Wat zijn serviceafhankelijkheden in Azure Active Directory voorwaardelijke toegang?
Met beleid voor voorwaardelijke toegang kunt u toegangsvereisten voor websites en services opgeven. Uw toegangsvereisten kunnen bijvoorbeeld bestaan uit het vereisen van Meervoudige verificatie (MFA) of beheerde apparaten.
Wanneer u rechtstreeks toegang hebt tot een site of service, is de impact van een gerelateerd beleid doorgaans eenvoudig te beoordelen. Als u bijvoorbeeld een beleid hebt dat meervoudige verificatie (MFA) vereist voor SharePoint Online geconfigureerd, wordt MFA afgedwongen voor elke aanmelding bij de SharePoint webportal. Het is echter niet altijd duidelijk om de impact van een beleid te beoordelen, omdat er cloud-apps zijn die afhankelijk zijn van andere cloud-apps. Zo kunnen Microsoft Teams toegang bieden tot resources in SharePoint Online. Wanneer u in ons huidige Microsoft Teams toegang krijgt tot de gegevens, bent u ook onderworpen aan het SharePoint MFA-beleid.
Tip
Met de Office 365-app worden alle Office apps gericht om problemen met serviceafhankelijkheden in de Office voorkomen.
Beleidsafdwinging
Als u een serviceafhankelijkheid hebt geconfigureerd, kan het beleid worden toegepast met behulp van early-bound of late-bound enforcement.
- Vroegtijdig afdwingen van beleid betekent dat een gebruiker moet voldoen aan het beleid van de afhankelijke service voordat de aanroepende app wordt gebruikt. Een gebruiker moet bijvoorbeeld voldoen aan het SharePoint voordat deze zich aanmeldt bij MS Teams.
- Het afdwingen van te laat gebonden beleid vindt plaats nadat de gebruiker zich heeft meldt bij de aanroepende app. Afdwinging wordt uitgesteld tot bij het aanroepen van app-aanvragen, een token voor de downstreamservice. Voorbeelden zijn ms-Teams toegang tot Planner en Office.com voor toegang tot SharePoint.
In het onderstaande diagram ziet u MS Teams serviceafhankelijkheden. Effen pijlen geven vroege afdwinging aan de stippelpijl voor Planner geeft late-gebonden afdwinging aan.
Als best practice moet u waar mogelijk algemene beleidsregels instellen voor gerelateerde apps en services. Een consistente beveiligingsstatus biedt de beste gebruikerservaring. Als u bijvoorbeeld een gemeenschappelijk beleid in Exchange Online, SharePoint Online, Microsoft Teams en Skype for Business instelt, worden onverwachte prompts die kunnen ontstaan door verschillende beleidsregels die worden toegepast op downstreamservices aanzienlijk verminderd.
Een uitstekende manier om dit te doen met toepassingen in de Office stack is door de Office 365-app te gebruiken in plaats van afzonderlijke toepassingen te gebruiken.
De onderstaande tabel bevat aanvullende serviceafhankelijkheden, waar de client-apps aan moeten voldoen
| Client-apps | Downstream-service | Handhaving |
|---|---|---|
| Azure Data Lake | Microsoft Azure Beheer (portal en API) | Vroeg gebonden |
| Microsoft Classroom | Exchange | Vroeg gebonden |
| SharePoint | Vroeg gebonden | |
| Microsoft Teams | Exchange | Vroeg gebonden |
| MS Planner | Te laat | |
| Microsoft Stream | Te laat | |
| SharePoint | Vroeg gebonden | |
| Skype voor Bedrijven Online | Vroeg gebonden | |
| Office Portal | Exchange | Te laat |
| SharePoint | Te laat | |
| Outlook groepen | Exchange | Vroeg gebonden |
| SharePoint | Vroeg gebonden | |
| Power Apps | Microsoft Azure Beheer (portal en API) | Vroeg gebonden |
| Windows Azure Active Directory | Vroeg gebonden | |
| SharePoint | Vroeg gebonden | |
| Exchange | Vroeg gebonden | |
| Project | Dynamics CRM | Vroeg gebonden |
| Skype voor Bedrijven | Exchange | Vroeg gebonden |
| Visual Studio | Microsoft Azure Beheer (portal en API) | Vroeg gebonden |
| Microsoft Forms | Exchange | Vroeg gebonden |
| SharePoint | Vroeg gebonden | |
| Microsoft To-Do | Exchange | Vroeg gebonden |
Volgende stappen
Zie Uw implementatie van voorwaardelijke toegang plannen in Azure Active Directory voor meer informatie over het implementeren van voorwaardelijke Azure Active Directory.