Que sont les dépendances de service dans l’accès conditionnel Microsoft Entra ?

Avec les stratégies d’accès conditionnel, vous pouvez spécifier des conditions d’accès aux sites web et aux services. Par exemple, vous pouvez exiger une authentification multifacteur (MFA) ou des appareils gérés dans vos conditions d’accès.

Lorsque vous accédez directement à un site ou un service, l’impact d’une stratégie associée est généralement facile à évaluer. Par exemple, si vous avez configuré une stratégie qui exige une authentification multifacteur (MFA) pour SharePoint Online, chaque connexion au portail web SharePoint nécessitera une authentification multifacteur. Toutefois, il n’est pas toujours simple d’évaluer l’impact d’une stratégie, car certaines applications cloud sont dépendantes d’autres applications cloud. Par exemple, Microsoft Teams peut accorder un accès aux ressources dans SharePoint Online. Par conséquent, lorsque vous accédez à Microsoft Teams dans notre scénario actuel, vous êtes également soumis à la stratégie MFA de SharePoint.

Conseil

L’application Office 365 ciblera toutes les applications Office pour éviter des problèmes avec les dépendances de service dans la pile Office.

Application de stratégies

Si vous avez configuré une dépendance de service, la stratégie peut s’appliquer via une liaison anticipée ou tardive.

  • Une application de stratégie à liaison anticipée signifie qu’un utilisateur doit respecter la stratégie du service dépendant avant d’accéder à l’application appelante. Par exemple, un utilisateur doit satisfaire la stratégie SharePoint avant de se connecter à Microsoft Teams.
  • Une application de stratégie à liaison tardive se produit après la connexion de l’utilisateur à l’application appelante. L’application de la stratégie est différée et survient lorsque l’application appelante demande un jeton pour le service en aval. L’un des exemples montre Microsoft Teams qui accède à Planner et Office.com qui accède à SharePoint.

Le diagramme suivant illustre les dépendances du service Microsoft Teams. Les flèches pleines représentent l’application à liaison anticipée et la flèche en pointillé pour Planner indique l’application à liaison tardive.

A diagram showing Microsoft Teams service dependencies.

Une bonne pratique consiste à définir des stratégies communes sur l’ensemble des applications et services associés lorsque c’est possible. Une posture de sécurité cohérente vous offre la meilleure expérience utilisateur. Par exemple, en définissant une stratégie commune sur Exchange Online, SharePoint Online, Microsoft Teams et Skype Entreprise, vous pouvez considérablement réduire le nombre d’invites inattendues pouvant être générées par les différentes stratégies appliquées aux services en aval.

Un bon moyen d’établir une stratégie commune avec les applications de la pile Office consiste à utiliser l’application Office 365 au lieu de cibler des applications individuelles.

Le tableau ci-dessous liste d’autres dépendances de service, où les applications clientes doivent répondre aux conditions. Cette liste n’est pas exhaustive.

Applications clientes Service en aval Application
Azure Data Lake API Gestion des services Windows Azure (portail et API) Liaison anticipée
Microsoft Classroom Exchange Liaison anticipée
SharePoint Liaison anticipée
Microsoft Teams Exchange Liaison anticipée
MS Planner Liaison tardive
Microsoft Stream Liaison tardive
SharePoint Liaison anticipée
Skype Entreprise Online Liaison anticipée
Tableau blanc collaboratif Microsoft Liaison tardive
Portail Office Exchange Liaison tardive
SharePoint Liaison tardive
Outlook Groups Exchange Liaison anticipée
SharePoint Liaison anticipée
Power Apps API Gestion des services Windows Azure (portail et API) Liaison anticipée
Microsoft Azure Active Directory Liaison anticipée
SharePoint Liaison anticipée
Exchange Liaison anticipée
Power Automate Power Apps Liaison anticipée
Projet Dynamics CRM Liaison anticipée
Skype Entreprise Exchange Liaison anticipée
Visual Studio API Gestion des services Windows Azure (portail et API) Liaison anticipée
Microsoft Forms Exchange Liaison anticipée
SharePoint Liaison anticipée
Microsoft To-Do Exchange Liaison anticipée
SharePoint Extensibilité du client web SharePoint Online Liaison anticipée
Extensibilité du client web SharePoint Online isolée Liaison anticipée
Principal d’application web d’extensibilité du client SharePoint (le cas échéant) Liaison anticipée

Résolution des problèmes liés aux dépendances de services

Le journal des connexions Microsoft Entra est une source précieuse d’informations pour résoudre les problèmes liés aux causes et aux méthodes d’application d’une stratégie d’accès conditionnel à votre environnement. Pour plus d’informations sur la résolution des problèmes de connexion inattendus liés à l’accès conditionnel, consultez l’article Résolution des problèmes de connexion avec l’accès conditionnel.

Étapes suivantes

Pour apprendre à implémenter l’accès conditionnel dans votre environnement, consultez Planifier votre déploiement de l’accès conditionnel dans Microsoft Entra ID.