什麼是 Microsoft Entra 條件式存取中的服務相依性?
使用條件式存取原則,您可以指定網站和服務的存取需求。 例如,您的存取需求可以包括需要多重要素驗證 (MFA) 或受控裝置。
當您直接存取網站或服務時,相關原則的影響通常很容易評定。 例如,若您的原則需要設定 SharePoint Online 的多重要素驗證 (MFA),則會針對 SharePoint Web 入口網站的每次登入強制執行 MFA。 不過,它不一定會直接評定原則的影響,因為有些雲端應用程式具有與其他雲端應用程式的相依性。 例如,Microsoft Teams 可以提供對 SharePoint Online 中資源的存取權。 因此,當您在目前案例中存取 Microsoft Teams 時,也必須遵守 SharePoint MFA 原則。
提示
使用 Office 365 應用程式時會將所有 Office 應用程式設為目標,以避免 Office 堆疊中的服務相依性發生問題。
強制執行原則
若已設定服務相依性,則可以使用早期繫結或晚期繫結強制執行來套用原則。
- 「早期繫結原則強制執行」表示使用者必須先滿足相依的服務原則,才能存取呼叫端應用程式。 例如,使用者必須在登入 Microsoft Teams 之前滿足 SharePoint 原則。
- 使用者登入呼叫端應用程式之後,會發生「晚期繫結原則強制執行」。 強制執行會延後到呼叫端應用程式要求下游服務的權杖時。 範例包括存取 Planner 的 Microsoft Teams 以及存取 SharePoint 的 Office.com。
下圖說明 Microsoft Teams 服務相依性。 實線箭號指出早期繫結強制執行,Planner 的虛線箭號則指出晚期繫結強制執行。
最佳做法是您應盡可能設定相關應用程式和服務的通用原則。 擁有一致的安全性態勢可讓您獲得最佳使用者體驗。 例如,在 Exchange Online、SharePoint Online 和 Microsoft Teams 之間設定通用原則,可減少可能由套用至下游服務的不同原則所產生的提示。
在 Microsoft 365 中使用應用程式完成通用原則的絕佳方式是使用 Office 365 應用程式 ,而不是以個別應用程式為目標。
下表列出用戶端應用程式必須滿足的更多服務相依性。 這份清單並不完整。
用戶端應用程式 | 下游服務 | 實施 |
---|---|---|
Azure Data Lake | Windows Azure 服務管理 API (入口網站和 API) | 早期繫結 |
Microsoft Classroom | Exchange | 早期繫結 |
SharePoint | 早期繫結 | |
Microsoft Teams | Exchange | 早期繫結 |
MS Planner | 晚期繫結 | |
Microsoft Stream | 晚期繫結 | |
SharePoint | 早期繫結 | |
Skype for Business Online | 早期繫結 | |
Microsoft Whiteboard | 晚期繫結 | |
Office 入口網站 | Exchange | 晚期繫結 |
SharePoint | 晚期繫結 | |
Outlook 群組 | Exchange | 早期繫結 |
SharePoint | 早期繫結 | |
Power Apps | Windows Azure 服務管理 API (入口網站和 API) | 早期繫結 |
Microsoft Azure Active Directory | 早期繫結 | |
SharePoint | 早期繫結 | |
Exchange | 早期繫結 | |
Power Automate | Power Apps | 早期繫結 |
Project | Dynamics CRM | 早期繫結 |
商務用 Skype | Exchange | 早期繫結 |
Visual Studio | Windows Azure 服務管理 API (入口網站和 API) | 早期繫結 |
Microsoft Forms | Exchange | 早期繫結 |
SharePoint | 早期繫結 | |
Microsoft To-Do | Exchange | 早期繫結 |
SharePoint | SharePoint Online 網頁用戶端擴充性 | 早期繫結 |
SharePoint Online 網頁用戶端擴充性 (獨立式) | 早期繫結 | |
SharePoint 用戶端擴充性 Web 應用程式主體 (如果存在) | 早期繫結 |
針對服務相依性進行疑難排解
針對環境中套用條件式存取原則的原因和方式進行疑難排解時,AMicrosoft Entra 登入記錄是重要的資訊來源。 關於針對與條件式存取相關的非預期登入結果進行疑難排解,如需詳細資訊,請參閱針對條件式存取的登入問題進行疑難排解一文。
下一步
若要了解如何在環境中實作條件式存取,請參閱在 Microsoft Entra ID 中規劃條件式存取部署。