Поделиться через


Что представляют собой зависимости служб в условном доступе Microsoft Entra?

С помощью политик условного доступа вы можете указать требования доступа к веб-сайтам и службам. Например, требования к доступу могут включать многофакторную проверку подлинности (MFA) или управляемые устройства.

Когда вы обращаетесь к сайту или сервису напрямую, влияние связанной политики обычно легко оценить. Например, если у вас есть политика, требующая многофакторной проверки подлинности (MFA) для SharePoint Online, MFA применяется для каждого входа на веб-портал SharePoint. Однако не всегда просто оценить влияние политики, поскольку существуют облачные приложения, зависящие от других облачных приложений. Например, Microsoft Teams может предоставить доступ к ресурсам в SharePoint Online. Таким образом, когда вы получаете доступ к Microsoft Teams в нашем текущем сценарии, вы также подпадаете под действие политики SharePoint MFA.

Совет

Использование приложения Office 365 будет нацелено на все приложения Office, чтобы избежать проблем с зависимостями служб в стеке Office.

Применение политики

Если у вас настроена зависимость службы, политика может применяться с ранней или поздней привязкой.

  • Применение политики с ранней привязкой означает, что пользователь должен выполнить требования политики зависимой службы перед доступом к вызывающему приложению. Например, пользователь должен удовлетворять политике SharePoint перед входом в Microsoft Teams.
  • Отложенное применение политики происходит после того, как пользователь входит в функционирующее приложение. Принудительное исполнение откладывается при вызове запросов приложений, токен для нисходящей службы. Например, Microsoft Teams обращается к Planner, а Office.com получает доступ к SharePoint.

На следующей схеме показаны зависимости служб Microsoft Teams. Сплошные стрелки указывают на принудительное выполнение с ранней привязкой, а пунктирная стрелка для Planner указывает на принудительное выполнение с поздней привязкой.

Схема зависимостей службы Microsoft Teams.

Рекомендуется по возможности устанавливать общие политики для связанных приложений и служб. Постоянный подход к обеспечению безопасности обеспечивает наилучший пользовательский опыт. Например, настройка общей политики в Exchange Online, SharePoint Online и Microsoft Teams уменьшает запросы, которые могут возникнуть из различных политик, применяемых к подчиненным службам.

Отличный способ выполнить общую политику с приложениями в Microsoft 365 — использовать приложение Office 365 вместо того, чтобы использовать отдельные приложения.

В приведенной ниже таблице перечислены еще несколько зависимостей служб, которым клиентские приложения должны удовлетворять. Этот список не является исчерпывающим.

Клиентские приложения Нисходящая служба Обеспечение исполнения
Azure Data Lake API управления службами Windows Azure (портал и API) Раннее связывание
Аудитория Майкрософт Обмен Раннее связывание
SharePoint Раннее связывание
Microsoft Teams Обмен Раннее связывание
Планировщик MS Позднее связывание
Microsoft Stream; Позднее связывание
SharePoint Раннее связывание
Skype for Business Online Раннее связывание
Microsoft Whiteboard Позднее связывание
Портал Office Обмен Позднее связывание
SharePoint Позднее связывание
Группы Outlook Обмен Раннее связывание
SharePoint Раннее связывание
Power Apps API управления службами Windows Azure (портал и API) Раннее связывание
Microsoft Azure Active Directory Раннее связывание
SharePoint Раннее связывание
Обмен Раннее связывание
Power Automate Power Apps Раннее связывание
Проект Dynamics CRM Раннее связывание
Skype для бизнеса обмен Раннее связывание
Visual Studio API управления службами Windows Azure (портал и API) Раннее связывание
Microsoft Forms Обмен Раннее связывание
SharePoint Раннее связывание
Microsoft To Do Обмен Раннее связывание
SharePoint Расширение веб-клиента SharePoint Online Раннее связывание
Изолированное расширение веб-клиента SharePoint Online Раннее связывание
Субъект веб-приложения для клиента SharePoint (где присутствует) Раннее связывание

Устранение неполадок в зависимостях служб

Журнал входа Microsoft Entra является ценным источником информации при устранении неполадок, почему и как политика условного доступа применяется в вашей среде. Дополнительные сведения об устранении неполадок с непредвиденными результатами входа, связанными с условным доступом, см. в разделе Устранение проблем со входом с использованием условного доступа.

Следующие шаги

Сведения о реализации условного доступа в вашей среде см. в статье Планирование развертывания условного доступа в идентификаторе Microsoft Entra.