Che cosa sono le dipendenze del servizio nell'accesso condizionale di Microsoft Entra?
Con i criteri di accesso condizionale è possibile specificare i requisiti di accesso ai siti Web e ai servizi. Ad esempio, i requisiti di accesso possono includere la richiesta di autenticazione a più fattori (MFA) o dispositivi gestiti.
Quando si accede direttamente a un sito o a un servizio, l'impatto di un criterio correlato è in genere facile da valutare. Ad esempio, se si dispone di un criterio che richiede l'autenticazione a più fattori (MFA) per SharePoint Online configurato, l'autenticazione a più fattori viene applicata per ogni accesso al portale Web di SharePoint. Tuttavia, non è sempre semplice valutare l'impatto di un criterio perché esistono app cloud con dipendenze ad altre app cloud. Ad esempio, Microsoft Teams può fornire l'accesso alle risorse in SharePoint Online. Pertanto, quando si accede a Microsoft Teams nello scenario corrente, si è soggetti anche ai criteri di MFA di SharePoint.
Suggerimento
L'uso dell'app di Office 365 è destinato a tutti i app Office per evitare problemi con le dipendenze del servizio nello stack di Office.
Applicazione dei criteri
Se è configurata una dipendenza del servizio, i criteri possono essere applicati usando l'imposizione con associazione anticipata o con associazione tardiva.
- L'applicazione dei criteri con associazione anticipata significa che un utente deve soddisfare i criteri del servizio dipendente prima di accedere all'app chiamante. Ad esempio, un utente deve soddisfare i criteri di SharePoint prima di accedere a Microsoft Teams.
- L'applicazione dei criteri ad associazione tardiva si verifica dopo che l'utente accede all'app chiamante. L'imposizione viene posticipata a quando si chiamano le richieste dell'app, un token per il servizio downstream. Ad esempio, Microsoft Teams accede a Planner e Office.com l'accesso a SharePoint.
Il diagramma seguente illustra le dipendenze del servizio Microsoft Teams. Le frecce a tinta unita indicano l'applicazione con associazione anticipata la freccia tratteggiata per Planner indica l'imposizione con associazione tardiva.
La procedura consigliata prevede la configurazione di criteri comuni in app e servizi correlati quanto possibile. L'adozione di una postura di sicurezza coerente offre l'esperienza utente migliore. Ad esempio, l'impostazione di criteri comuni in Exchange Online, SharePoint Online, Microsoft Teams e Skype for business riduce significativamente le richieste impreviste che potrebbero derivare da criteri diversi applicati ai servizi downstream.
Un ottimo modo per eseguire criteri comuni con le applicazioni nello stack di Office consiste nell'usare l'app di Office 365 invece di destinare singole applicazioni.
La tabella seguente elenca altre dipendenze del servizio, in cui le app client devono soddisfare. Questo elenco non è esaustivo.
| App client | Servizio downstream | Applicazione |
|---|---|---|
| Azure Data Lake | API gestione dei servizi di Windows Azure (portale e API) | Associazione anticipata |
| Microsoft Classroom | Exchange | Associazione anticipata |
| SharePoint | Associazione anticipata | |
| Microsoft Teams | Exchange | Associazione anticipata |
| MS Planner | Associazione tardiva | |
| Microsoft Stream | Associazione tardiva | |
| SharePoint | Associazione anticipata | |
| Skype for Business Online | Associazione anticipata | |
| Microsoft Whiteboard | Associazione tardiva | |
| Portale di Office | Exchange | Associazione tardiva |
| SharePoint | Associazione tardiva | |
| Gruppi di Outlook | Exchange | Associazione anticipata |
| SharePoint | Associazione anticipata | |
| Power Apps | API gestione dei servizi di Windows Azure (portale e API) | Associazione anticipata |
| Windows Azure Active Directory | Associazione anticipata | |
| SharePoint | Associazione anticipata | |
| Exchange | Associazione anticipata | |
| Power Automate | Power Apps | Associazione anticipata |
| Project | Dynamics CRM | Associazione anticipata |
| Skype for Business | Exchange | Associazione anticipata |
| Visual Studio | API gestione dei servizi di Windows Azure (portale e API) | Associazione anticipata |
| Microsoft Forms | Exchange | Associazione anticipata |
| SharePoint | Associazione anticipata | |
| Microsoft To-Do | Exchange | Associazione anticipata |
| SharePoint | Estendibilità del client Web di SharePoint Online | Associazione anticipata |
| Isolamento dell'estendibilità del client Web di SharePoint Online | Associazione anticipata | |
| Entità applicazione Web estendibilità client SharePoint (dove presente) | Associazione anticipata |
Risoluzione dei problemi relativi alle dipendenze del servizio
Il log di accesso di Microsoft Entra è un'importante fonte di informazioni per la risoluzione dei problemi relativi al motivo e al modo in cui i criteri di accesso condizionale applicati nell'ambiente. Per altre informazioni sulla risoluzione dei problemi di risultati di accesso imprevisti correlati all'accesso condizionale, vedere l'articolo Risoluzione dei problemi di accesso con l'accesso condizionale.
Passaggi successivi
Per informazioni su come implementare l'accesso condizionale nell'ambiente in uso, vedere Pianificare la distribuzione dell'accesso condizionale in Microsoft Entra ID.