelniania wieloskładnikowego (MFA) dla usługi SharePoint Online skonfigurowane, uwierzytelnianie wieloskładnikowe jest wymuszane dla każdego logowania do portalu internetowego programu SharePoint. Jednak nie zawsze można łatwo ocenić wpływ zasad, ponieważ istnieją aplikacje w chmurze z zależnościami do innych aplikacji w chmurze. Na przykład usługa Microsoft Teams może zapewniać dostęp do zasobów w usłudze SharePoint Online. Dlatego, kiedy uzyskasz dostęp do serwisu Teams w naszym bieżącym scenariuszu, będziesz również podlegać polityce uwierzytelniania wieloskładnikowego w SharePoint.
Napiwek
Użycie aplikacji Office 365 spowoduje skierowanie wszystkich aplikacji pakietu Office, aby uniknąć problemów z zależnościami usług w ekosystemie pakietu Office.
Egzekwowanie zasad
Jeśli masz skonfigurowaną zależność usługi, zasady mogą być stosowane przy użyciu egzekwowania wczesnego lub opóźnionego.
- Wczesne wymuszanie zasad oznacza, że użytkownik musi spełnić wymagania zależnych zasad usługi przed uzyskaniem dostępu do aplikacji wywołującej. Na przykład użytkownik musi spełnić zasady programu SharePoint przed zalogowaniem się do usługi Microsoft Teams.
- Wymuszanie zasad z opóźnieniem występuje po zalogowaniu się użytkownika do aplikacji wywołującej. Wymuszanie jest odroczone do momentu, gdy aplikacja wywołuje żądania tokenu dla usługi podrzędnej. Przykłady obejmują Microsoft Teams uzyskujący dostęp do Planner i Office.com uzyskujący dostęp do SharePoint.
Na poniższym diagramie przedstawiono zależności usługi Microsoft Teams. Strzałki stałe wskazują wczesne wiązanie ograniczeń, a strzałka kreskowana dla Planera wskazuje na wiązanie z opóźnieniem.
Najlepszym rozwiązaniem jest ustawienie wspólnych zasad dla powiązanych aplikacji i usług, o ile jest to możliwe. Posiadanie spójnego stanu zabezpieczeń zapewnia najlepsze środowisko obsługi użytkownika. Na przykład ustanowienie wspólnej polityki dla usług Exchange Online, SharePoint Online i Microsoft Teams zmniejsza powiadomienia, które mogą pojawiać się w wyniku stosowania różnych zasad do usług podrzędnych.
Doskonałym sposobem osiągnięcia wspólnych zasad z aplikacjami na platformie Microsoft 365 jest użycie aplikacji Office 365 zamiast kierowania do poszczególnych aplikacji.
W poniższej tabeli wymieniono więcej zależności usług, w których aplikacje klienckie muszą spełniać wymagania. Ta lista nie jest wyczerpująca.
| Aplikacje klienckie | Usługa podrzędna | Egzekwowanie |
|---|---|---|
| Azure Data Lake | Interfejs zarządzania usługami Windows Azure (portal i API) | Wczesne wiązanie |
| Microsoft Classroom | Wymiana | Wczesne wiązanie |
| SharePoint | Wczesne wiązanie | |
| Microsoft Teams | wymiana | Wczesne wiązanie (ang. early binding) |
| MS Planner (narzędzie do zarządzania zadaniami) | Wiązanie opóźnione | |
| Microsoft Stream | Wiązanie opóźnione | |
| SharePoint | Wczesne wiązanie | |
| Skype for Business Online | Wczesne wiązanie | |
| Microsoft Whiteboard | Wiązanie opóźnione | |
| Office Portal | Wymiana | Wiązanie opóźnione |
| SharePoint | Wiązanie opóźnione | |
| Grupy programu Outlook | Wymiana | Wczesne wiązanie |
| SharePoint | Wczesne wiązanie | |
| Power Apps | Interfejs zarządzania usługami platformy Windows Azure (portal i API) | Wczesne wiązanie |
| Usługa Azure Active Directory systemu Windows | Wczesne wiązanie | |
| SharePoint | Wczesne wiązanie | |
| Wymiana | Wczesne wiązanie | |
| Power Automate | Power Apps | Wczesne wiązanie |
| Projekt | Dynamics CRM | Wczesne wiązanie |
| Skype dla firm | Wymiana | Wczesne bindowanie |
| Visual Studio | Interfejs API zarządzania usługami platformy Windows Azure (portal i interfejs API) | Wczesne wiązanie |
| Microsoft Forms | Wymiana | Wczesne wiązanie |
| SharePoint | Wczesne wiązanie | |
| Microsoft To Do | Wymiana | Wczesne wiązanie |
| SharePoint | Rozszerzalność klienta sieci Web usługi SharePoint Online | Wczesne wiązanie |
| Izolowana rozszerzalność klienta sieciowego SharePoint Online | Wczesne wiązanie | |
| Główna jednostka aplikacji sieciowej rozszerzalności klienta SharePoint (gdzie to możliwe) | Wczesne wiązanie |
Rozwiązywanie problemów z zależnościami usługi
Dziennik logowania firmy Microsoft Entra jest cennym źródłem informacji podczas rozwiązywania problemów i sposobu stosowania zasad dostępu warunkowego w danym środowisku. Aby uzyskać więcej informacji na temat rozwiązywania problemów z nieoczekiwanymi wynikami logowania związanymi z dostępem warunkowym, zobacz artykuł Rozwiązywanie problemów z logowaniem przy użyciu dostępu warunkowego.
Następne kroki
Aby dowiedzieć się, jak zaimplementować dostęp warunkowy w środowisku, zobacz Planowanie wdrożenia dostępu warunkowego w usłudze Microsoft Entra ID.