¿Qué son las dependencias de servicio en acceso condicional de Microsoft Entra?
Con las directivas de acceso condicional, puede especificar requisitos de acceso para sitios web y servicios. Por ejemplo, los requisitos de acceso pueden incluir el uso obligatorio de la autenticación multifactor (MFA) o dispositivos administrados.
Cuando se accede a un sitio o a un servicio directamente, suele ser fácil evaluar el impacto de una directiva relacionada. Por ejemplo, si tiene una directiva que requiere tener configurada la autenticación multifactor (MFA) para SharePoint Online, MFA se exige en cada inicio de sesión en el portal web de SharePoint. Sin embargo, no siempre resulta sencillo evaluar el impacto de una directiva porque hay aplicaciones en la nube con dependencias de otras aplicaciones en la nube. Por ejemplo, Microsoft Teams puede proporcionar acceso a los recursos de SharePoint Online. Por lo tanto, cuando accede a Microsoft Teams en nuestro escenario actual, también está sujeto a la directiva de MFA de SharePoint.
Sugerencia
Al usar la aplicación Office 365, todas las aplicaciones de Office evitarán los problemas con las dependencias en la pila de Office.
Aplicación de directivas
Si tiene una dependencia de servicio configurada, la directiva puede aplicarse mediante el cumplimiento enlazado en tiempo de compilación o en tiempo de ejecución.
- El cumplimiento de directivas enlazadas en tiempo de compilación significa que un usuario debe satisfacer la directiva de servicio dependiente para acceder a la aplicación que realiza la llamada. Por ejemplo, un usuario debe satisfacer la directiva de SharePoint antes de iniciar sesión en Microsoft Teams.
- El cumplimiento de directivas enlazadas en tiempo de ejecución se produce después de que el usuario inicia sesión en la aplicación que realiza la llamada. El cumplimiento se aplaza hasta que la aplicación que realiza la llamada solicita un token para el servicio de nivel inferior. Algunos ejemplos son el acceso de Microsoft Teams a Planner y el acceso de Office.com a SharePoint.
En el diagrama siguiente se ilustran las dependencias del servicio Microsoft Teams. Las flechas continuas indican el cumplimiento enlazado en tiempo de compilación y la flecha discontinua para Planner indica el cumplimiento enlazado en tiempo de ejecución.
Como procedimiento recomendado, debe establecer directivas comunes en aplicaciones y servicios relacionados siempre que sea posible. Tener una posición de seguridad coherente proporciona la mejor experiencia de usuario. Por ejemplo, establecer una directiva común en Exchange Online, SharePoint Online, Microsoft Teams y Skype Empresarial reduce considerablemente los mensajes inesperados que pueden surgir por la aplicación de diferentes directivas a servicios de nivel inferior.
Una excelente manera de lograr una directiva común con las aplicaciones en la pila de Office es usar la aplicación de Office 365 en lugar de dirigirse a aplicaciones individuales.
En la tabla siguiente se enumeran algunas dependencias de servicio, que deben satisfacer las aplicaciones cliente. Esta lista no es exhaustiva.
| Aplicaciones cliente | Servicio de nivel inferior | Cumplimiento |
|---|---|---|
| Azure Data Lake | Windows Azure Service Management API (portal y API) | Con enlace en tiempo de compilación |
| Microsoft Classroom | Exchange | Con enlace en tiempo de compilación |
| SharePoint | Con enlace en tiempo de compilación | |
| Equipos de Microsoft | Exchange | Con enlace en tiempo de compilación |
| MS Planner | Con enlace en tiempo de ejecución | |
| Microsoft Stream | Con enlace en tiempo de ejecución | |
| SharePoint | Con enlace en tiempo de compilación | |
| Skype Empresarial Online | Con enlace en tiempo de compilación | |
| Microsoft Whiteboard | Con enlace en tiempo de ejecución | |
| Portal de Office | Exchange | Con enlace en tiempo de ejecución |
| SharePoint | Con enlace en tiempo de ejecución | |
| Outlook Groups | Exchange | Con enlace en tiempo de compilación |
| SharePoint | Con enlace en tiempo de compilación | |
| PowerApps | Windows Azure Service Management API (portal y API) | Con enlace en tiempo de compilación |
| Microsoft Azure Active Directory | Con enlace en tiempo de compilación | |
| SharePoint | Con enlace en tiempo de compilación | |
| Exchange | Con enlace en tiempo de compilación | |
| Power Automate | Power Apps | Con enlace en tiempo de compilación |
| proyecto | Dynamics CRM | Con enlace en tiempo de compilación |
| Skype Empresarial | Exchange | Con enlace en tiempo de compilación |
| Visual Studio | Windows Azure Service Management API (portal y API) | Con enlace en tiempo de compilación |
| Microsoft Forms | Exchange | Con enlace en tiempo de compilación |
| SharePoint | Con enlace en tiempo de compilación | |
| Microsoft To-Do | Exchange | Con enlace en tiempo de compilación |
| SharePoint | SharePoint Online: extensibilidad de cliente web | Enlace en tiempo de compilación |
| SharePoint Online: extensibilidad de cliente web con aislamiento | Enlace en tiempo de compilación | |
| Entidad de seguridad de aplicación web de extensibilidad de cliente de SharePoint (si existe) | Con enlace en tiempo de compilación |
Solución de problemas de dependencias del servicio
El registro de inicios de sesión de Microsoft Entra es una fuente de información valiosa cuando se solucionan problemas para determinar por qué y cómo se ha aplicado una directiva de acceso condicional en su entorno. Para más información sobre cómo solucionar problemas inesperados de inicio de sesión relacionados con el acceso condicional, consulte el artículo Resolución de problemas de inicio de sesión con el acceso condicional.
Pasos siguientes
Para saber cómo implementar el acceso condicional en su entorno, consulte Planeamiento de la implementación del acceso condicional en Microsoft Entra ID.