Что представляют собой зависимости служб в условном доступе Microsoft Entra?
С помощью политик условного доступа вы можете указать требования доступа к веб-сайтам и службам. Например, требования к доступу могут включать многофакторную проверку подлинности (MFA) или управляемые устройства.
Когда вы обращаетесь к сайту или сервису напрямую, влияние связанной политики обычно легко оценить. Например, если у вас есть политика, требующая многофакторной проверки подлинности (MFA) для SharePoint Online, MFA применяется для каждого входа на веб-портал SharePoint. Однако не всегда просто оценить влияние политики, поскольку существуют облачные приложения, зависящие от других облачных приложений. Например, Microsoft Teams может предоставить доступ к ресурсам в SharePoint Online. Таким образом, когда вы получаете доступ к Microsoft Teams в нашем текущем сценарии, вы также подпадаете под действие политики SharePoint MFA.
Совет
Использование приложения Office 365 будет нацелено на все приложения Office, чтобы избежать проблем с зависимостями служб в стеке Office.
Применение политики
Если у вас настроена зависимость службы, политика может применяться с ранней или поздней привязкой.
- Применение политики с ранней привязкой означает, что пользователь должен выполнить требования политики зависимой службы перед доступом к вызывающему приложению. Например, пользователь должен удовлетворять политике SharePoint перед входом в Microsoft Teams.
- Отложенное применение политики происходит после того, как пользователь входит в функционирующее приложение. Принудительное исполнение откладывается при вызове запросов приложений, токен для нисходящей службы. Например, Microsoft Teams обращается к Planner, а Office.com получает доступ к SharePoint.
На следующей схеме показаны зависимости служб Microsoft Teams. Сплошные стрелки указывают на принудительное выполнение с ранней привязкой, а пунктирная стрелка для Planner указывает на принудительное выполнение с поздней привязкой.
Рекомендуется по возможности устанавливать общие политики для связанных приложений и служб. Постоянный подход к обеспечению безопасности обеспечивает наилучший пользовательский опыт. Например, настройка общей политики в Exchange Online, SharePoint Online и Microsoft Teams уменьшает запросы, которые могут возникнуть из различных политик, применяемых к подчиненным службам.
Отличный способ выполнить общую политику с приложениями в Microsoft 365 — использовать приложение Office 365 вместо того, чтобы использовать отдельные приложения.
В приведенной ниже таблице перечислены еще несколько зависимостей служб, которым клиентские приложения должны удовлетворять. Этот список не является исчерпывающим.
| Клиентские приложения | Нисходящая служба | Обеспечение исполнения |
|---|---|---|
| Azure Data Lake | API управления службами Windows Azure (портал и API) | Раннее связывание |
| Аудитория Майкрософт | Обмен | Раннее связывание |
| SharePoint | Раннее связывание | |
| Microsoft Teams | Обмен | Раннее связывание |
| Планировщик MS | Позднее связывание | |
| Microsoft Stream; | Позднее связывание | |
| SharePoint | Раннее связывание | |
| Skype for Business Online | Раннее связывание | |
| Microsoft Whiteboard | Позднее связывание | |
| Портал Office | Обмен | Позднее связывание |
| SharePoint | Позднее связывание | |
| Группы Outlook | Обмен | Раннее связывание |
| SharePoint | Раннее связывание | |
| Power Apps | API управления службами Windows Azure (портал и API) | Раннее связывание |
| Microsoft Azure Active Directory | Раннее связывание | |
| SharePoint | Раннее связывание | |
| Обмен | Раннее связывание | |
| Power Automate | Power Apps | Раннее связывание |
| Проект | Dynamics CRM | Раннее связывание |
| Skype для бизнеса | обмен | Раннее связывание |
| Visual Studio | API управления службами Windows Azure (портал и API) | Раннее связывание |
| Microsoft Forms | Обмен | Раннее связывание |
| SharePoint | Раннее связывание | |
| Microsoft To Do | Обмен | Раннее связывание |
| SharePoint | Расширение веб-клиента SharePoint Online | Раннее связывание |
| Изолированное расширение веб-клиента SharePoint Online | Раннее связывание | |
| Субъект веб-приложения для клиента SharePoint (где присутствует) | Раннее связывание |
Устранение неполадок в зависимостях служб
Журнал входа Microsoft Entra является ценным источником информации при устранении неполадок, почему и как политика условного доступа применяется в вашей среде. Дополнительные сведения об устранении неполадок с непредвиденными результатами входа, связанными с условным доступом, см. в разделе Устранение проблем со входом с использованием условного доступа.
Следующие шаги
Сведения о реализации условного доступа в вашей среде см. в статье Планирование развертывания условного доступа в идентификаторе Microsoft Entra.