Quais são as dependências de serviços no acesso condicional do Microsoft Entra?
Com as políticas de Acesso Condicional, você pode especificar requisitos de acesso a sites e serviços. Por exemplo, seus requisitos de acesso podem incluir a exigência de autenticação multifator (MFA) ou dispositivos gerenciados.
Quando acede diretamente a um site ou serviço, o impacto de uma política relacionada é normalmente fácil de avaliar. Por exemplo, se você tiver uma política que exija autenticação multifator (MFA) para o SharePoint Online configurada, a MFA será imposta para cada entrada no portal da Web do SharePoint. No entanto, nem sempre é simples avaliar o impacto de uma política, porque existem aplicativos na nuvem com dependências para outros aplicativos na nuvem. Por exemplo, o Microsoft Teams pode proporcionar acesso a recursos no SharePoint Online. Portanto, quando você acessa o Microsoft Teams em nosso cenário atual, também está sujeito à política de MFA do SharePoint.
Gorjeta
O uso do aplicativo do Office 365 terá como alvo todos os aplicativos do Office para evitar problemas com dependências de serviço na pilha do Office.
Imposição de políticas
Se você tiver uma dependência de serviço configurada, a política poderá ser aplicada usando a imposição de associação antecipada ou tardia.
- A imposição antecipada de políticas significa que um usuário deve satisfazer a política de serviço dependente antes de acessar o aplicativo de chamada. Por exemplo, um usuário deve satisfazer a política do SharePoint antes de entrar no Microsoft Teams.
- A imposição de política de associação tardia ocorre depois que o usuário entra no aplicativo de chamada. A imposição é adiada para ao chamar solicitações de aplicativo, um token para o serviço downstream. Os exemplos incluem o Microsoft Teams acessando o Planner e Office.com acessando o SharePoint.
O diagrama a seguir ilustra as dependências do serviço Microsoft Teams. Setas sólidas indicam imposição de limite antecipado a seta tracejada para Planner indica imposição de limite tardio.
Como melhor prática, tem de definir políticas comuns em aplicações e serviços relacionados sempre que possível. Ter uma postura de segurança consistente proporciona-lhe a melhor experiência de utilizador. Por exemplo, definir uma política comum no Exchange Online, SharePoint Online, Microsoft Teams e Skype for Business reduz significativamente os prompts inesperados que podem surgir de diferentes políticas aplicadas a serviços downstream.
Uma ótima maneira de realizar uma política comum com aplicativos na pilha do Office é usar o aplicativo do Office 365 em vez de direcionar aplicativos individuais.
A tabela abaixo lista mais algumas dependências de serviço, onde os aplicativos cliente devem satisfazer. Esta lista não é exaustiva.
| Aplicações do cliente | Serviço a jusante | Imposição |
|---|---|---|
| Azure Data Lake | API de Gerenciamento de Serviços do Windows Azure (portal e API) | Ligação precoce |
| Sala de aula da Microsoft | Exchange | Ligação precoce |
| SharePoint | Ligação precoce | |
| Microsoft Teams | Exchange | Ligação precoce |
| Planejador MS | Ligação tardia | |
| Microsoft Stream | Ligação tardia | |
| SharePoint | Ligação precoce | |
| Skype para Empresas Online | Ligação precoce | |
| Microsoft Whiteboard | Ligação tardia | |
| Portal do Escritório | Exchange | Ligação tardia |
| SharePoint | Ligação tardia | |
| Grupos do Outlook | Exchange | Ligação precoce |
| SharePoint | Ligação precoce | |
| Power Apps | API de Gerenciamento de Serviços do Windows Azure (portal e API) | Ligação precoce |
| Windows Azure Active Directory | Ligação precoce | |
| SharePoint | Ligação precoce | |
| Exchange | Ligação precoce | |
| Power Automate | Power Apps | Ligação precoce |
| Projeto | Dynamics CRM | Ligação precoce |
| Skype para Empresas | Exchange | Ligação precoce |
| Visual Studio | API de Gerenciamento de Serviços do Windows Azure (portal e API) | Ligação precoce |
| Microsoft Forms | Exchange | Ligação precoce |
| SharePoint | Ligação precoce | |
| Microsoft To-Do | Exchange | Ligação precoce |
| SharePoint | Extensibilidade do cliente Web do SharePoint Online | Ligação precoce |
| Extensibilidade do cliente Web do SharePoint Online isolada | Ligação precoce | |
| Principal do aplicativo Web de Extensibilidade do Cliente do SharePoint (quando presente) | Ligação precoce |
Solução de problemas de dependências de serviço
O log de entrada do Microsoft Entra é uma fonte valiosa de informações ao solucionar problemas por que e como uma política de Acesso Condicional foi aplicada em seu ambiente. Para obter mais informações sobre como solucionar problemas de resultados de entrada inesperados relacionados ao Acesso Condicional, consulte o artigo Solução de problemas de entrada com Acesso Condicional.
Próximos passos
Para saber como implementar o Acesso Condicional em seu ambiente, consulte Planejar a implantação do Acesso Condicional na ID do Microsoft Entra.